Один из старейших и наиболее широко признанных сертификатов по информационной безопасности — CISSP (Certified Information Systems Security Professional, «Сертифицированный специалист по безопасности информационных систем»), выдаваемый (ISC)2 с 1994 года. Он фигурирует в объявлениях о вакансиях чаще всего. Изучив выборку объявлений на пяти крупнейших сайтах, посвященных поиску работы, я обнаружила, что более чем в 90 % из них упоминается CISSP как необходимая или предпочтительная квалификация соискателя. В некоторых прямо указывалось, что наличие этого сертификата обязательно, а большинство содержало фразу вроде «сертификат CISSP или эквивалент».

Итак, что же собой представляет программа сертификации CISSP? Эта широко признанная программа охватывает темы по следующим восьми дисциплинам или областям знания:

— управление безопасностью и рисками;

— безопасность активов;

— архитектура и проектирование систем безопасности;

— коммуникации и сетевая безопасность;

— управление идентификацией и доступом (IAM);

— оценка безопасности и тестирование;

— операции по обеспечению безопасности;

— безопасность разработки программного обеспечения.

Как видите, в программе сертификации CISSP есть несколько весьма масштабных тем, а потому этот сертификат актуален практически для любого специалиста по кибербезопасности. Однако сложность его получения не ограничивается необходимостью продемонстрировать обширные знания при сдаче экзамена. Человек также должен подтвердить пятилетний опыт работы как минимум в двух направлениях. Это служит залогом того, что сертифицированные специалисты не просто прошли интенсивный подготовительный курс, а способны применять знания и навыки в реальных ситуациях.

(ISC)2 прилагает большие усилия, чтобы гарантировать квалификацию обладателей ее сертификатов. Помимо соответствия основным условиям от специалистов она также требует, чтобы они подтверждали свое участие в программе непрерывного профессионального образования. Обладатели сертификатов CISSP должны пройти как минимум 120 часов обучения в рамках таких программ в течение трех лет, притом зарегистрировать их в (ISC)2. Так организация сможет проводить аудит, чтобы гарантировать их соответствие утвержденным стандартам.

Наконец, давайте поговорим о стоимости. Эти сертификаты не бесплатны. Вам придется отдать деньги не только за прохождение экзамена и сам сертификат, но и за подготовительный курс или учебные материалы. На момент написания книги стоимость сдачи экзамена CISSP составляла 699 долларов США. Это немало, особенно для тех, кто только начинает карьеру. Ежегодная плата за подтверждение сертификата составляет 85 долларов. Стоимость подготовительных курсов сильно варьируется в зависимости от поставщика услуг, но может достигать 3000 долларов. Это большие деньги, которые необходимо потратить еще до начала работы.

Если вас как начинающего специалиста это устрашает, ничего удивительного. CISSP — престижное звание, присваиваемое признанным профессионалам в области информационной безопасности. Как видно из условий его выдачи и подтверждения, сертификат не подходит для тех, кто только входит в отрасль. Поэтому, увидев в объявлении о вакансии требование CISSP, имейте в виду, что получение этого сертификата — не тот путь, который вы можете выбрать на раннем этапе карьеры. Однако не расстраивайтесь: большинство объявлений содержит фразу «или эквивалент», на чем вам и следует сосредоточиться.

Теперь, когда вы осознали, что путь через сертификацию CISSP для начинающего профессионала нереалистичен, давайте поговорим о том, какие еще сертификаты вы можете получить, чтобы продемонстрировать свою квалификацию.

Сертификат CompTIA Security+ существует уже довольно давно, но получает гораздо меньше внимания по сравнению с CISSP. Эта программа, официально запущенная в 2002 году организацией CompTIA (www.comptia.orgохватывает следующие шесть направлений: [10] ),

— угрозы, атаки и уязвимости;

— технологии и инструменты;

— архитектура и дизайн;

— управление идентификацией и доступом;

— управление рисками;

— криптография и инфраструктура открытых ключей (PKI).

Несмотря на разницу в порядке тем, они в значительной степени пересекаются с темами программы CISSP. Цель CompTIA — оценить общие навыки, а потому ее сертификат актуален для широкого круга специалистов по кибербезопасности. На сайте CompTIA последняя версия этого экзамена описывается так: