Security certification overview v06 slides

Cертификации в области ИБАндрей Лысюк, CISM, CISA, CCIE, CISSP, ITILFКоординатор по вопросам сертификаций Киевского чаптера ISACA.

30 Июля 2010

Cертификации в области ИБСтр. 2

Содержание презентации

► Цели сертификации► Существующие сертификации в области ИБ► Подготовка к сертификации► Процесс сертификации► Поддержка сертификатов

Cертификации в области ИБСтр. 3

Цели сертификации

► Уровень зарплат► Вход в индустрию ИТ и ИБ ► Сертификации востребованы на рынке► Поиск специалистов идет по «ключевым словам»► Сертификация позволяет быстро оценить опыт и

знания► Доступность сертификации ИБ по цене

Cертификации в области ИБСтр. 4

Существующие сертификации в области ИБ

Organization Certifications

CompTIA Security+

Cisco Systems CCNA Security • CCSP • CCIE Security

EC-Council CEH • CHFI • ECSA • ECSP • ENSA • LPT

GIAC GSIF • GSEC • GCIA • GCFW • GCFA • GCIH • GPEN • GCUX • GCWN • GWAPT • GAWN • GREM • GSE

ISACA CISA • CISM • CGEIT • CRISC

(ISC)² CAP • CISSP • CSSLP • ISSAP • ISSEP • ISSMP • SSCP

ISECOM OPST • OPSA • OPSE • OWSE

Offensive Security OSCP • OSCE

Mile2 CPTEngineer (CPTE) • CPTConsultant

CREST CREST Consultant

IACRB CPT • CEPT

eLearnSecurity eCPPT

Security Certified SCNS • SCNP • SCNA

Cертификации в области ИБСтр. 5

ISACA

► Неприбыльная организация основанная в 1969 году как централизованный ресурс информации и руководства для аудита контролей в компьютерных системах

► 86 000 членов по всему миру► Методологии COBIT, Val IT и Risk IT ► Сертфикации CISA, CISM, CGEIT, CRISC► 180 чаптеров в 75 странах► ITGI институт► The ISACA Journal

Cертификации в области ИБСтр. 6

Чаптер ISACA в Украине (Киев)

► С 2006 года шла работа по созданию представительства ISACA в Украине

► С 2009 года чаптер был формально утвержден со стороны ISACA Global

► Задачи локального офиса включают проведение экзаменов в Киеве

► С июня 2006 года возможна сдача экзамена в Украине

Cертификации в области ИБСтр. 7

CISSP

► Предлагается международным консорциумом (ISC)2

► 67 744 сертифицированных в 134 странах► Технические и организационные аспекты ИБ► Домены знаний:

► Контроли доступа► Безопасность приложений ► Business Continuity and Disaster recovery► Криптография► ИБ и Управление рисками► Legal, Regulations, Compliance and Investigations► Операционная безопасность► Физическая безопасность (environmental security)► Безопасность архитектуры приложений и принципы разработки► Телекоммуникации и безопасности сетей

Cертификации в области ИБСтр. 8

CISА

► Предлагается международной ассоциацией ISACA► Более 70 000 сертифицированных (2009 год)► Сертификация охватывает следующие области

знаний:► Процесс аудита информационных систем► Стратегическое управление ИТ► Управление жизненным циклом систем и инфраструктуры► Предоставление и поддержка ИТ сервисов► Защита информационных активов► Непрерывность бизнеса и

восстановление после сбоев

Cертификации в области ИБСтр. 9

CISM

► Предлагается международной ассоциацией ISACA► 13 000 сертифицированных с 2003 года► Основной фокус – организационные вопросы ИБ.

Меньше технических вопросов► Управление информационными рисками как основа

информационной безопасности► Домены знаний:

► Стратегическое управление ИБ (23%)► Управление информационными рисками (22%)► Разработка программы ИБ (17%)► Управление программой ИБ (24%)► Управление инцидентами (14%)

Cертификации в области ИБСтр. 10

CGEIT

► Предлагается международной ассоциацией ISACA► Введена в 2007 году► Основана на интеллектуальных наработках

ассоциации ISACA и института «IT Governance Institute»

► Стратегическое управление ИТ системами и процессами

► Домены знаний:► Основы стратегического управления ИТ (25%)► Согласование стратегии ИТ со стратегией бизнеса (15%)► Внесение ценности (15%)► Управление рисками (20%)► Управление ресурсами (13%)► Управление эффективностью ИТ (12%)

Cертификации в области ИБСтр. 11

CRISC

► Предлагается международной ассоциацией ISACA► Введена в 2010 году► Управление бизнес рисками и ИТ рисками► Разработка, внедрение, мониторинг и поддержка

контролей в информационных системах► Домены знаний:

► Идентификация, оценка и анализ рисков (31%)► Реакция на риски (17%)► Мониторинг рисков (17%)► Разработка и внедрение контролей в ИТ ситемах (17%)► Мониторинг и поддержка контролей в ИТ системах (18%)

Cертификации в области ИБСтр. 12

Процесс сертификации

► Для каждой из сертификаций есть свои тонкости, но в целом процессы похожи

► Для прохождения сертификации необходимо► Пройти подготовку (самостоятельно или на курсах)► Сдать сертификационный экзамен► Иметь достаточный опыт работы в ИБ► Заполнить форму-заявку► Получить рекомендации от работодателей► Оплатить членский взнос

Cертификации в области ИБСтр. 13

Поддержка сертификатов

► Для поддержки сертификатов в активном состоянии требуется выполнение ряда действий

► Политика CPE► Необходимое количество часов► Webcasts► Конференции и семинары► Статьи► Рецензии книг

► Ежегодная оплата Maintenance Fee

Cертификации в области ИБСтр. 14

Ссылки

[1] About.com Computer Certification. Security Certification Essentials. (http://certification.about.com/od/securitycerts/a/seccertessentl2.htm)[2] About.com Computer Certification. Pick the right security certification.

(http://certification.about.com/od/comparingcertifications/a/secureCert.htm)[3] CISSP® - How to Certify (https://www.isc2.org/cissp-how-to-certify.aspx)[4] SC Magzine Award 2009. Best professional certification (http://www.scmagazineus.com/best-professional-certification/article/130888/)[5] Certification magazine. Salary Survey 2008 (http://www.certmag.com/print.php?start=0&in=3656)[6] CSO. Security and Risks. Numbers: ISACA Says Survey Illustrates Benefits of CISM Cert (June, 2008,

http://www.csoonline.com/article/379914/)[7] DoD 8570.01-M. Information Assurance Workforce Improvement Program (20.04.2010)[8] Wikipedia. Certified Information Systems Security Professional

(http://en.wikipedia.org/wiki/Certified_Information_Systems_Security_Professional)[9] Wikipedia. Continuing professional development (http://en.wikipedia.org/wiki/Continuing_professional_development)[10] ISACA. What is CISM? (http://www.isaca.org/Certification/CISM-Certified-Information-Security-Manager/What-is-CISM/Pages/default.aspx)[11] Wikipedia. Certified Information Systems Auditor (http://en.wikipedia.org/wiki/Certified_Information_System_Auditor)[12] ISACA. What is CISA? (http://www.isaca.org/Certification/CISA-Certified-Information-Systems-Auditor/What-is-CISA/Pages/default.aspx)

[13] Certified Information Systems Auditor (CISA) (http://www.isaca.org/cisa)

[14] Certified Information Security Manager (CISM) (http://www.isaca.org/cism)

[15] Certified in Risk and Information Systems Control (CRISC) (http://www.isaca.org/crisc)

[16] Certified in the Governance of Enterprise IT (CGEIT) (http://www.isaca.org/cgeit)

Presentation titlePage 15

Вопросы?

Андрей Лысюк, CISM, CISA, CCIE, CISSPСтарший консультант отдела услуг в области ИТ и ИТ рисков Ernst & Young координатор по вопросам сертификаций Киевского чаптера ISACA.+380 (67) [email protected]://www.isaca.org.ua