Даже если просто просматривать заголовки новостей, то этого достаточно, чтобы понимать: в сфере информационной безопасности постоянно появляются новые угрозы и уязвимости. А потому предприятиям крайне важно иметь возможность осуществлять подготовку своих профессионалов в области безопасности в таком объеме, как того требует их стратегия ИТ-управления.
Это означает, что существует только один вопрос: как лучше всего, с одной стороны, специалистам получить адекватное обучение (что сделает их более востребованными на рынке труда), а с другой стороны, предприятиям улучшить свои протоколы и процедуры безопасности (и продемонстрировать своим клиентам чувство безопасности)?
Правильные решения – это сертификаты безопасности, которые допускают сочетания минимальных требований, стандартизированного языка и профессионального кодекса этики.
Если мы, как специалисты и руководители предприятий решили взять курс в управлении ИТ-безопасностью, то рекомендуется выбирать сертификаты ведущих международных и независимых организаций. С учетом этого, в данной статье мы приводим некоторые из доступных наиболее серьезных сертификационных программ:
CISA / CISM
CISA и CISM– это две основные аккредитации, выдаваемые ассоциацией ISACA (Information Systems Audit and Control Association) – международной ассоциации, которая занимается сертификацией и методологией с 1967 года и насчитывает в своих рядах свыше 95 000 членов.
CISM (Certified Information Systems Manager) появилась позже, чем CISA, и предлагает аккредитацию в знании и опыте управления IT-безопасностью.
CISM предлагает основные стандарты компетенции и профессионального развития, которыми должен обладать директор по IT-безопасности, чтобы разработать и управлять программой IT-безопасности.
CISSP
Сертификат Certified Information Systems Security Professional (CISSP), выдаваемый ISC, — это один из самых ценных сертификатов в отрасли. Такие организации, как АНБ или Министерство обороны США используют его в качестве эталона.
Сертификат также известен как «в милю шириной и дюйм глубиной», т.е. указывает на ширину знаний (в милю), которые проверяются в рамках экзамена, а также на то, что многие вопросы не затрагивают изощренных подробностей концепций (только в дюйм глубиной).
COBIT
COBIT 5 (последняя протестированная версия) определяется как отправная точка, используемая правительственными учреждениями и предприятиями для IT-управления. Управляется ассоциацией ISACA совместно с IT Governance Institute.
COBIT разработан таким образом, чтобы адаптироваться для предприятий любого размера с различными бизнес-моделями и корпоративной культурой. Его стандарты применяются в таких сферах, как информационная безопасность, управление рисками или принятие решений относительно облачных вычислений.
ITIL
ITIL (IT Infrastructure Library) можно описать как пример надлежащей практики и рекомендаций для администрирования IT-сервисами с фокусом на администрировании процессами. Управляет этим сертификатом OGC (Office of Government Commerce) в Великобритании.
В то время как COBITS работает в вопросах управления и стандартизации предприятия, ITIL сконцентрирован на процессах, т.е. COBIT определяет «ЧТО», а ITIL – «КАК».
ISO / IEC 27000
Стандарт, опубликованный международной организацией по сертификации ISO и международной электротехнической комиссией IEC, выступает в качестве отправной точки для группы стандартов, обеспечивающих основы управления IT-безопасностью, которые могут использоваться любым типом организаций (некоммерческие, государственные, частные, большие или маленькие).
В отличие от других сертификатов, которые предназначены для физических лиц, этот сертификат в первую очередь рассчитан для предприятий.
| 4% (6) |
CISA |
| 2% (4) |
CISM |
| 4% (6) |
CISSP |
| 1% (1) |
COBIT |
| 5% (9) |
ITIL |
| 88% (148) |
не имею сертификата |
Проголосовало 168 человек. Воздержалось 48 человек.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Комментарии (17)
olku
08.10.2015 17:45Добавлю, что COBIT — это фреймворк, детище ISACA, участвующее в сертификациях от этой организации. CISA — аудиторский сертификат информационных систем, к ИБ имеющий отношение лишь отчасти.
devzona
08.10.2015 19:15+1Если говорить о получение сертификата для Российский предприятий, то к обычно вероятность аттестации зависит от эквивалента затрат на на фуршет и подарки. Любая сертификация охватывает выполнение формальных требований. Выполнил требования, получил сертификат. Наличие сертификата у компании вовсе не дает никаких гарантии что там «все нормально». Потому что если возникнут проблемы, то все равно будешь разбираться через суд. А в судебном процессе имеет значение только законодательство РФ.
Если вы решили воспользоваться услугами какой то компании, то в первую очередь будете смотреть их сертификаты? Скорее всего первым делом проверите наличие обязательных лицензий, результаты регламентных годовых проверок(если доступно), и поинтересуетесь отзывами клиентов.
И только тогда примите решение связываться или не связываться.
Если говорить о наличие сертификата для ИТ-директора. То первое, у него должен быть диплом специалиста по ИБ, или документ гос образца о законченных курсах повышения квалификации. Второе, наличие подтвержденного опыта работы в области ИБ. Третье, наличие рационального мышления без «профессиональных замашек». И все, больше ничего не нужно.
evmenkov
09.10.2015 10:43-1Печаль печаль.
Если есть возможность, то лучше ориентироваться на работу на западные организации. Там даже не понимают, о чем ты, когда пытаешься рассказать о реалиях славян.
numberfive
09.10.2015 15:09+1«Если говорить о наличие сертификата для ИТ-директора. То первое, у него должен быть диплом специалиста по ИБ, или документ гос образца о законченных курсах повышения квалификации. Второе, наличие подтвержденного опыта работы в области ИБ.»
Для ИТ-директора ничего этого не нужно, достаточно поверхностных знаний в ИБ и наличия рационального мышления.
А уж потом, в компаниях, которым позволяет зрелость, этот директор найдет себе ответственного за ИБ и будет предъявлять к нему профильные требования.
А если зрелость не позволяет, то никакие сертификации не нужны, это десятый приоритет.
devzona
08.10.2015 19:20+2Тут должна быть эта картинка
evmenkov
09.10.2015 10:42+1В статье, на мой взгляд, совсем уж поверхностно описано.
Во-первых, лучше не смешивать сертификации специалистов и организаций. Это разные области, и в каждой столько нюансов, что закачаешься.
Во-вторых, ну что же это за классификация, особенно по специалистам?
Вот навскидку пару ссылок:
lukatsky.blogspot.com.by/2012/04/blog-post_13.html
80na20.blogspot.com.by/2015/03/blog-post_9.html
Ну и the best, то что нужно для желающих развиться в ИБ: www.securitycurrent.com/en/ciso_journal/ac_ciso_journal/path-to-a-career-in-cyber
PS и да, ITIL слабо применим к теме ИБ, несмотря наличие внутри секции с таким названием. Там по сути ссылки на ИСО 27001. Про ITIL Foundation не упомянули, и правильно:)numberfive
09.10.2015 15:11-1В посте собрали и стандарты систем менеджмента, и профессиональные сертификации специалистов по ИТ, и ИБ, и фреймворки контролей.
У автора не было цели донести до людей интересную информацию, он просто хотел поторговать лицом работодателя.evmenkov
09.10.2015 15:25+1Ну могли бы приложить чуть больше усилий и сделать более качественный обзор.
А так, для любого, кто немного понимает, антиреклама получается.
SAPetr
09.10.2015 19:14Уважаемый numberfive,
Информационная безопасность предприятия включает большой комплекс мероприятий, в т.ч. сертификацию сотрудников и сертификацию предприятия.
Согласно опроса в статье, первичная информация о международных сертификационных программах может быть интересна 88% проголосовавших (тем, кто не имеют никаких сертификатов).
Выбор сертификата всегда остается за предприятием и ИТ-специалистами (совместно или раздельно).numberfive
09.10.2015 20:08позволю себе не согласиться с тем, что хоть кому-то эта статья может быть полезной.
аргументы были выше.
сертификация предприятия по требованиям стандарта никак не влияет на информационную безопасность компании, она лишь показывает соответствие конкретным требованиям конкретного стандарта.
сертификация специалиста еще меньше влияет на ИБ компании.
что в списке делают COBIT, ITIL и CISA вообще не понятно.
простой поиск по ключевым словам на хабре дает гораздо более информативные статьи по сабжу.SAPetr
09.10.2015 20:28Уважаемый numberfive,
Полезность статьи (кроме собственного мнения), также можно определить по количеству пользователей, добавивших материал в избранное. Соответственно, выводы можно делать на основе разных показателей.
numberfive
— ITIL (особенно foundation) для ИБ не нужен
— COBIT в россии не востребован
— Остальные худо-бедно мелькают в резюме. из них ISACA и ISC хоть как-то признаны ИБ сообществом в рф.
только сертификации специалистов не улучшают безопасность предприятий как таковых.
и посмотрел бы я на руководителя предприятия, который решил сдать что-то из списка (кроме ITIL).