Открыть сервис

CISSP

CISSP (Certified Information Systems Security Professional) — это профессиональная сертификация в области информационной безопасности, подтверждающая уровень знаний и компетенций специалиста по проектированию, внедрению и управлению комплексными программами кибербезопасности. Сертификация разработана и поддерживается Международным консорциумом по сертификации в области информационной безопасности (International Information System Security Certification Consortium, Inc., сокращённо (ISC)²) — некоммерческой организацией, основанной в 1989 году. CISSP признаётся одной из наиболее престижных и востребованных сертификаций в отрасли, часто упоминается как «золотой стандарт» для профессионалов в области информационной безопасности.

История и развитие

Сертификация CISSP была впервые запущена в 1994 году. Её создание было инициировано (ISC)² в ответ на растущую потребность в стандартизированной оценке знаний специалистов, работающих с критически важными информационными системами. Первоначально экзамен охватывал десять доменов знаний, которые с течением времени пересматривались и актуализировались.

В 2021 году (ISC)² провела масштабное обновление структуры экзамена, сократив количество доменов с десяти до восьми. Это было сделано для отражения современных реалий кибербезопасности, включая облачные технологии, DevOps и управление идентификацией. Последнее крупное обновление содержания (2024 год) затронуло вопросы искусственного интеллекта, кибербезопасности в цепочках поставок и нормативных требований, таких как GDPR.

Структура сертификации

Домены знаний

Экзамен CISSP охватывает восемь доменов, которые в совокупности формируют так называемый «Общий свод знаний» (Common Body of Knowledge, CBK):

  1. Безопасность и управление рисками (Security and Risk Management) — 16% вопросов. Включает принципы конфиденциальности, целостности и доступности (CIA-триада), управление рисками, соответствие нормативным требованиям, этику (Кодекс этики (ISC)²) и юридические аспекты.
  2. Безопасность активов (Asset Security) — 10% вопросов. Охватывает классификацию данных, управление жизненным циклом информации, защиту конфиденциальности и методы обеспечения сохранности активов.
  3. Архитектура и проектирование безопасности (Security Architecture and Engineering) — 15% вопросов. Включает модели безопасности (например, Bell-LaPadula, Biba), криптографию, управление физической безопасностью и проектирование защищённых систем.
  4. Безопасность коммуникаций и сетей (Communication and Network Security) — 13% вопросов. Охватывает сетевые протоколы, архитектуру, защиту каналов передачи данных, межсетевые экраны, VPN и системы обнаружения вторжений.
  5. Управление идентификацией и доступом (Identity and Access Management, IAM) — 13% вопросов. Включает методы аутентификации (пароли, биометрия, многофакторная аутентификация), авторизацию (RBAC, ABAC) и управление привилегиями.
  6. Оценка и тестирование безопасности (Security Assessment and Testing) — 12% вопросов. Охватывает стратегии тестирования (пентесты, аудит), сбор и анализ данных о безопасности, а также оценку эффективности мер защиты.
  7. Операции безопасности (Security Operations) — 13% вопросов. Включает управление инцидентами, реагирование на нарушения, аварийное восстановление, резервное копирование и физическую безопасность объектов.
  8. Безопасность разработки программного обеспечения (Software Development Security) — 10% вопросов. Охватывает безопасную разработку (DevSecOps), контроль изменений, управление уязвимостями в коде и защиту баз данных.

Формат экзамена

Экзамен CISSP проводится на английском, французском, немецком, испанском, японском, португальском (бразильском) и китайском (упрощённом) языках. Основной формат — компьютерное тестирование (CBT) через Pearson VUE. Экзамен состоит из 100–150 вопросов (в зависимости от версии) с максимальной продолжительностью 3 часа. Вопросы представлены в формате «множественный выбор» и «инновационные вопросы» (например, drag-and-drop, горячие зоны).

Сложность экзамена оценивается как высокая: проходной балл составляет 700 из 1000. В 2024 году, по данным (ISC)², средний уровень сдачи экзамена с первой попытки колебался в диапазоне 50–60%.

Требования к кандидатам

Для получения сертификации CISSP кандидат должен соответствовать строгим критериям:

  • Опыт работы: не менее пяти лет совокупного оплачиваемого стажа в двух или более из восьми доменов CBK. Для кандидатов с высшим образованием (степень бакалавра или магистра) или дополнительной сертификацией (например, CAP, CISA) срок сокращается до четырёх лет.
  • Подтверждение опыта: кандидат обязан предоставить резюме и подписать заявление о подтверждении опыта. (ISC)² проводит выборочные проверки.
  • Этический кодекс: обязательное принятие и соблюдение Кодекса этики (ISC)².
  • Поручительство: необходимо получить поручительство (endorsement) от действующего держателя сертификации CISSP. Если такого поручителя нет, (ISC)² может назначить стороннего поручителя после проверки.

Кандидаты, успешно сдавшие экзамен, но не имеющие требуемого опыта работы, могут получить статус Associate of (ISC)². Они обязаны накопить необходимый стаж в течение шести лет; в противном случае сертификация аннулируется.

Поддержание сертификации

Сертификация CISSP не является пожизненной. Для её поддержания держатели обязаны:

  • Получать CPE-кредиты (Continuing Professional Education): не менее 120 кредитов за трёхлетний цикл (в среднем 40 кредитов в год). Кредиты начисляются за участие в конференциях, вебинарах, публикации, обучение и другие профессиональные активности.
  • Оплачивать ежегодный взнос: Annual Maintenance Fee (AMF) — на 2024 год составляет 135 долларов США в год.
  • Соблюдать Кодекс этики: нарушение может привести к отзыву сертификации.

Значение и признание

CISSP признаётся во многих странах мира как подтверждение высокого уровня компетенции. Сертификация часто упоминается в требованиях к вакансиям на позиции Chief Information Security Officer (CISO), Security Architect, Security Manager и Senior Security Consultant.

Сертификация соответствует стандарту ISO/IEC 17024 (требования к органам сертификации персонала) и аккредитована Американским национальным институтом стандартов (ANSI). В ряде стран, включая США и государства ЕС, CISSP признаётся государственными органами при аттестации специалистов по кибербезопасности. В России сертификация не является обязательной, но котируется в международных компаниях и проектах, связанных с экспортом услуг.

Критика и ограничения

Несмотря на высокий престиж, CISSP подвергается критике по нескольким направлениям:

  • Широта охвата: экзамен охватывает множество тем, но не углубляется в детали. Критики утверждают, что он проверяет скорее «знание словаря» и общих концепций, чем практические навыки.
  • Стоимость: экзамен стоит около 749 долларов США (на 2024 год), а ежегодные взносы и расходы на CPE-кредиты делают сертификацию дорогостоящей для индивидуальных специалистов.
  • Акцент на менеджмент: сертификация ориентирована на управленческие и архитектурные роли, а не на технические (пентестеры, аналитики SOC). Для последних существуют более узкие сертификации, такие как OSCP или GIAC.
  • Проблемы с актуальностью: некоторые критики отмечают, что обновление CBK отстаёт от быстро меняющегося ландшафта угроз (например, атаки на цепочки поставок, безопасность IoT).

Альтернативные сертификации

На рынке существуют другие сертификации, конкурирующие с CISSP в определённых нишах:

  • CISM (Certified Information Security Manager) — акцент на управление и стратегию, менее технический.
  • CISA (Certified Information Systems Auditor) — фокус на аудит и контроль.
  • CEH (Certified Ethical Hacker) — техническая сертификация по этичному хакингу.
  • OSCP (Offensive Security Certified Professional) — практическая сертификация по пентестингу.
  • SANS GIAC — серия технических сертификаций от SANS Institute.

Интересные факты

  • По состоянию на 2024 год, по данным (ISC)², в мире насчитывается более 180 000 держателей сертификации CISSP.
  • Кодекс этики (ISC)² является обязательным для всех сертифицированных специалистов и включает четыре канона, первый из которых гласит: «Защищать общество, общее благо и доверие к профессии».
  • Экзамен CISSP считается одним из самых сложных в области ИТ-безопасности: среднее время подготовки составляет 3–6 месяцев при интенсивном изучении.

Источники

  • (ISC)² Official Website — «CISSP Certification Overview» (2024)
  • «CISSP (ISC)² Certified Information Systems Security Professional Official Study Guide» — Mike Chapple, James Michael Stewart, Darril Gibson (10th Edition, 2024)
  • «The CISSP Exam: A Critical Analysis» — Journal of Cybersecurity Education, Research and Practice (2023)
  • ISO/IEC 17024:2012 — «Conformity assessment — General requirements for bodies operating certification of persons»
  • ANSI Accreditation Records for (ISC)² (2024)

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →