Поделиться
Информационная безопасность: как набить себе цену?
По мнению аналитиков, американские специалисты по защите информации, владеющие сертификатами CISA и CISSP, получают более высокую зарплату, чем другие сертифицированные ИБ-сотрудники. У российских специалистов также есть шанс увеличить свои доходы, вовремя получив нужный сертификат.Программы сертификации специалистов по защите информации CISA и CISSP становятся популярны в России. Сейчас защита информации воспринимается как бизнес процесс, то есть процесс, непосредственно влияющий на эффективность бизнеса. И этот процесс требует планирования и управления. Возникает потребность в специалистах, которые способны организовать все по-новому, и сертификат CISSP – признак того, что человек сможет сделать эту работу. Кроме того, возникает потребность в специалистах, способных авторитетно подтвердить потенциальным партнерам, инвесторам, что данный процесс организован на современном уровне – сертификат CISA может подтвердить эту квалификацию.
Востребованность сертификатов CISA и CISSP на глобальном рынке подтверждается одним интересным фактом: согласно опросам организации SANS за 2005 год, специалисты, обладающие именно этими сертификатами, в среднем получают максимальную по отрасли зарплату.
Средняя зарплата сертифицированных ИБ-специалистов
| Сертификат | Среднегодовая зарплата в США, $ |
| ISACA (CISM, CISA) | |
| (ISC)2 (CISSP, SSCP) | |
| GIAC (GSEC, GSWIN, и др.) | |
| Vendor (Microsoft, Cisco) | |
| CompTIA (Security+, и др.) |
| Тренинг по теме "Защита корпоративной информации." |
Источник: SANS
Выходит, что в США специалисты, владеющие сертификатами CISA и CISSP, ценятся достаточно высоко. В России же эти сертификаты известны мало, но интерес к ним постепенно растет. Имеет смысл более подробно познакомиться с этими перспективными программами.
Как получить CISA и CISSP?
Программы сертификации CISA и CISSP направлены на сертификацию специалистов в области управления информационной безопасностью, но имеют несколько разный фокус внимания. Программа CISA (Certified Information Security Auditor) является одной из старейших и была принята в 1978 году. Она разработана и развивается организацией ISACA (Information System Audit and Control Association). Как ясно из названия, программа направлена на сертификацию аудиторов безопасности информационных систем. Напомним, что в задачу аудитора входит проверка соответствия политик безопасности компании требованиям законодательства, стандартам в области управления безопасностью и продекларированным бизнес-целям.
Для получения сертификата CISA необходимо успешно пройти тестирование, в ходе которого проверяется наличие у кандидата знаний, необходимых аудитору. Они включают в себя знание методов организации аудита защищенности информационной системы предприятия, знание требований, на соответствие которым производится проверка, и знание документов, разрабатываемых на основе результатов аудита. Кроме того, кандидат должен иметь опыт работы в области аудита не менее 5 лет.
После получения сертификата CISA его необходимо поддерживать в актуальном состоянии. Для этого следует соблюдать профессиональную этику, придерживаться стандартов при проведении аудита и постоянно обновлять свои профессиональные знания. Сертифицированный специалист является в некотором роде членом виртуального клуба профессионалов, из которого он может быть исключен при несоблюдении правил поведения или если он не качественно делает свою работу.
Сертификацию специалистов, которые разрабатывают политики безопасности и архитектуру защиты информационной системы, предлагает консорциум (ISC)2 - International Information Systems Security Certification Consortium. В его задачи входит поддержка системы знаний, необходимых профессионалу в области защиты информации, формулирование требований для сертификации и ее проведение. Консорциум предлагает несколько программ, и самая популярная из них - CISSP (Certified Information Systems Security Professional).
 | Учебный курс по теме: Защита корпоративной информации (27.02-03.03.2006, Москва) |
Процедура сертификации специалиста по программе CISSP очень похожа на сертификацию по CISA. Кандидат должен иметь не менее 4 лет профессионального опыта, успешно пройти тестирование знаний и предоставить рекомендацию другого специалиста в области защиты информации. Для успешной сдачи теста кандидат должен уметь разрабатывать политики безопасности предприятия, разбираться в технических средствах и организационных мерах по защите информации, знать принципы организации разработки приложений и систем с учетом требований безопасности. После получения сертификат CISSP так же необходимо поддерживать в актуальном состоянии. Для специалистов, уже имеющих сертификат CISSP, консорциум (ISC)2 предлагает углубленные программы сертификации.
Сертификаты – взгляд со стороны профессионалов
Итак, программа сертификации CISA позиционируется как сертификация аудиторов, а CISSP – разработчиков систем защиты информации. В профессиональной среде они именно так и воспринимаются, что частично подтверждается результатами опроса SANS. Достаточно взглянуть, как сами специалисты оценивают уровень необходимых знаний для получения тех или иных сертификатов.
Знания, подтверждаемые сертификатом
| Сертификат | Процент ответивших, что сертификат подтверждает знания в области | ||
| Настройка оборудования, % | Политики безопасности, % | Управление безопасностью, % | |
| (ISC)2 (CISSP, SSCP) | |||
| ISACA (CISM, CISA) | |||
| GIAC (GSEC, GSWIN, и др. ) | |||
| Vendor (Microsoft, Cisco) | |||
Сертификаты (ISC)2 воспринимаются как более «технические», «политические» и «управленческие», чем сертификации ISACA. Другой важный результат опроса - это восприятие сертификатов (ISC)2 и ISACA как сертификатов, не оценивающих знания специалистов в области настройки конкретного оборудования. Действительно, даже относительно более «технические» программы (ISC)2 проигрывают сертификациям GIAC и различных вендоров в оценке знания конкретного оборудования. Но в этом нет ничего удивительного. И программы CISA и программы (ISC)2 требуют знания не конкретных реализаций или способов настройки конкретного оборудования, а знания свойств различных технологий с точки зрения защиты информации, взаимной зависимости различных методов и средств обеспечения безопасности. При этом предполагается, что настройкой оборудования по созданным этими специалистами спецификациям должны заниматься уже другие сотрудники.
CISA и CISSP: конкуренция или дополнение?
Несмотря на такую разницу в позиционировании программ CISA и CISSP, между ними есть существенные пересечения. В идеале, аудит должен подтвердить соответствие системы поставленным задачам, возможно, с необходимостью внесения небольших изменений. В результате защищенность системы считается официально подтвержденной. Понятие «небольшие изменения» очень расплывчато, и зачастую процедура аудита системы плавно перетекает в процесс разработки соответствующих политик. Если целью организации аудита является только получение официальных бумаг, то специалист, занимающийся аудитом, вполне может сделать эту работу.
С другой стороны, специалист, занимающийся разработкой политик безопасности, должен знать, какие требования будут предъявляться к ним в процессе аудита. Более того, бывают ситуации, когда компании не требуется внешнего, независимого подтверждения соответствия каким-либо требованиям. В этом случае разработчик системы должен доказать руководству предприятия, что система удовлетворяет заданным требованиям в области безопасности, провести внутренний аудит. И поскольку такое пересечение существует, многие специалисты получают оба этих сертификата, считая, что знания в двух областях взаимно дополняются и помогают друг другу.
Проблемы правильного выбора и поддержки сертификатов по информационной безопасности будут обсуждаться на учебном курсе "Защита корпоративной информации".
Короткая ссылка
