Bankir.Ru
9 декабря, пятница 03:07

Объявление

Свернуть
Пока нет объявлений.

Cissp или сертификация в области информационной безопасности

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Cissp или сертификация в области информационной безопасности

    Уважаемые коллеги, не так давно в Москве состоялся первый экзамен на звание CISSP для профессионалов в области информационной безопасности. Позвольте узнать Ваше мнение, - "Нужны ли Банкам подобные специалисты?" и "Нужна ли подобная сертификация российским специалистам?".

    Спасибо.

    С уважением, Александр
    AlexN

  • #2
    alexn
    Почитайте приложение CSO к CIO за июнь 2003 года, там есть статейка анонимного америкаца "Надежен ли сертификат CISSP".
    Жить надо так, чтоб тебя помнили сволочи!

    Комментарий


    • #3
      Читал. Более того, написал согласительный отзыв, который не опубликовали. Точнее опубликовали, только к другой статье http://www.osp.ru/cw/2002/15-16/012_1.htm На мой взгляд, тенденция соответствовать их стандартам набирает силу, посему и интересуюсь настроением масс. Только, полагаю, многие и не знают, что это за зверь такой, этот CISSP.
      AlexN

      Комментарий


      • #4
        Ссылка на упомянутую статью http://www.osp.ru/cio/cso/2003/02/017.htm
        AlexN

        Комментарий


        • #5
          alexn
          "Нужны ли Банкам подобные специалисты?" и "Нужна ли подобная сертификация российским специалистам?".
          Специалисты - нужны однозначно. Сертификация - тоже. Но не эта, ибо мы не в Америке. Во всех буржуйских тестах по инфобезу проверяются скилы, которые здесь нафиг не нужны, зато нужные вещи не спрашиваются. Я пересмотрел кучу опросников (в т.ч. Brainbench, SkillDrill и т.п.) - картинка везде одинакова. Надо делать свои критерии (естесвенно, воспользовавшись ИХ опытом).
          Earl Vlad Drakula. ///

          Комментарий


          • #6
            День добрый, Влад. Простите, не соглашусь с Вашей оценкой. Знания, тестируемые CISSP, на мой взгляд, вполне востребованы, более того соответствуют стандартам Российского высшего образования. Только CISSP это некоторая система поверхностных взглядов, framework, если угодно. Книги, которыми я руководствовался при подготовке к экзамену вполне можно читать на первом курсе, предмет обозвать "Методология (или комплексная – это слово любимо российскими специалистами) защиты (а) информации". Создать свой собственный стандарт сертификации специалистов, полагаю, задача неподъемная. Да и к чему нужен документ, известный только в России (при мировой интеграции)? А вот поднять уровень "золотого стандарта" было бы неплохо.
            AlexN

            Комментарий


            • #7
              alexn
              На мой непросвещенный взгляд статус CISSP имеет получить в следующих случаях:
              - потешить свое самолюбие ("хочу проверить свои знания", "хочу быть в кругу избранных", "а у других такой бумажки нет")
              - есть желание уехать за рубеж
              - хочется получать большую зарплату или есть карьерные устремления.

              С точки зрения специалиста данный статус дает не очень много, т.к. в России своя специфика (несмотря на мировую интеграцию). Многие темы экзамена (физическая безопасность, законодательство и т.д.) в России вообще неизвестны и не нужны. Например, мне не надо знать американское законодательство в сфере ИБ. Также как и знать типы ИХ огнетушителей (из домена Physical Security). Зачем?

              Куда лучше создать действительно российскую систему сертификацию, которая бы:
              - учитывала наши реалии,
              - была бы у нас известна и ценилась (а то куда это годится – всего 5 CISSP в России),
              - поддерживалась ГТК, ФСБ и МО
              - стоила бы меньших денег.

              И, кстати, задача это вполне подъемная.

              Алексей

              Комментарий


              • #8
                Ну что, Вы Алексей, право. К чему такое уничижение "на мой непросвещенный взгляд"? К чему излишняя скромность? Не хочу утомлять коллег бессмысленной дискуссией, но ранее Вы, кажется, выражали несколько иное мнение http://www.infosec.ru/press/pub/p112.htm, не так ли? Ну а число CISSP в России будет очень и очень быстро расти, я думаю. Пока, соглашусь с Вами, сдать экзамен = потешить самолюбие, не более. Но насколько необходима своя система сертификации в России, - вопрос. Как Вам нет нужды руководствоваться американским законодательством, так и мне нет никакого дела до РД Гостехкомиссии или Закона об информации, информатизации и ЗИ. Проверять знание столь же не востребованных и устаревших, но "родных" документов, на мой "непросвещенный взгляд", не менее бессмысленно. Кроме того, упомянутые Вами уважаемые ведомства так и норовят воспользоваться разработками "вероятного противника". Почему их бурная научная деятельность сводится к переводу зарубежных стандартов, а практическая, - к обиранию коммерческих организаций посредством существовавших систем сертификации и лицензирования (это мое частное мнение)? Страшно представить этих "сертифицированных специалистов" от МО, ГТК и ФСБ. Печальная получается картина, впрочем, может быть я пессимист…

                P.S. Принципы действия и сравнения огнетушителей вполне соизмеримы, название же роли не играет.
                AlexN

                Комментарий


                • #9
                  alexn

                  В упомянутой заметке (кстати, в ссылке - лишняя запятая) автор никак не высказывает своего отношения к сертификации, а просто говорит, что она есть "теперь и в России".

                  Продолжая аргументировать. Если Вам лично не нужно знание РД ГТК, это не значит, что оно не нужно никому. Можно ругать эти документы ( и я первый подпишусь под руганью ), но пока мы живем в этой стране, мы живем по ним. А вот правила пожарной безопасности в США мне точно не нужны. Если эта сертификация замахивается быть международной, она не должна ориентироваться на документы для отдельно взятой страны. Либо должны быть адаптированные варианты для каждой правовой зоны, либо (это более приемлемо) тест должен быть ориентирован исключительно на международные документы.
                  Кстати, в этом плане лучше делать упор на документы Евросоюза, ибо американские страдают теми же проблемами, что и российские. В частности, вопросы privacy не отображены толком ни там, ни там, а в европейский документах этому уделяется большое внимание.
                  Earl Vlad Drakula. ///

                  Комментарий


                  • #10
                    alexn

                    Насчет "другого мнения". Я в этой статье писал, что система сертификации CISSP больше всех признана... но не в России. Расти признание может и будет, но пока в России не будет десятков CISSP ни о каком признании говорить не приходится. Сейчас сайт CISSP выдает всего 5 человек в России, имеющих такую бумагу - из них 3 работают в представительствах западных компаний.

                    Насчет наших документов. РД нужны во многом гос.структурам - они основные их потребители. Для коммерческого потребителя есть адаптированные к России "Общие критерии". Про криптографию я вообще не говорю.

                    Что касается ведомств, то я имел ввиду, что идеально, если бы отечественная система сертификации была признана этими ведомствами, чтобы не было ситуации, когда ISC2 разработав CISSP, дублирует аналогичную систему для АНБ.

                    А название играет большую роль, т.к. ошибка в ответе на тесты CISSP могут привести к его несдаче.

                    Комментарий


                    • #11
                      Упс… По порядку. Во первых, я по РД не живу. Более того, не руководствуюсь ими, и за пятилетний опыт работы в банках такой необходимости не возникало. Во вторых, при сдаче CISSP тестируются не "правила пожарной безопасности в США", но знания о типах систем пожаротушения и уместности их применения в тех или иных случаях. В третьих, упор сделан именно на международные документы. Ну а то, что туда не попали наши шедевры, - не велика беда. В четвертых, число CISSP будет расти, так как экзамены стали принимать в России. Полагаю, расширение числа избранных с 5 до… 10-15, а то и 20 состоится в ближайшее время (после завершения бюрократических процедур ISC2 в отношении успешно сдавших экзамен). В пятых, вот Вы и вспомнили "общие критерии", фигурирующие в экзаменационной программе (про криптографию я тоже не говорю). В шестых, отечественная система сертификации все это время занималась исключительно своей дискриминацией.
                      AlexN

                      Комментарий


                      • #12
                        alexn

                        По порядку. Как уже сказали я и Влад, если вы не живете по РД, то это не значит, что по ним не живут другие. По ним живут и еще как. Возможно, что число живущих по ним, существенно больше, чем неживущих. В т.ч. и в банках учитывают требования РД (особенно после принятия СТР-К и грядущих изменений в сфере ИБ в России).

                        При тестировании CISSP применяется терминология и сленг, принятый в США, не в России. И мне позволительно и необязательно его не знать.

                        В-третьих, международные документы - это хорошо. Но не для России. В России таких документов пока раз-два и обчелся. "Общие критерии" и то адаптированы для нас. А профили вообще разрабатываются с нуля в родном отечестве. То что туда не попали шедевры - не беда ISC2, но беда наша. Точнее тех специалистов, которые сертифицируются по CISSP. Как говорится "незнание законов не освобождает от ответственности за их невыполнение".

                        Расти будет, но как быстро. 20 и даже 50 CISSP в России - это капля в море. Отечественная система сертификации смогла бы охватить куда больше специалистов.

                        "Общие критерии" я вспомнил. Только по ним пока никто не живет у нас. Вот когда заживут, тогда и будем про них говорить.

                        И шестое. В России нет системы сертификации специалистов. Есть сертификация СЗИ. Поэтому можно создать прекрасную систему обучения и сертификации, основываясь на всех плюсах CISSP, CISA, GCIA и т.п. и отбросив все недостатки.

                        Комментарий


                        • #13
                          Безусловно, сертификация СЗИ и лицензирование видов деятельности. И "прекрасная система обучения и сертификации" будет калькой существующего безобразия. "Не жить", - не значит не знать. В России достаточно вузов, подготавливающих специалистов в области информационной безопасности в соответствии с государственным стандартом, в том числе отражающим российскую специфику (одобренным ФСБ, ГТК). Вам этого не достаточно? Хотите их сертифицировать по второму кругу?
                          AlexN

                          Комментарий


                          • #14
                            alexn

                            Система сертификации специалистов будет калькой только в одном случае - если ею займутся гос.структуры. Чтобы этого не было, надо пойти по пути ISC2 - создать такую систему коммерческой организации, точнее какому-нибудь АНО.

                            А про ВУЗы говорить не надо. Это именно калька, которая вобрала в себя все недостатки государственной системы. Ничему реальному в ВУЗах не учат, хотя и дают теоретическую подготовку.

                            Комментарий


                            • #15
                              Простите, Алексей, но кроме корыстной позиции "Информзащиты" ничего иного я не вижу. Не надо уничижать ВУЗы. Экзамен в любом случае носит теоретический характер. И кто, скажите, Вам все это время мешал создать систему сертификации специалистов ЗИ? Или сотрудничество с ISC2 не получилось, надо срочно создать рынок для себя? А нужно ли это кому-нибудь, кроме Вас? Обратите внимание, форум находится на сайте bankir.ru И много "банкиров" приняло участие в дискуссии?
                              AlexN

                              Комментарий


                              • #16
                                alexn

                                А причем тут вообще "Информзащита"? Я что, где-то проталкиваю интересы "Информзащиты"? Не надо ставить знак равенства между мной и компанией, в которой я имею честь трудиться. Я достаточно самостоятелен, чтобы быть самостоятельным и говорить то, что думаю я, а не компания.

                                А про ВУЗы я могу писать, т.к. знаю ситуацию не понаслышке и сталкивался с "профессионализмом" и преподавателей и студентов, вышедших после 5 лет обучения по специальности "защита информации".

                                Экзамен не в любом случае носит теоретический характер. Посмотрите на экзамены Cisco CCIE или GIAC Intrusion Analyst. Там практики процентов 70-80. Кроме того, даже теоретический экзамен может быть построен по-разному. Можно попросить человека привести формальное описание модели Вилсона-Кларка или Белла-Лападулы, а можно попросить его привести основыне проблемы с безопаностью CGI- или ASP-скриптов.

                                Комментарий


                                • #17
                                  буквально не могу молчать 8-))
                                  право забавно читать данный тред. просто что сразу напрашивается:
                                  вопрос "а сколько банкиров в нем участвует". ответ - ровно треть.
                                  нужна ли сертификация. это даже не ворос - нужна. но нужна ли она по CISSP это вопрос совсем не праздный. ИМХО не нужна. категорически присоединяюсь к предыдущему оратору насчет адаптации. это касается и наиболее близких мне тем - крипто и физическая защита объектов. по крипто и речи не идет, т.к. ГОСТы по какой то загадочной причине там вообще не упомянуты, а насчет "физики"... приведу пример - сделали, отбиваясь от гнуса, ребята (американские) защиту периметра на северах, а зимой приехали по рекламации. половина датчиков просто сдохла, а оставшиеся в живых, вместе с колючей проволокой, были надежно защищены сугробами.
                                  невозможно такие вещи предвосхитить, поэтому мне более близка позиция российских учебных центров, оборони Бог, не про "информзащиту" речь (дабы меня не обвинили в лоббировании 8-) ), которые читают курсы на основе российских РД и практического опыта.
                                  не знаю, как там в столицах, но здесь, ПОСЛЕ всех сертификатов я спрашиваю, а где ты, мил друг, работал и где объекты, защищенные твоей недрогнувшей рукой? и если мне начинают блеять о сертификации, я понимаю, что МНЕ из него придется делать специалиста. это именно та позиция, через которую я сам прошел после института. нифига в отчинах и дединах не меняется.
                                  никого не хотел обидеть, но мне кажется эта тема слегонца надуманной

                                  Комментарий


                                  • #18
                                    Нет, просто я не вижу иной причины для развития системы сертификации специалистов ЗИ в России, кроме как кому-то заработать денег (да и работаете Вы в компании, цель которой продавать услуги в области ИБ). Оправдания такой необходимости отсутствием в CISSP РД и присутствием названий "их" огнетушителей неубедительны. Мы обсуждали CISSP, а не GIAC и уж совсем не CCIE. И не надо рассказывать про "профессионализм" студентов и преподавателей, а то, боюсь, найдется немало желающих рассказать про "профессионализм" сотрудников профильных консалтинговых компаний. Итого, я против "самостийной российской сертификации" памятуя о том, что у нас получается "как всегда", но за дальнейшее улучшение CISSP. И, знаете, Алексей о Вашем "непрофессиональном взгляде" я прочту еще не в одной статье, а вот мнение коллег-банкиров (скорее его отсутствие), которым, как оказалось, все эти сертификации далеко безразличны, было интересно узнать.
                                    AlexN

                                    Комментарий


                                    • #19
                                      пардоньте за неточность - пока я не встрял, банкиров было 2/3
                                      8-))

                                      Комментарий


                                      • #20
                                        MEZ

                                        Дабы не доказывать, что я не верблюд см. http://www.isaca.ru/forum?forum=7&thread=75

                                        Мой ник alexander.
                                        [/B]
                                        AlexN

                                        Комментарий


                                        • #21
                                          Не согласен с высказанным здесь суждением о том, что сертификация способствует карьерному и финансовому росту. Не обольщайтесь. Этот рост наиболее вероятен при переходе на новое место. При этом возникает две проблемы. С одной стороны сертифицированные специалисты нужны на исполнительском уровне. При подборе на руководящую должность роль сертификата мизерна (в большинстве случаев). С другой стороны при устройстве на интересную исполнительскую (не руководящую) работу, если вы грамотный да еще сертифицированный специалист, вы будете представлять угрозу для вашего потенциального непосредственного начальника.

                                          Комментарий


                                          • #22
                                            Уважаемый alexn! Вам не кажется, что вы заняли сейчас интересную позицию. Вы, скрываясь за ником, обвиняете меня в предвзятости, проталкивании интересов Информзащиты и непрофессионализме. Может вы назоветесь, чтобы мы разговаривали, зная друг друга? А вы так и высказали плюсов CISSP в России.

                                            Комментарий


                                            • #23
                                              Боже упаси, Алексей. Где Вы прочли у меня эти обвинения (быть может, лишь незначительное ерничество)? Я вовсе не скрываюсь. Зарегистрируйтесь на форуме и Вам будет доступна вся моя подноготная. Впрочем, мы с Вами знакомы уже не первый год.

                                              С уважением, Александр Невский

                                              P.S. Вы, кажется, кроме ника тоже себя "не называли"...
                                              AlexN

                                              Комментарий


                                              • #24
                                                Partner

                                                Во многих компаниях, со специалистами которых я общался, наличие сертификата влияет на размер зарплаты. А в западных компаниях и их представительствах здесь - влияет и на карьерный рост. Хотя это и не тенденция.

                                                alexn

                                                Здравствуйте, Александр!

                                                Обвинения читаются достаточно четко:
                                                да и работаете Вы в компании, цель которой продавать услуги в области ИБ

                                                Я не представляюсь в форуме, да и вообще, практически нигде, как сотрудник Информзащиты. Тем более, меня мало волнуют вопросы обучения и сертификации (как сотрудника Информзащиты).

                                                о Вашем "непрофессиональном взгляде"

                                                Что это, как не обвинение. Я ведь писал о "непредвзятом" взгляде.

                                                А оправдания про РД и огнетушители, как раз кстати. Я ведь неупоминал про другие непрописанные в CISSP темы. В сумме набегает достаточно, чтобы скептически относиться к этому статусу. Да, он повышает статус человека в своих и чужих глазах. Да, он позволяет получать большую зарплату. НО... этот статус требует дополнительного изучения российской специфики, без которой это не более чем красивая бумажка, востребованность которой осталется под вопросом (кроме представительств западных и особо продвинутх компаний, которых в России единицы).

                                                Комментарий


                                                • #25
                                                  ALuka Во многих компаниях
                                                  Здесь речь идет в основном о банках

                                                  Комментарий


                                                  • #26
                                                    Partner

                                                    Прошу прощения. Когда я писал "компании", я имел ввиду и банки тоже.

                                                    Комментарий


                                                    • #27
                                                      Алексей, ну разве Вы будете отрицать, что цель лучшей российской компании на рынке ИБ (без ерничества) в которой Вы имеете честь работать, - зарабатывать деньги на этом самом рынке? На мой взгляд, мнение человека зависит от того, продает он услуги или покупает. За "непрофессиональный взгляд" прошу прощения, и приношу извинения. Я был уверен, что написал "непросвещенный взгляд", цитируя Вас. Перегнул палку ;-) Мое отношение к качеству CISSP я выразил на форуме isaca.ru, - ссылка приведена выше (да и здесь я, кажется, не доказывал Вам, что это предел мечтаний квалифицированного специалиста). Я просто не разделяю идею создания российской системы сертификации специалистов ЗИ по уже упомянутым причинам. Я искренне не вижу такой необходимости и существенных отличий уникальных российских условий, научных знаний и опыта от того, как защиту информации преподносят "враги", ну разве что, - снега, гнус и медведи (да ведь и у них есть Аляска). Основной результат – тема банковскому сообществу не интересна, поэтому можно оставить не нужные споры…
                                                      AlexN

                                                      Комментарий


                                                      • #28
                                                        alexn

                                                        Я искренне не вижу такой необходимости и существенных отличий уникальных российских условий, научных знаний и опыта от того, как защиту информации преподносят "враги", ну разве что, - снега, гнус и медведи (да ведь и у них есть Аляска)
                                                        Таки можно я встряну?
                                                        Дабы не было непонятностей в части банкир/не банкир, профессионал/не профессионал: информационной безопасностью я занимаюсь с 1992 года, с 1994 года - это мое основное занятие (хотя вопросы режима и криптографии мне знакомы года с 86). Причем, с 94 года я работаю в банках и сейчас возглавляю отдел защиты информации банка "Северная казна".
                                                        Думаю, что мое мнение достаточно компетентно и попадает в целевую группу ("банкир") в свете выше сказанного.
                                                        Так вот, при рассмотрении претендентов при прочих равных условиях я отдам предпочтение не обладателю CISSP, а обладателю свидетельства о повышении квалификации/профессиональной переподготовке, полученной в российском учебном центре (лично для меня приемлемыми считаются Пензенский НУЦ и курсы при МИФИ; не хочу обижать остальных, просто не знаком с программой/качеством подготовки). Свидетельство того, что человек знает (и не факт, что умеет) как защищать информацию с американской спецификой для меня ничего не значит.
                                                        Мечта идиота: если бы в рамках АРБ была создана рабочая группа по разработке отраслевого стандарта информационной безопасности (с использованием наработок ISO17799, ISO15408), а также системы сертификации банковских спецов по IT-security, с последующим созданием структуры, производящей сертификацию специалистов и аудит банков на соответствие этим стандартам. Собственно, я так и написал в недавно разосланной АРБ анкете.
                                                        Earl Vlad Drakula. ///

                                                        Комментарий


                                                        • #29
                                                          alexn

                                                          1. Любая компания (даже ВУЗ) ставит перед собой цель - зарабатывать деньги. Даже ISACA, даже ISC2. Я не верю в альтруизм компаний. За любым меценатством (в 99,9999% случаев) стоит корысть. Либо желание дивидендов в будущем, либо имиджевая реклама.
                                                          2. Я еще раз повторюсь, что я выражаю свое мнение, а не мнение компании. Мало того, не раз было, что мое ЛИЧНОЕ мнение расходилось с мнением компании, за что я неоднократно получал по хребту.
                                                          3. Завязаться с ISC2 большого ума не надо. Также как и приглашать оттуда преподавателей, которые будут читать здесь курсы на родном английском языке. Вот создать что-то свое и не уступающее западному - это действительно задача, за которую пока никто не брался.

                                                          hugevlad

                                                          На одной из тусовок по банковской безопасности из уст одного выступающего прозвучало, что в России (имхо при АРБ) создается (точне уже создан) Общественный комитет по содействию внедрению технологий банковской безопасности (что-то вроде этого). Комитет планирует заниматься разработкой стандартов именно для банков. Деньги дает ЦБ.

                                                          Комментарий


                                                          • #30
                                                            ALuka

                                                            что в России (имхо при АРБ) создается (точне уже создан) Общественный комитет по содействию внедрению технологий банковской безопасности (что-то вроде этого).

                                                            Угу. АРБ недавно разослала анкеты по вопросам инфобеза. То, как она составлена, говорит о том, что они что-то подобное планируют создать.
                                                            Earl Vlad Drakula. ///

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X