Специалисты считают, что аккредитация Международной организации по стандартизации (ISO) должна придать вес сертификату CISSP
Международная организация по стандартизации (ISO) официально одобрила программу сертификации на получение звания CISSP (Certified Information Systems Security Professional). Как показали результаты проведенного Computerworld мини-опроса, специалисты по информационной безопасности в основном положительно расценивают это событие.
Проблема защиты корпоративных информационных систем в последнее время становится все острее. В этих условиях, по мнению многих участников опроса, придание процессу получения сертификата CISSP и самому сертификату аккредитации ISO может сыграть положительную роль. Сегодня наличие в компаниях квалифицированных специалистов по информационной безопасности является уже практически обязательным требованием. Сертификат CISSP, признанный ISO, может стать своего рода гарантом квалификации сотрудников, отвечающих за защиту информационных ресурсов предприятия.
В Американском национальном институте стандартизации (ANSI), который представляет США в женевской штаб-квартире ISO, нам сказали, что CISSP является первым ИТ-сертификатом, прошедшим проверку на соответствие международной системе тестов для специалистов разных профессий ISO/IEC 17024.
«Все это, несомненно, должно придать дополнительный вес CISSP», — заявил Кристофер Хофф, возглавляющий в Western Corporate Federal Credit Union подразделение Enterprise Security Services. По его словам, несмотря на то что сертификат CISSP уже давно и довольно широко применяется для оценки профессионального уровня специалистов по ИТ-безопасности, в некоторых кругах он все же считался слабо удовлетворяющим самому понятию сертификации.
По мнению Эндрю Плато, президента консалтинговой компании Anitian, которая специализируется в области систем безопасности, на самом деле большинство программ сертификации ИТ-специалистов часто подвергаются критике из-за нечеткости их критериев и сомнений в адекватности оценки реального уровня квалификации специалистов.
«Позитивный шаг»
Набор тестов CISSP разработан объединением International Information Systems Security Certification Consortium, известным также под именем (ISC)2. Хотя CISSP является всего лишь одним из нескольких похожих сертификатов, он считается самым распространенным. По информации (ISC)2, эту сертификацию уже прошли свыше 27 тыс. специалистов, занимающихся вопросами безопасности.
«Одобрение CISSP со стороны ISO должно уменьшить сомнения в правильности ориентации на эту программу сертификации со стороны ИТ-менеджеров», — считает Ким Милфорд, менеджер по информационной безопасности университета штата Висконсин.
«При найме сотрудников ранее нам приходилось сталкиваться с трудностями, так как нужно было сравнивать между собой уровни разных сертификатов, — заявила Милфорд. — Теперь же университет будет требовать, чтобы профессионалы в области безопасности, рассчитывающие на ведущие позиции в наших структурах, имели сертификаты CISSP».
По словам Дэвида Стэйси, директора по ИТ-безопасности компании St. Jude Medical, специализирующейся на производстве кардиологического оборудования, в его компании уже требуют наличия сертификатов CISSP у всех, кто занимает или претендует на ту или иную должность в службе информационной безопасности. Стэйси также считает, что официальное одобрение ISO программы сертификации CISSP является позитивным шагом, в особенности с учетом того, что важность ИТ-безопасности для компаний самых разных отраслей постоянно растет.
«ИТ-безопасность теперь является необходимой составляющей бизнеса, а руководящие специалисты в этой области должны быть не просто готовы к решению стоящих перед ними задач, но и понимать свою роль в бизнес-процессах предприятия, — пояснил он. — CISSP является удобным способом оценки потенциала кандидатур на подобные должности».
В ANSI, впрочем, отмечают, что и другие организации, разработавшие свои методики сертификации в области ИТ-безопасности, также обращаются в ISO для получения одобрения.
«Налицо рост спроса на независимый аудит подобных сертификатов, поскольку и коммерческие компании, и госучреждения заинтересованы в том, чтобы люди, имеющие подобные сертификаты, обладали достаточным уровнем знаний», — подчеркнул директор по программам ANSI Рой Свифт.
Профессионалы безопасности
Первый в России экзамен по сертификации отечественных специалистов в области безопасности информационных систем по программе тестов CISSP состоялся 21 июня 2003 года. Проводился он в учебном центре компании «Микроинформ». Произошло это событие вскоре после подписания соглашения между консорциумом (ISC)2 и «Микроинформом», согласно которому компания «Микроинформ» получила право на организацию экзамена по сертификации CISSP. Ранее сертификат можно было получить только за рубежом, и до 2003 года в нашей стране его имели лишь два человека. Один из них работал в НИП «Информзащита», другой — в представительстве компании Ernst & Young.
По соглашению с (ISC)2 компании «Микроинформ» было предоставлено право также и на проведение подготовительных пятидневных семинаров для специалистов, желающих пройти сертификационный экзамен. Такой семинар в первый раз состоялся в апреле 2004 года. Всего в сдаче экзамена по программе тестов CISSP в «Микроинформе» приняли участие 32 соискателя, из них 70% успешно его сдали. Таким образом, в России сегодня более 20 человек подтвердили свою квалификацию сертификатом CISSP. Это сотрудники компаний «Крок», «Информзащита», «Техносерв А/C», «Инфосистемы Джет», Ernst & Young и ряда других.
Очередной сертификационный экзамен состоится в конце сентября. Стоимость экзамена едина по всему миру. Она составляет 599 долл.; за пятидневный подготовительный курс придется заплатить 2495 долл.
Претендент на сертификацию должен иметь опыт работы не менее четырех лет в качестве специалиста по информационной защите (или не менее трех лет и степень бакалавра). При получении сертификата такой специалист подписывает кодекс этики (ISC)2. Сертификат действителен в течение трех лет. По истечении этого срока необходимо вновь пройти процедуру сертификации. Однако, если в течение этих лет специалист периодически повышает свою квалификацию на курсах по соответствующей тематике и набрал в ходе обучения определенное число баллов, сертификат может быть продлен автоматически еще на три года.
Во всем мире ежегодно экзамен на получение сертификата CISSP сдают порядка 15 тыс. человек, количество же отечественных специалистов, сертифицированных в этой области, ничтожно мало. Национальная особенность состоит в том, что в России это представители ИТ-компаний, а не сотрудники предприятий-клиентов.
В нашей стране само понятие «информационная безопасность» недостаточно развито. Пожалуй, причина в том, что многие годы в России занимались обеспечением секретности, которая далеко не тождественна информационной безопасности. Кроме того, в сфере, связанной с информационной безопасностью, работает немало людей из бывших первых отделов предприятий или из «компетентных органов» — как раз тех, в ведении которых были вопросы секретности. И они по-прежнему в своей работе придерживаются привычных доселе подходов. Вместе с тем порой высказывается мнение, что у России свой, особый путь и программа сертификации CISSP для нашей страны подходит не вполне.
Как бы то ни было, интерес к сертификации имеется. Движение по пути интеграции в мировую ИT-индустрию началось и в данном вопросе, хотя и очень медленное. Возможно, факт признания программы CISSP международной организацией по стандартизации положительно скажется на распространении этого стандарта в нашей стране.
Елена Шашенкова
Что востребовано на рынке
Самые «доходные» ИТ-сертификаты в первом квартале 2004 года
Сертификат | Средняя приба-вка к зарплате |
Project Management Professional | 16% |
Certified Information Systems Security Professional | 13% |
Certified Information Systems Auditor | 12% |
Cisco Certified Internetwork Expert | 12% |
Citrix Certified Enterprise Administrator | 11% |
Global Information Assurance Certification Security Expert | 11% |
Microsoft Certified Database Administrator | 11% |
Microsoft Certified Solution Developer | 11% |
Novell Master Certified Network Engineer | 11% |
Oracle Certified Professional | 11% |
По мнению аналитиков, востребованность сертификатов в ближайшее время претерпит изменения
Сертификаты, теряющие значимость | Области знаний, пользующиеся растущим спросом |
GIAC Certified Firewall Analyst | Безопасность ИТ-инфраструктур |
GIAC Certified Incident Handler | Решения на основе Linux |
Siebel Certified Consultant | XML и Web-службы |
Sun Certified Java Programmer | VoIP |
Microsoft Certified Systems Engineer + Internet | Управление корпоративными проектами |
Microsoft Certified Professional + Internet | Web-аналитика, применение управляющего ПО |
Источник: Foote Partners, июнь 2004