На первую страницу Курсы для IT специалистов Курсы ИБ Психология - Управление - Маркетинг Курсы ЕГАИС Курсы для пользователей  

Телефон: +7(495)933-00-06 / О компании / Наши координаты / Карта сайта /  

Курсы по информационной безопасности

Микроинформ логотип

 Статьи по информационной безопасности 


Кузьма Пашков

"Сертификации CompTIA для ИТ-специалистов. Часть 4 из 7. CompTIA Security+"

Информационная безопасность как вид деятельности

Первый значимый опыт работы в сфере обеспечения информационной безопасности (далее ИБ) я получил в лаборатории разработки средств защиты информации одного из крупнейших системных интеграторов Северо-Запада в начале 2000х. Лаборатория обеспечивала полный цикл создания автоматизированных систем в защищенном исполнении: начиная с научно-исследовательских, опытно-конструкторских работ, продолжая потоковым созданием систем защиты, и заканчивая организацией их гарантийного обслуживания.

Создаваемые системы предполагалось использовать как в режиме коммерческой, так и гостайны, поэтому они в обязательном порядке проходили аттестацию/испытания на соответствие классу/уровню защищенности. Профессиональный состав коллектива лаборатории блистал выходцами лучших военных ВУЗов страны (ВКА им. А.Ф.  Можайского и ВАС им. С.М.Буденного), такими как Зима Владимир и Сохен Виктор. В то же время к работе в лаборатории в качестве инженеров пуско-наладчиков привлекались студенты, обучающиеся по направлению "защита информации", вроде меня.

Системы создавались на основе оборудования Hewlett-Packard, программного обеспечения Microsoft и средств защиты информации НИП Информзащита. Заказчик предъявлял жестокие требования к квалификации персонала Исполнителя, поэтому руководство лаборатории выделяло бюджет на обучение и сертификацию. Причем если с авторизованными курсами и сертификациями вендоров (HP, Microsoft, Информзащита) все было очевидно, то в части касающейся минимального набора знаний и навыков по информационной безопасности была неопределенность.
Соискатели на вакансию инженера показывали абсолютно разный уровень подготовки в ИБ, и руководством было принято волевое решение использовать в качестве входного требования наличие вендорнезависимого сертификационного статуса CompTIA Security+. Этот выбор был очевиден, так как национальных аналогов данной сертификации не было, а статусы CompTIA A+, Network+ и Server+ уже успешно использовались другими подразделениями интегратора при наборе и обучении персонала. В общем, я начал готовиться к своей первой сертификации в ИБ.

Знакомство с сертификацией

Информационная безопасность находится на стыке целого ряда наук, а в связи со  взрывным ростом рисков ИБ является еще и динамично развивающейся научной дисциплиной. Именно поэтому задача определения минимального набора знаний и навыков по ИБ требует системного подхода с непрерывным анализом состояния рынка информационных технологий и регулярной корректировкой этого набора.

Уже более 13 лет эту задачу успешно решает крупнейший оператор вендорнезависимых сертификаций Computing Technology Industry Association (CompTIA) под контролем American National Standarts Institute (ANSI) в соответствии с семейством открытых стандартов обучения и сертификации ISO/IEC Standart 17024.
За эти годы сертификация Security+ переопределяла набор знаний и навыков по основам ИБ 4 раза. Первая итерация имела вид компьютерного теста с кодом SY0-101 и сдавал я ее в качестве начинающего инженера-конструктора в центре тестирования Prometric, оплатив 250$ за попытку сдачи. В 2015 году на момент написания этой статьи актуальной является 4я версия теста с кодом SY0-401, ее я тоже сдал уже из профессионального интереса как преподаватель авторского курса подготовки к данной сертификации.
Экзамен SY0-401 состоит из 100 вопросов на английском языке, длится 90 минут (плюс 30 минут для тех, кто не является носителем языка), и проверяет как теоретические знания, так и практические навыки в 6 доменах (темах):

  1. безопасность сети
  2. соответствие требованиям и безопасность операций)
  3. угрозы и уязвимости
  4. безопасность приложений, данных и хостов
  5. контроль доступа и управление сущностями
  6. криптография

Обширный список требований к кандидатам на сдачу экзамена можно представить в следующем виде:

  • знание фундаментальных принципов разработки и реализации комплекса мер по управлению рисками ИБ;
  • знание справочной информации об устоявшихся политиках/стандартах/процедурах ИБ, особенностях безопасного использования современных информационных технологий, уязвимостях и общем представлении об ассоциированных с ними атаках;
  • практические навыки использования общедоступных средств защиты информации, реализующих дискреционную (в операционных системах Windows/Linux) и ролевую (в бизнес-приложениях) модели контроля доступа.

Методика подготовки

Для тех, кто не учился по моей специальности и не имеет опыта работы в ИБ, но специализируется на информационных технологиях, крайне советую получить или хотя бы подготовиться (без непосредственной сдачи экзаменов) к сертификациям CompTIA A+, Network+ и Server+ - именно они указаны во входных требованиях к кандидатам Security+.

Мне же обучение в ВУЗе по специальности "Защита информации" дало понимание фундаментальных принципов обеспечения ИБ, а работа в коллективе инженеров-конструкторов, потоково создающих системы защиты, позволила применить это понимание на практике при решении прикладных задач. Поэтому постараюсь описать самые очевидные принципы для каждого домена:

  1. безопасность сети: понятие периметра сети и реализация функций контроля в его точках; контроль доступа к среде передачи данных организации и защита данных в процессе передачи по каналам связи;
  2. соответствие требованиям и безопасность операций: законы и регуляторы как основные источники требований к системе защиты; организационно-распорядительная, конструкторская/эксплуатационная документация;
  3. угрозы и уязвимости: источники угроз и их особенности; количественная и качественная оценка рисков;
  4. безопасность приложений, данных и хостов: варианты декомпозиции автоматизированной системы и реализация функций контроля над ее результатами;
  5. контроль доступа и управление сущностями: суть контроля; жизненный цикл атрибутов доступа и управление привилегиями;
  6. криптография: проблемы использования симметричной/асимметричной криптографии и способы их решения; инфраструктура открытых ключей

Возможно, эти принципы вам раскроют видеокурсы (Computer-based training - CBT), которые можно найти в поисковых системах по названиям их ведущих мировых, например, Pluralsight (бывшая CBT Nuggets), разработчиков, а также по названиям сертификационных статусов и кодам экзаменов. Мне же очень помогли книги Брюса Шнайдера "Прикладная криптография", "Безопасность глобальных сетевых технологий" Владимира Зимы, а также прохождение авторизованного курса Microsoft 2821 "Проектирование, пуско-наладка и обслуживание инфраструктуры открытых ключей на основе технологий Windows", обновленная версия которого до сих пор с успехом читается в ведущих учебных центрах Москвы и Киева.

Если с пониманием и применением принципов в 2003 году проблем у меня не было, то вот со справочной информацией об особенностях разнообразных закрытых и открытых технологий защиты однозначно наблюдался провал. Даже сейчас, имея более чем 10-летний опыт преподавания разнообразных ИТ-курсов, технологии вроде Kerberos, RADIUS/TACACS+ и пр., специфические названия политик и стандартов, а также характеристики американских криптографических алгоритмов требуют если не буквального заучивания, то хотя бы необходимости сконцентрироваться, перечитать литературу и освежить память перед сдачей экзамена.
Поэтому по сложившейся традиции приходится интенсивно заниматься самообучением с помощью учебных пособий для самостоятельной подготовки от ведущих мировых издательств книг по тематике ИТ/ИБ: Wiley, Sybex, Syngress, Microsoft Press и др.
По названию сертификационного статуса и словосочетаниям вроде “study guide”, например, “CompTIA Security+ exam study guide” в поисковых системах и тематических форумах, таких как www.certification.ru, можно легко найти 2-3 книги разных авторов, чтобы ознакомиться с разными подходами к подготовке. Учебники в подавляющем большинстве на английском языке, так что не забудьте подтянуть технический английский.

Практические навыки использования общедоступных средств защиты информации достаточно легко получить при наличии стенда и набора лабораторных работ, соответствующих описанию экзамена. Стенд можно собрать на дешевом оборудовании с помощью условно-бесплатных гипервизоров (Oracle Virtual Box, Microsoft Hyper-V, VMWare ESXi и пр.) в виде комплекта виртуальных машин с разнообразными ОС и бизнес-приложениями. Подробные инструкции по его созданию и сам лабораторный практикум ищите в упомянутых ранее пособиях для самостоятельной подготовки.

Также не забудьте, что каждая попытка сдачи экзамена платная (сейчас около 266$), так что стоит “натаскать” себя в платных тестирующих системах (Boson, TestOut, MeasureUp и др) с пулом вопросов уровня, соответствующего экзаменационным, эмулирующих то, что происходит на реальном экзамене. В поисковых системах и тематических форумах вроде www.certcollection.org эти тестирующие системы вы всегда можете найти по кодам экзаменов.

Добившись стабильно высокого процента правильных ответов (>90%), можно надеяться на успешную сдачу экзамена с первой попытки в реальной системе тестирования Virtual University Enterprise (www.vue.com) или Prometric (www.prometric.com)

В первый раз я потратил 2 месяца, занимаясь подготовкой в свободное время (учебу в ВУЗе и работу никто не отменял), через 10 лет непрерывной работы по специальности это заняло у меня 3 недели - делайте выводы.

Перспективы

Security+ является удобной отправной точкой в карьере специалиста в ИБ и засчитывается как в инженерных сертификациях по средствам защиты информации ведущих производителей (Microsoft, RSA, IBM, Cisco и пр), так и в экспертных вендорнезависимых сертификациях от ISACA, (ISC)2, EC-Council и др.

Также, для тех кто не читал другие статьи из цикла "Сертификации CompTIA", напоминаю, что во многих американских ВУЗах в программах бакалавриата\магистратуры, а также в рамках дополнительного профессионального образования сертификации CompTIA засчитываются, позволяя сэкономить время и деньги на обучение.

Продолжение истории

Последующий переход на руководящую должность, попытки управления коллективом инженеров, необходимость обосновывать затраты, персональная ответственность за действия подчиненных и сроки исполнения работ заставили меня оперативно разобраться с методологией управления проектами. Но это уже история для следующей статьи, тема которой - сертификация CompTIA Project+.

Жду вопросы по обучению и сертификациям CompTIA по адресу pashkov@microinform.ru


Для полной информации о программах обучения и сертификационных экзаменах, предлагаемых в России/СНГ и Странах Балтии, пожалуйста, обращайтесь в Учебный Центр «Микроинформ», тел. +7 495 933 0006, infosec@microinform.ru