CISSP
CISSP (Certified Information Systems Security Professional) — это профессиональная сертификация в области информационной безопасности, подтверждающая уровень знаний и компетенций специалиста по проектированию, внедрению и управлению комплексными программами кибербезопасности. Сертификация разработана и поддерживается Международным консорциумом по сертификации в области информационной безопасности (International Information System Security Certification Consortium, Inc., сокращённо (ISC)²) — некоммерческой организацией, основанной в 1989 году. CISSP признаётся одной из наиболее престижных и востребованных сертификаций в отрасли, часто упоминается как «золотой стандарт» для профессионалов в области информационной безопасности.
История и развитие
Сертификация CISSP была впервые запущена в 1994 году. Её создание было инициировано (ISC)² в ответ на растущую потребность в стандартизированной оценке знаний специалистов, работающих с критически важными информационными системами. Первоначально экзамен охватывал десять доменов знаний, которые с течением времени пересматривались и актуализировались.
В 2021 году (ISC)² провела масштабное обновление структуры экзамена, сократив количество доменов с десяти до восьми. Это было сделано для отражения современных реалий кибербезопасности, включая облачные технологии, DevOps и управление идентификацией. Последнее крупное обновление содержания (2024 год) затронуло вопросы искусственного интеллекта, кибербезопасности в цепочках поставок и нормативных требований, таких как GDPR.
Структура сертификации
Домены знаний
Экзамен CISSP охватывает восемь доменов, которые в совокупности формируют так называемый «Общий свод знаний» (Common Body of Knowledge, CBK):
- Безопасность и управление рисками (Security and Risk Management) — 16% вопросов. Включает принципы конфиденциальности, целостности и доступности (CIA-триада), управление рисками, соответствие нормативным требованиям, этику (Кодекс этики (ISC)²) и юридические аспекты.
- Безопасность активов (Asset Security) — 10% вопросов. Охватывает классификацию данных, управление жизненным циклом информации, защиту конфиденциальности и методы обеспечения сохранности активов.
- Архитектура и проектирование безопасности (Security Architecture and Engineering) — 15% вопросов. Включает модели безопасности (например, Bell-LaPadula, Biba), криптографию, управление физической безопасностью и проектирование защищённых систем.
- Безопасность коммуникаций и сетей (Communication and Network Security) — 13% вопросов. Охватывает сетевые протоколы, архитектуру, защиту каналов передачи данных, межсетевые экраны, VPN и системы обнаружения вторжений.
- Управление идентификацией и доступом (Identity and Access Management, IAM) — 13% вопросов. Включает методы аутентификации (пароли, биометрия, многофакторная аутентификация), авторизацию (RBAC, ABAC) и управление привилегиями.
- Оценка и тестирование безопасности (Security Assessment and Testing) — 12% вопросов. Охватывает стратегии тестирования (пентесты, аудит), сбор и анализ данных о безопасности, а также оценку эффективности мер защиты.
- Операции безопасности (Security Operations) — 13% вопросов. Включает управление инцидентами, реагирование на нарушения, аварийное восстановление, резервное копирование и физическую безопасность объектов.
- Безопасность разработки программного обеспечения (Software Development Security) — 10% вопросов. Охватывает безопасную разработку (DevSecOps), контроль изменений, управление уязвимостями в коде и защиту баз данных.
Формат экзамена
Экзамен CISSP проводится на английском, французском, немецком, испанском, японском, португальском (бразильском) и китайском (упрощённом) языках. Основной формат — компьютерное тестирование (CBT) через Pearson VUE. Экзамен состоит из 100–150 вопросов (в зависимости от версии) с максимальной продолжительностью 3 часа. Вопросы представлены в формате «множественный выбор» и «инновационные вопросы» (например, drag-and-drop, горячие зоны).
Сложность экзамена оценивается как высокая: проходной балл составляет 700 из 1000. В 2024 году, по данным (ISC)², средний уровень сдачи экзамена с первой попытки колебался в диапазоне 50–60%.
Требования к кандидатам
Для получения сертификации CISSP кандидат должен соответствовать строгим критериям:
- Опыт работы: не менее пяти лет совокупного оплачиваемого стажа в двух или более из восьми доменов CBK. Для кандидатов с высшим образованием (степень бакалавра или магистра) или дополнительной сертификацией (например, CAP, CISA) срок сокращается до четырёх лет.
- Подтверждение опыта: кандидат обязан предоставить резюме и подписать заявление о подтверждении опыта. (ISC)² проводит выборочные проверки.
- Этический кодекс: обязательное принятие и соблюдение Кодекса этики (ISC)².
- Поручительство: необходимо получить поручительство (endorsement) от действующего держателя сертификации CISSP. Если такого поручителя нет, (ISC)² может назначить стороннего поручителя после проверки.
Кандидаты, успешно сдавшие экзамен, но не имеющие требуемого опыта работы, могут получить статус Associate of (ISC)². Они обязаны накопить необходимый стаж в течение шести лет; в противном случае сертификация аннулируется.
Поддержание сертификации
Сертификация CISSP не является пожизненной. Для её поддержания держатели обязаны:
- Получать CPE-кредиты (Continuing Professional Education): не менее 120 кредитов за трёхлетний цикл (в среднем 40 кредитов в год). Кредиты начисляются за участие в конференциях, вебинарах, публикации, обучение и другие профессиональные активности.
- Оплачивать ежегодный взнос: Annual Maintenance Fee (AMF) — на 2024 год составляет 135 долларов США в год.
- Соблюдать Кодекс этики: нарушение может привести к отзыву сертификации.
Значение и признание
CISSP признаётся во многих странах мира как подтверждение высокого уровня компетенции. Сертификация часто упоминается в требованиях к вакансиям на позиции Chief Information Security Officer (CISO), Security Architect, Security Manager и Senior Security Consultant.
Сертификация соответствует стандарту ISO/IEC 17024 (требования к органам сертификации персонала) и аккредитована Американским национальным институтом стандартов (ANSI). В ряде стран, включая США и государства ЕС, CISSP признаётся государственными органами при аттестации специалистов по кибербезопасности. В России сертификация не является обязательной, но котируется в международных компаниях и проектах, связанных с экспортом услуг.
Критика и ограничения
Несмотря на высокий престиж, CISSP подвергается критике по нескольким направлениям:
- Широта охвата: экзамен охватывает множество тем, но не углубляется в детали. Критики утверждают, что он проверяет скорее «знание словаря» и общих концепций, чем практические навыки.
- Стоимость: экзамен стоит около 749 долларов США (на 2024 год), а ежегодные взносы и расходы на CPE-кредиты делают сертификацию дорогостоящей для индивидуальных специалистов.
- Акцент на менеджмент: сертификация ориентирована на управленческие и архитектурные роли, а не на технические (пентестеры, аналитики SOC). Для последних существуют более узкие сертификации, такие как OSCP или GIAC.
- Проблемы с актуальностью: некоторые критики отмечают, что обновление CBK отстаёт от быстро меняющегося ландшафта угроз (например, атаки на цепочки поставок, безопасность IoT).
Альтернативные сертификации
На рынке существуют другие сертификации, конкурирующие с CISSP в определённых нишах:
- CISM (Certified Information Security Manager) — акцент на управление и стратегию, менее технический.
- CISA (Certified Information Systems Auditor) — фокус на аудит и контроль.
- CEH (Certified Ethical Hacker) — техническая сертификация по этичному хакингу.
- OSCP (Offensive Security Certified Professional) — практическая сертификация по пентестингу.
- SANS GIAC — серия технических сертификаций от SANS Institute.
Интересные факты
- По состоянию на 2024 год, по данным (ISC)², в мире насчитывается более 180 000 держателей сертификации CISSP.
- Кодекс этики (ISC)² является обязательным для всех сертифицированных специалистов и включает четыре канона, первый из которых гласит: «Защищать общество, общее благо и доверие к профессии».
- Экзамен CISSP считается одним из самых сложных в области ИТ-безопасности: среднее время подготовки составляет 3–6 месяцев при интенсивном изучении.
Источники
- (ISC)² Official Website — «CISSP Certification Overview» (2024)
- «CISSP (ISC)² Certified Information Systems Security Professional Official Study Guide» — Mike Chapple, James Michael Stewart, Darril Gibson (10th Edition, 2024)
- «The CISSP Exam: A Critical Analysis» — Journal of Cybersecurity Education, Research and Practice (2023)
- ISO/IEC 17024:2012 — «Conformity assessment — General requirements for bodies operating certification of persons»
- ANSI Accreditation Records for (ISC)² (2024)
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →