Управление информационной безопасностью в сертификации CISSP

Этим летом специалисты компании SafeJKA успешно прошли сертификацию по информационной безопасности CISSP, обновленный вариант 2018 года. Этот сертификат разработан международной некоммерческой организацией по тестированию и сертификации специалистов в области информационной безопасности (ИБ) (ISC)2. Мы хотим поделиться впечатлениями от процесса подготовки, сдачи экзамена, расскажем как экзамен CISSP влияет на практику специалиста по информационной безопасности. а также что нужно знать и как развиваться если ты решил стать инженером либо специалистом в сфере ИБ?

Что такое CISSP сертификация?

CISSP это экзамен проводимый независимыми тестирующими центрами. Экзамен сдается индивидуально. В течении 2-ух часов в отдельной комнате, один на один с компьютером, необходимо ответить более чем на 100 вопросов по информационной безопасности на английском языке. Все вопросы имеют 4 варианта ответа либо иллюстрации.

Вопросы выбираются из 8 тем :

  1. Управление информационной безопасностью и рисками (Security and Risk Management)
  2. Безопасность информационных активов  (Asset Security)
    Где описывается жизненный цикл данных, информации и типы контроля доступа.
  3. Проектирование и разработка систем ИБ (Security Architecture and Engineering)
  4. Коммуникации и сетевая безопасность (Communication and Network Security)
  5. Управление доступом и идентификацией (Identity and Access Management)
  6. Оценка средств защиты и методы их тестирования (Security Assessment and Testing)
  7. Операции по обеспечению безопасности (Security Operations)
  8. Разработка надежного/защищенного ПО с точки зрения ИБ (Software Development Security)

Стоит добавить что аналогичные сертификации также предлагает организация ISACA (CISA/M), а также есть CEH, CompTIA и  SANS/GSES от GIAC.

Для кого предназначена CISSP сертификация?

Сертификация рассчитана на действующих IT специалистов с опытом работы в ИБ. Сдать экзамен реально могут те кто имеет хороший опыт в одной из 3х выше перечисленных областей ИБ, а также те кто владеет английским на уровне IELTS 5/B2, так чтобы бегло читать материал. Можно попробовать подготовиться и с совсем небольшим опытом в ИБ, но тогда обьем материала который необходимо усвоить сильно возрастает, и по мере продвижения забывается то что было в начальных темах.

На наш взгляд материалы затронутые в этих темах  полезны всем категориям ИБ специалистов: Инженерам систем ИБ, Директорам и администраторам по ИБ, аудиторам и другим. Например  довольно интересно преподноситься идея о том, что с выше стоящим руководством по вопросам ИБ, необходимо разговаривать на языке «денег». А чтобы сформулировать предложения\выводы\последствия в денежном выражении необходимо хорошо разбираться в Оценке Рисков ИБ.

Ответ на вопрос, зачем нужен и где может пригодиться CISSP сертификат, может быть 3х видов:

  • Узнать много нового, потренировать мозги а заодно повторить Английский;
  • Повысить собственную квалификацию и уровень своего образования как сотрудника и следовательно компании в целом;
  • Участвовать в международных проектах где присутствуют требования на обязательное наличие образования в области ИБ;

Как подготовиться к сдаче CISSP

Книги и материалы:

  1. David Miller, CISSP Certification Training, O’Reilly Media ( preview https://www.youtube.com/watch?v=-STavSyyVAU ) . Видео руководства, есть на торентах.
  2. Sybex CISSP 8th edition (40 usd). Хорошее и лаконичное изложение всех 8ми глав с тестовыми вопросами. Вопросы легкие но дают понять слабые места в понимании материала. Удивило наличие нескольких абзацев про роль Российских хакеров в изобретении APT (advanced persistent threat) а также упоминание компании Kaspersky в негативном свете.
  3. Conrad E., Misenar S., Feldman J. — CISSP Study Guide, 3rd Edition — 2015 Много детального материала. Читать надо все

Процесс само-тестирования:

  1. Sybex CISSP Practice Test book and Android app (40+9 usd) — Очень хорошие вопросы, необходимо дойти до уровня 70-75 %  правильных ответов.
  2. Sybex Bonus Exams (5 * 150 questions) — Очень хорошо. Доступны на сайте вместе с покупкой книги от Sybex.
  3. cccure.education за 50 usd. Куча тестовых вопросов с уровнем сложности Начинающий, Профи, Гуру.
  4. Sunflower PDF — PDF подготовленый специалистами ИБ с основными терминами и аббревиатурами ИБ.
  5. Shon Harris CISSP Practice Exam 3rd edition. Средне.
  6. CISSP test apps available on a google play. тоже можно попробовать.

В результате самоподготовки , необходимо дойти до уровня 75-80% правильных ответов по всем источникам вопросов, чтобы наверняка сдать экзамен. Делов том что, если с первого раза не получается сдать, то вам необходимо ждать один месяц чтобы пересдать. Естественно в этот месяц необходимо продолжить подготовку чтобы элементарно не забыть то что уже знаешь. А это большая трата времени и сил. Так что лучше подготовиться для того чтобы сдать наверняка.

И так вы заказали экзамен в ближайшем городе, оплатили 500 USD и у вас есть месяц времени. Как его надо провести:

  • Утром перед работой — на cccure.education, 1 тест в день на 150 вопросов уровня «Профи» с конспектированием ошибок.
  • Вечером или в Обед, один короткий тест на 25 вопросов с конспектированием ошибок.
  • Перед сном чтение своего конспекта где фиксируются ошибки и их разбор с помощью sunflower PDF, книг и интернета.

Далее будут наши комментарии к основным доменам CISSP.

Раздел «Управление информационной безопасностью и рисками»

В данной главе нас знакомят с тройкой CIA  (Confidentiality , Integrity and Availability) —  Конфиденциальность, Целостность и Доступность. Это три параметра\качества любого IT актива которые необходимо защищать от атак либо  повреждений другого рода.  Риск = Уязвимости * Угрозы.  Угроза = вероятность события либо атаки * потери. Соответственно при разработке либо использовании определенного Актива инженерам необходимо четко понимать какие его элементы отвечают за Конфиденциальность, за Целостность или за Доступность и предвидеть типовые виды угроз по данным направлениям.

Для инженеров ИБ это одна из самых не-интересных, теоретических глав, но это только на первый взгляд. Подраздел «Программа информационный безопасности» (ПИБ) например показывает на каком «языке» необходимо разговаривать DevOps инженерам с заказчиками ИБ решений. Теперь мы знаем что реальная ПИБ должна состоять как минимум из таких разделов как :

  • Политика ИБ
  • Управление рисками
  • Планирование на случай непредвиденных обстоятельств которое также включает план реакции на инциденты ИБ (Contingency Planning with incident response plan)
  • Аудит ИБ
  • Стратегическое планирование ИБ
Следовательно обсуждения требований и характеристик ИБ продукта можно вести учитывая данный регламент ИБ, ну либо осознавая что определенных разделов просто нет в регламенте у некоторых компаний. Это глава которая на 100% необходима Руководителям подразделений ИБ, которым просто необходимо переводить язык IT\ИБ формулировок в цифры\деньги для того чтобы Топ-Руководители (Владельцы Активов) могли принимать адекватные и взвешенные решения на запуск тех или инных инициатив по защите цифровых активов. Ведь именно Руководители высшего звена, в конечном итоге несут ответственность за всю компанию и обязаны ее защищать в первую очередь.
Этот домен CISSP также дает возможность понять что перед тем проводить Аудит Информационной безопасности предприятия необходимо иметь готовый регламент ПИБ.
 

Как стать специалистом по информационной безопасности?

Если вам хотелось бы расширить свои знания в сфере информационной безопасности, но вы не знаете с чего необходимо начать? Какое высшее образование существует по информационной безопасности (ИБ) ? Что лучше, выбрать данную специальность в ВУЗе и получить второе высшее или есть специализированные курсы по информационной безопасности?

Напомним, что Вся сфера информационной безопасности состоит из трех видов деятельности:

  1. Создание систем защиты.
  2. Эксплуатация систем защиты или обеспечение рутинного процесса защиты.
  3. Управление защитой на уровне Предприятия.

Чтобы ответить на эти вопросы лучше определиться, что вам нравиться делать: Создавать новое, испытывать на прочность уже созданное или стратегическое управление защитой на уровне Завода ?  В зависимости от ответа вы выбираете между такими направлениями как Инженер, Аудитор (пен-тестер), Системный Администратор или руководитель политиками ИБ. И далее начинаете развиваться в этом в выбранном направлении. Если это Инженерное дело, то в ИБ это значит быть Архитектором или разработчиком систем информационной безопасности , следовательно достаточно закончить ВУЗ по любой специальности вокруг Информационных Технологий. Далее необходимо устроиться на работу программистом в профильные компании такие как Kaspersky либо там где ваши обязанности будут связанны с информационной безопасностью. По мере увеличения стажа, можно сдать экзамен CISSP. В некоторых компаниях можно поменять направление развития, и перейти с разработки в тестирование или с возрастом возглавить весь отдел ИБ. И не стоит забывать, что ваша деятельность должна быть связана с информационной безопасностью. Это необходимое условие которое обеспечит вам непрерывное увеличение опыта в информационной безопасности и постоянный прилив новых знаний.

Аудитор (пен-тестер, тесты на проникновение) владеет  таким темами в ИБ :
1. Управление информационной безопасностью и рисками
2. Безопасность информационных активов
3. Проектирование и разработка систем ИБ
4. Коммуникации и сетевая безопасность
5. Управление доступом и идентификацией
6. Оценка средств защиты и методы их тестирования
7. Операции по обеспечению безопасности
Устраивайтесь на работу Системным Администратором, добейтесь того, чтобы так или иначе ваши обязаности были связанны с ИБ и через 5 лет вы будете свободно владеть минимум 2-мя из выше перечисленных тем. Это означает что вы уже сможете претендовать на сертификацию CISA \ CISSP.