http://www.microfinance.uz Бухгалтерский и налоговый учёт Thu, 26 Jan 2012 14:59:26 +0000 en hourly 1 http://wordpress.org/?v=3.1.2 http://www.microfinance.uz/uroven-podgotovki-specialistov/ http://www.microfinance.uz/uroven-podgotovki-specialistov/#comments Thu, 28 Aug 2008 13:17:16 +0000 admin http://www.microfinance.uz/2008/08/28/uroven-podgotovki-specialistov/ Итак, вы — не новичок в области информационной безопасности. Вы уже решили, что такая служба нужна и, возможно, уже наметили первые шаги по планированию работы. Как же определить, достаточно ли вы и ваши сотрудники подготовлены для выполнения возложенной на вас миссии?
Можно рекомендовать обратится за опытом к профессионалам — службам обеспечения квалифицированным персоналом. Достаточно посетить несколько крупных агентств по трудоустройству (например, их интернет-сайты) с ключевым запросом “information security”, и в списках требований к кандидатам часто можно увидеть сочетание “CISSP preferred”. Что оно означает?
Существует специальная организация International Information Systems Security Certification Consortium, Inc. (Международный консорциум по сертификации в области информационной безопасности), которая занимается тестированием и сертификацией специалистов по информационной безопасности, a CISSP — это ни что иное, как Certified Information Systems Security Professional (Сертифицированный специалист в области информационной безопасности). Другая категория, по которой проводится сертификация, — это SSCP — Systems Security Certified Practitioner (Сертифицированный практикующий специалист по безопасности систем). Если вы, читатель, уже имеете подобный сертификат, то примите наше уважение и можете лишь бегло проглядеть эту книгу — большинство из написанного здесь вам уже известно.
Если же вы еще ни разу не пытались произвести независимую оценку своих способностей, то вас должен заинтересовать список требований компании к сертифицируемым кандидатам. По дополнительному запросу (по адресу http://www.isc2.org/), вам по электронной почте бесплатно вышлют список тематических вопросов для подготовки.
Не нарушая авторские права компании на разработку данного материала, рассмотрим кратко список тем, по которым производится тестирование:
□ системы контроля доступа, методология;
□ телекоммуникации и сетевая безопасность;
□ практическое управление безопасностью;
□ безопасность разработки приложений и систем;
□ криптография;
□ архитектура и модели безопасности;
□ безопасность операций;
□ планирование продолжения производственной деятельности и восстановления после аварий;
□ законность в проведении расследований и этика;
□ физическая безопасность.
Если большинство этих тем вам знакомы и вы считаете, что достаточно подготовлены в них, тогда давайте углубимся немного в конкретные вопросы представленных разделов:
□ в чем отличие контроля доступа, основанного на правилах (rule-based) и основанного на ролях (role-based);
□ что представляют собой модели контроля доступа Bell-LaPadula, Biba и Clark-Wilson;
□ в  чем  преимущества  и  недостатки  протоколов  контроля  доступа RADIUS и TACACS;                                                                                                                                           □ что такое “атака методом грубой силы” (brute force) или “злоумышленник-посредник” (man-in-the-middle);
□ какие способы аутентификации и конфиденциальности поддерживает технология IPSec;
□ чем отличаются методы аутентификации РАР и CHAP;
□ как  вычисляются  среднегодовые  ожидаемые  убытки   (Annual  Loss Expectancy);
□ чем обеспечивается неотрекаемость (non-repudiation);
□ что такое “восстановление ключей” (key recovery) и “слабые ключи”;
□ что такое “демилитаризованная зона” (DMZ) и как она используется;
□ какая из систем биометрического контроля доступа обеспечивает наибольшую точность?
На большинство таких вопросов мы постараемся ответить в этой книге, для оставшихся — укажем источники информации и направления поиска.
Ряд других компаний, занимающихся информационной безопасностью (например, компания-производитель известных межсетевых экранов — Checkpoint Inc.), также предлагают сертификацию специалистов как по своим конкретным продуктам, так и по общим направлениям безопасности. Не так давно компания ICSA (http://www.trusecure.com/) анонсировала программу сертификации специалистов по безопасности, в которую входят следующие категории: ICSA (The ICSA Certified Security Associate — Сертифицированный специалист по безопасности ICSA), ICSE (The ICSA Certified Security Expert — Сертифицированный эксперт по безопасности ICSA) и ICSP (The ICSA Certified Security Professional — Сертифицированный профессионал по безопасности ICSA).
Получение сертификации CISSP или других известных компаний, без сомнения, показывает высокий уровень подготовки специалиста, однако он приемлем не для всех из-за стоимости самого экзамена и расходов на поездку до учебного центра.
К счастью, существуют альтернативные методы подтверждения квалификации специалиста по информационной безопасности (как, впрочем, и по другим информационным технологиям и ряду других направлений). Это широко известная компания по он-лайн тестированию, обслуживающая более трех миллионов пользователей по всему миру — Brainbench Inc. (бывшая Tekmetrics).
Проверить специалиста по безопасности можно по следующим экзаменам, предлагаемым компанией на 1 сентября 2002 года:
□ Internet security (проверяются знания как основ, так и конкретных методов обеспечения безопасности в TCP/IP сетях);                                                                               □ Network security (экзамен интересен тем, что требует специальных знаний в конкретных областях, таких как Unix, Windows-системы, Solaris, Novell, Cisco IOS и т. п.);
□ Disaster recovery and planning (проверяет способности к организации аварийного плана действий);
□ TCP/IP administration (проверяет глубину знаний в архитектуре протоколов TCP/IP);
□ NT/Win2000/Unix/Linux administration (проверяет уровень знаний в конкретной операционной системе);
□ Network/Internet/Telecommunication concepts (проверяет знания в соответствующей области).
Есть ряд экзаменов по конкретным направлениям безопасности, таким как:
□ Check Point Firewall-1 administration (экзамен по широко известному межсетевому экрану);
□ MS Proxy 2.0 administration (экзамен по межсетевому экрану производства компании Microsoft);
□ VPN with Windows (экзамен по использованию РРТР и L2TP в виртуальных частных сетях);
□ Security Industry (здесь можно проверить свои знания по обеспечению физической безопасности).
Кроме того, на наш взгляд, руководителю службы безопасности будет полезно сдать следующие экзамены:
□ Project management (проверяются способности возглавить команду по выполнению проекта);
□ Technical writing (проверяются способности к написанию документации и отчетов);
□ E-commerce concept (организация бизнес-деятельности с использованием информационных технологий);
□ Object-oriented development (полезен для проверки специалиста как потенциального участника команды по постановке задачи на создание или тестирование имеющегося приложения);
□ RDBMS development (экзамен используется для проверки знаний по основам работы с СУБД).
В стоимость сдачи экзамена включается выпуск и почтовая доставка сертификата. Экзамен сдается по двум уровням, в зависимости от результата — обычный (испытуемый получает более 2,75 балла) и мастер-уровень (при прохождении экзамена с результатом более 4 баллов из 5 возможных).
Данный метод сертификации выгодно отличает возможность прохождения обучения и экзамена без выезда в учебный центр, используя только выход в Интернет и удаленное средство оплаты (пластиковую карту).

]]> http://www.microfinance.uz/uroven-podgotovki-specialistov/feed/ 0