Сертификация специалистов по информационной безопасности является общемировой практикой, используемой в сфере ИБ для подтверждения квалификации специалистов по ИБ, улучшения качества услуг и защиты от кибератак. В данной статье мы рассмотрим, что такое сертификация специалистов по ИБ, какие существуют виды сертификаций, и есть ли необходимость в сертификации специалистов по ИБ в России.
Что такое сертификация специалистов по ИБ
Сертификация специалистов по информационной безопасности — это процесс оценки знаний и опыта специалистов ИБ, который проводится независимой организацией. Целью (и результатом) сертификации является подтверждение того, что специалист ИБ обладает достаточными знаниями и опытом для выполнения своих задач в заявленной на сертификацию области ИБ.
Какие виды сертификаций в ИБ существуют
На сегодняшний день существует множество различных сертификаций для специалистов по информационной безопасности. Некоторые из них являются общими и оценивают знания в области ИБ в целом, а другие специализируются на определенных областях, таких как проведение тестирований на проникновение в информационные системы, компьютерная криминалистика, менеджмент информационной безопасности и т.д.
Некоторые из самых популярных сертификаций, доступных для специалистов по информационной безопасности, включают следующие:
| Сертифицирующая организация | Название | Пояснение |
| International Council of E-Commerce Consultants (EC-Council), штаб-квартира в США | Certified Ethical Hacker (CEH) | Сертифицированный этический хакер |
| Computer Hacking Forensic Investigator (C|HFI) | Сертифицированный компьютерный криминалист | |
| Certified Chief Information Security Officer (CCISO) | Сертифицированный руководитель службы информационной безопасности | |
| International Information Security Systems Certification Consortium (ISC2), штаб-квартира в США | Certified Information System Security Professional (CISSP) | Сертифицированный профессионал в области безопасности информационных систем |
| Information Systems Audit and Control Association (ISACA), штаб-квартира в США | Certified Information Security Manager (CISM) | Сертифицированный менеджер по информационной безопасности |
| Offensive Security, штаб-квартира в США | Offensive Security Certified Professional (OSCP) | Сертифицированный специалист по противодействию атакам |
| Offensive Security Web Expert (OSWE) | Эксперт по веб безопасности | |
| Offensive Security Exploitation Expert (OSEE) | Эксперт по эксплуатации уязвимостей |
Безусловно, в данной таблице перечислены не все сертификации, а лишь те, которые, говоря простым языком, «у всех на слуху». Все эти сертификации не является обязательными в сфере ИБ, однако их наличие может значительно повышать профессиональные возможности и доверие со стороны работодателей и заказчиков, прежде всего зарубежных, но и отечественных тоже.
Как видно из таблицы, оценку специалистов по ИБ и выдачу документов о квалификации проводят компании, имеющие штаб-квартиры в Соединенных Штатах Америки, хотя пройти подготовку и сдать экзамены можно во многих странах мира.
В России собственная система сертификации специалистов по ИБ отсутствует.
Зачем нужна сертификация специалистов в ИБ
Сертификация специалистов по информационной безопасности играет важную роль в создании доверия в отношении специалистов и их знаний в области ИБ. Также, как и сертификация программных продуктов, сертификация специалистов по ИБ позволяет подтвердить соответствие (в данном случае специалиста по ИБ) определенным требованиям (в случае со специалистом по ИБ: компетенциям) и возможности выполнения определенных, нужных бизнесу, функций.
Поэтому, требования к наличию (зарубежных) сертификатов у специалистов по ИБ в России обычно предъявляются:
- В требованиях (описаниях вакансий) к кандидатам на вакантные должности в сфере ИБ, чаще всего в иностранных представительствах или международных организациях. При этом, в отличии от зарубежной практики, в российских государственных органах требования к сертификации специалистов по ИБ не предъявлялись никогда.
- В требованиях (конкурсная документация) к квалификации специалистов по ИБ компаний — потенциальных подрядчиков, привлекаемых для оказания услуг по информационной безопасности.
В настоящее время идет тренд на снижение данного запроса, но, по мнению автора, это связано не с желанием отказаться от предъявления требований в части сертификации специалистов ИБ, а с отсутствием собственной, российской системы сертификации.
С учетом общего курса на технологический суверенитет и отказ от Болонской системы образования, ценность зарубежной сертификации, в настоящее время, сводится к нулю.
В общем-то и ранее предъявление требований о наличии зарубежного сертификата по ИБ к квалификации соискателей вакантных должностей или квалификации работников подрядной организации было весьма спорным, по крайней мере с юридической точки зрения.
По опыту автора, успешных фактов признания зарубежных сертификатов. выданных ИБ специалистам, пока еще не было..
Сертификация специалистов по информационной безопасности является важным элементом в обеспечении кибербезопасности. Она позволяет проверить знания и опыт специалиста (чем и отличается от получения образования) в области кибербезопасности. Однако, в современных реалиях требование наличия зарубежных сертификатов у кандидатов на работу или подрядчиков не только юридически не оправдано, но и не патриотично.
Очевидно, что отрасль созрела для создания своей, отечественной, системы сертификации специалистов по ИБ.