15/12/2019
Хотелось бы написать небольшую статью об одной из самых популярных сертификаций в области информационной безопасности – CISSP. Сертификация, как ни крути, одна из важных частей образования и профессии в IT вообщем, и в Информационной Безопасности в частности. Мы можем много и долго учиться, быть экспертами в различных сферах, но при этом для потенциальных работодателей или заказчиков это будет оставаться тайной за семью печатями. Если веб дизайнер или программист сайтов в качестве портфолио может предъявить свои функционирующие работы в Интернете, то для специалиста в области ИБ все не так просто и очевидно. Хорошо, если Вас знают лично и осведомлены о Ваших конкретных работах. Однако в жизни такое бывает далеко не всегда. И в этих случаях именно всемирно признанная сертификация способна подтвердить, что Вы являетесь экспертом в своем деле.
Страны Запада уже давно эффективно используют сертификацию знаний и навыков специалистов в различных отраслых. Без соответствующий корочки или диплома нельзя и представить, что Вы сможете работать медиком или юристом. Аналогично и в отрасли кибер безопасности. Если у Вас нет соответствующего диплома или сертификата соответствия, то Вы, наврятли, сможете работать в серьезной организации или с серьезными заказчиками. Широко признанных повсеместно сертификаций в области ИБ не так много. Их можно пересчитать по пальцам одной руки. И CISSP от ISC2 – именно одна из них. ISC2 или International Information Systems Security Certification Consortium – некоммерческая организация, объединяющая экспертов по кибер безопасности разных направлений. Организация не занимается выпуском программного обеспечения или оборудования в сфере ИБ. Являясь независимой от различных вендоров, она позволяет оценивать степень профессионализма, не привязываясь к конкретным техническим решениям. У ISC2 есть несколько сертификаций различных направлений кибер безопасности. Но, пожалуй, именно CISSP или Certified Information Systems Security Professional является ключевой. О моем личном опыте с данной сертификацией и написана эта статья.
Путь к CISSP
Основной этап для получения статуса сертифицированного CISSP специалиста – это конечно же сдача экзамена. Вы можете долго и упорно учиться, изучать различные домены кибер безопасности, но без пройденного сертификационного экзамена – это ничего не будет значить. Подготовка в свое время к экзамену у меня заняла приличное количество времени. На моем месте работы тогда в Mars Solutions было много текущих задач. Свободного времени на изучение теоретического материала было крайне мало. С момента начала подготовки до сдачи экзамена у меня ушло около года. Я думаю, что при наличии целеустремленности и достаточного свободного времени, это можно было бы сделать гораздо быстрее.
Так получилось, что экзамен сдавал в Бишкеке в одном из тестовых центров Peason VUE. Это было в 2012 году. На тот момент аналогичные центры вроде бы были и в Ташкенте. Но к сожалению, ни один из них на родине не поддерживал биометрическую идентификацию по ладони. Поэтому пришлось искать место для сдачи экзамена за пределами Узбекистана. Ближайший такой центр оказался в Бишкеке. Купив билеты на самолет, я поехал в братскую республику на один день для тестового экзамена. Испытанием для нервов тогда оказалось то, что по прибытии в тестовый центр, директор этой организации сообщил, что у них проблема с оборудованием и в тот день тесты проводиться не будут. Однако, когда я дал понять, что я приехал из другой страны и у меня обратный билет на следующее утро, он пообещал сделать все возможное, чтобы провести тест в тот же день. К его чести, он сдержал обещание и то, зачем я приехал, мне удалось осуществить.
Само тестовое испытание длилось 6 часов и состояло из 250 теоретических вопросов. Эти вопросы охватывали 10 сегментов Информационной Безопасности, которые определены в CBK CISSP. Вы должны знать и как работают основные алгоритмы шифрования, и как построить систему менеджмента ИБ на предприятии. Проходной бал на тот момент был 700 из 1000. Экзамен полностью на английском языке, что для меня не было проблемой. Шесть часов и 300 вопросов для теста – это конечно же не совсем просто. И нужно быть готовым к этому и продумать заранее стратегию сдачи экзамена. В целом, у меня проблем с этим не возникло. Экзамен я сдал с первой попытки успешно. На следующий день отправившись с удовлетворением в сторону родного дома.
Следующим этапом в пути получения заветного статуса был процесс “Эндорсмента”, во время которого организация ISC2 должна проверить Вас и удостовериться, что Вы действительно достойны. Если у Вас есть знакомый, который обладает сертификацией CISSP, и он может подтвердить Ваш опыт и знания, то это значительно ускорит процесс “Эндорсмента”. К сожалению, на тот момент по моим данным ни одного такого специалиста в Узбекистане не было. Поэтому пришлось протаптывать дорогу первому. Заполнив соответствующую анкету и отправив ее в ISC2.org, я получил через несколько недель ответ об успешном прохождении всех этапов отбора. Еще через месяц на почту пришел бумажный сертификат, который представлял материальный носитель подтверждения сертификата.
Поддержание статуса CISSP
После того, как Вы получили заветный конверт с сертификатом CISSP, начинается новая история. Каждый год, для подтверждения своего сертификата, Вы должны оплачивать членский взнос, а также набирать 40 CPE. Каждый CPE условно является 1 часом, который Вы тратите в течение года на свое обучение, развитие ИБ как направления в целом в своем регионе, на работе или дома. Похожие требования к поддержанию статуса используют и многие другие организации. Как альтернатива кто-то требует периодическую пересдачу экзамена, как например, компании Cisco Systems или Red Hat. Что по сути также упирается в определенное время, которое должно быть потрачено на подготовку к экзамену, а также финансы, которые стоит этот экзамен.
Данные условия поддержания сертификации позволяют Вам быть постоянно в “тонусе”, а также мотивируют на непрерывное обучение и собственное саморазвитие. Кстати, пожалуй, это один из факторов, который затрудняет поддерживать в актуальном состоянии различные сертификации. Вам необходимо постоянно тратить время и деньги. Если к тому же Вы не получаете определенного дохода с конкретной сертификации – то это становится просто не выгодным. Этот фактор обязательно необходимо учитывать каждому, кто задумывается о получении той или иной сертификации. Если Вы захотите постоянно поддерживать ее, то будьте готовы периодически тратить свои финансы и время на это.
Резюме
Если Вы хотите развиваться и быть успешным в ИБ, то я думаю, получению тех или иных всемирно признанных сертификатов – это просто обязательная часть обучения и карьеры. В современном мире особенно в области IT и Cyber Security Вы должны соотвестветствовать лучшим мировым стандартам, иначе Вы просто окажетесь не актуальны на рынке труда. На личном примере с сертификацией CISSP показал нюансы, с которыми Вы столкнетесь при получении этого сертификата, а также при его продлении. В дальнейшем в блоге постараюсь рассказывать о других сертификациях в области IT и ИБ, а также о моем личном опыте с ними.
