Сертификации CompTIA для ИТ-специалистов. Часть 1 из 7: CompTIA A+
Сертификации CompTIA для ИТ-специалистов. Часть 4 из 7. CompTIA Security+
Сертификации CompTIA для ИТ-специалистов. Часть 6 из 7. CompTIA Storage+
Сертификации CompTIA для ИТ-специалистов. Часть 7 из 7. CompTIA CTT+ (Certified Technical Trainer)


1. Знакомство


Летом 2016 года одна из учебных компаний предложила мне участвовать в проекте массового обучения военнослужащих армии США, расквартированных на базах НАТО в Германии и Италии для реализации стратегии обеспечения национальных интересов США в киберпространстве.
В моем случае речь шла об обучении младшего и среднего командного состава разным аспектам обеспечения информационной безопасности (далее ИБ) в рамках исполнения директивы Министерства Обороны США 8570.01-M. Категории гражданских и военнослужащих затронутых этой директивой, в зависимости от выполняемых функций, должны подтверждать свою квалификацию в области ИБ своевременным получением и поддержкой международно-признаваемых сертификаций от ведущих американских операторов (рис. 1)

Рисунок 1. DoD Approved 8570 Baseline Certifications

Верифицированный опыт работы тренера, разговорный английский язык и (sic!) справка об отсутствии судимостей дали мне допуск к проведению авторских курсов подготовки к сертификациям CISSP, CISA и Security+, которые уже были у меня в наличии.

В предложенном на выбор списке курсов и дат обучения меня также заинтересовал 5-дневный 40-часовой курс подготовки к сертификации CASP от оператора CompTIA. Допуск к проведению этого курса мне не давали даже несмотря на наличие CISSP и CISA, поэтому пришлось оперативно подготовиться и получить эту сертификацию.

2. История


Сертификация CASP в номенклатуре сертификаций оператора CompTIA является самой молодой (если вспомнить, что Storage+ прекратила свое существование) и позиционируется как продвинутая по отношению к сертификации по основам ИБ Security+. Целевая аудитория CASP это архитекторы систем защиты, инженеры-конструкторы и технические писатели, чья работа требует:

a) понимания методологии проектирования автоматизированных систем в защищенном исполнении
b) и особенностей ее применения при использовании технологий конкретных производителей оборудования и программного обеспечения

Сертификация CASP как раз пытается покрыть первую часть этих требований без привязки к технологиям конкретного производителя и, судя по признанию МО США и взрывному росту вакансий на рынке труда США/ЕС/Gulf с требованиями наличия CASP, это ей удается.

В отличии от экспертных вендорнезависимых сертификаций вроде CISSP и CISA, требующих не только сдачи экзамена, но и подтверждения многолетнего опыта работы, CASP требует только сдачи экзамена в контролируемой среде авторизованного центра тестирование VUE. Но все же этот экзамен дорогой долгий и сложный.

3. Стоимость


Попытка сдачи экзамена стоит 416 долларов США, но уже простейший поиск в Google позволит вам легко найти код для 10% скидки на покупку ваучера для сдачи экзамена в онлайн-магазине CompTIA — далее вы просто тратите этот ваучер при заказе экзамена на портале провайдера услуг тестирования VUE

4. Продолжительность и формат


Экзамен длится 165 минут (плюс 30 минут если вы не носитель языка и сдаете экзамен не в англоязычной стране) и включает в себя до 90 вопросов. Актуальная на момент написания статья 2я версия экзамена с кодом CAS-002 включает в себя около 10 вопросов в формате Performance-based, предполагающем эмуляцию графического или интерфейса командной строки механизма защиты в широко распространенной ОС, браузере или сетевом оборудовании (вроде маршрутизатора Cisco) и заданием решить специфическую проблему. Также возможны вопросы в формате структурной схемы сети и задачей разработать дизайном защиты ее периметра в соответствии с требованиями сценария. Остальные вопросы представлены в формате Multiple-choice теста, в котором нужно выбрать все правильные ответы.

5. Домены


Экзамен CAS-002 проверяет знания и навыки кандидатов в 5 доменах знаний и навыков по организации и проведении обследований ИБ организации, оценке (качественной и количественной) рисков ИБ, а также разработке и реализации комплекса мер по минимизации выявленных рисков с акцентом на технические меры защиты.

Домен Enterprise security затрагивает разработку и применение технических мер защиты в части криптографии, защиты сетей и систем хранения данных, защиты периметра сети, хостов и бизнес-приложений.

Домен Risk Management and Incident Response акцентирует внимание на организационных мерах защиты: категорирование информационных ресурсов, качественная и количественная оценка рисков, разработка комплекта организационно-распорядительной документации по вопросам ИБ, а также плана реагирования на инциденты безопасности.

Домен Research Analysis and Assessments проверяет понимание методики обследования ИБ в организации, а также опыт в разработке системы метрик и показателей ИБ.

Домен Integration of Computing, Communications and Business Disciplines рассматривает особенности интеграции организационных, технических и физических мер защиты в единый комплекс, а также применение этого комплекса на разных этапах модели жизненного цикла автоматизированных-информационных систем.

Домен Technical Integration of Enterprise Components предлагает выявить необходимый минимум в понимании того как реализовать безопасную вычислительную среду при использовании облачной модели потребления ИТ-услуг.

6. Методика подготовки


Имея за плечами успешный опыт сдачи множества экзаменов в области ИБ, в экзамене CAS-002 я нашел массу пересечений с доменами CISSP, CISA и CEH. В то же время у меня выявился ощутимый недостаток знаний по методике реализации атак на бизнес-приложения, и практические навыки настройки сетевого оборудования Cisco в части пакетной фильтрации и работы с журналами аудита, поэтому я с удовольствием погрузился в бесплатный онлайн-курс подготовки к сертификации CASP от брутальной Kelly Hendermann на портале Cybrary — низкое качество съемки ее лекций и скупость учебного материала легко компенсировались харизмой и обширной эрудицией эксперта в ИБ. Для отработки практических навыков я использовал самоучитель, рекомендованный на сайте оператора сертификации — в нем присутствовали исчерпывающие инструкции по развертыванию виртуального стенда и несколько десятков интересных лабораторных работ.

7. Результат


Сдав экзамен я получил желаемый допуск к проведению курсов и подготовил к CASP уже 2 десятка военнослужащих от которых жду результатов. Ну и чтобы не обделить остальных предлагаю авторский курс в Киеве и Москве.

8. Перспективы


Относительно недавно МО США сделало CASP равнозначной экспертной сертификации CISSP от оператора (ISC)2 для некоторых позиций в Information Assurance Workforce. С учетом отсутствия необходимости подтверждать 5-летний опыт работы, а также вполовину меньшей ежегодовой суммы (50$ у CASP против 85$ у CISSP) членского взноса на поддержание сертификации, CASP становится очень привлекательным для сотрудников компаний ведущих деятельность с крупнейшей экономикой мира.

Также, для тех кто не читал другие статьи из цикла «Сертификации CompTIA», напоминаю, что во многих американских ВУЗах в программах бакалавриата\магистратуры, а также в рамках дополнительного профессионального образования сертификации CompTIA засчитываются, позволяя сэкономить время и деньги на обучение.

Жду вопросы по обучению и сертификациям CompTIA на почту.

» Видеозапись и презентация вебинара “Кому доверить информационную безопасность”:



» Презентация:



Курсы по информационной безопасности, которые ведет автор статьи (УЦ МУК — Киев)
Поделиться с друзьями
-->

Комментарии (2)


  1. alex_lakustov
    03.10.2016 13:33

    Все-таки интересует реальная ценность CompTIA сертификатов?


    1. pky
      03.10.2016 13:50

      По аналогии с другими признанными во всем мире сертификациями в области ИБ\ИТ вроде CISSP, CISA, CEH и др, CASP уже вписан в национальные стандарты обучения и сертификации США, а через систему международных стандартов распространен на все страны, находящиеся под их непосредственным влиянием. Востребованность подобной сертификации на рынке труда в этих странах непрерывно растет, а национальных (как минимум в СНГ) альтернатив даже не предвидится. Так что если хотите измерить и подтвердить свою квалификацию для западного рынка труда, то выбора у вас нет. Если же планируете жить и работать в РФ в госструктурах и\или компаниях зарабатывающих на госзаказе, то можете просто забыть про все эти сертификаты — их по политическим соображениям государство не признает.