Знак качества (ISC)2

Один из показателей зрелости той или иной сферы экономики и связанного с ней рынка труда — это наличие профессиональных организаций (зачастую независимых), вырабатывающих стандарты качества и проводящих соответствующую сертификацию. В этом отношении российская ИТ-индустрия опережает многие другие отрасли: уже сейчас при найме на работу ИТ-специалиста кадровые отделы отдают предпочтение кандидатам, имеющим сертификаты от производителей ПО или оборудования, а в недалеком будущем сертификация станет столь же необходимой, как и диплом о высшем образовании. Привлечение сертифицированных специалистов позволяет компании получить максимальную отдачу от персонала и тем самым увеличить конкурентоспособность. Для самого же квалифицированного специалиста сертификат служит некой гарантией, основой уверенности в самом себе и завтрашнем дне.

На компьютерном рынке существуют различные сертификации: по программным или аппаратным продуктам, по каким-либо решениям (т. е. по программно-аппаратным комплексам); сертификации производственных процессов и системы качества управления компанией. В области информационной безопасности наряду с сертификациями мировых вендоров существует сертификация Международного консорциума по сертификации в области безопасности информационных систем (International Information Systems Security Certification Consortium, (ISC)2, http://www.isc2.org). Эта некоммерческая организация, существующая уже 10 лет, разработала сертификационные стандарты, не привязанные к конкретному аппаратному оборудованию или программному продукту, что выделяет ее на рынке сертификаций по защите информации.

Программа (ISC)2 «Сертифицированный профессионал в области безопасности информационных систем» (Certified Information Systems Security Professional, CISSP) рассматривается во всем мире как «золотой стандарт» среди сертификаций для специалистов высшего уровня. Вторая предлагаемая (ISC)2 сертификация — «Сертифицированный специалист-практик по безопасности систем» (Systems Security Certified Practitioner, SSCP) — рассчитана на профессионалов в области компьютерной безопасности, непосредственно реализующих политики безопасности в компаниях.

Для получения звания CISSP необходимы практический опыт (четыре года работы в предметной области или три года плюс степень бакалавра), соответствующая подготовка и сдача экзамена-теста, основанного на Common Body of Knowledge (CBK) — сборнике лучших методов обеспечения безопасности в десяти областях:

1. Системы и методология контроля доступа
2. Защита разработки приложений и систем
3. Планирование непрерывности бизнеса и устранения неполадок
4. Криптография
5. Право, исследования и этика
6. Защита операций
7. Физическая безопасность
8. Архитектура и модели безопасности
9. Методы управления безопасностью
10. Безопасность телекоммуникаций и сетей

Профессионалы, получившие CISSP, в течение трех лет должны набрать определенное количество баллов за счет дальнейшего профессионального обучения, подтвердив таким образом свою активность в этой области.

SSCP требует опыта работы не менее года как минимум в одной из семи областей знаний СВК (контроль доступа, администрирование, аудит и мониторинг, риск, отклик и восстановление, криптография, передача данных, вредоносный код/Malware).

По данным компании Fairfield Research, специализирующейся на исследовании ИТ-рынка, в 2002 году большинство кандидатов на получение сертификатов (ISC)2 специализировались в области сетевого проектирования (30%), администрирования сетей (15%) и баз данных (8%), системной администрации (7%), программирования (6%) и управления сетью (6%). Оценивая имевшуюся ранее сертификацию и пройденные программы, ИТ-специалисты сочли сертификацию Sun Microsystems лучшей с точки зрения образовательного опыта и квалификации (см. таблицу), а инструкторов IBM — наиболее профессиональными. В то же время программа (ISC)2 признана наиболее полной, а обучающие и тестовые материалы — наиболее качественными.

Лидеры рейтинга сертификационных программ по различным характеристикам (шкала от 1 до 5)

Один из важных факторов, которым руководствуются кандидаты при выборе программы сертификации, — это ее стоимость и связанный с ней фактор ROI. Согласно данным Fairfield Research, в 2002 году средняя цена технической сертификации составляла 1100 долл. (самая дорогостоящая сертификация — у компании HP/Compaq, в среднем 2516 долл., минимальную цену запрашивала IBM — средняя стоимость 300 долл.) На Западе вложения в сертификацию обеспечивают ИТ-специалистам среднее значение ROI 3,2 за счет увеличения заработной платы в течение первого года после сдачи экзамена

Стоимость экзамена на сертификацию CISSP в 2002 году составляла 899 долл., и для его прохождения российским специалистам до недавнего времени приходилось летать в Амстердам или Цюрих. Возможно, поэтому на отечественном ИТ-рынке было всего пять таких специалистов. Теперь же, благодаря сотрудничеству (ISC)2 и компании «Микроинформ» (http://www.microinform.ru), появилась возможность пройти недельные подготовительные курсы и сдать экзамены на сертификаты CISSP и SSCP в Москве. Первый такой экзамен состоялся 21 июня текущего года, в нем приняли участие десять специалистов из компаний Diamond Communications, IBS, «Информзащита», «Комбеллга», «Кредит Свисс Ферст Бостон», «ТехноСерв А/С», Hewlett-Packard, «Банк Зенит», а также два сотрудника фирмы KPMG. Семеро из кандидатов успешно прошли шестичасовой тест, включавший 250 вопросов, и получили звание CISSP.

Для российских кандидатов основными факторами, повлиявшими на выбор сертификационной программы, стали независимость сертификации (ISC)2 от конкретных поставщиков и платформ, ее международное признание и многолетний опыт разработки вопросов информационной безопасности, заложенный в основу сертификационных стандартов.

Учебный центр «Микроинформ» планирует регулярно проводить экзамен на звание CISSP: уже в сентябре текущего года начнется очередной подготовительный курс, а в октябре его слушатели смогут сдать тест. Стоимость экзамена на CISSP в России составляет 450 долл.