Оригинальные тексты для сайтов и веб-проектов. Копирайт, рерайт, переводы.
Профессиональное наполнение вебсайтов уникальным контентом и новостями.
Оптимизированные тематичные тексты и фото по низкой стоимости. Надёжно.

 
  Безопасность информации при использовании средств связи и различных коммуникаций  
 

На главную страницу | К оглавлению раздела

Уровень подготовки специалистов

Итак, вы - не новичок в области информационной безопасности. Вы уже решили, что такая служба нужна и, возможно, уже наметили первые шаги по планированию работы. Как же определить, достаточно ли вы и ваши сотрудники подготовлены для выполнения возложенной на вас миссии?

Можно рекомендовать обратится за опытом к профессионалам - службам обеспечения квалифицированным персоналом. Достаточно посетить несколько крупных агентств по трудоустройству (например, их интернет-сайты, предпочитающие недорогой хостинг) с ключевым запросом "information security", и в списках требований к кандидатам часто можно увидеть сочетание "CISSP preferred". Что оно означает?

Существует специальная организация International Information Systems Security Certification Consortium, Inc. (Международный консорциум по сертификации в области информационной безопасности), которая занимается тестированием и сертификацией специалистов по информационной безопасности, a CISSP - это ни что иное, как Certified Information Systems Security Professional (Сертифицированный специалист в области информационной безопасности). Другая категория, по которой проводится сертификация, - это SSCP - Systems Security Certified Practitioner (Сертифицированный практикующий специалист по безопасности систем). Если вы, читатель, уже имеете подобный сертификат, то примите наше уважение и можете лишь бегло проглядеть наши страницы - большинство из написанного здесь вам уже известно. Если же вы еще ни разу не пытались произвести независимую оценку своих способностей, то вас должен заинтересовать список требований компании к сертифицируемым кандидатам.

Не нарушая авторские права компании на разработку данного материала, рассмотрим кратко список тем, по которым производится тестирование:

• системы контроля доступа, методология;
• телекоммуникации и сетевая безопасность;
• практическое управление безопасностью;
• безопасность разработки приложений и систем;
• криптография;
• архитектура и модели безопасности;
• безопасность операций;
• планирование продолжения производственной деятельности и восстановления после аварий;
• законность в проведении расследований и этика;
• физическая безопасность.

Если большинство этих тем вам знакомы и вы считаете, что достаточно подготовлены в них, тогда давайте углубимся немного в конкретные вопросы представленных разделов:

• в чем отличие контроля доступа, основанного на правилах (rule-based) и основанного на ролях (role-based);
• что представляют собой модели контроля доступа Bell-LaPadula, Biba и Clark-Wilson;
• в чем преимущества и недостатки протоколов контроля доступа RADIUS и TACACS;
• что такое "атака методом грубой силы" (brute force) или "злоумышленник-посредник" (man-in-the-middle);
• какие способы аутентификации и конфиденциальности поддерживает технология IPSec;
• чем отличаются методы аутентификации РАР и CHAP;
• как вычисляются среднегодовые ожидаемые убытки (Annual Loss Expectancy);
• чем обеспечивается неотрекаемость (non-repudiation);
• что такое "восстановление ключей" (key recovery) и "слабые ключи";
• что такое "демилитаризованная зона" (DMZ) и как она используется;
• какая из систем биометрического контроля доступа обеспечивает наибольшую точность?

На большинство таких вопросов мы постараемся ответить, для оставшихся - укажем источники информации и направления поиска.

Ряд других компаний, занимающихся информационной безопасностью (например, компания-производитель известных межсетевых экранов - Checkpoint Inc.), также предлагают сертификацию специалистов как по своим конкретным продуктам, так и по общим направлениям безопасности. Не так давно компания ICSA анонсировала программу сертификации специалистов по безопасности, в которую входят следующие категории: ICSA (The ICSA Certified Security Associate - Сертифицированный специалист по безопасности ICSA), ICSE (The ICSA Certified Security Expert - Сертифицированный эксперт по безопасности ICSA) и ICSP (The ICSA Certified Security Professional - Сертифицированный профессионал по безопасности ICSA). Получение сертификации CISSP или других известных компаний, без сомнения, показывает высокий уровень подготовки специалиста, однако он приемлем не для всех из-за стоимости самого экзамена и расходов на поездку до учебного центра.

К счастью, существуют альтернативные методы подтверждения квалификации специалиста по информационной безопасности (как, впрочем, и по другим информационным технологиям и ряду других направлений). Это широко известная компания по он-лайн тестированию, обслуживающая более трех миллионов пользователей по всему миру - Brainbench Inc. (бывшая Tekmetrics).

Проверить специалиста по безопасности можно по следующим экзаменам, предлагаемым компанией:

• Internet security (проверяются знания как основ, так и конкретных методов обеспечения безопасности в TCP/IP сетях);
• Network security (экзамен интересен тем, что требует специальных знаний в конкретных областях, таких как Unix, Windows-системы, Solaris, Novell, Cisco IOS и т. п.);
• Disaster recovery and planning (проверяет способности к организации аварийного плана действий);
• TCP/IP administration (проверяет глубину знаний в архитектуре протоколов TCP/IP);
• NT/Win2000/Unix/Linux administration (проверяет уровень знаний в конкретной операционной системе);
• Network/Internet/Telecommunication concepts (проверяет знания в соответствующей области).

Есть ряд экзаменов по конкретным направлениям безопасности, таким как:

• Check Point Firewall-1 administration (экзамен по широко известному межсетевому экрану);
• MS Proxy 2.0 administration (экзамен по межсетевому экрану производства компании Microsoft);
• VPN with Windows (экзамен по использованию РРТР и L2TP в виртуальных частных сетях);
• Security Industry (здесь можно проверить свои знания по обеспечению физической безопасности).

Кроме того, на наш взгляд, руководителю службы безопасности будет полезно сдать следующие экзамены:

• Project management (проверяются способности возглавить команду по выполнению проекта);
• Technical writing (проверяются способности к написанию документации и отчетов);
• E-commerce concept (организация бизнес-деятельности с использованием информационных технологий);
• Object-oriented development (полезен для проверки специалиста как потенциального участника команды по постановке задачи на создание или тестирование имеющегося приложения);
• RDBMS development (экзамен используется для проверки знаний по основам работы с СУБД).

В стоимость сдачи экзамена включается выпуск и почтовая доставка сертификата. Экзамен сдается по двум уровням, в зависимости от результата - обычный (испытуемый получает более 2,75 балла) и мастер-уровень (при прохождении экзамена с результатом более 4 баллов из 5 возможных). Данный метод сертификации выгодно отличает возможность прохождения обучения и экзамена без выезда в учебный центр, используя только выход в Интернет и удаленное средство оплаты (пластиковую карту).


Качественное и надёжное обслуживание (ведение, администрирование) вебсайтов,
интернет-магазинов, витрин, блогов, форумов и других web проектов недорого.
Полное администрирование сайтов, включая наполнение контентом и продвижение.


 
     
 

razgovorodele.ru - © 2010-2017 - Разговор о деле ру
Безопасность информации при использовании средств связи и различных коммуникаций
При использовании наших материалов на других ресурсах сети обратная ссылка строго обязательна