13.04.2012

Сертификация специалистов по ИБ. Какая правильная?

Вопрос, вынесенный в заголовок, возникает, сколько я себя помню, регулярно. То на bankir.ru, то на professional.ru, то на Linkedin (одна из самых последних), а то и просто в частных беседах. Те, кто не имеет пока блях на груди, спрашивают у "гуру": "Ну какая же сертификация самая-самая?!" Гуру, почесывая в затылке, как правило отвечают - CISSP, CISM или CISA. А потом начинается флейм ;-) Так какая же правильная? Универсального ответа, к счастью, нет. Также как и нет ответа на вопрос "Кто такой настоящий безопасник?" Каждый сам принимает для себя итоговое решение. Но помочь его принять помогут следующие вопросы, которые задайте сами себе:
  • Что вам интересно сейчас? Пентестить? Писать код? Администрировать СУБД DB2? Копаться в Linux? Проводить аудиты на соответствие СТО БР ИББС? Быть начальником? Ответ на этот вопрос сразу направит вас в нужное русло. Кому-то подойдет CEH. Кому-то MCSE Security. Кому-то GIAC GCUX. Кому-то CCIE Security. А кто-то упрется рогом и пойдет учить 10 доменов CISSP. Каждому свое.
  • Что вам может быть интересно лет через 3-5? Может у вас есть какие-то устремления и мечты? Я вот когда-то хотел стать первым в России инструктором ISS. И стал им ;-) А потом от ISS я ушел и этот сертификат стал бесполезным ;-( Так что учитывайте этот момент. Ничто не вечно под луной.
  • Зачем вам бляха на грудь? Наверное, это самый главный вопрос, который надо задать. Тут ответов не так уж и много. В 2003-м году я написал статью для PCWeek "Нужен ли в России CISSP?" Прошло 9 лет, а вопрос так и висит в воздухе. Причин я тогда назвал 6 - подтверждение собственной квалификации, рост зарплаты, карьерный рост, обязательное требование работодателя, хвастовство и желание быть в "касте избранных". Сегодня я бы добавил седьмую причину (она часто называлась в дискуссии на Linkedin) - систематизация знаний. Не буду комментировать. Я считаю, что за исключением обязательного требования работодателя, всего остального можно достичь и без бляхи.

Если же все-таки вы не оставили этой идеи и хотите получить заветную бумажку, а потом мучаться вопросами: "Почему мне не подняли зарплату?" или "Куда б еще сходить, чтобы получить баллы для поддержания статуса?", то могу посоветовать посмотреть вот на эту схемку, разработанную Джошом Локнером. Он тоже задавался вопросом, вынесенным в заглавие.


Каждый выбирает для себя...

11 коммент.:

R@zor комментирует...

Александр Бондаренко, в своей презентации "Что важно знать будущему специалисту по информационной безопасности" на слайде "Сертификации..." на мой взгляд очень понятно написал:
- сертификация сама по себе не заменяет знания и опыт, НО всегда является дополнительным плюсом;
- чувство меры должно быть во всем!;
- сертификация не ради сертификации.

R@zor комментирует...
Этот комментарий был удален автором.
Шауро Евгений комментирует...

Мне больше нравится последняя версия - систематизация знаний.
Мне интересно, есть ли статистика по количеству сертификатов CISSP, CISA и CISM по России, чтобы можно было оценить "масштаб бедствия" по нашей отрасли.

doom комментирует...

2 R@zor

А я как-то услышал от одного тренера (правда касательно сертификата PMP): "Сертификат - как водительские права. С навыком вождения они коррелируют, но напрямую не связаны".

2 Шауро Евгений:

И, кстати, CISSP, конечно, хорош с точки зрения систематизации знаний, но знать HIPPA или SOX нашим специалистам надо явно ради общего развития - а у CISSP на подобные стандарты прицел очень сильный.

А еще есть вопросы к форме сертификации. Вот человеку со статусом MCA (Microsoft Certified Architect) я бы доверием проникся - потому что там форма сертификации такая.
CCIE у Cisco тоже достаточно весомая сертификация, но хуже - тест + искусственная лабораторка, это все равно не показатель.

revolt08 комментирует...

есть старый принцип: кто девушку угощает, тот ее и танцует. Перенесем его в профессиональную сферу. Если работодателю необходим специалист, то он его подготовит сам.
Можно долго говорить о самоподготовке, подготовился-пошел-сдал, но тут все упрется в финансовую составляющую. При зарплате 30к в месяц, найти в бюджете 76к на обучение (СЕН), а потом еще 11к на экзамен. А на экзамене еще спросят по каким материалам подготавливать? И что ответить, с интернета скачал?
А в целом, конечно, иметь CISSP/CISA/etc очень престижно. Кстати, господин Лукацкий, мне кажется что бляхи бляхами, но лицу без права вождения транспортным средством вы свое авто не дадите, пусть даже он в присутствии Вас проедет 100 км. Даже при наличии у него опыта. Так почему же Вы готовы передать лицу управление ИБ?

Алексей Лукацкий комментирует...

Doom, попробуйте сдать "искусственную" лабу CCIE Security ;-)

Алексей Лукацкий комментирует...

Revolt, водительские права ОБЯЗАТЕЛЬНЫ в отличие от сертификата ИБ. Не говоря уже о том, что права многие покупают и они давно уже не отражают умение водить и знание ПДД

doom комментирует...

Да я не сетевик - даже CCNA не сдавал ни разу :)

Но можно сравнить разницу - вот, что должен выполнить кандидат на MCA:
http://www.microsoft.com/learning/en/us/certification/architect.aspx#tab3 - это явно покруче будет.

Алексей Лукацкий комментирует...

У нас архитектор - это на один уровень ниже CCIE ;-) CCIE должен не только знать КАК проектировать (а это как раз архитектор), но и знать КАК настроить то, что запроектировано.

Алексей Евменков комментирует...

для меня сертификация наибольшую пользу принесла на этапе подготовке к ней, родимой. для получения своего CISM я полгода штудировал\анализировал\применял на практике разные источники, что конечно же сказалось на моем общем уровне.
ну а сейчас "бляха на груди" ничего не значит, по кр мере в моем случае.

Алексей Евменков комментирует...

кстати, почему на приведенной схеме нет CISM?