Блог

Денис Колошко, технический директор

Пополнились ряды CISSP специалистов по безопасности в Беларуси

CISSP

 CISSP (Certified Information Security Systems Professional) относится к “золотому стандарту” в индустрии безопасности и входит в топы IT сертификаций. На 1-ое января 2018 года сертифицированы только два человека в Беларуси, одного из которых я знаю – Иван Подобед. 13 февраля 2018 был сертифицирован третий человек – Денис Колошко, автор статьи, которая собственно и расскажет о самом сертификате и процессе сертификации.

 

Сложность сертификации

Изначальные требования для прохождения сертификации достаточно высоки, возможно, поэтому это отпугивает многих: минимум 5 лет подтвержденного опыта в области безопасности как в минимум в 2 из 8 доменов, которые покрывает CISSP (о доменах ниже).

Экзамен действительно сложный. До этого у меня было 12 Майкрософт сертификаций, которые рядом не стояли по сложности, требованию к уровню знаний. CISSP требует очень широких знаний безопасности, покрывается большой диапазон от физической защиты активов до управления безопасностью на предприятии уровня enterprise.

Все эти сложности определенно сказываются на качестве и ценности самой сертификации.

Что дает сертификат

Из 15 лет опыта в IT, около 7-8 из них тесно связаны с безопасностью (разработка высоко-защищенных архитектур, web security анализ, ручной пенетрейшн тестинг, разработка собственной lightweight intrusion detection system-ы dhound.io, управление безопасностью). И каждый раз, когда дело касается безопасности, продавцы и клиенты задавали один и тот же вопрос “как вы можете подтвердить свой опыт”.

То есть первое, что я получил от сертификации – наличие доказательства экспертизы в области безопасности.

На удивление, отношение к сертификатам в западном мире (в частности, в Англии) совершенно другое. Там верят в их силу, и было удивительно, когда разработчики и  менеджеры начинают задавать точечные вопросы или рассказывать про своё знание этой сертификации. Продавцы теперь при любом случае, удобном или нет, обязательно вспоминают, что у компании есть сертифицированный специалист CISSP. То есть сама сертификация стала и частью маркетинга.

Если говорить в целом о безопасности. Мало знать некие отдельные технические детали –  современные условия требуют знаний управления самой безопасности. Оценка и управление рисками, моделирование угроз, многоуровневая защита, стандарты и фреймворки безопасности, Business Continuity и Disaster Recovery планы, уровни классификации данных, что выливается в многочисленные политики, гайдланы, процедуры и так далее. Согласно тому же GDPR (General Data Protection Regulation), если вы не можете документально показать, что соответствуете этому предписанию, то уже не важно, насколько хорошо ваша система построена – вы не соответствуете. Со всем этим делом был уже знаком, но CISSP помог структурировать информацию относительно тех же стандартов и их требований.

Ещё один немало важный момент – сама подготовка к экзамену позволяет освежить знания, которые не требуются каждый день и подзабываются. Кто сейчас сходу может вспомнить, какой режим симметричного шифрования в каких случаях лучше всего использовать: ECB, CBC, CFB, OFB или CTR? В чём отличия между HMAC, CBC-MAC и СМАС для гарантии целостности сообщения? Вот и я про то. Главное, даже не в том, чтобы это запомнить (для экзамена придётся), а в том, чтобы в дальнейшем знать куда посмотреть, чтобы принять правильное решение. “Припомнить” хорошо забытые знания полезно время от времени.

Домены

Как было сказано выше, CISSP покрывает 8 доменов в области безопасности.

Домен #1. Security and Risk Management – вопросы стандартов и фреймворков безопасности (ISO/IEC 27000, ITIL, SABSA, COBIT, NIST, …), регламентов и актов (GDPR, PCI DSS, HIPAA, Patriot Act, …), конфиденциальность, фреймворки по управлению рисками (ISO 31000, COSO, NIST). Короче, всё, что связано с мировыми практиками и стандартами в области безопасности.

Домен #2. Asset Security – классификация данных, жизненный цикл данных, уровни ответственности в организации, политики хранения данных, стратегии защиты и удаления данных

Домен #3. Security Engineering – криптография, системы управления ключами, защитные механизмы операционных систем, модели доступа к данным, физическая защита зданий

Домен #4. Communication and Network Security – топология и стандарты сетей, сетевая защита, защита каналов, угрозы и сетевые атаки, управление безопасностью коммуникаций

Домен #5. Identity and Access Management – контроль физического и логического доступа, системы доступа и их управление, биометрический доступ, атаки на системы доступа, системы обнаружения и предотвращения проникновений

Домен #6. Security Assessment and Testing – методы проведения анализа безопасности, тестирование на проникновение, уязвимостей, бэкапов данных, восстановление бизнеса в случае непредвиденных обстоятельств, организация отчётности

Домен #7. Security Operations – расследование инцидентов по безопасности, управление физической защитой, системы управления инцидентами, управление изменениями, стратегии восстановления бизнеса в случае происшествий

Домен #8. Software Development Security – практики безопасности, внедренные в процесс разработки, управление изменениями и конфигурацией, защита репозиториев

Как видно, сама сертификация покрывает ОЧЕНЬ большую область безопасности и во многом связана с управлением, калькуляцией, процессами и стандартами безопасности.

Процесс сдачи

Теперь немного о шагах самой сдачи:

  • Найти существующего CISSP, который подтвердит опыт и квалификацию

Перед сдачей на сертификат, необходим референс от существующего сертифицированного специалиста CISSP, который готов поручиться за ваш опыт. У меня им выступил Иван. Если проблематично такого найти, можно запросить его у ISC2.

  • Купить онлайн экзамен в Pearson VUE

Стоимость 699 USD. В Минске данный экзамен сдать не получится. Ближайшие аккредитованные центры для сдачи CISSP в Москве, Вильнюсе, Киеве. Выбор пал на Москву..

  • Подготовка к экзамену

Основным источником выступила книга CISSP® All-in-One Exam Guide, Seventh Edition. Не стоит обольщаться, что, прочитав её, можно сдать экзамен:

  • это 1300 страниц забористого текста с кучей аббревиатур
  • многие моменты приходилось искать дополнительно на просторах Интернета
  • на экзамене помню вопрос, который был упомянут одним коротким предложением в книге

Чем хорош этот источник:

  • хорошо структурирована информация и хорошая подача
  • действительно ориентирован на экзамен
  • в конце каждого домена есть список вопросов для проверки
  • до сих пор служит настольной книгой, когда вопросы касаются безопасности

Пару рекомендаций:

  • читайте всё изначально в английском варианте
  • не пытайтесь найти вопросы, которые будут на экзамене и заучить их – вопросы постоянно тусуют; в конце сдачи список вопросов никто никому не предоставляет
  • не забудьте выучить Code of Ethics, часть вопросов будет по нему
  • Сдача экзамена

В Москву прибыл за день до сдачи. Гостиница Варшава находится в том же здании, где и экзамен проходит. С приезда до глубокой ночи гонял ещё список вопросов. После – два-три часа бредового сна. Не знаю, советовать выспаться или нет – это сугубо личный момент. Чувствовал на утро себя нормально.

В центре сдачи всё пафосно-серьёзно – снимают отпечатки пальцев, обыскивают карманы, снимают на видео. От берушей лучше не отказываться, рядом будут другие ребята сдавать свои экзамены. На экзамен выделяется 6 часов, 250 вопросов. То есть меньше 2 минут на вопрос. Поэтому без ответов вопросы лучше не оставлять, возможно, вы не успеете к ним вернуться. Полагайтесь на свой опыт и интуицию. Можно помечать себе вопросы, в которых не до конца уверены.

Специфика экзамена: в предложенном списке ответов все ответы могут быть правильными, но нужно выбрать самый подходящий. Поэтому метод “от обратного” не всегда будет работать. Самым главным активом всегда является человеческая жизнь. Поэтому, как только видите её в ответах, выбирайте её.

Справился за пять с половиной часов. Попытался пройти по ответам, в которых не был до конца уверен, но почти ничего не изменил.

Ответ дают сразу – сдал или нет. Ответить нужно правильно минимум на 75% вопросов. Если сдали, то не скажут процент правильно отвеченных вопросов.

Поздравления, что сдал, значили для меня абсолютно ничего – сказывалась эмоциональная и интеллектуальная измотанность. Вроде и хотел порадоваться, и не мог. Первая мысль, с которой вышел, была о поиске ближайшего бара. Там уже немного отпустило.

  • Сертификация CISSP

Сдать успешно экзамен ещё только середина пути. Дальше нужно подтвердить свой опыт – минимум пять лет в минимум двух доменах. Причем подтверждать нужно документально: необходимо предоставить копии договоров или трудовой книжки, в которых указана должность.

Последние 7 лет работаю в должности Chief Technical Officer. В отдельном документе расписал детально все 8 доменов, отсортировав их в порядке своей крутости в каждом. Документ добавил вместе с остальными сканами к форме заявления. На форме коротко весь опыт расписал.

Первое подтверждение опыта должен сделать CISSP из пункта #1. Далее комиссия (ISC)² должна ещё раз проверить предоставленную информацию, и сделать заключение – достоин ты носить тайтл CISSP или нет, занимает это до 6 недель. Не забудьте обновить свой LinkedIn, заметил, что на профайл заходили неизвестные люди.

12 декабря 2017 успешно сдал экзамен, и только 13 февраля 2018 комиссия подтвердила сертификацию.

  • Поддержка сертификата CISSP в активном состоянии

И снова пройти сертификацию ещё мало: её нужно поддерживать в активном статусе. Каждый год нужно сабмитить определённое количество Continuing Education (CPE) кредитов, и поддержка будет стоить около 85 USD в год.

Заключение
  1. “Не так страшен чёрт, как его описывают”. Главное – это желание.
  2. Крутая сертификация требует очень хорошей подготовки, проскочить не получится
  3. Нельзя ставить точку в экспертизе по безопасности (как и в любой другой), это есть постоянный рост

Денис Колошко

CEO at dhound.io