Начало
Обучение
Методология
Литература
Аналитика
Контакты







Новости

09.06.2017. Сотрудники Apple уличены в краже персональных данных пользователей

Подозреваемые использовали внутреннюю сеть компании для кражи персональных данных клиентов. >>


09.06.2017. Apple запретила в App Store приложения для торговли бинарными опционами

Apple обновила правила размещения приложений в App Store, запретив публикацию в онлайн-каталоге сервисов для торговли бинарными опционами... >>


09.06.2017. Серия уязвимостей, позволяющих получить контроль над IP-камерами производства Foscam

Исследователи безопасности из компании F-Secure выявили 18 уязвимостей в IP-камерах, выпускаемых компанией Foscam под разными брендами... >>


10.03.2017. Игра «Синий кит» привлекла в «группы смерти» 35 тыс. украинских подростков

 >>


20.02.2017. Заработавший $1 млн на рассылке спама мошенник получил 4 года тюрьмы

 >>


26.12.2016. Мошенники используют скиммеры в виде банкомата

 >>



Архив: 2013 2014 2015 2016 2017.
В начало библиотеки

Информационная безопасность: как набить себе цену?

По мнению аналитиков, американские специалисты по защите информации, владеющие сертификатами CISA и CISSP, получают более высокую зарплату, чем другие сертифицированные ИБ-сотрудники. У российских специалистов также есть шанс увеличить свои доходы, вовремя получив нужный сертификат.

Программы сертификации специалистов по защите информации CISA и CISSP становятся популярны в России. Сейчас защита информации воспринимается как бизнес процесс, то есть процесс, непосредственно влияющий на эффективность бизнеса. И этот процесс требует планирования и управления. Возникает потребность в специалистах, которые способны организовать все по-новому, и сертификат CISSP – признак того, что человек сможет сделать эту работу. Кроме того, возникает потребность в специалистах, способных авторитетно подтвердить потенциальным партнерам, инвесторам, что данный процесс организован на современном уровне – сертификат CISA может подтвердить эту квалификацию.

Востребованность сертификатов CISA и CISSP на глобальном рынке подтверждается одним интересным фактом: согласно опросам организации SANS за 2005 год, специалисты, обладающие именно этими сертификатами, в среднем получают максимальную по отрасли зарплату.

Средняя зарплата сертифицированных ИБ-специалистов

Сертификат Среднегодовая зарплата в США, $
ISACA (CISM, CISA)
98 571
(ISC)2 (CISSP, SSCP)
95 155
GIAC (GSEC, GSWIN, и др.)
80 093
Vendor (Microsoft, Cisco)
79 430
CompTIA (Security+, и др.)
68 036

Источник: SANS

Выходит, что в США специалисты, владеющие сертификатами CISA и CISSP, ценятся достаточно высоко. В России же эти сертификаты известны мало, но интерес к ним постепенно растет. Имеет смысл более подробно познакомиться с этими перспективными программами.

Как получить CISA и CISSP?

Программы сертификации CISA и CISSP направлены на сертификацию специалистов в области управления информационной безопасностью, но имеют несколько разный фокус внимания. Программа CISA (Certified Information Security Auditor) является одной из старейших и была принята в 1978 году. Она разработана и развивается организацией ISACA (Information System Audit and Control Association). Как ясно из названия, программа направлена на сертификацию аудиторов безопасности информационных систем. Напомним, что в задачу аудитора входит проверка соответствия политик безопасности компании требованиям законодательства, стандартам в области управления безопасностью и продекларированным бизнес-целям.

Для получения сертификата CISA необходимо успешно пройти тестирование, в ходе которого проверяется наличие у кандидата знаний, необходимых аудитору. Они включают в себя знание методов организации аудита защищенности информационной системы предприятия, знание требований, на соответствие которым производится проверка, и знание документов, разрабатываемых на основе результатов аудита. Кроме того, кандидат должен иметь опыт работы в области аудита не менее 5 лет.

После получения сертификата CISA его необходимо поддерживать в актуальном состоянии. Для этого следует соблюдать профессиональную этику, придерживаться стандартов при проведении аудита и постоянно обновлять свои профессиональные знания. Сертифицированный специалист является в некотором роде членом виртуального клуба профессионалов, из которого он может быть исключен при несоблюдении правил поведения или если он не качественно делает свою работу.

Сертификацию специалистов, которые разрабатывают политики безопасности и архитектуру защиты информационной системы, предлагает консорциум (ISC)2 — International Information Systems Security Certification Consortium. В его задачи входит поддержка системы знаний, необходимых профессионалу в области защиты информации, формулирование требований для сертификации и ее проведение. Консорциум предлагает несколько программ, и самая популярная из них — CISSP (Certified Information Systems Security Professional).

Процедура сертификации специалиста по программе CISSP очень похожа на сертификацию по CISA. Кандидат должен иметь не менее 4 лет профессионального опыта, успешно пройти тестирование знаний и предоставить рекомендацию другого специалиста в области защиты информации. Для успешной сдачи теста кандидат должен уметь разрабатывать политики безопасности предприятия, разбираться в технических средствах и организационных мерах по защите информации, знать принципы организации разработки приложений и систем с учетом требований безопасности. После получения сертификат CISSP так же необходимо поддерживать в актуальном состоянии. Для специалистов, уже имеющих сертификат CISSP, консорциум (ISC)2 предлагает углубленные программы сертификации.

Сертификаты – взгляд со стороны профессионалов

Итак, программа сертификации CISA позиционируется как сертификация аудиторов, а CISSP – разработчиков систем защиты информации. В профессиональной среде они именно так и воспринимаются, что частично подтверждается результатами опроса SANS. Достаточно взглянуть, как сами специалисты оценивают уровень необходимых знаний для получения тех или иных сертификатов.

Знания, подтверждаемые сертификатом

Сертификат Процент ответивших, что сертификат подтверждает знания в области
Настройка оборудования, % Политики безопасности, % Управление безопасностью, %
(ISC)2 (CISSP, SSCP)
35,2
59,2
54,1
ISACA (CISM, CISA)
10,4
31,3
31,9
GIAC (GSEC, GSWIN, и др. )
64,3
40,6
29,1
Vendor (Microsoft, Cisco)
59,9
8,9
9,5

Источник: SANS

Сертификаты (ISC)2 воспринимаются как более «технические», «политические» и «управленческие», чем сертификации ISACA. Другой важный результат опроса — это восприятие сертификатов (ISC)2 и ISACA как сертификатов, не оценивающих знания специалистов в области настройки конкретного оборудования. Действительно, даже относительно более «технические» программы (ISC)2 проигрывают сертификациям GIAC и различных вендоров в оценке знания конкретного оборудования. Но в этом нет ничего удивительного. И программы CISA и программы (ISC)2 требуют знания не конкретных реализаций или способов настройки конкретного оборудования, а знания свойств различных технологий с точки зрения защиты информации, взаимной зависимости различных методов и средств обеспечения безопасности. При этом предполагается, что настройкой оборудования по созданным этими специалистами спецификациям должны заниматься уже другие сотрудники.

CISA и CISSP: конкуренция или дополнение?

Несмотря на такую разницу в позиционировании программ CISA и CISSP, между ними есть существенные пересечения. В идеале, аудит должен подтвердить соответствие системы поставленным задачам, возможно, с необходимостью внесения небольших изменений. В результате защищенность системы считается официально подтвержденной. Понятие «небольшие изменения» очень расплывчато, и зачастую процедура аудита системы плавно перетекает в процесс разработки соответствующих политик. Если целью организации аудита является только получение официальных бумаг, то специалист, занимающийся аудитом, вполне может сделать эту работу.

С другой стороны, специалист, занимающийся разработкой политик безопасности, должен знать, какие требования будут предъявляться к ним в процессе аудита. Более того, бывают ситуации, когда компании не требуется внешнего, независимого подтверждения соответствия каким-либо требованиям. В этом случае разработчик системы должен доказать руководству предприятия, что система удовлетворяет заданным требованиям в области безопасности, провести внутренний аудит. И поскольку такое пересечение существует, многие специалисты получают оба этих сертификата, считая, что знания в двух областях взаимно дополняются и помогают друг другу.

Геннадий Махметов

09.02.06

www.cnews.ru



В начало библиотеки

Начало · Обучение · Методология · Литература · Аналитика · Контакты
PageRank v