Сертификаты в области информационной безопасности: что актуально в РФ и за рубежом

Что вообще за сертификация?

В мире есть несколько организаций, которые позволяют бизнес-аналитикам получить сертификат и тем самым подтвердить свой профессиональный уровень. Я рассмотрел наиболее распространенные организации и сертификаты, а именно:

В основном эти сертификаты позиционируются для специалистов в бизнес-анализе, но у нас они также рассматриваются как подтверждение уровня для системных аналитиков, аналитиков требований, software analyst и т.д. Тут есть огромное поле для дискуссий, но я не про это.

Что такое программа пфдо

Бесплатные детские кружки всегда финансировало государство. Дворцы творчества планировали, сколько детей запишется в кружок, и получали деньги на полную группу, например на 10 человек. Но потом в непопулярный кружок записывалось меньше детей, например только 4 ребенка, и там оказывалось больше свободных мест, чем нужно.

По этой системе бесплатный кружок получит государственные деньги за тех детей, которые ходят туда по факту, а не за тех, кого руководство планировало привлечь, но не смогло. Если организаторы кружка захотят больше денег, им придется изменить программу, чтобы записалось больше детей.

На 1 мая 2020 года в ПФДО участвует 65 регионов. До конца 2024 года подключатся и остальные.

У каждого региона-участника есть сайт-навигатор по программе. Там можно оформить сертификат и записать ребенка в кружки и секции. Одни навигаторы базируются на сайте ПДО, другие — на Inlearno. Где ваш, заранее не узнать — искать свой регион придется и там, и там.

Что происходит на практике

1. Client Hello – клиент начинает общение с сервером отсылая информацию о предпочитаемой версии протокола TLS, набора поддерживаемых шифров (Cipher Spec), и случайного простого числа (client random), необходимого в дальнейшем для генерации общего ключа симметричного шифрования.

   Что такое Cipher Spec? В процессе установки соединения, клиент и сервер должны договориться о: какой алгоритм использовать для обмена ключами (например, RSA – Риверт-Шамир-Адлеман, DH – Диффи-Хеллмана, ECDH – Диффи-Хеллмана на эллиптических кривых, и др.), какой алгоритм использовать для шифрования данных (AES – Advanced Encryption Standard, 3DES – Tripple Data Encryption Algorithm, и др.), какую криптографическую хэш-функцию использовать для генерации Message Authentication Code (SHA-256, SHA-384, SHA-512 – Secure Hash Algorithm с соответствующей длиной строки в битах с хэшем, и др.).

   Что такое Message Authentication Code или MAC? Это хэш, сгенерированный с использованием выбранной криптографической хэш-функции и разделяемого ключа, который добавляется сзади к сообщению. Перед отправкой данных отправитель вычисляет MAC для них, а получатель перед обработкой вычисляет MAC для принятого сообщения и сравнивает его с MAC этого принятого сообщения. Предназначен для проверки целостности, то есть что сообщение не было изменено при его передаче.

2. Server Hello – сервер отвечает выбранной версией протокола и выбранным из предложенного набора шифром, которые будут непосредственно использоваться, своим случайным простым числом (server random) и идентификатором сессии.

   Для чего нужен идентификатор сессии? Как мы посмотрим далее, процесс установления TLS соединения затратен по времени и ресурсам. Предусмотрен механизм возобновления соединения с помощью отправки клиентом этого идентификатора. Если сервер тоже все еще хранит соответствующие настройки, то клиент и сервер смогут продолжить общение использую ранее выбранные алгоритмы и ключи.

3. Certificate – сервер отправляет свой сертификат, а клиент производит проверку подписи удостоверяющего центра, проверку доверия к удостоверяющему центру, проверку указанного домена сайта с фактическим, срока действия, проверяет не был ли сертификат отозван.

   Что представляет из себя сертификат? Сертификат – это открытый ключ и другая информация о его владельце, а также Электронная Цифровая Подпись (ЭЦП) доверенного центра.

   Как работает ЭЦП? При создании ЭЦП хэш данных, которые подписываются, шифруется закрытым ключом, в отличие от обычного ассиметричного шифрования, где зашифровка выполняется открытым ключом. Таким образом, если вам удалось расшифровать открытым ключом хэш, и он оказался идентичен хэшу из данных, – вы можете быть уверены что: подпись была сделана именно владельцем приватного ключа, открытый ключ которого вы используете; данные, которые были подписаны, не изменились с момента подписания.

   Но как удостовериться, что открытый ключ принадлежит не злоумышленнику? Существуют корневые удостоверяющие центры (Root Certificate Authority или просто CA – Certificate Authority), которым доверяют все участники обмена информацией. Если в цепочке подписания сертификата сервера есть подпись корневого CA (мы можем проверить ее с помощью открытого ключа CA), то мы можем ему доверять. При этом сертификаты (открытые ключи) корневых CA распространяются посредством включения их в операционную систему или браузер поставщиками. Также стоит отметить, что сертификат может быть подписан сертификатом, который подписан в свою очередь другим сертификатом – это цепочка подписания.

   Кем подписан сертификат корневого CA? А никем, нет инстанции выше корневого CA. Сертификат (открытый ключ) в этом случае подписан собственным закрытым ключом. Такие сертификаты называют самоподписанные (sefl-signed).

4. Server Key Exchange – этот этап происходит не всегда, только если необходимы дополнительные данные для создания симметричного ключа при выбранном алгоритме. Например, при обмене ключами RSA этот шаг пропускается и для обмена общим ключ передается от клиента серверу зашифрованным открытым ключом сервера из его сертификата. Однако в этой статье рассмотрим более надежный алгоритм Диффи-Хеллмана. Сервер отправляет числа p (большое простое число) и g (может быть маленьким), а также рассчитанное число Y_s=g^{случайно выбранное сервером число}mod p, где mod – это операция нахождения остатка от деления. В свою очередь клиент также рассчитывает Y_c=g^{случайно выбранное клиентом число}mod p. После этого сервер считает Y_c^{случайно выбранное сервером число}mod p, а клиент Y_s^{случайно выбранное клиентом число}mod p, в результате чего у клиента и сервера получается одинаковое число. Разберем на примере:

5. Server Hello Done – сервер сообщает, что начальный этап установки соединения завершен

6. Client Key Exchange – как было уже сказано выше, когда сервер передал числа p, g, Y_s в Server Key Echange, клиент передает свое число Y_c в Client Key Exchange. Вычисленное в конце общее одинаковое число используется для создания pre-master secret – предварительного разделяемого ключа. На основании client random, server random и pre-master secret псевдослучайная функция выдает симметричный ключ и ключ вычисления MAC. Таким образом клиент и сервер имеют все необходимое для начала обмена полезной информацией.

7. Change Cipher Spec – клиент говорит серверу, что он готов перейти на защищенное соединение.

8. Finished – клиент зашифровывает симметричным ключом первое сообщение с MAC.

9. Change Cipher Spec – сервер проверяет сообщение Finished от клиента и отправляет в ответ свою готовность к защищенному соединению.

10. Finished – аналогично клиенту, сервер отправляет тестовое зашифрованное сообщение

11. После этого соединение считается установленным, и происходит передача полезной информации

12. close_notify – служебное сообщение, которое одна сторона отправляет другой, как уведомление о том, что считаетсоединение разорванным и не будет принимать больше сообщения. Другая сторона в ответ обязана послать аналогичное сообщение close_notify.

Что нужно знать о сертификате пфдо

1. Сертификат положен каждому ребенку в возрасте от 5 до 17 лет включительно. Он должен быть гражданином РФ.
2. Чтобы оформить сертификат, нужно найти свой регион на портале ПДО или Inlearno и перейти на нужный сайт-навигатор, зарегистрироваться, подтвердить электронную почту и заполнить электронное заявление. Через несколько дней сертификат будет оформлен и в личном кабинете появится его номер.
3. Сертификат нужно активировать. В личном кабинете есть список школ и образовательных центров, где можно это сделать. Туда нужно отнести или отправить копию паспорта или свидетельства о рождении ребенка, заявление о включении в систему ПФДО и согласие на обработку персональных данных. Через три рабочих дня сертификат будет активирован.
4. Чтобы оплатить кружок сертификатом, нужно выбрать его в списке в личном кабинете, заполнить заявку, а потом прийти в образовательный центр и подписать договор. Деньги с сертификата будут каждый месяц зачислять на счет центра.
5. Если в кружке ребенку не понравится, нужно написать заявление об отчислении, иначе деньги с сертификата будут списывать и дальше.

Nebosh-сертификат в россии

В РФ аккредитованные организации появились в 2021 году. При этом на российском рынке доступно около 10 направлений в зависимости от образовательного центра (по данным сайта NEBOSH).

Обучение можно проходить как на русском, так и на английском языке: для освоения материала на иностранном языке рекомендован уровень в системе IELTS не менее 6.0. Языковой экзамен сдавать не нужно, но важно владеть свободным английским на уровне терминологии.

Tlsv1.3

Стоит отметить, что все выше написанное относится к TLSv1.2, которая начинает понемногу устаревать. В 2021 году была разработана новая версия 1.3 в которой: были запрещены уже ненадежные алгоритмы, ускорен процесс соединения, переработан протокол рукопожатия и др.

Выпускаем собственные сертификаты

Теперь, когда мы разобрали теорию, самое время приступить к практике! Нам понадобятся OpenSSL и keytool (входит в поставку JDK). Для начала создадим сертификат корневого CA, которым будем подписывать запросы на подпись сертификата клиента и сервера. Сгенерируем приватный ключ RSA зашифрованный AES 256 с паролем “password” длиной 4096 бит (меньше 1024 считается ненадежным) в файл CA-private-key.key:

openssl genrsa -aes256 -passout pass:password -out CA-private-key.key 4096

Нет какого-то принятого стандарта расширений для файлов, связанных с сертификатами. Мы будем использовать:

Далее создадим новый запрос на подпись сертификата CA-certificate-signing-request.csr, передавая информацию о субъекте “CN=Certificate authority” (если не указывать ключ -subj вас попросят указать: Сountry (C), Locality (L), Organisation (O), Organisation Unit (OU), Common Name (CN), Email, Challenge password – все поля, кроме CN опциональны), приватный ключ и пароль от него:

openssl req -new -key CA-private-key.key -passin pass:password -subj "/CN=Certificate authority/" -out CA-certificate-signing-request.csr t $3

Так как подписать сертификат другим сертификатом пока нельзя, подпишем запрос его же приватным ключом. Получившейся сертификат CA-self-signed-certificate.pem будет самоподписанным со сроком действия 1 день.

openssl x509 -req -in CA-certificate-signing-request.csr -signkey CA-private-key.key -passin pass:password -days 1 -out CA-self-signed-certificate.pempemE

Теперь у нас есть сертификат, которому в будущем будут доверять наши клиент и сервер. Похожим образом сделаем приватные ключи и запросы на подпись сертификата для них:

openssl genrsa -aes256 -passout pass:password -out Server-private-key.key 4096
openssl req -new -key Server-private-key.key -passin pass:password -subj "/CN=localhost/" -out Server-certificate-signing-request.csrt $3

openssl genrsa -aes256 -passout pass:password -out Client-private-key.key 4096
openssl req -new -key Client-private-key.key -passin pass:password -subj "/CN=Client/" -out Client-certificate-signing-request.csr

Подпишем запросы нашим сертификатом CA. Ключ CAcreateserial отвечает за создание файла (в данном случае CA-self-signed-certificate.srl) , в котором будет храниться серийный номер для следующего подписываемого этим сертификатом запроса. Серийный номер для текущего же сертификата сгенерируется случайно.

openssl x509 -req -in Server-certificate-signing-request.csr -CA CA-self-signed-certificate.pem -CAkey CA-private-key.key -passin pass:password -CAcreateserial -days 1 -out Server-certificate.pemt $4
openssl x509 -req -in Client-certificate-signing-request.csr -CA CA-self-signed-certificate.pem -CAkey CA-private-key.key -passin pass:password -days 1 -out Client-certificate.pem

После этого необходимо создать хранилище ключей с сертификатами (keystore) Server-keystore.p12 для использования в нашем приложении. Положим туда сертификат сервера, приватный ключ сервера и защитим хранилище паролем “password”:

openssl pkcs12 -export -in Server-certificate.pem -inkey Server-private-key.key -passin pass:password -passout pass:password -out Server-keystore.p12      

Осталось только создать хранилище доверенных сертификатов (truststore): сервер будет доверять всем клиентам, в цепочке подписания которых есть сертификат из truststore. К сожалению, для Java сертификаты в truststore должны содержать специальный object identifier, а OpenSSL пока не поддерживает их добавление. Поэтому здесь мы прибегнем к поставляемому вместе с JDK keytool:

keytool -import -file CA-self-signed-certificate.pem -keystore Server-truststore.p12 -storetype PKCS12 -storepass password -noprompt    

Для удобства, все описанные выше действия упакованы в bash script.

Двусторонний tls

Двусторонний TLS или Two Way TLS или mutual TLS (mTLS) означает проверку сертификата клиента. Сервер после своего сообщения Certificate посылает запрос сертификата клиента CertificateRequest. Клиент в ответ отправляет Certificate, сервер производит проверку, аналогичную проверке сертификата сервера клиентом. Далее настройка TLS происходит в описанном выше порядке.

Зачем это нужно?

Думаю, что каждый аналитик, покопавшись в предмете, сможет найти для себя ответ на этот вопрос. Я же рассмотрел три, наиболее часто упоминаемые причины в принципе, для любой сертификации:

Давайте разберемся подробнее. Я запустил опрос в сообществах и чатах аналитиков и собрал около четырех десятков ответов о том, что думают по этому поводу сами аналитики.

Большая часть аналитиков не считает, что сертификация приводит к более высокой зарплате. А что думают работодатели?

В других сферах IT в требованиях к кандидатам частенько мелькают названия сертификатов в той или иной технологии и, подозреваю, что сертификация до сих пор приносит хорошие дивиденды обладателям этих документов. Что не так с аналитиками? Может быть это у нас только так?Давайте посмотрим вакансии в России и за ее пределами.

2% в лучшем случае! Только 2% работодателей хотя бы просто упоминают в своих вакансиях названия сертификатов или организаций.

Не буду вдаваться в подробности расчетов. Просто поясню, что я отбирал вакансии Бизнес-аналитикBusiness analyst на соответствующем ресурсе, перебирал все варианты названий сертификатов и в зачет брал лучший результат. Так, например, в Германии неожиданно, самым популярным оказался IREB.

Как и где получить nebosh-сертификат, его цена

Аккредитованных в РФ центров, проводящих обучение по программам NEBOSH, всего четыре. Это обусловлено высокими требованиями к организации и преподавательскому составу. Список компаний не размещен в сети.

Таким организациям NEBOSH присваивает статус (бронза, серебро или золото) и разрешает размещать свою эмблему на сайте. Чтобы проверить подлинность обучающей компании, достаточно выполнить следующий алгоритм:

1. зайти на www.nebosh.org.uk;
2. открыть раздел «Where to Study»;
3. перейти в поисковик «Find a Learning Partner», в параметрах поиска выбрать интересующее направление (там же можно увидеть, какие специальности доступны и рассмотреть получение какой-либо в дистанционном формате в странах СНГ или Европы) и страну.

Сайт мгновенно выдаст список российских компаний, обучающих по выбранной специальности. На июль 2021 года это:

«ЯМНАСКА»

— московский учебный центр, NEBOSH-сертификация является одним из приоритетных направлений организации, обладающей золотым статусом. Доступно 6 курсов на русском и английском языках в очном и онлайн форматах.

«РОША»

 — входит в состав американской компании «California HSE Group, Inc». Можно получить сертификаты по трем направлениям или обучиться на международный диплом в области охраны труда. Статус NEBOSH золотой.

«Industry Consulting»

 — компания входит в группу «ЭКОПСИ» и занимается управленческим консалтингом в сфере организационной эффективности. Обучение проводится онлайн всего по одному направлению, при этом статус образовательного центра серебряный.

Abiroy

— тренинговая компания, которая специализируется на преподавании международных курсов в области ОТ. Обладает бронзовым статусом и согласно данным базы NEBOSH аккредитована по трем направлениям.

Обучение занимает примерно от 16 до 100 часов для онлайн-формата и от 2 до 10 дней очно.

Подробно ознакомиться с наполнением курсов можно на сайтах образовательных организаций. Повторное подтверждение сертификации после сдачи не требуется, а работодатель имеет возможность проверить подлинность сертификата: на официальном сайте нужно ввести фамилию, дату получения и номер документа.

Стоимость курсов:

1. Зависит от направления, формы обучения и статуса организации (золотой, серебряный и бронзовый уровень);
2. Рассчитывается в долларах, поэтому колебания курса оказывают прямое влияние;
3. Самым дорогим является очное обучение — от 250 тысяч;
4. Онлайн формат в разы дешевле — около 100 тысяч;
5. Также в стоимость должен закладываться экзаменационный сбор, но этот момент лучше уточнять у обучающей компании.

Как работает сертификат пфдо

В каждом регионе может быть свой список направлений, которые будут оплачивать сертификатами. Например, в Подмосковье это техническое, художественное, физкультурно-спортивное, военно-патриотическое, естественно-научное, культурологическое и социально-педагогическое.

У сертификата есть номинал — сумма, которую можно потратить на дополнительное образование в будущем учебном году. Ее пополняют каждое учебное полугодие. Номинал зависит от бюджета конкретного города. Например, в Балаково Саратовской области на сентябрь — декабрь 2021 года выделено 2191,6 Р.

Цену занятий в каждом кружке определяют чиновники. Она называется нормативной стоимостью образовательной услуги. Когда ребенок записывается в кружок, средства списывают с сертификата в счет оплаты. Кружков может быть несколько. Если денег на сертификате на все не хватит, родителям придется самим доплачивать остальную сумму.

У меня есть знакомые в Братске Иркутской области. С января по май 2020 года номинал сертификата у них был примерно 9800 Р. Английский обходился в 1250 Р в месяц, а индивидуальные занятия по игре на скрипке — в 1650 Р.

В Урае Ханты-Мансийского автономного округа с сентября по декабрь 2021 года номинал сертификата был 11 623,52 Р. Я не в курсе, сколько он составлял в 2021 году, но знаю стоимость кружков в это время. Если номинал остался прежним, то его хватило бы на краткий курс робототехники за 5030 Р, но не вышло бы оплатить им полный за 30 530 Р.

Как я активировала сертификат

Активировать сертификат нужно в образовательном учреждении своего города. Когда я нажала кнопку «Активировать сертификат», появился список детских центров, школ и гимназий. Там была и гимназия моего сына. Я собиралась отнести туда документы, но классный руководитель сказала, что можно подать их дистанционно.

Вот какие документы понадобились:

1. Копия свидетельства о рождении сына.
2. СНИЛС сына.
3. Заявление о том, чтобы его включили в систему ПФДО.
4. Согласие на обработку персональных данных.

Как я оплатила кружок сертификатом

В августе 2020 года, перед началом учебного года, в навигаторе появился список всех кружков нашего города. Я задала в поиске муниципалитет, направленность обучения, возраст и возможность оплатить сертификатом. И быстро нашла в списке нужный кружок английского. Он уже прошел все проверки, и занятия можно было оплатить сертификатом.

Я нажала на кнопку «Записаться», и заявка ушла в образовательный центр. При этом номинал сертификата я все еще не знала. Но надеялась, что денег хватит на первое полугодие. Чтобы узнать номинал, я запросила его отдельной заявкой на странице ребенка.

Первую заявку рассматривали 3 рабочих дня. В центре проверили, есть ли у моего сына сертификат, и пригласили меня прийти. Там я заполнила два заявления — на обучение ребенка по ПФДО и на определение сертификата. А еще подписала с центром договор на предоставление образовательных услуг.

К этому времени в муниципалитете рассмотрели и вторую заявку. В личном кабинете появилась сумма — 2800 Р. Из них 1091 Р уже зарезервировали для кружка по английскому.

Пока сын занимается, с сертификата каждый месяц списывают 60,65 Р. А если он бросит кружок, я напишу заявление об отчислении, и деньги больше не будут уходить центру.

Как я оформила сертификат пфдо на ребенка

Вот что я для этого сделала:

1. Зарегистрировалась в навигаторе и подтвердила электронную почту. После этого получила доступ в личный кабинет родителя.
2. В личном кабинете указала фамилию, имя, отчество и дату рождения ребенка.
3. Отправила заявку на оформление сертификата. Через несколько дней увидела, что ему присвоен номер. Это означало, что сертификат у нас уже есть, но теперь его нужно активировать.

Мнение автора

Какие я сделал выводы по итогам этого небольшого исследования. Сертификация вряд ли даст вам возможность получить более высокооплачиваемую работу. Но я также считаю (хотя мне нечем это подкрепить), что получение сертификата может быть хорошим аргументом, чтобы обосновать повышение зарплаты, если в вашей компании не предусмотрено регулярных процедур с оценкой вашей работы или грейдов с внятно описанными требованиями. Мне сложно представить руководителя, который скажет, что “это вы для себя рожали”.

Думаю, что подготовка к сертификации имеет смысл, если вы хотите развиваться в этой области дальше. Если же вы видите свой дальнейший путь в другой области: в роли архитектора, владельца продукта или менеджералида, то, вероятно, вам будет полезнее потратить время на развитие навыков и компетенций, востребованных в этой области.

Всем удачи на проектах! Занимайтесь тем, что вам интересно и повышайте свою квалификацию!

Мнение экспертов

Никита Харичкин, преподаватель курса “Системный аналитик”, руководитель отдела системной аналитики в СБЕРе

Рекомендуете ли Вы аналитикам сертифицироваться и почему?

Я рекомендую прохождение сертификации. Но перед этим специалисту стоит оценить свои возможности и саму необходимость сдачи экзамена на стандарт в текущем периоде карьеры. Потому что важно четко понимать свои ожидания от сертификации: подходит ли именно этот сертификат, какую пользу он принесет в работе как самому специалисту, так и работодателю. Кроме этого, стоит проверить, нет ли более простого и быстрого способа получить ожидаемую пользу, и оценить, получится ли выделить время на подготовку к сертификации, если она все-таки нужна. 

Сертификация полезна для закрепления знаний и улучшения качества своих артефактов в реальной работе. Кроме этого, опора на теорию помогает направить дискуссию в конструктивное русло, будь то выступление на конференции или планерка внутри команды. Еще одним не очевидным плюсом сертификации является выделение темных и светлых областей в собственных компетенциях. То есть стандарт помогает понять, в чем специалист уже преуспел, а что нужно улучшить, какие темы совершенно в новинку. Он может составить индивидуальный план развития в соответствии со стандартом, продемонстрировать руководителю свои сильные стороны и понять, какие новые навыки нужно освоить, чтобы запросить соответствующие задачи. 

Но не стоит рассматривать сертификацию как инструмент для повышения заработной платы на текущем месте работы. Однако специалист может договориться с руководителем об оплате или выделении рабочих часов на подготовку к сдаче экзамена. С точки зрения руководителя наличие сертификата не будет решающим, но точно выделит сотрудника среди сотни других.

На каком этапе карьеры аналитика Вы бы рекомендовали задумываться о сертификации, если, конечно, рекомендуете?

Сертификацию не следует проходить до приобретения 2-3 лет опыта по специальности. Для стартовых позиций и младших специалистов гораздо важнее осваивать новое, углубляться в предметные области, все гипотезы проверять на практике и учиться на своих и чужих ошибках. В течение этого периода за знаниями и экспертизой лучше обращаться к руководителю или наставнику. Он даст конкретную обратную связь с деталями по контексту. И это будет намного полезнее для специалиста и проекта, чем получение общих теоретических знаний. А спустя 3 года работы можно задуматься, стоит ли на данном этапе подтверждать свои компетенции.

К выбору сертификата, при этом, необходимо подходить с умом. Не стоит брать экзамены начального уровня, если вы уже переросли его. Равно как и браться за серьезный сертификат, будучи младшим специалистом. Каждый сертификат декларирует требуемый уровень подготовки и количество часов опыта. Поэтому стоит отталкиваться от этого –– если перерывов в карьере не было, то 1 год включает примерно 1700 часов.

Какие способы подготовки к экзаменам Вы могли бы порекомендовать?

Любая теория выветрится, если не будет отработана на практике. Не нужно ничего зубрить –– это будет бесполезно как для сдачи экзамена, так и для вашего развития. Для подготовки специалисту следует последовательно изучать стандарт и сразу искать задачи для применения полученных знаний. И при любом сомнении, правильно ли он делает или как лучше действовать в ситуации, обращаться к стандарту как к справочнику, находить нужную информацию и применять ее.

В подготовке также помогает комьюнити единомышленников, которые тоже начали готовиться к выбранному вами сертификату. Если рядом никого нет, то создайте это движение сами внутри компании или региона. Живое обсуждение и сторонние мнения благоприятно повлияют и на мотивацию, и на конечный результат.

Денис Гобов – Senior Business Analyst, DataArt; Основатель тренинговой компании по бизнес-анализу; Вице-президент по профессиональному развитию, Украинское отделение IIBA

Рекомендуете ли Вы аналитикам сертифицироваться и почему?

Рекомендую. Но при этом основную практическую пользу вы получите именно от процесса подготовки. Возьмем три момента времени: начало подготовки, день до экзамена, день после экзамена. Разница между первой и второй – значительная, если вы серьезно подошли к вопросу. А между 2 и 3 – минимальная. Сертификат – хороший стимул довести дело до конца. 

Что дает сертификация: 

• структуризацию знаний и целостную картину деятельности;

• наличие сертификата от серьезной международной организации выделяет вас на фоне других сотрудников/кандидатов на рынке труда;

• повышает ЧСВ/снижает неуверенность в вашем профессионализме (пресловутый эффект самозванца).

Регулярные опросы, проводимые IIBA, свидетельствуют, что сертифицированные аналитики получают в среднем больше чем несертифицированные. Но я к этому утверждению отношусь с некоторым скепсисом. Эта зависимость может работать и в другую сторону: лучше зарабатывающие бизнес-аналитики не прочь потратить деньги на сертификацию.

На каком этапе карьеры аналитика Вы бы рекомендовали задумываться о сертификации, если, конечно, рекомендуете?

Для серьезных сертификаций, например, CBAP/CCBA от IIBA или PMI-PBA от PMI, требуется наличие опыта работы. Поэтому я рекомендовал смотреть в сторону сертификаций, как только вы наработаете опыт и решите его структурировать. Другими словами, 2 года опыта и можно начинать смотреть в сторону сертификаций. 

Какие способы подготовки к экзаменам Вы могли бы порекомендовать?

Если тезисно:

• прочитать свод знаний от организации, сертификат которой хотите получить, несколько раз;

• применять теорию на практике;

• трнироваться отвечать на вопросы, похожие на экзаменационные (лучше выбирать проверенных временем провайдеров баз вопросов);

• пройти обучение на курсах (проверьте, что они построены на нужном вам своде знаний, тренер тоже сертифицирован, а выпускники – успешно сертифицируются);

• почитать, что рекомендуют коллеги, уже прошедшие сертификацию.

Дарья Таткова, преподаватель курса “Системный аналитик”, системный аналитик в сфере финтех. В настоящий момент — главный аналитик в СБЕРе.

Рекомендуете ли Вы аналитикам сертифицироваться и почему?

Сертификация системных аналитиков не так распространена, как сертификация других IT-специалистов (например, программистов). К счастью, в последние годы стали появляться квалификационные институты, подтверждающие навыки и в сфере аналитики. И это безусловный плюс, потому что в первую очередь среди специалистов увеличивается общая грамотность, что позволяет структурировать знания и требования к работе.

Сертифицироваться нужно не столько ради самой корочки, сколько ради обучения. Вдумчивая подготовка к экзаменам позволяет заполнить существующие пробелы в собственных знаниях, дает возможность почувствовать себя увереннее и в целом расширяет профессиональный кругозор.

На каком этапе карьеры аналитика Вы бы рекомендовали задумываться о сертификации, если, конечно, рекомендуете?

К выбору сертификата я бы подходила после нескольких лет опыта по направлению –– будучи не ниже middle-специалиста. В начале работы, когда нет четкого понимая вектора движения карьеры, сделать правильный выбор сертификата сложно.

Какие способы подготовки к экзаменам Вы могли бы порекомендовать?

Многие предпочитают экономить на прохождении сертификации, занимаясь самостоятельно. Однако профессиональное обучение, помимо самих знаний, дает такие бонусы, как возможность обмена опыта и нетворкинг. Намного лучше совмещать самоподготовку с обучением в команде (онлайн или оффлайн).

Денис Бесков, руководитель компании по подготовке системных аналитиков, поделился своим мнением по этому вопросу в презентации по этой ссылке.

Спасибо всем, кто согласился ответить на вопросы!

P.S.: Сори, что пришлось порезать ссылки на ваши курсы. Хабр счел это за рекламу.

Но если сертификаты не нужны, кто вообще их получает?

Итак, мы пришли к выводу, что сертификаты не слишком востребованы у работодателей, и сами аналитики это понимают. Остается вариант, что подготовка к сертификации – это путь к более полным и системным знаниям. И когда этот путь пройден, то почему бы и не получить заслуженный сертификат?

Но экзамены – дело не дешевое. Готовы ли аналитики сами оплачивать экзамены?

Из ответивших на опрос аналитиков сертификаты оказались всего у 4 респондентов, у 3 из них – сертификаты IIBA.

Интересно, что здесь заявленная готовность платить за сертификацию самостоятельно не подтвердилась. Но, думаю, это можно списать на недостаточность выборки.

Образование nebosh, его статус в мире

Национальный Экзаменационный Совет по Охране Труда Великобритании «NEBOSH» с 1979 года занимается аккредитацией образовательных организаций в области ОТ, ПБ и ООС в 120 странах. Сам NEBOSH не проводит курсы, а лишь контролирует экзаменационный процесс: экзаменаторы из Великобритании проверяют работы студентов, независимо от страны обучения, поэтому все сертификаты международного образца без указания образовательной компании и языка, на котором осваивалось направление.

Курсы NEBOSH составляются на основе международных законодательств и практик в охране труда, поэтому сертификаты высоко котируются иностранными компаниями в РФ и за рубежом, являясь самым престижным образованием по ОТ в мире.

На сегодняшний день организация NEBOSH разработала более 30 направлений обучения, куда входят сертификаты национального и международного образца, дипломы, награды и премии в области пожарной и экологической безопасности, управлении рисками, нефтегазовой отрасли и строительстве. Среди действующих курсов есть следующие:

• Сертификат в области экологического менеджмента;
• Сертификат пожарной безопасности и управления рисками;
• Международный сертификат нефти и газа;
• Международный диплом для специалистов по охране труда и технике безопасности;
• Национальный диплом для специалистов по ОТ и ТБ;
• Национальный экологический диплом.

Преимущества сертификата

Несмотря на то, что NEBOSH-сертификат еще не получил в России столь престижного статуса, как за рубежом, обладатели этого образования в РФ выделяют следующие преимущества:

• структуризация накопленных в процессе работы и полученных в ходе обучения знаний;
• возможность изучение европейских и мировых стандартов в области ОТ, способствующее росту профессионализма;
• международные компании в России и за границей высоко ценят наличие такого сертификата у специалиста, поэтому у СОТ появляется доступ к высоким позициям и зарплате, в некоторых странах дипломы и сертификаты NEBOSH являются обязательными, например, на Ближнем Востоке;
• обладатели сертификата могут претендовать на членство в Институте Охраны Труда и Здоровья Великобритании.

«Я получал образование NEBOSH не с целью переезда работать за рубеж, а для саморазвития. Экзаменационные задания и подготовка к ним помогают всю накопленную и изученную теорию научиться применять на практике. Коллегам из сферы ОТ и смежных областей я советую пройти данные курсы, потому что они, несомненно, повысят культуру охраны труда в стране. Есть люди, 10 лет работающие в охране труда, но не знающие и 10% из курса NEBOSH, такая тенденция не может не беспокоить.»

Структурные подразделения ипк

• Морской тренажёрный центр (МТЦ);
• Береговой учебно-тренажёрный центр (БУТЦ);
• Центр дополнительного профессионального образования водителей наземных транспортных средств (ЦДПО ВНТС);
• Лаборатория дистанционных образовательных технологий и электронного обучения.

Итоги

В данной статье мы разобрались как работает протокол TLS и для чего он нужен. На практике научились создавать собственные сертификаты и использовать их в Java приложении на Spring Boot. Надеюсь, представленная информация оказалась Вам полезной. Спасибо за внимание!