Особенности и проблемы сертификации специалистов по информационной безопасности

Особенности и проблемы сертификации специалистов по информационной безопасности

Илья Сачков, руководитель направления аудита информационной безопасности ЗАО "КМБ-Банк", эксперт по информационной безопасности Group-IB

ГАЛОПИРУЮЩИЙрост рынка информационной безопасности (ИБ), а также "популярность" проблемы защиты информации являются причинами некоторых проблем, в частности проблемы обучения и сертификации специалистов. Российские университеты просто не поспевают за новыми технологиями и стандартами в области ИБ. Уже опубликовано много материалов на этот счет, да и практика жизни показывает, что окончание вуза не дает работодателю гарантий, что соискатель соответствует современным знаниям. Есть мнение, что сертификация по информационной безопасности - это один из вариантов решения проблемы.

Виды сертификации

Обычно выделяют два направления сертификации:

• вендорную, привязанную к конкретному продукту (Novell, Oracle, Microsoft, Kaspersky Lab, Cisco, Guardian Edge);
• обобщенную, являющуюся результатом обобщения знаний по ключевым доменам информационной безопасности (CISSP, SCP, CFE).

На самом деле правильней сначала разделить сертификацию по принципу "к кому она применима". Смысл в том, что многие из вендорных программ сертификации создавались не для конечных специалистов-администраторов, а для специалистов компаний-интеграторов и реселлеров решений по ИБ. Программы для интеграторов предполагают, что обладатель данного документа будет иметь необходимые знания для того, чтобы обеспечить внедрение продукта в компании. Программы для реселлеров делают акцент на основных преимуществах продукта, его особенностях, технических нюансах. В этом-то и проблема: в основном сейчас нужны люди, которые будут заниматься администрированием продукта. Поэтому к вендорным сертификатам стоит относиться очень осторожно. Предварительно, если вы ищете специалиста, стоит ознакомиться на сайте вендора с программой и понять, что человек, имеющий сертификат, действительно тот, которого вы ищете. Надо обратить внимание на рекомендуемое количество часов на подготовку, на форму проведения тестирования (некоторые тестирования можно проводить удаленно через Web-интерфейс). Вызывают уважения программы сертификации, отличающиеся от простых тестов: в них нужно на практике показать знания по инсталляции, администрированию и поддержке продукта (сертификация Guardian Edge).

Вендорная сертификация

Есть еще один недостаток вендорной сертификации: к сожалению, участились случаи нечестного получения сертификата. Для примера возьмем сертификацию от Microsoft. Многие, наверное, слышали нашумевшую историю, когда девушка семнадцати, если не ошибаюсь, лет, получила практически все возможные сертификаты Microsoft. И центр сертификации оставил все как есть, так как он получил свои деньги. Это называется DUMP. В p2p-се-тях можно найти новые вопросники практически на все тесты по сертификации. Решив их дома (а некоторые тесты и так уже с ответами), вы приходите на тестирование и по номеру вашего теста подставляете правильные ответы. К сожалению, российская действительность такова, что центры сертификации (даже самые известные и крупные) думают больше о своей прибыли, чем о смысле сертификации. Конечно, для кого-то, возможно, это и хорошо, что преподаватель помогает слушателям пройти тест, но с точки зрения профессиональной этики... Специалист, получивший сертификат, обязательно будет иметь повышенные требования к заработной плате, но они ничем не будут подкреплены с точки зрения профессиональных знаний.

Сертификация - дело добровольное

Если действовать профессионально, то можно поступить так, как это делает "Информзащита": здесь соискатель-кандидат проходит не простое тестирование-собеседование, а целую практическую лабораторную работу. Таким образом, в реальном времени можно определить квалификацию специалиста. Но этот подход будет работать только в крупных компаниях. Второе, изложенное выше решение - необходимо тщательно изучить информацию о смысле сертификата.

Не стоит также забывать, что сертификация - это вещь не обязательная, а добровольная, по крайней мере, в России (если вы хотите поехать работать по направлению ИБ на Запад, то некоторые сертификаты будут, скорее всего, обязательными). Знания, опыт, личные качества человека - вот что главное при работе специалиста в области ИБ в России. В заключение приведу список сертификаций, которые, на мой взгляд, проводятся обоснованно честно, имеют вес в мире и действительно подтверждают квалификацию специалиста:

• обобщенные: CISSP - Certified Information System Security Professional, SCP - Security Certified Professional;
• вендорные: Cisco, Guardian Edge.