Le marché du travail actuel pour les entreprises informatiques peut difficilement être qualifié d'intéressant et diversifié. Cependant, même dans ce document, vous pouvez répondre aux exigences pour que les employés aient un certificat CISSP. Cette certification est la norme de facto en Occident, mais Sergey Polunin, un employé de notre entreprise, a partagé comment obtenir ce certificat en Russie.
En fait, la décision d'obtenir le CISSP a été prise en 2017, lorsqu'il est devenu évident que les certificats professionnels des grands fournisseurs avaient finalement cessé de remplir leur fonction principale - confirmer les connaissances et l'expérience des spécialistes. Cela est dû à la collecte de décharges, au niveau général des questions dans les tests, à la malhonnêteté des centres de test et à de nombreux autres facteurs objectifs et peu nombreux.
J'ai toujours considéré le processus d'obtention de certificats comme une opportunité d'acquérir des connaissances sur le bon produit ou la bonne technologie. Parce qu'il n'y a pas de meilleur moyen de combler les lacunes de l'éducation que de suivre les conseils du gourou et de lire d'un bout à l'autre, tout en faisant les exercices. Et il en fut ainsi pendant un certain temps, jusqu'à ce que les guides officiels commencent à glisser dans «cliquez sur le bouton dans le coin supérieur droit pour le faire fonctionner», ainsi que de la publicité franche. La situation n'est pas meilleure dans la plupart des centres de formation, mais c'est une tout autre histoire.
Que faire
En plus des certificats réels des fournisseurs, il existe également des systèmes de certification indépendants des fournisseurs, que je recommande de rechercher des spécialistes qui n'ont pas abandonné l'idée de développement indépendant et de croissance professionnelle.
En fait, j'ai déjà eu l'expérience de réussir un examen similaire en 2010, lorsque j'ai réussi CompTIA Security +. C'est une très bonne option pour un spécialiste novice pour évaluer son niveau et même élargir ses horizons dans certains domaines. CompTIA Secuity + est un tel blitz de 90 questions en 90 minutes. Soit dit en passant, l'examen est régulièrement mis à jour dès 2006 et contient à ce jour les tendances actuelles dans le domaine de la sécurité de l'information.
Vous avez donc décidé de devenir CISSP
Certified Information Systems Security Professional est une certification de sécurité des informations indépendante du fournisseur d'une organisation appelée International Information Systems Security Certifications Consortium (ISC) ². Il s'agit d'une organisation internationale à but non lucratif pour les tests et la certification de spécialistes dans le domaine de la sécurité de l'information.
Cette certification est apparue en 1991 et s'adresse aux consultants, architectes et analystes dans le domaine de la sécurité de l'information.
Le CISSP, comme vous pouvez le deviner, figure parmi les certifications les plus élevées dans le domaine de la sécurité de l'information.
De plus, au fait, il y a aussi le CISA (auditeur des systèmes d’information) et le CISM (responsable de la sécurité de l’information), mais maintenant ce n’est plus de leur ressort.
Donc, la décision est prise, nous commençons à chercher des matériaux pour la préparation et nous trouvons plusieurs sources:
Premièrement, le guide officiel officiel du CISSP (ISC) 2 Certified Professional Information Security Systems, James M. Stewart, Mike Chapple, Darril Gibson:
J'ai utilisé ce livre en particulier. En plus de cela, il existe une application pour Android / iOS avec un examen pratique. Ce ne sont pas des décharges, mais elles vous permettent d'évaluer et de ressentir la logique des questions.
Deuxièmement, le guide d'examen tout-en-un CISSP, Shon Harris:
Il s'agit d'un guide non officiel, mais un peu plus volumineux et, subjectivement, plus difficile à lire.
Troisièmement, il y a un petit livre «Eleventh Hour CISSP: Study Guide», Eric Conrad, Joshua Feldman, Seth Misenar:
Il s'agit d'un peu plus de 200 pages, ce qui serait bien à lire juste avant l'examen pour rafraîchir ce que vous lisez.
Et en plus de cela, il y a des cartes mentales sans fin, des notes, des diapositives des concessionnaires et des concessionnaires.
La principale chose qu'un spécialiste expérimenté peut apprendre de ces livres est de resserrer les termes. Quelle est la différence entre préventif et dissuasif? Qu'est-ce que l'ALE? Quel est le lien avec ARO et EF? Quelle est la différence entre la diligence raisonnable et la diligence raisonnable? Des questions similaires devraient disparaître au cours du processus de lecture.
Voici le moment de vous rappeler que tous les livres, bien sûr, en anglais et l'examen en général, signifient que vous avez 5 ans d'expérience rémunérée dans le domaine de la sécurité de l'information dans deux ou plusieurs domaines (plus à leur sujet ci-dessous). Il est peu probable que vous, le nom d'une telle expérience, ne puissiez pas maîtriser plus de 1000 pages en anglais.
Soit dit en passant, ces cinq années peuvent être réduites d'un an si vous avez une formation spécialisée dans le domaine de la sécurité de l'information, ou un certificat pertinent (oui, au moins le même CompTIA Security + ou MCSE. J'ai les deux, mais ils ne font que réduire le temps pendant 1 an).
Maintenant sur les domaines. Toutes les questions sont divisées en huit domaines, à savoir domaines:
1. Sécurité et gestion des risques
Ce module aborde les fondements théoriques de base de la sécurité de l'information: modèles de sécurité de l'information, Biba / Clark-Wilson ou Bell-LaPadula, «Information Security Triad», analyse et gestion des risques, approches de la gestion de la sécurité de l'information. Il touche à des questions d'éthique professionnelle et de législation.
2. Sécurité des actifs
Dans ce domaine, nous parlons d'actifs, et si vous posez déjà une question - sur les données. Thèmes principaux: gestion des données, classification, propriétaires des données, rôles, contrôle d'accès, stockage et destruction des données.
3. Architecture et ingénierie de la sécurité (ingénierie et sécurité architecturale)
Il s'agit apparemment du domaine le plus large en termes de sujets, car il y a ici la sécurité physique (alarmes, barrières, extinction d'incendie, etc.), et la cryptographie, et des solutions techniques spécifiques, et même les caractéristiques architecturales de divers modèles d'accès et leur mise en œuvre .
4. Communication et sécurité des réseaux
Probablement le domaine le plus pratique et le plus compréhensible où vous devez vous souvenir de SSL, TLS, HMAC, S-RPC, EAP, etc. Si des données sont transmises sur des réseaux, il y a une question à ce sujet dans le domaine spécifié.
5. Gestion des identités et des accès
Voici toutes les questions sur les utilisateurs du système et leurs informations d'identification. Nous rappelons en quoi l'autorisation diffère de l'authentification et tous ensemble de l'identification. Ensuite, nous examinons à quoi ressemble le cycle de gestion des comptes et comment l'authentification à deux facteurs peut nous aider.
6. Évaluation et tests de sécurité
Ce domaine aborde les problèmes pratiques des tests de sécurité. Pourquoi des scanners de sécurité? Qui est OWASP? Qu'est-ce qui menace un pentest sans la sanction du propriétaire de l'information?
7. Opérations de sécurité
C'est le domaine le plus ennuyeux de tous les domaines où les aspects pratiques de la routine quotidienne du département de la sécurité de l'information sont étudiés - enquête sur les incidents, traitement des demandes, étiquetage des médias, séparation des fonctions et des pouvoirs, gestion du changement, etc.
8. Sécurité du développement logiciel
Le domaine semble un peu étranger car il prend en compte toutes sortes de choses comme SDLC, PERT, Agile et d'autres modèles de développement logiciel. Mais en fait, le CISSP devrait être compétent dans tous les aspects de la sécurité de l'information, vous devez donc vous y plonger. Aucune compétence de programmation spécifique n'est requise ici, mais qui sait ce qu'ils devront faire un jour.
Dans une certaine mesure, j'ai eu de la chance - je suis vraiment intéressé par mon métier, et la plupart des sujets n'ont soulevé aucune question supplémentaire, à l'exception peut-être du dernier domaine. Il n'y a rien de difficile dedans, je ne l'ai tout simplement pas rencontré dans la pratique.
S'inscrire à l'examen
L'examen est passé dans le système familier de nombreux tests Pearson VUE, où ils passent les mêmes examens Cisco ou Microsoft. Cependant, l'astuce est que tous les centres de test ne passent pas cet examen. À Saint-Pétersbourg, par exemple, il n'y a qu'un seul centre de ce type. Le fait est que les centres de test qui passent l'examen CISSP ont des exigences plus strictes que d'habitude. Par exemple, lors de l'inscription auprès d'un centre de test, une identification biométrique est nécessaire en fonction de la configuration des veines de la paume; en conséquence, le centre de test doit disposer de l'équipement approprié.
Vous ne pouvez rien emporter avec vous, sauf les médicaments nécessaires et, peut-être, quelque chose à manger. Mais n'oubliez pas d'apporter un document d'identité avec vous.
À l'examen
Le jour fixé, nous arrivons au centre de test, passons par les formalités et nous asseyons devant l'ordinateur. Le test se compose de 250 questions dans tous les domaines. On lui donne 6 heures, il n'y a pas de pause. De plus, il n'y a pratiquement pas de questions sur la connaissance des concepts, des faits ou des définitions. La plupart des questions visent à tester la connaissance des meilleures pratiques, méthodologies et normes. C'est-à-dire une question peut avoir toutes les réponses logiquement correctes, mais une seule répond à la norme. Par exemple, si parmi les réponses il y a quelque chose sur «assurer la sécurité physique des personnes», alors cette réponse est toujours correcte.
J'ai réussi quelque part en 3,5 heures, et c'est très bien, car après deux heures de dur labeur, mon attention se dissipe progressivement, la logique cesse de fonctionner. Mais le bon sens et l'expérience sont inclus, ce qui nous permet de filtrer les réponses manifestement fausses et de choisir la plus précise parmi les autres.
Donc, nous arrivons à la dernière question, cliquez sur "Terminer" et enfin ... rien, en fait, ne se passe. Vous devez vous adresser à l'administrateur du centre de test, qui émettra une impression avec félicitations. Ou avec une notification que l'examen n'a pas été réussi, et vous devrez payer un nouveau 699 $ pour une autre tentative. En même temps, si l'examen n'est pas réussi, l'impression indiquera combien de points ont été marqués et combien n'ont pas été suffisants.
J'ai réussi la première fois, malgré le fait qu'il ait fallu environ trois mois pour se préparer. J'ai lu d'innombrables histoires sur la façon dont les gens ont passé cet examen 3-4 fois, et préparé mentalement pour le même scénario. Cependant, tout s'est avéré plus simple, ce n'est apparemment pas en vain que les exigences indiquent une réelle expérience de travail.
Ma déception face à la «complexité» de cet examen a été partagée par plusieurs collègues étrangers. De plus, chacun pour sa propre raison: quelqu'un a été bouleversé par la simplicité de l'examen (ils ont passé tellement de temps à se familiariser avec le droit international, le RGPD et les amendements à la constitution américaine, mais il n'y avait que 3 questions sur ce sujet), et quelqu'un a été isolé de la vie réelle (ni un travail de laboratoire!).
Mais ce n'est pas le but de l'examen. Il est conçu pour avoir «un mile de large, mais un pouce de profondeur». Le candidat doit montrer ses vastes horizons dans le sujet, ainsi que comprendre quels processus métier sont cochés dans les paramètres Active Directory et quelles politiques implémentent les tables de routage. Le CISSP doit aimer l'approche processus et commencer à penser en tant que manager dans le bon sens du terme.
Et ensuite
Ainsi, l'examen a réussi et vous êtes devenu CISSP (haha, en fait, non). Maintenant, votre expérience devrait être confirmée par quelqu'un du CISSP existant. Il peut s'agir d'un collègue, d'un ami ou même d'une personne complètement inconnue - nulle part dans les règles n'indique le type de relation que vous devriez avoir avec lui.
Ensuite, vous devez adopter le Code d'éthique (ISC) ² (https://www.isc2.org/Ethics), attendre une autre lettre de confirmation et enfin obtenir le statut convoité. En fait, juste pour un an. Le fait est que le statut CISSP doit être confirmé chaque année. Vous n'avez pas besoin de passer un nouvel examen, mais le mécanisme CPE (Formation professionnelle continue) fonctionne, c'est-à-dire formation professionnelle continue. Pour ne pas perdre le statut de CISSP, vous devez participer à la vie de la communauté de l'IB: écrire des articles, participer à des événements, donner des conférences, s'auto-éduquer ou au pire écouter des podcasts thématiques. Pour chaque type d'activité, des points sont attribués. Vous devez composer au moins 40 par an, ce n'est que dans ce cas que le statut sera prolongé.
Qu'est-ce qui ne va pas?
Il devient rapidement clair que seuls vous et quelques collègues connaissez l'existence du CISSP. Ces lettres cryptiques n'apparaissent pas dans les titres d'emploi, sauf s'il s'agit bien sûr d'une entreprise étrangère, où les CISSP sont souvent une condition préalable à une invitation à un entretien. Ce n'est ni bon ni mauvais, ce sont les réalités du marché russe de la sécurité de l'information. Nous ne possédons pas nos propres certifications et le diplôme de l'enseignement supérieur dans le domaine de la sécurité de l'information reste le seul document pertinent.
Cependant, le prestige de la profession diminue progressivement, et les candidats préfèrent des spécialités plus avancées et plus attrayantes sur le plan social, et les diplômés universitaires qui viennent de plus en plus souvent interviewer ne peuvent pas formuler exactement ce qu'ils font depuis 5 ans dans les murs de leur alma mater.
Le paradoxe est différent - le nombre de CISSP, CISA et CISM certifiés dans la Fédération de Russie augmente progressivement, ce qui signifie que tout n'est pas perdu.
Le blog de Sergey en anglais peut être lu
ici .