Сертифицированный специалист по защите информационных систем

Экзамен на Сертифицированного специалиста по защите информационных систем является проверкой знаний в сфере информационной безопасности. Это первая сертификация, которая была аккредитована ANSI как ISO-стандарт ISO 17024:2003 для специалистов в области информационной безопасности^[5] и призвана обеспечить объективную оценку компетенций специалистов по безопасности. Для поддержания качества требуется подтверждение соответствующего профессионального опыта, а также обязанность постоянного обучения для сохранения статуса сертификации^[6]. Экзамен интересен не только экспертам по информационной безопасности, но и всем, кто работает в сфере информационных технологий или ИТ-безопасности.

Процесс сертификации состоит из нескольких этапов. Сначала необходимо сдать экзамен по восьми установленным направлениям знаний, подготовиться к которому можно с помощью учебных курсов или самостоятельного изучения. После этого начинается непосредственно процесс сертификации: профессиональный опыт кандидата должен быть подтверждён третьим лицом^[6]. Все претенденты могут быть случайным образом выбраны для аудита и подвергнуться более тщательной профессиональной проверке. Такой подход способствует гарантии того, что кандидат действительно приобрёл указанные знания на практике.

Основа экзамена — Совокупность базовых знаний (CBK, Common Body of Knowledge), включающая восемь тематических областей^[7].

Экзамен проводится в формате multiple-choice. За три часа необходимо ответить на 100—150 вопросов, охватывающих все восемь областей CBK. Экзамен направлен на быстрое распознавание усвоенного материала; логические рассуждения и вольные формулировки ответа не требуют. Его цель — покрыть максимально широкий спектр тем по безопасности и проверить разносторонность знаний кандидата. С 15 апреля 2024 года экзамен проводится исключительно с помощью так называемых компьютеризированных адаптивных тестов: после каждого ответа специальный алгоритм определяет, какой вопрос будет задан следующим. Если после минимальных 100 вопросов не удаётся с вероятностью 95 % судить о знаниях кандидата, то вопросы продолжают предъявляться до достижения статистической уверенности либо максимального лимита вопросов^[8].

Вопросы формируются по специальной схеме — это всегда закрытые вопросы, среди четырёх вариантов только один правильный. Встречается три основных типа вопросов: на выбор (распознавание), на ранжирование (ранжирование), на приближение (лучшее/худшее). Эти типы повторяются и могут быть определены по ключевым словам.

С 2005 года экзамен можно сдавать на немецком языке, однако из-за особенностей лексики и терминологии рекомендуется двуязычный вариант, в котором вопросы предоставляются одновременно на английском и немецком языках, позволяя использовать преимущества обеих версий.

Официальные каталоги вопросов не публикуются, но существуют тренировочные задания в книгах и сети. Они позволяют оценить стиль и глубину вопросов, хотя иногда содержат ошибки; поэтому к их использованию стоит относиться критически.

Для продления сертификата CISSP необходимо проходить образовательные активности (CPE, англ. continuous professional education), набрав в течение трёх лет 120 CPE-баллов. Существуют различные пути их получения: проведение преподавательской деятельности (4 балла в час, максимум 80), публикации научных статей или книг (до 40 баллов), самостоятельное обучение (до 40 баллов), чтение профильной литературы (до 30 баллов), участие в производственных тренингах (1 балл в час), посещение профессиональных конференций (1 балл в час), обучение в вузах по специальности (11,5 балла за дисциплину). Также учитывается общественная деятельность, например, членство в правлении отраслевых ассоциаций (до 20 баллов), или волонтёрская работа по линии (ISC)²^[9].

Каждый, обладающий сертификатом CISSP, должен соблюдать определённые этические нормы. В случае их нарушения любой другой CISSP вправе подать жалобу в (ISC)², что может привести к официальному аудиту, лишению сертификата и исключению из (ISC)².

Кодекс предусматривает следующие положения^[10]:

• Защищать общество, общее благо и инфраструктуру.
• Действовать достойно, честно, справедливо, ответственно и в соответствии с законом.
• Работать добросовестно и компетентно.
• Продвигать и защищать свою профессию.

Для обладателей CISSP предлагаются три направления специализации, углубляющие знания и предоставляющие более глубокую экспертизу^[11]:

• Information Systems Security Architecture Professional (ISSAP); специализация по архитектурам безопасности.
• Information Systems Security Engineering Professional (ISSEP); специализация по безопасной разработке ПО.
• Information Systems Security Management Professional (ISSMP); специализация по управлению информационной безопасностью.

Совокупность базовых знаний (CBK) объединяет ключевые темы по информационной безопасности. В структуре CISSP выделяют 10 направлений^[7].

В этой области рассматриваются основные механизмы контроля доступа.

Правила и структуры, определяющие возможность доступа, называются моделями безопасности. Они задают отношения между субъектами, объектами и операциями. Ключевые модели для экзамена^[12]:

Среди основных выделяют следующие:

• Модель конечного автомата — обеспечивает гарантированный безопасный режим системы во всех состояниях.
• Модель информационного потока — контролирует потоки данных между уровнями защищённой многоуровневой архитектуры.
• Модель Гогуэна-Месегера («невмешательство») — предотвращает утечки информации между уровнями.
• Модель Кларка—Уилсона — обеспечивает целостность, предотвращая неразрешённые модификации и внутренние/внешние несоответствия данных.
• Модель Белла—ЛаПадулы (многоуровневая, ориентированная на состояние) — фокусируется на конфиденциальности, с двумя ключевыми правилами: «не читать вверх» и «не записывать вниз».
• Модель Биба (многоуровневая, ориентированная на состояние) — поддерживает целостность: «не записывать вверх», «не читать вниз».
• Модель Брюера—Нэша («китайская стена») — динамически ограничивает права субъектов для избегания конфликтов интересов.
• Модель Грэхема—Деннинга — определяет базовый набор команд для операций с субъектами и объектами.
• Модель Харрисона—Руццо—Уллмана — ориентирована на права создания, изменения и удаления объектов/субъектов^[13].

Модели контроля доступа близки к моделям безопасности и определяют порядок предоставления прав от субъектов к объектам.

Ключевые модели для CISSP:

• Дискреционный контроль доступа (Discretionary Access Control, DAC): владельцы объектов управляют разрешениями через ACL согласно принципу необходимости осведомлённости (need-to-know).
• Мандатный контроль доступа (Mandatory Access Control, MAC): решения принимает система по установленным меткам безопасности; без соответствующего допуска доступ невозможен.
• Ролевой контроль доступа (Role-Based Access Control, RBAC): права определяются принадлежностью к определённой роли или группе, субъекты получают права, наследуемые от этих ролевых групп.

Все три подхода часто комбинируются в реальных системах и отражаются через физические, административные, логические и информационные компоненты^[14].

Особое значение имеют биометрические методы: отпечатки пальцев, сканеры сетчатки и радужки, распознавание лица, геометрия кисти, клавиатурное поведение, голосовая биометрия.

Методы аутентификации, использующие токены (карты памяти, смарт-карты), также подробно рассматриваются.

Тест затрагивает также системы с билетами, такие как одноразовые пароли, Single Sign-On — Kerberos, SESAME и др.

Важны знания по централизованному управлению доступом — RADIUS, TACACS+, Diameter: RADIUS — протокол аутентификации, широко применяющийся у интернет-провайдеров; TACACS+ обеспечивает более высокий уровень защиты за счёт расширенного шифрования, а Diameter добавляет гибкость в сравнение с предыдущими^[15].

В данной области изучаются такие вопросы, как правило четырёх глаз (Separation of Duty), организация и управление паролями и идентификаторами, методы проверки эффективности средств контроля доступа: IDS, Honeypot (ловушки для злоумышленников).

Тестируются знания о типах тестов на проникновение, атаках с использованием эксплойт нулевого дня, DNS spoofing, рисках атаки «человек посередине».

В числе угроз — Brute Force, атаки через словарь. Применительно к доступности тестируются сведения о DoS-атаках, например Smurf-атака.

Экзамен покрывает основы так называемой CIA-триады (конфиденциальность, целостность, доступность), обсуждает принципы защищённости данных от утраты и фальсификации, требования к отслеживаемости, конфиденциальности пользователя.

Значительная часть заданий посвящена управленческим аспектам: анализ риска, анализ угроз, организация мер безопасности. CISSP ориентируется не только на безопасность данных, но и на защищённость функционирования всей информационной системы. Освещаются вопросы change- и конфигурационного менеджмента.

Представлены модели классификации информации в государственных структурах (в том числе армии) и коммерческих организациях. Описываются персональные меры: ротация должностей для предотвращения коррупции, требования к описанию должностей, оформление соглашений о неразглашении. Для формирования культуры безопасности рассматриваются программы повышения осведомлённости.

Сертификация CISSP требует глубоких знаний индустриальных стандартов безопасности: ISO/IEC 27000, ITSEC, Common Criteria, COBIT, TCSEC.

• Модель OSI

Физические характеристики:

• оптоволоконный кабель
• витая пара

Типы сетей:

• топология «звезда»
• топология «шина»
• Token Ring
• Ethernet
• беспроводная локальная сеть
• WAN
• LAN
• MAN

Оборудование:

• сетевой мост
• шлюз (информатика)
• концентратор
• коммутатор
• фаервол
• прокси-сервер

Протоколы:

• TCP/IP
• IPsec
• SCIP
• TLS
• SSL
• S/MIME
• PEM
• CHAP
• PAP
• ARP
• SNMP
• DNS
• ICMP

Сервисы:

• HDLC
• Frame Relay
• SDLC
• ISDN
• X.25
• CSMA/CD

Методы защиты:

• VPN
• NAT
• RADIUS
• TACACS
• S-RPC
• Packet Sniffer
• CRC
• блок контрольных символов

Дополнительно:

• компьютерный червь
• мгновенный обмен сообщениями
• сниффинг
• спаминг

Безопасность приложений — область 2

Программные аспекты, вопросы разработки и жизненного цикла ПО.

Управление непрерывностью бизнеса и планирование восстановления после катастроф — область 3

Исходя из бизнес-анализа последствий формируются планы по обеспечению непрерывности (BCM) и восстановлению (DRP).

Криптография — область 4

Криптология объединяет криптографию и криптоанализ. Рассматриваются PKI, алгоритмы и их уязвимости.

Право, регулирование, соответствие и расследования — область 6

Особенно проявляются отличия американского и европейского законодательства. Немецкое право не включено, основа — правовые нормы США; международное право — только в рамках трансграничной передачи данных^[2].

Оперативная безопасность — область 7

Темы управления ИТ: управление носителями данных, резервное копирование, управление изменениями.

Физическая (экологическая) безопасность — область 8

Включает пожарную безопасность, безопасность локации и охрану.

Архитектура и проектирование средств защиты — область 9

Посвящено доверенным системам, trusted computing, вопросам архитектуры и корпоративного проектирования.