Сертификация специалистов по ИБ. Какая правильная?

Вопрос, вынесенный в заголовок, возникает, сколько я себя помню, регулярно. То на bankir.ru, то на professional.ru, то на Linkedin (одна из самых последних), а то и просто в частных беседах. Те, кто не имеет пока блях на груди, спрашивают у «гуру»: «Ну какая же сертификация самая-самая?!» Гуру, почесывая в затылке, как правило отвечают — CISSP, CISM или CISA. А потом начинается флейм 😉 Так какая же правильная? Универсального ответа, к счастью, нет. Также как и нет ответа на вопрос «Кто такой настоящий безопасник?» Каждый сам принимает для себя итоговое решение. Но помочь его принять помогут следующие вопросы, которые задайте сами себе:
  • Что вам интересно сейчас? Пентестить? Писать код? Администрировать СУБД DB2? Копаться в Linux? Проводить аудиты на соответствие СТО БР ИББС? Быть начальником? Ответ на этот вопрос сразу направит вас в нужное русло. Кому-то подойдет CEH. Кому-то MCSE Security. Кому-то GIAC GCUX. Кому-то CCIE Security. А кто-то упрется рогом и пойдет учить 10 доменов CISSP. Каждому свое.
  • Что вам может быть интересно лет через 3-5? Может у вас есть какие-то устремления и мечты? Я вот когда-то хотел стать первым в России инструктором ISS. И стал им 😉 А потом от ISS я ушел и этот сертификат стал бесполезным ;-( Так что учитывайте этот момент. Ничто не вечно под луной.
  • Зачем вам бляха на грудь? Наверное, это самый главный вопрос, который надо задать. Тут ответов не так уж и много. В 2003-м году я написал статью для PCWeek «Нужен ли в России CISSP?» Прошло 9 лет, а вопрос так и висит в воздухе. Причин я тогда назвал 6 — подтверждение собственной квалификации, рост зарплаты, карьерный рост, обязательное требование работодателя, хвастовство и желание быть в «касте избранных». Сегодня я бы добавил седьмую причину (она часто называлась в дискуссии на Linkedin) — систематизация знаний. Не буду комментировать. Я считаю, что за исключением обязательного требования работодателя, всего остального можно достичь и без бляхи.

Если же все-таки вы не оставили этой идеи и хотите получить заветную бумажку, а потом мучаться вопросами: «Почему мне не подняли зарплату?» или «Куда б еще сходить, чтобы получить баллы для поддержания статуса?», то могу посоветовать посмотреть вот на эту схемку, разработанную Джошом Локнером. Он тоже задавался вопросом, вынесенным в заглавие.

Каждый выбирает для себя…

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. R@zor

    Александр Бондаренко, в своей презентации "Что важно знать будущему специалисту по информационной безопасности" на слайде "Сертификации…" на мой взгляд очень понятно написал:
    — сертификация сама по себе не заменяет знания и опыт, НО всегда является дополнительным плюсом;
    — чувство меры должно быть во всем!;
    — сертификация не ради сертификации.

    Ответить
  2. R@zor

    Этот комментарий был удален автором.

    Ответить
  3. Евгений III

    Мне больше нравится последняя версия — систематизация знаний.
    Мне интересно, есть ли статистика по количеству сертификатов CISSP, CISA и CISM по России, чтобы можно было оценить "масштаб бедствия" по нашей отрасли.

    Ответить
  4. doom

    2 R@zor

    А я как-то услышал от одного тренера (правда касательно сертификата PMP): "Сертификат — как водительские права. С навыком вождения они коррелируют, но напрямую не связаны".

    2 Шауро Евгений:

    И, кстати, CISSP, конечно, хорош с точки зрения систематизации знаний, но знать HIPPA или SOX нашим специалистам надо явно ради общего развития — а у CISSP на подобные стандарты прицел очень сильный.

    А еще есть вопросы к форме сертификации. Вот человеку со статусом MCA (Microsoft Certified Architect) я бы доверием проникся — потому что там форма сертификации такая.
    CCIE у Cisco тоже достаточно весомая сертификация, но хуже — тест + искусственная лабораторка, это все равно не показатель.

    Ответить
  5. revolt08

    есть старый принцип: кто девушку угощает, тот ее и танцует. Перенесем его в профессиональную сферу. Если работодателю необходим специалист, то он его подготовит сам.
    Можно долго говорить о самоподготовке, подготовился-пошел-сдал, но тут все упрется в финансовую составляющую. При зарплате 30к в месяц, найти в бюджете 76к на обучение (СЕН), а потом еще 11к на экзамен. А на экзамене еще спросят по каким материалам подготавливать? И что ответить, с интернета скачал?
    А в целом, конечно, иметь CISSP/CISA/etc очень престижно. Кстати, господин Лукацкий, мне кажется что бляхи бляхами, но лицу без права вождения транспортным средством вы свое авто не дадите, пусть даже он в присутствии Вас проедет 100 км. Даже при наличии у него опыта. Так почему же Вы готовы передать лицу управление ИБ?

    Ответить
  6. Алексей Лукацкий

    Doom, попробуйте сдать "искусственную" лабу CCIE Security 😉

    Ответить
  7. Алексей Лукацкий

    Revolt, водительские права ОБЯЗАТЕЛЬНЫ в отличие от сертификата ИБ. Не говоря уже о том, что права многие покупают и они давно уже не отражают умение водить и знание ПДД

    Ответить
  8. doom

    Да я не сетевик — даже CCNA не сдавал ни разу 🙂

    Но можно сравнить разницу — вот, что должен выполнить кандидат на MCA:
    http://www.microsoft.com/learning/en/us/certification/architect.aspx#tab3 — это явно покруче будет.

    Ответить
  9. Алексей Лукацкий

    У нас архитектор — это на один уровень ниже CCIE 😉 CCIE должен не только знать КАК проектировать (а это как раз архитектор), но и знать КАК настроить то, что запроектировано.

    Ответить
  10. Алексей Евменков

    для меня сертификация наибольшую пользу принесла на этапе подготовке к ней, родимой. для получения своего CISM я полгода штудироваланализировалприменял на практике разные источники, что конечно же сказалось на моем общем уровне.
    ну а сейчас "бляха на груди" ничего не значит, по кр мере в моем случае.

    Ответить
  11. Алексей Евменков

    кстати, почему на приведенной схеме нет CISM?

    Ответить