Управление информационной безопасностью в сертификации CISSP
Этим летом специалисты компании SafeJKA успешно прошли сертификацию по информационной безопасности CISSP, обновленный вариант 2018 года. Этот сертификат разработан международной некоммерческой организацией по тестированию и сертификации специалистов в области информационной безопасности (ИБ) (ISC)2. Мы хотим поделиться впечатлениями от процесса подготовки, сдачи экзамена, расскажем как экзамен CISSP влияет на практику специалиста по информационной безопасности. а также что нужно знать и как развиваться если ты решил стать инженером либо специалистом в сфере ИБ?
Что такое CISSP сертификация?
CISSP это экзамен проводимый независимыми тестирующими центрами. Экзамен сдается индивидуально. В течении 2-ух часов в отдельной комнате, один на один с компьютером, необходимо ответить более чем на 100 вопросов по информационной безопасности на английском языке. Все вопросы имеют 4 варианта ответа либо иллюстрации.
Вопросы выбираются из 8 тем :
- Управление информационной безопасностью и рисками (Security and Risk Management)
- Безопасность информационных активов (Asset Security)
Где описывается жизненный цикл данных, информации и типы контроля доступа. - Проектирование и разработка систем ИБ (Security Architecture and Engineering)
- Коммуникации и сетевая безопасность (Communication and Network Security)
- Управление доступом и идентификацией (Identity and Access Management)
- Оценка средств защиты и методы их тестирования (Security Assessment and Testing)
- Операции по обеспечению безопасности (Security Operations)
- Разработка надежного/защищенного ПО с точки зрения ИБ (Software Development Security)
Стоит добавить что аналогичные сертификации также предлагает организация ISACA (CISA/M), а также есть CEH, CompTIA и SANS/GSES от GIAC.
Для кого предназначена CISSP сертификация?
Сертификация рассчитана на действующих IT специалистов с опытом работы в ИБ. Сдать экзамен реально могут те кто имеет хороший опыт в одной из 3х выше перечисленных областей ИБ, а также те кто владеет английским на уровне IELTS 5/B2, так чтобы бегло читать материал. Можно попробовать подготовиться и с совсем небольшим опытом в ИБ, но тогда обьем материала который необходимо усвоить сильно возрастает, и по мере продвижения забывается то что было в начальных темах.
На наш взгляд материалы затронутые в этих темах полезны всем категориям ИБ специалистов: Инженерам систем ИБ, Директорам и администраторам по ИБ, аудиторам и другим. Например довольно интересно преподноситься идея о том, что с выше стоящим руководством по вопросам ИБ, необходимо разговаривать на языке «денег». А чтобы сформулировать предложения\выводы\последствия в денежном выражении необходимо хорошо разбираться в Оценке Рисков ИБ.
Ответ на вопрос, зачем нужен и где может пригодиться CISSP сертификат, может быть 3х видов:
- Узнать много нового, потренировать мозги а заодно повторить Английский;
- Повысить собственную квалификацию и уровень своего образования как сотрудника и следовательно компании в целом;
- Участвовать в международных проектах где присутствуют требования на обязательное наличие образования в области ИБ;
Как подготовиться к сдаче CISSP
Книги и материалы:
- David Miller, CISSP Certification Training, O’Reilly Media ( preview https://www.youtube.com/watch?v=-STavSyyVAU ) . Видео руководства, есть на торентах.
- Sybex CISSP 8th edition (40 usd). Хорошее и лаконичное изложение всех 8ми глав с тестовыми вопросами. Вопросы легкие но дают понять слабые места в понимании материала. Удивило наличие нескольких абзацев про роль Российских хакеров в изобретении APT (advanced persistent threat) а также упоминание компании Kaspersky в негативном свете.
- Conrad E., Misenar S., Feldman J. — CISSP Study Guide, 3rd Edition — 2015 Много детального материала. Читать надо все
Процесс само-тестирования:
- Sybex CISSP Practice Test book and Android app (40+9 usd) — Очень хорошие вопросы, необходимо дойти до уровня 70-75 % правильных ответов.
- Sybex Bonus Exams (5 * 150 questions) — Очень хорошо. Доступны на сайте вместе с покупкой книги от Sybex.
- cccure.education за 50 usd. Куча тестовых вопросов с уровнем сложности Начинающий, Профи, Гуру.
- Sunflower PDF — PDF подготовленый специалистами ИБ с основными терминами и аббревиатурами ИБ.
- Shon Harris CISSP Practice Exam 3rd edition. Средне.
- CISSP test apps available on a google play. тоже можно попробовать.
В результате самоподготовки , необходимо дойти до уровня 75-80% правильных ответов по всем источникам вопросов, чтобы наверняка сдать экзамен. Делов том что, если с первого раза не получается сдать, то вам необходимо ждать один месяц чтобы пересдать. Естественно в этот месяц необходимо продолжить подготовку чтобы элементарно не забыть то что уже знаешь. А это большая трата времени и сил. Так что лучше подготовиться для того чтобы сдать наверняка.
И так вы заказали экзамен в ближайшем городе, оплатили 500 USD и у вас есть месяц времени. Как его надо провести:
- Утром перед работой — на cccure.education, 1 тест в день на 150 вопросов уровня «Профи» с конспектированием ошибок.
- Вечером или в Обед, один короткий тест на 25 вопросов с конспектированием ошибок.
- Перед сном чтение своего конспекта где фиксируются ошибки и их разбор с помощью sunflower PDF, книг и интернета.
Далее будут наши комментарии к основным доменам CISSP.
Раздел «Управление информационной безопасностью и рисками»
В данной главе нас знакомят с тройкой CIA (Confidentiality , Integrity and Availability) — Конфиденциальность, Целостность и Доступность. Это три параметра\качества любого IT актива которые необходимо защищать от атак либо повреждений другого рода. Риск = Уязвимости * Угрозы. Угроза = вероятность события либо атаки * потери. Соответственно при разработке либо использовании определенного Актива инженерам необходимо четко понимать какие его элементы отвечают за Конфиденциальность, за Целостность или за Доступность и предвидеть типовые виды угроз по данным направлениям.
Для инженеров ИБ это одна из самых не-интересных, теоретических глав, но это только на первый взгляд. Подраздел «Программа информационный безопасности» (ПИБ) например показывает на каком «языке» необходимо разговаривать DevOps инженерам с заказчиками ИБ решений. Теперь мы знаем что реальная ПИБ должна состоять как минимум из таких разделов как :
- Политика ИБ
- Управление рисками
- Планирование на случай непредвиденных обстоятельств которое также включает план реакции на инциденты ИБ (Contingency Planning with incident response plan)
- Аудит ИБ
- Стратегическое планирование ИБ
Как стать специалистом по информационной безопасности?
Если вам хотелось бы расширить свои знания в сфере информационной безопасности, но вы не знаете с чего необходимо начать? Какое высшее образование существует по информационной безопасности (ИБ) ? Что лучше, выбрать данную специальность в ВУЗе и получить второе высшее или есть специализированные курсы по информационной безопасности?
Напомним, что Вся сфера информационной безопасности состоит из трех видов деятельности:
- Создание систем защиты.
- Эксплуатация систем защиты или обеспечение рутинного процесса защиты.
- Управление защитой на уровне Предприятия.
Чтобы ответить на эти вопросы лучше определиться, что вам нравиться делать: Создавать новое, испытывать на прочность уже созданное или стратегическое управление защитой на уровне Завода ? В зависимости от ответа вы выбираете между такими направлениями как Инженер, Аудитор (пен-тестер), Системный Администратор или руководитель политиками ИБ. И далее начинаете развиваться в этом в выбранном направлении. Если это Инженерное дело, то в ИБ это значит быть Архитектором или разработчиком систем информационной безопасности , следовательно достаточно закончить ВУЗ по любой специальности вокруг Информационных Технологий. Далее необходимо устроиться на работу программистом в профильные компании такие как Kaspersky либо там где ваши обязанности будут связанны с информационной безопасностью. По мере увеличения стажа, можно сдать экзамен CISSP. В некоторых компаниях можно поменять направление развития, и перейти с разработки в тестирование или с возрастом возглавить весь отдел ИБ. И не стоит забывать, что ваша деятельность должна быть связана с информационной безопасностью. Это необходимое условие которое обеспечит вам непрерывное увеличение опыта в информационной безопасности и постоянный прилив новых знаний.
Аудитор (пен-тестер, тесты на проникновение) владеет таким темами в ИБ :
1. Управление информационной безопасностью и рисками
2. Безопасность информационных активов
3. Проектирование и разработка систем ИБ
4. Коммуникации и сетевая безопасность
5. Управление доступом и идентификацией
6. Оценка средств защиты и методы их тестирования
7. Операции по обеспечению безопасности
Устраивайтесь на работу Системным Администратором, добейтесь того, чтобы так или иначе ваши обязаности были связанны с ИБ и через 5 лет вы будете свободно владеть минимум 2-мя из выше перечисленных тем. Это означает что вы уже сможете претендовать на сертификацию CISA \ CISSP.