Управление информационной безопасностью в сертификации CISSP

Этим летом специалисты компании SafeJKA успешно прошли сертификацию по информационной безопасности CISSP, обновленный вариант 2018 года. Этот сертификат разработан международной некоммерческой организацией по тестированию и сертификации специалистов в области информационной безопасности (ИБ) (ISC)2. Мы хотим поделиться впечатлениями от процесса подготовки, сдачи экзамена а также расскажем как CISSP влияет на практику специалистов по ИБ в дальнейшем.

Что такое CISSP сертификация?

CISSP это экзамен проводимый независимыми тестирующими центрами. Экзамен сдается индивидуально. В течении 2-ух часов в отдельной комнате, один на один с компьютером, необходимо ответить более чем на 100 вопросов по информационной безопасности на английском языке. Все вопросы имеют 4 варианта ответа либо иллюстрации.

Вопросы выбираются из 8 тем :

  1. Управление информационной безопасностью и рисками (Security and Risk Management)
  2. Безопасность информационных активов  (Asset Security)
    Где описывается жизненный цикл данных, информации и типы контроля доступа.
  3. Проектирование и разработка систем ИБ (Security Architecture and Engineering)
  4. Коммуникации и сетевая безопасность (Communication and Network Security)
  5. Управление доступом и идентификацией (Identity and Access Management)
  6. Оценка средств защиты и методы их тестирования (Security Assessment and Testing)
  7. Операции по обеспечению безопасности (Security Operations)
  8. Разработка надежного/защищенного ПО с точки зрения ИБ (Software Development Security)

Стоит добавить что аналогичные сертификации также предлагает организация ISACA (CISA/M), а также есть CEH, CompTIA и  SANS/GSES от GIAC.

Для кого предназначена CISSP сертификация?

Сертификация рассчитана на действующих IT специалистов с опытом работы в ИБ. Сдать экзамен реально могут те кто имеет хороший опыт в одной из 3х выше перечисленных областей ИБ, а также те кто владеет английским на уровне IELTS 5/B2, так чтобы бегло читать материал. Можно попробовать подготовиться и с совсем небольшим опытом в ИБ, но тогда обьем материала который необходимо усвоить сильно возрастает, и по мере продвижения забывается то что было в начальных темах.

На наш взгляд материалы затронутые в этих темах  полезны всем категориям ИБ специалистов: Инженерам систем ИБ, Директорам и администраторам по ИБ, аудиторам и другим. Например  довольно интересно преподноситься идея о том, что с выше стоящим руководством по вопросам ИБ, необходимо разговаривать на языке «денег». А чтобы сформулировать предложения\выводы\последствия в денежном выражении необходимо хорошо разбираться в Оценке Рисков ИБ.

Ответ на вопрос, зачем нужен и где может пригодиться CISSP сертификат, может быть 3х видов:

  • Узнать много нового, потренировать мозги а заодно повторить Английский;
  • Повысить собственную квалификацию и уровень своего образования как сотрудника и следовательно компании в целом;
  • Участвовать в международных проектах где присутствуют требования на обязательное наличие образования в области ИБ;

Как подготовиться к сдаче CISSP

Книги и материалы:

  1. David Miller, CISSP Certification Training, O’Reilly Media ( preview https://www.youtube.com/watch?v=-STavSyyVAU ) . Видео руководства, есть на торентах.
  2. Sybex CISSP 8th edition (40 usd). Хорошее и лаконичное изложение всех 8ми глав с тестовыми вопросами. Вопросы легкие но дают понять слабые места в понимании материала. Удивило наличие нескольких абзацев про роль Российских хакеров в изобретении APT (advanced persistent threat) а также упоминание компании Kaspersky в негативном свете.
  3. Conrad E., Misenar S., Feldman J. — CISSP Study Guide, 3rd Edition — 2015 Много детального материала. Читать надо все

Процесс само-тестирования:

  1. Sybex CISSP Practice Test book and Android app (40+9 usd) — Очень хорошие вопросы, необходимо дойти до уровня 70-75 %  правильных ответов.
  2. Sybex Bonus Exams (5 * 150 questions) — Очень хорошо. Доступны на сайте вместе с покупкой книги от Sybex.
  3. cccure.education за 50 usd. Куча тестовых вопросов с уровнем сложности Начинающий, Профи, Гуру.
  4. Sunflower PDF — PDF подготовленый специалистами ИБ с основными терминами и аббревиатурами ИБ.
  5. Shon Harris CISSP Practice Exam 3rd edition. Средне.
  6. CISSP test apps available on a google play. тоже можно попробовать.

В результате самоподготовки , необходимо дойти до уровня 75-80% правильных ответов по всем источникам вопросов, чтобы наверняка сдать экзамен. Делов том что, если с первого раза не получается сдать, то вам необходимо ждать один месяц чтобы пересдать. Естественно в этот месяц необходимо продолжить подготовку чтобы элементарно не забыть то что уже знаешь. А это большая трата времени и сил. Так что лучше подготовиться для того чтобы сдать наверняка.

И так вы заказали экзамен в ближайшем городе, оплатили 500 USD и у вас есть месяц времени. Как его надо провести:

  • Утром перед работой — на cccure.education, 1 тест в день на 150 вопросов уровня «Профи» с конспектированием ошибок.
  • Вечером или в Обед, один короткий тест на 25 вопросов с конспектированием ошибок.
  • Перед сном чтение своего конспекта где фиксируются ошибки и их разбор с помощью sunflower PDF, книг и интернета.

Далее будут наши комментарии к основным доменам CISSP …

1. Управление информационной безопасностью и рисками

В данной главе нас знакомят с тройкой CIA  (Confidentiality , Integrity and Availability) —  Конфиденциальность, Целостность и Доступность. Это три параметра\качества любого IT актива которые необходимо защищать от атак либо  повреждений другого рода.  Риск = Уязвимости * Угрозы.  Угроза = вероятность события либо атаки * потери. Соответственно при разработке либо использовании определенного Актива инженерам необходимо четко понимать какие его элементы отвечают за Конфиденциальность, за Целостность или за Доступность и предвидеть типовые виды угроз по данным направлениям.

Для инженеров ИБ это одна из самых не-интересных, теоретических глав, но это только на первый взгляд. Подраздел «Программа информационный безопасности» (ПИБ) например показывает на каком «языке» необходимо разговаривать DevOps инженерам с заказчиками ИБ решений. Теперь мы знаем что реальная ПИБ должна состоять как минимум из таких разделов как :

  • Политика ИБ
  • Управление рисками
  • Планирование на случай непредвиденных обстоятельств которое также включает план реакции на инциденты ИБ (Contingency Planning with incident responce plan)
  • Аудит ИБ
  • Стратегическое планирование ИБ
Следовательно обсуждения требований и характеристик ИБ продукта можно вести учитывая данные разделы, ну либо осознавая что определенных разделов просто нет у некоторых заказчиков. Это глава которая на 100% необходима Руководителям подразделений ИБ, которым просто необходимо переводить язык IT\ИБ формулировок в цифры\деньги для того чтобы Топ-Руководители (Владельцы Активов) могли принимать адекватные и взвешенные решения на запуск тех или инных инициатив по защите цифровых активов. Ведь именно Руководители высшего звена, в конечном итоге несут ответственность за всю компанию и обязаны ее защищать в первую очередь.