Сертификация знаний: что такое сертификат СISSP и как его получить?

Автор: сертифицированный эксперт по кибербезопасности Павел Мельников

Мир постоянно меняется и не стоит на месте, однако одна вещь остается без изменений – это нехватка ИТ специалистов в России. Кадровый голод заставляет отечественные компании устраивать «голодные игры» и начинать «охоту за головами ИТ-специалистов». Специалисты по информационной безопасности не являются исключением, а даже наоборот. Например, согласно данным HeadHunter, в России по итогам 2021 года почти на 50% чаще стали искать специалистов по кибербезопасности.

Одна из причин повышения спроса – это национальная цель цифровая трансформация, которую ввели на государственном уровне в 2020 году. Согласно этой цели, к 2030 г. должна быть достигнута «цифровая зрелость» ключевых отраслей экономики, социальной сферы, государственного управления, а доля предоставляемых услуг, оказываемых в электронном виде, должна достичь не менее 95%. Ну и тут выстраивается простая закономерность – чем больше отраслей будут переходить в онлайн – тем больше специалистов по ИБ понадобится.

Также, я считаю, что спрос на ИБ специалистов будет расти и в этом, и в последующих годах. Потому что 01.05.2022 был подписан Указ Президента Российской Федерации № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

Для того, чтобы оставаться востребованным специалистом на рынке, необходимо постоянно развиваться и улучшать свои навыки, а также сертифицировать их. Работодателям нравятся соискатели, опыт и умения которых подтверждены престижными сертификатами. Один из таких сертификатов – это CISSP. В России владельцев CISSP крайне мало и они положительно отличаются от остальных.

Что такое CISSP?

CISSP – это аббревиатура, которая означает – Certified Information Systems Security Professional. На русский язык это переводится как сертифицированный специалист по безопасности информационных систем. На деле, CISSP – это вендоронезависимый сертификат, который подтверждает ваши компетенции и опыт в разработке, внедрении и управлении безопасностью информационных систем организации.

Сертификат выдается от лица International Information Systems Security Certifications Consortium (ISC)². Это международная некоммерческая организация, которая занимается тестированием и сертификацией специалистов в области информационной безопасности. Организация (ISC)² работает с 1989 и влияние ее сертификатов признается во всех странах.

Почему CISSP так ценится?

На это есть две причины. Во-первых, наличие этого сертификата у специалиста означает, что у последнего имеются широкие, но не всегда глубокие знания в ИБ, а также минимум 5 лет опыта работы. Для организации такие работники в большей степени ценны если они выполняют менеджерские функции, то есть возглавляют направление или подразделение информационной безопасности. Им легче принимать правильные решения, потому что у них есть понимание ИБ в целом. Во-вторых, для работника же этот сертификат открывает новые карьерные возможности. Каким образом? Этот сертификат показывает ваш потенциал. Работодатель понимает, что соискатель может в будущем вырасти в крайне серьезного специалиста.

На момент июля 2022 года по данным (ISC)² в России было 229 владельцев сертификата CISSP, а во всем остальном мире на тот же период времени, общее число таких специалистов доходит до 156 тысяч человек.

Как CISSP помог лично мне?

Для меня этот сертификат открыл новые карьерные возможности и увеличил З/П. Приведу пример. Однажды я устраивался работать в крупный международный банк. Во время собеседования мне сказали – «Другие нам не нужны, нам нужны вы, Павел! У вас восхитительные сертификаты». Я был приятно удивлен и до сих пор вспоминаю тот случай.

Что нужно сделать для получения CISSP?

Для получения CISSP вам нужно пройти 5 шагов! Это не считая знания английского на хорошем техническом уровне. Поверьте, без него вам там делать нечего. Как минимум, потому что экзамен и почти все методические материалы для подготовки будут на английском.

Первый шаг

Совокупно отработайте не менее пяти лет в двух или более доменах, выделенных (ISC)². Высшее образование в одной из этих областей или сертификат из утвержденного списка (ISC)² будет соответствовать одному году требуемого опыта.

Второй шаг

Подготовка и сдача экзамена. Это самый сложный шаг. На экзамен отводится максимум 4 часа, а проходной балл - это 700 баллов из 1000. Всего в экзамене будет от 125 до 175 вопросов, каждый из которых имеет по 4 варианта ответа. Все экзамены CISSP на английском языке используют Computerized Adaptive Testing (CAT). Это алгоритм, который будет регулировать сложность экзамена в реальном времени, в зависимости от ваших результатов. Если совершите ошибку, то следующий вопрос будет легче предыдущего. Будете отвечать правильно много раз подряд – получите возможность сдать тест, не отвечая на оставшиеся вопросы. Именно поэтому в экзамене есть разброс от 125 до 175 вопросов. Если Рассказать про весь экзамен не выйдет, так как материал выйдет слишком объемным. Поэтому, я настоятельно рекомендую вам просмотреть всю оставшуюся информацию об экзамене на сайте (ISC)². Заодно проверите свой уровень английского, если прочитали и ничего не поняли, то вам нужно улучшить знание английского языка.

Третий шаг

Подтвердите свой опыт и репутацию. Для этого, вам нужно найти действующего владельца сертификата CISSP с хорошей репутацией и пройти у него проверку. Проверять вас будут на чистоту репутации и на то, что ваши утверждения об опыте работы соответствуют действительности. После этого, проверявший вас эксперт должен подписать в цифровой форме вашу заявку. Также, в этой заявку должен находиться номер сертификата, проверявшего вас эксперта. Если вы не можете найти эксперта, который за вас поручится, то организация (ISC)² выступит для вас в качестве эксперта.

Четвертый шаг

В (ISC)² считают, что CISSP – это привилегия, которую необходимо не только заслужить но и сохранять. В поддержку этого принципа, все члены (ISC)² обязываются соответствовать кодексу этики, который содержит простые и выполнимые положения, такие как: защищать общество, действовать честно и справедливо, добросовестно выполнять свои обязанности, а также развивать и защищать свою профессию.

Пятый шаг

Продолжайте профессиональное обучение и развитие. Участвуйте в вебинарах, конференциях, читайте профильные журналы, сами проводите обучение и пишите статьи. Все это дает Continuing Professional Education (CPE) баллы, которые необходимо отправлять в (ISC)².

Как готовиться к прохождению экзамена в России? 

Готовиться можно либо самостоятельно, при помощи материалов с официального сайта, либо воспользовавшись обучающими курсами. (ISC)² не поскупилась на гайды и прочую литературу, поэтому недостатка в обучающих материалах вы не ощутите. А вот курсы по подготовке к CISSP бывают самые разные – онлайн и очные, официальные и неофициальные. В России сейчас не проводятся очные курсы по сдаче CISSP, поэтому остается только онлайн вариант. И конечно же, прохождение неофициальных курсов осуществляется только под вашу личную ответственность. Также, можете воспользоваться помощью или советом от уже сдавших товарищей. Найти их не проблема. Но будьте готовы к тому, что они вам не расскажут какие вопросы были на экзаменах. (ISC)² требует от своих членов сохранять конфиденциальность экзаменационных вопросов. При этом в сети много сервисов, которые предоставляют возможность потренироваться в ответах на похожие вопросы из тестов. Проверьте тематические ветки на официальном сайте (ISC)², на Хабре, YouTube или на других ресурсах. В Общем, возможности есть. Выбирайте подходящий для вас вариант и начинайте готовиться.

Получение этого сертификата процесс нелегкий и трудоемкий, но он того стоит. И тут главное определить для себя цель его получения, выделить время на подготовку (не менее 4-6 месяцев), разбить подготовку на этапы и четко следовать своему плану. И результат не заставит себя ждать.