Вопрос, вынесенный в заголовок, возникает, сколько я себя помню, регулярно. То на bankir.ru, то на professional.ru, то на Linkedin (одна из самых последних), а то и просто в частных беседах. Те, кто не имеет пока блях на груди, спрашивают у «гуру»: «Ну какая же сертификация самая-самая?!» Гуру, почесывая в затылке, как правило отвечают — CISSP, CISM или CISA. А потом начинается флейм 😉 Так какая же правильная? Универсального ответа, к счастью, нет. Также как и нет ответа на вопрос «Кто такой настоящий безопасник?» Каждый сам принимает для себя итоговое решение. Но помочь его принять помогут следующие вопросы, которые задайте сами себе:
- Что вам интересно сейчас? Пентестить? Писать код? Администрировать СУБД DB2? Копаться в Linux? Проводить аудиты на соответствие СТО БР ИББС? Быть начальником? Ответ на этот вопрос сразу направит вас в нужное русло. Кому-то подойдет CEH. Кому-то MCSE Security. Кому-то GIAC GCUX. Кому-то CCIE Security. А кто-то упрется рогом и пойдет учить 10 доменов CISSP. Каждому свое.
- Что вам может быть интересно лет через 3-5? Может у вас есть какие-то устремления и мечты? Я вот когда-то хотел стать первым в России инструктором ISS. И стал им 😉 А потом от ISS я ушел и этот сертификат стал бесполезным ;-( Так что учитывайте этот момент. Ничто не вечно под луной.
- Зачем вам бляха на грудь? Наверное, это самый главный вопрос, который надо задать. Тут ответов не так уж и много. В 2003-м году я написал статью для PCWeek «Нужен ли в России CISSP?» Прошло 9 лет, а вопрос так и висит в воздухе. Причин я тогда назвал 6 — подтверждение собственной квалификации, рост зарплаты, карьерный рост, обязательное требование работодателя, хвастовство и желание быть в «касте избранных». Сегодня я бы добавил седьмую причину (она часто называлась в дискуссии на Linkedin) — систематизация знаний. Не буду комментировать. Я считаю, что за исключением обязательного требования работодателя, всего остального можно достичь и без бляхи.
Если же все-таки вы не оставили этой идеи и хотите получить заветную бумажку, а потом мучаться вопросами: «Почему мне не подняли зарплату?» или «Куда б еще сходить, чтобы получить баллы для поддержания статуса?», то могу посоветовать посмотреть вот на эту схемку, разработанную Джошом Локнером. Он тоже задавался вопросом, вынесенным в заглавие.
Каждый выбирает для себя…
Александр Бондаренко, в своей презентации "Что важно знать будущему специалисту по информационной безопасности" на слайде "Сертификации…" на мой взгляд очень понятно написал:
— сертификация сама по себе не заменяет знания и опыт, НО всегда является дополнительным плюсом;
— чувство меры должно быть во всем!;
— сертификация не ради сертификации.
Этот комментарий был удален автором.
Мне больше нравится последняя версия — систематизация знаний.
Мне интересно, есть ли статистика по количеству сертификатов CISSP, CISA и CISM по России, чтобы можно было оценить "масштаб бедствия" по нашей отрасли.
2 R@zor
А я как-то услышал от одного тренера (правда касательно сертификата PMP): "Сертификат — как водительские права. С навыком вождения они коррелируют, но напрямую не связаны".
2 Шауро Евгений:
И, кстати, CISSP, конечно, хорош с точки зрения систематизации знаний, но знать HIPPA или SOX нашим специалистам надо явно ради общего развития — а у CISSP на подобные стандарты прицел очень сильный.
А еще есть вопросы к форме сертификации. Вот человеку со статусом MCA (Microsoft Certified Architect) я бы доверием проникся — потому что там форма сертификации такая.
CCIE у Cisco тоже достаточно весомая сертификация, но хуже — тест + искусственная лабораторка, это все равно не показатель.
есть старый принцип: кто девушку угощает, тот ее и танцует. Перенесем его в профессиональную сферу. Если работодателю необходим специалист, то он его подготовит сам.
Можно долго говорить о самоподготовке, подготовился-пошел-сдал, но тут все упрется в финансовую составляющую. При зарплате 30к в месяц, найти в бюджете 76к на обучение (СЕН), а потом еще 11к на экзамен. А на экзамене еще спросят по каким материалам подготавливать? И что ответить, с интернета скачал?
А в целом, конечно, иметь CISSP/CISA/etc очень престижно. Кстати, господин Лукацкий, мне кажется что бляхи бляхами, но лицу без права вождения транспортным средством вы свое авто не дадите, пусть даже он в присутствии Вас проедет 100 км. Даже при наличии у него опыта. Так почему же Вы готовы передать лицу управление ИБ?
Doom, попробуйте сдать "искусственную" лабу CCIE Security 😉
Revolt, водительские права ОБЯЗАТЕЛЬНЫ в отличие от сертификата ИБ. Не говоря уже о том, что права многие покупают и они давно уже не отражают умение водить и знание ПДД
Да я не сетевик — даже CCNA не сдавал ни разу 🙂
Но можно сравнить разницу — вот, что должен выполнить кандидат на MCA:
http://www.microsoft.com/learning/en/us/certification/architect.aspx#tab3 — это явно покруче будет.
У нас архитектор — это на один уровень ниже CCIE 😉 CCIE должен не только знать КАК проектировать (а это как раз архитектор), но и знать КАК настроить то, что запроектировано.
для меня сертификация наибольшую пользу принесла на этапе подготовке к ней, родимой. для получения своего CISM я полгода штудироваланализировалприменял на практике разные источники, что конечно же сказалось на моем общем уровне.
ну а сейчас "бляха на груди" ничего не значит, по кр мере в моем случае.
кстати, почему на приведенной схеме нет CISM?