ИТ-менеджеру порой сложно понять, какие из них он должен потребовать от претендента и, более того, какие сертификаты было бы неплохо получить самому

Учитывая, сколько сейчас существует сертификатов для специалистов по информационной безопасности, ИТ-менеджеру порой сложно понять, какие из них он должен потребовать от претендента и, более того, какие сертификаты было бы неплохо получить самому. Чтобы найти ответы эти вопросы, давайте сначала выясним, что необходимо для получения сертификатов и что именно они предлагают.

Во-первых, хотелось бы узнать, есть ли вообще какой-то смысл в сертификатах? Кое-кто считает, что сертификаты стоят чуть дороже той бумаги, на которой они напечатаны. Тем не менее многие компании начинают все чаще требовать сертификаты по защите либо еще до, либо сразу после того, как специалист принят на работу, считая их документальным подтверждением квалификации сотрудника.

Так, например, по словам Дерина Вессома, специалиста по архитектурам компании Spectrum Health, в его компании требуют, чтобы кандидат на любую должность, связанную с защитой ИТ-инфраструктур, либо имел, либо в течение полугода получил сертификат GIAC Security Essentials Certification (GSEC), выдаваемый Global Information Assurance Certification.

Во-вторых, процедура сертификации должна предусматривать проверку навыков специалиста и удостоверять, что его знания выходят за рамки «книжного образования». Мне нетрудно изложить материал, который я недавно изучал, но это вовсе не означает, что я смогу применить эти знания на практике, при работе со сложными сетями.

И в-третьих, сертификация по вопросам защиты не должна зависеть от производителя. Хотя сертификаты лидеров рынка, таких как Cisco Systems и Microsoft, весьма полезны при работе в специализированной среде, профессионалы в области защиты должны иметь возможность продемонстрировать самые разные навыки и понимание того, что необходимо для обеспечения защиты гетерогенной сети, состоящей из продуктов различных производителей.

Исходя из этих трех критериев, попытаемся оценить три сертификационные программы: CompTIA Security+, International Information Systems Security (ISCy) Certified Information Systems Security Professional (CISSP) и вышеупомянутую GIAC GSEC.

CompTIA Security+

Security+ задуман как сертификат по защите первого уровня для специалистов, имеющих, как минимум, двухгодичный опыт работы с сетями. Этот тест состоит из теоретического экзамена, во время которого необходимо за 90 минут ответить на 100 вопросов. В дальнейшем обновлять сертификат или подтверждать повышение квалификации не нужно.

Джулия Баумер считает, что сертификат Security+ имеет смысл требовать от всех ИТ-специалистов. С ее точки зрения, он свидетельствует о том, что человек разбирается в концепциях защиты

Джулия Баумер, главный системный администратор одной из американских компаний, считает, что сертификат Security+ имеет смысл требовать от всех ИТ-специалистов. Сама она имеет сертификаты CISSP, Security+ и несколько сертификатов GIAC.

«Я считаю, что Security+ в большей степени нужен системным и сетевым администраторам, а не специалистам по защите. С моей точки зрения, он свидетельствует о том, что человек разбирается в концепциях защиты, а это необходимо для того, чтобы быть хорошим администратором», — сказала она.

ISCy CISSP

CISSP — это самый известный из сертификатов по информационной безопасности. Претенденты должны подтвердить, что у них есть либо четырехлетний опыт работы в сфере защиты информации, либо трехлетний опыт и диплом колледжа. Для получения этого сертификата необходимо за шесть часов успешно ответить на 250 вопросов.

Чтобы сохранить сертификат, обладатель CISSP должен каждые три года подтверждать, что он обучался на курсах повышения квалификации длительностью не менее 120 часов, или же еще раз сдавать экзамен.

Экзамен на получение CISSP охватывает три основные области информационной безопасности, причем особое внимание уделяется вопросам верхнего уровня защиты, в силу чего этот сертификат в первую очередь предназначен для ИТ-менеджеров и консультантов по информационной безопасности. Сертификат свидетельствует о том, что его обладатель имеет представление о защите с точки зрения руководства, а требование о повышении квалификации свидетельствует о том, что человек постоянно совершенствует свои знания.

Широкая популярность CISSP также дает его обладателю определенные преимущества на рынке труда.

«Я сохраняю сертификат CISSP с 1998 года и знаю, что он играет определяющую роль в моей карьере при работе как на военных, так и на правительство. Благодаря ему мне доверяют», — отметил Роберт Эшворс, консультант по вопросам защиты.

GIAC GSEC

Сертификация GSEC охватывает тот же материал, что и CISSP, но в нем большее внимание уделяется техническим деталям. Чтобы получить сертификат, претенденты должны написать научную работу (ее называют практическим заданием) по выбранной ими теме, связанной с защитой, и успешно сдать два экзамена (на которых разрешается пользоваться справочной литературой) по 100 вопросов в каждом. Претенденты также должны сдать один интерактивный экзамен, который длится три часа. Сертификат необходимо обновлять каждые два года, сдавая для этого экзамен, включающий в себя 90 вопросов.

Сертификация GSEC не столь известна, как первые две, но постепенно завоевывает популярность, и наличие такого сертификата все чаще требуют при приеме на работу. Помимо десяти тем по защите, знание которых требует CISSP, GSEC проверяет специальные знания сетевых основ, таких как TCP/IP, и многих других специальных технологий. Эти дополнительные аспекты учебного плана имеют важное значение для любого специалиста по защите, занимающегося практической работой. Менеджеры, отвечающие за прием на работу, также могут поинтересоваться результатами практической работы и тестов на GSEC-претендента, которые можно найти на сайте GIAC, что, как правило, и делает Вессом перед интервью.

В целом любой из этих известных сертификатов может помочь претенденту продемонстрировать навыки работы в сфере защиты, а также разнообразные знания и опыт. Однако отсутствие требований подтверждения сертификата для Security+ по истечении нескольких лет снижает его полезность, а ценность CISSP существенно зависит от качества обучения в рамках повышения квалификации, чего требует данный сертификат.


Сертификация в деталях

Учитывая, сколько сейчас существует сертификатов для специалистов по информационной безопасности, ИТ-менеджеру порой сложно понять, какие из них он должен потребовать от претендента, и какие было бы неплохо получить самому.(см.Таблицу)