Сертифiкацiя CompTIA Security+ та відповідне навчання для фахівців у сфері Інформацiйної безпеки: поради професіонала

Сертифiкацiя CompTIA Security+ та відповідне навчання для фахівців у сфері Інформацiйної  безпеки: поради професіонала

Перший вагомий досвід роботи у сфері забезпечення інформаційної безпеки (далі ІБ) автор отримав у лабораторії розробки засобів захисту інформації одного з найбільших системних інтеграторів Північного Заходу РФ на початку 2000х. Лабораторія забезпечувала повний цикл створення автоматизованих систем у захищеному виконанні: починаючи з науково-дослідних, дослідно-конструкторських робіт, продовжуючи потоковим створенням систем захисту і закінчуючи організацією їх технічного обслуговування.

Створювані тут системи передбачалося використовувати як в режимі комерційної, так і державної таємниці, тому вони в обов'язковому порядку проходили атестацію/випробування на відповідність класу/рівню захищеності. Професійний склад колективу лабораторії прикрашали вихідці з кращих військових ВНЗ країни (ВКА ім. А.Ф.  Можайського та ВАС ім. С.М.Будьонного). В той же час до роботи у лабораторії в якості інженерів-конструкторів запрошувались студенти, що навчалися по напряму "захист інформації", і я став одним з них.

Системи створювалися на основі устаткування Hewlett Packard, програмного забезпечення Microsoft і засобів захисту інформації НДП “Информзащита”. Замовник пред'являв жорсткі вимоги до кваліфікації персоналу виконавця, тож керівництво лабораторії виділяло бюджет на навчання і сертифікацію. Але якщо з авторизованими курсами і сертифікаціями від вказаних вище виробників все було доволі прозоро, то в частині, що стосується мінімального набору знань і навичок по інформаційній безпеці, панувала невизначеність.

Претенденти на вакансію інженера мали абсолютно різний рівень підготовки в ІБ, і тому керівництвом було прийнято вольове рішення використати в якості вхідної вимоги для них наявність незалежного від вендора сертифікаційного статусу CompTIA Security+. Цей вибір став очевидним, оскільки національних аналогів цієї сертифікації не було, а статуси CompTIA A+, Network+ і Server+ вже успішно використовувалися іншими підрозділами інтегратора при пошуку і навчанні персоналу. Так я почав готуватися до своєї першої сертифікації з інформаційної безпеки.

Знайомство з сертифікацією

Інформаційна безпека знаходиться на стику цілого ряду наук, а у зв'язку з вибуховим зростанням ризиків ІБ є ще й науковою дисципліною, що зараз динамічно розвивається. Саме тому завдання по визначенню мінімального набору знань і навичок з ІБ вимагає системного підходу з безперервним аналізом поточного стану ринку інформаційних технологій і регулярним коригуванням цього набору.

Вже більше 13 років це завдання успішно вирішує видатний оператор вендоро-незалежних сертифікацій Computing Technology Industry Association (CompTIA) під контролем American National Standarts Institute (ANSI) відповідно до сімейства відкритих стандартів навчання і сертифікації ISO/IEC Standart 17024. За ці роки сертифікація Security+ перевизначала набір знань і навичок по основах ІБ чотири рази.

Перша ітерація мала вигляд комп'ютерного тесту з кодом SY0 - 101 і здавав я її як початкуючий інженер-конструктор в центрі тестування Prometric, сплативши за це 250$. У 2015 році на момент написання цієї статті актуальною є 4-та версія тесту з кодом SY0 - 401, її я теж здав - вже з професійної цікавості, як викладач авторського курсу підготовки до цієї сертифікації. Цей іспит складається зі 100 питань англійською мовою, триває 90 хвилин ( плюс 30 хвилин для тих, хто не є носієм мови), і перевіряє як теоретичні знання, так і практичні навички у 6 доменах, тобто основних темах, зведених у Таблицю доменів.

Загальний список вимог до кандидатів на складання іспиту можна представити у наступному вигляді:

  • Володіння фундаментальними принципами розробки і реалізації комплексу заходів по управлінню ризиками ІБ;
  • Володіння довідковою інформацією про сталі політики/стандарти/процедури ІБ, особливості безпечного використання сучасних інформаційних технологій, вразливості і загальні уявлення про асоційовані з ними атаки;

А також практичні навички використання загальнодоступних засобів захисту інформації, що реалізовують дискреційну (англ.. Discretionary Access Control, у операційних системах Windows/Linux) і ролеву (у бізнес-додатках) моделі контролю доступу.

Методика підготовки

Для тих, хто не вчився по спеціальності, схожій на мою, і не має досвіду роботи в ІБ, але спеціалізується на інформаційних технологіях, вкрай раджу отримати або хоч би  підготуватися (без безпосередньої здачі іспитів) до сертифікацій CompTIA A+, Network+ та Server+.  Бо саме вони вказані у вхідних вимогах до кандидатів Security+.

Мені ж навчання у вищій школі за фахом "Захист інформації" дало розуміння фундаментальних принципів забезпечення ІБ, а робота у колективі інженерів-конструкторів, що поточно створюють системи захисту, дозволила застосувати це розуміння на практиці під час рішення прикладних задач. Тому постараюся описати найочевидніші принципи для кожного домена:

Таблиця доменів

#

Домен

Сутність домену

1

Безпека мережі

Розуміння периметра мережі і реалізація функцій контролю в його точках; контроль доступу до середовища передачі даних організації і захист даних в процесі передачі по каналах зв'язку

2

Відповідність вимогам і безпека операцій

Закони і регулятори як основні джерела вимог до системи захисту; організаційно-розпорядлива, конструкторська/експлуатаційна документація;

3

Загрози і вразливості:

Джерела загроз і їх особливості; кількісна і якісна оцінка ризиків

4

Безпека додатків, даних і хостів

Варіанти декомпозиції автоматизованої системи і реалізація функцій контролю над її результатами

5

Контроль доступу і управління сутностями

Суть контролю; життєвий цикл атрибутів доступу і управління привілеями

6

Криптографія

Проблеми використання симетричної/асиметричної криптографії і способи їх рішення; інфраструктура відкритих ключів

Можливо, ці принципи вам розкриють відеокурси (Computer - Based Trainings - CBT), які можна знайти в пошукових системах по назвах їх провідних світових розробників (наприклад, Pluralsight, це колишня CBT Nuggets), а також по назвах сертифікаційних статусів і кодам іспитів. Мені ж дуже допомогли книги Брюса Шнайдера "Прикладна криптографія", "Безпека глобальних мережевих технологій" Володимира Зими, а також проходження авторизованого курсу Microsoft 2821 "Проектування, пуско-налагодження і обслуговування інфраструктури відкритих ключів на основі технологій Windows", оновлена версія якого досі з успіхом читається партнерами Microsoft.

Якщо з розумінням і застосуванням принципів у 2003 році проблем у мене не було, то ось з довідковою інформацією про особливості різноманітних закритих і відкритих технологій захисту вочевидь спостерігався провал. І навіть зараз, маючи більш ніж 10-річний досвід викладання різноманітних ІТ-курсів, я приходжу до висновку, що технології на зразок Kerberos, RADIUS/TACACS+ і ін., специфічні назви політик і стандартів, а також характеристики американських криптографічних алгоритмів вимагають якщо не буквального затверджування, то хоча б необхідності сконцентруватися, перечитати літературу та освіжити пам'ять перед складанням іспиту.

Тому не дивно, що доводиться інтенсивно використовувати навчальні посібники для самостійної підготовки від провідних світових видавництв та книги з тематики ІТ/ІБ від Wiley, Sybex, Syngress, Microsoft Press та ін.

Сертифiкацiя CompTIA Security+ та відповідне навчання для фахівців у сфері Інформацiйної  безпеки: поради професіонала

По назві сертифікаційного статусу і словосполученням на зразок "study guide" (наприклад, "CompTIA Security+ exam study guide") в пошукових системах і тематичних форумах можна легко знайти 2-3 книги різних авторів, щоб ознайомитися з відмінностями в підходах до підготовки. Підручники в переважній більшості викладені англійською мовою, так що не забудьте підтягнути ваш технічний англійський.

Практичні навички використання загальнодоступних засобів захисту інформації досить легко отримати за наявності стенду і набору лабораторних робіт, що відповідають опису іспиту. Стенд можна зібрати на дешевому устаткуванні за допомогою умовно-безкоштовних гіпервізорів (Oracle Virtual Box, Microsoft Hyper-V, VMWare ESXi і ін.) у вигляді комплекту віртуальних машин з різноманітними ОС і бізнес-додатками. Детальні інструкції по його створенню і власне лабораторний практикум шукайте в згаданих раніше посібниках для самостійної підготовки.

Також не забудьте, що кожна спроба складання іспиту платна (зараз приблизно 266$), так що варто "натаскати" себе в платних тестуючих системах (Boson, TestOut, MeasureUp і ін.) з пулом питань рівня того, що відповідає екзаменаційним, і які емулюють те, що відбувається на реальному іспиті. У пошукових системах і тематичних форумах ці тестуючі системи ви завжди зможете знайти по кодам іспитів.

Добившись стабільно високого відсотку правильних відповідей (>90%), можна сподіватися на успішну здачу іспиту з першої спроби в реальній системі тестування Virtual University Enterprise або Prometric.

Вперше я витратив 2 місяці, займаючись підготовкою до екзамену у вільний час (навчання у виші і роботу ніхто ж не відміняв), зате через 10 років безперервної роботи за фахом це зайняло у мене лише 3 тижні. Робіть висновки…

Результат

Сертифiкацiя CompTIA Security+ та відповідне навчання для фахівців у сфері Інформацiйної  безпеки: поради професіонала

У 2003 році успішна здача іспиту SY0 - 101 давала довічний статус Security+. Тепер він дається на 3 роки і для його продовження вимагається регулярно підтверджувати до CompTIA, що ви підтримуєте свою кваліфікацію в актуальному стані у рамках програми безперервного навчання CompTIA Continuing Education Program.

Перспективи

Security+ є зручною відправною точкою в кар'єрі фахівця в ІБ і зараховується як в інженерних сертифікаціях по засобах захисту інформації провідних виробників (Microsoft, RSA, IBM, Cisco і пр), так і в експертних незалежних від виробника сертифікаціях, наприклад ISACA, (ISC) 2, EC - Council та ін.

До речі, у багатьох американських вишах в програмах для бакалаврів\магістрів, а також у рамках додаткової професійної підготовки отримані вами сертифікації CompTIA зараховуються як складові частини учбового процесу, дозволяючи вам заощадити час і гроші на навчання.

 

 

Ця публікація входить до циклу “Сертифiкацiї CompTIA для ІТ-фахівців”. Наступна тема - сертифікація CompTIA Project+.

Записатися на курс ERC-SecPlus, за допомогою якого можна ефективно підготуватись до сертифікації CompTIA Security+, ви зможете, якщо надіслати листа за адресою: education@erc.ua.

 

Про автора

Пашков Кузьма Юрійович (pashkovky@gmail.com) - експерт у  галузі забезпечення інформаційної безпеки. З 2000 року займається створенням автоматизованих систем у захищеному виконанні як для державних, так і для комерційних замовників. Підтвердив свою кваліфикацію отриманням топових сертификаційних статусів (ISC)2, ISACA, Microsoft, EMC, CompTIA та HP. З 2005 року викладає курси з інформаційної безпеки в учбових центрах країн СНД. З 2015 року співпрацює з Учбовим Комплексом ERC.

Система Orphus
comments powered by Disqus
 
Top