Comptia security что это
Сертификации CompTIA для ИТ-специалистов. Часть 5 из 7. CompTIA CASP (Advanced Security Practitioner)
1. История
Сертификация CASP в номенклатуре сертификаций оператора CompTIA является самой молодой (если вспомнить, что Storage+ прекратила свое существование) и позиционируется как продвинутая по отношению к сертификации по основам ИБ Security+. Целевая аудитория CASP это архитекторы систем защиты, инженеры-конструкторы и технические писатели, чья работа требует:
a) понимания методологии проектирования автоматизированных систем в защищенном исполнении
b) и особенностей ее применения при использовании технологий конкретных производителей оборудования и программного обеспечения
Сертификация CASP как раз пытается покрыть первую часть этих требований без привязки к технологиям конкретного производителя и, судя по признанию МО США и взрывному росту вакансий на рынке труда США/ЕС/Gulf с требованиями наличия CASP, это ей удается.
В отличии от экспертных вендорнезависимых сертификаций вроде CISSP и CISA, требующих не только сдачи экзамена, но и подтверждения многолетнего опыта работы, CASP требует только сдачи экзамена в контролируемой среде авторизованного центра тестирование VUE. Но все же этот экзамен дорогой, долгий и сложный.
2. Стоимость
Попытка сдачи экзамена стоит 416 долларов США, но уже простейший поиск в Google позволит вам легко найти код для 10% скидки на покупку ваучера для сдачи экзамена в онлайн-магазине CompTIA — далее вы просто тратите этот ваучер при заказе экзамена на портале провайдера услуг тестирования VUE
3. Продолжительность и формат
Экзамен длится 165 минут (плюс 30 минут если вы не носитель языка и сдаете экзамен не в англоязычной стране) и включает в себя до 90 вопросов. Актуальная на момент написания статья 2я версия экзамена с кодом CAS-002 включает в себя около 10 вопросов в формате Performance-based, предполагающем эмуляцию графического или интерфейса командной строки механизма защиты в широко распространенной ОС, браузере или сетевом оборудовании (вроде маршрутизатора Cisco) и заданием решить специфическую проблему. Также возможны вопросы в формате структурной схемы сети и задачей разработать дизайном защиты ее периметра в соответствии с требованиями сценария. Остальные вопросы представлены в формате Multiple-choice теста, в котором нужно выбрать все правильные ответы.
4. Домены
Экзамен CAS-002 проверяет знания и навыки кандидатов в 5 доменах знаний и навыков по организации и проведении обследований ИБ организации, оценке (качественной и количественной) рисков ИБ, а также разработке и реализации комплекса мер по минимизации выявленных рисков с акцентом на технические меры защиты.
Домен Enterprise security затрагивает разработку и применение технических мер защиты в части криптографии, защиты сетей и систем хранения данных, защиты периметра сети, хостов и бизнес-приложений.
Домен Risk Management and Incident Response акцентирует внимание на организационных мерах защиты: категорирование информационных ресурсов, качественная и количественная оценка рисков, разработка комплекта организационно-распорядительной документации по вопросам ИБ, а также плана реагирования на инциденты безопасности.
Домен Research Analysis and Assessments проверяет понимание методики обследования ИБ в организации, а также опыт в разработке системы метрик и показателей ИБ.
Домен Integration of Computing, Communications and Business Disciplines рассматривает особенности интеграции организационных, технических и физических мер защиты в единый комплекс, а также применение этого комплекса на разных этапах модели жизненного цикла автоматизированных-информационных систем.
Домен Technical Integration of Enterprise Components предлагает выявить необходимый минимум в понимании того как реализовать безопасную вычислительную среду при использовании облачной модели потребления ИТ-услуг.
5. Методика подготовки
На самом деле в экзамене CAS-002 можно найти массу пересечений с доменами CISSP, CISA и CEH. В случае недостатка знаний по методике реализации атак на бизнес-приложения и практических навыков настройки сетевого оборудования Cisco в части пакетной фильтрации и работы с журналами аудита, можно пройти бесплатный онлайн-курс подготовки к сертификации CASP от брутальной Kelly Hendermann на портале Cybrary — низкое качество съемки ее лекций и скупость учебного материала легко компенсировались харизмой и обширной эрудицией эксперта в ИБ. А для отработки практических навыков можно использовать самоучитель, рекомендованный на сайте оператора сертификации — в нем присутствовали исчерпывающие инструкции по развертыванию виртуального стенда и несколько десятков интересных лабораторных работ.
6. Перспективы
Относительно недавно МО США сделало CASP равнозначной экспертной сертификации CISSP от оператора (ISC)2 для некоторых позиций в Information Assurance Workforce. С учетом отсутствия необходимости подтверждать 5-летний опыт работы, а также вполовину меньшей ежегодовой суммы (50$ у CASP против 85$ у CISSP) членского взноса на поддержание сертификации, CASP становится очень привлекательным для сотрудников компаний ведущих деятельность с крупнейшей экономикой мира.
Также, для тех кто не читал другие статьи из цикла «Сертификации CompTIA», стоит отметить, что во многих американских ВУЗах в программах бакалавриата\магистратуры, а также в рамках дополнительного профессионального образования сертификации CompTIA засчитываются, позволяя сэкономить время и деньги на обучение.
Вопросы по обучению и сертификациям CompTIA присылайте на почту.
» Видеозапись и презентация вебинара “Кому доверить информационную безопасность”:
Сертификации CompTIA для ИТ-специалистов. Часть 1 из 7. CompTIA A+ и запись вебинара о подготовке к сертификациям по ИБ
1. Знакомство с сертификацией
Моя карьера в качестве специалиста в ИТ началась еще во время учебы в университете в 2000 году на производстве компьютеров в одном из крупнейших системных интеграторов Санкт-Петербурга. На участке конвейера, где я работал, была потоковая сборка персональных компьютеров, предустановка клиентских операционных систем, а также испытания собранных автоматизированных рабочих мест на соответствие требованиям технического контроля.
Под катом история о том, как требования главного инженера улучшить производство сподвигли меня становится специалистом в информационной безопасности и запись вебинара по подготовке к CISSP, CISM, CISA, Security+
Главный инженер производства хотел повысить производительность, а главное — качество труда сборщиков, поэтому было принято решение на одном из участков конвейера провести обучение в соответствии с единственной известной на тот момент международно-признаваемой программой сертификации для техников — CompTIA A+.
Эта программа предполагает объективную проверку комплекса знаний и навыков с помощью 2х экзаменов-тестов: первый — по программной составляющей (Windows и Linux-подобные операционные системы), второй — по аппаратному (средства вычислителной техники и периферия) обеспечению современных ПЭВМ.
Экзамен по операционным системам в то время имел код 220-102, где первое число (220) обозначает оператора сертификации CompTIA и не меняется, а второе (102) — версию экзамена и меняется каждый раз, когда происходит значительная смена поколений операционных систем. Например, в 2015 году на момент написания этой статьи актуальным является код экзамена 220-802.
2. Методика подготовки
Обширный опыт работы на производстве позволил мне достаточно быстро подготовиться к проверке практических навыков: процедуры установки, настройки, поиска и устранения типовых неисправностей в актуальных на тот момент версиях Windows (NT4.0/2000) и Linux-подобных операционных системах были доведены до автоматизма. Знания и навыки использования мастеров настройки, утилит командной строки, конфигурационных файлов и экранных форм проверялись достаточно серьезно, чтобы утверждать: без реального опыта их многократного использования корректно ответить на вопросы экзамена было бы маловероятно.
С частью экзамена, где проверялись теоретические знания, все было не так гладко: я только начал учиться в ВУЗе, а на экзамене у меня проверяли понимание архитектуры современных ОС, алгоритма работы менеджера памяти, особенности реализации файловых систем и многое другое. Поэтому пришлось интенсивно заниматься самообучением с помощью учебных пособий для самостоятельной подготовки от ведущих мировых издательств книг по тематике ИТ: Wiley, Sybex, Syngress, Microsoft Press и др. По названию сертификационного статуса и словосочетаниям вроде “study guide”, например, “CompTIA A+ exam study guide” в поисковых системах и тематических форумах, таких как certification.ru, можно было найти 2-3 книги разных авторов, чтобы ознакомиться с разными подходами к подготовке.
Одна из сложностей заключалась в том, что учебники в подавляющем большинстве были на английском языке и на русский язык массово не переводились, так что параллельно приходилось изучать технический английский. Также пришлось “натаскивать” себя в платных тестирующих системах (Boson, TestOut, MeasureUp и др) с пулом вопросов уровня соответствующего экзаменационным, эмулирующих то, что происходит на реальном экзамене. В поисковых системах и тематических форумах вроде certcollection.org эти тестирующие системы вы всегда можете найти по кодам экзаменов.
Добившись стабильно высокого процента правильных ответов (>90%), можно было надеяться на успешную сдачу экзамена с первой платной (около 150$) попытки в реальной системе тестирования Virtual University Enterprise (www.vue.com).
В результате 2х-месячной подготовки в свободное время (учебу в ВУЗе и работу на производстве никто не отменял) я смог с первого раза сдать экзамен по операционным системам 220-102. Затем, практически через неделю, был сдан экзамен по аппаратной части ПЭВМ — 220-101, про который имеет смысл рассказать поподробнее.
На экзамене очень серьезно проверялись практические навыки, требуемые для эффективной сборки и диагностирования оборудования ПЭВМ, например, предлагалось идентифицировать слоты для установки процессоров по их фотографиям, определить подходящий под описанные технические характеристики слот на материнской плате, выявить некорректные настройки BIOS для решения возникшей проблемы и пр.
Кроме этого, понимание архитектуры современных ПЭВМ, особенностей реализации процессорной, дисковой, сетевой и подсистемы памяти требовалось, чтобы выдержать задаваемый экзаменом темп в 1,5-2 минуты на вопрос. Это понимание пришло после прочтения книг “Архитектура компьютера” и “Современные операционные системы” за авторством Э. Танненбаума и “Операционная система UNIX” А. Робачевского.
Полученный по результатам сдачи 2х экзаменов сертификационный статус A+ был пожизненным, но я понимал, что практические навыки в связи со стремительным развитием ИТ-технологий быстро устаревают и для их объективной оценки требуется обновлять и сдавать эти экзамены каждые 2-3 года. На данный момент (2015 год) актуальна уже 8я версия A+ — обсуждаемые в этой статье экзамены получили коды 220-802 (ОС) и 220-801 (оборудование). Ну а статус A+ переставал выдаваться пожизеннно и теперь требует подтверждения каждые 2-3 года.
4. Дополнения к методике подготовки
Использованная мной методика подготовки в наши дни может быть дополнена прохождением видеокурсов (Computer-based training — CBT), которые можно найти в поисковых системах по названиям их ведущих мировых, например, Pluralsight (бывшая CBT Nuggets), и национальных — УЦ Специалист, разработчиков, а также по названиям сертификационных статусов и кодам экзаменов. Также существенно облегчает подготовку массовое распространение технологий виртуализации, позволяющих на относительно дешевом оборудовании с помощью условно-бесплатного ПО (Oracle Virtual Box, Microsoft Hyper-V, VMWare ESXi и пр.) создать полноценный виртуальный стенд в виде комплекта виртуальных машин с разнообразными ОС для отработки практических навыков по их установке, настройке, поиску и устранению неисправностей. В начале 2000х такой стенд был мне доступен только на рабочем месте в системном интеграторе, что значительно усложняло процесс подготовки.
Приятной новостью оказалось признание статуса CompTIA A+ большинством ведущих производителей ИТ-технологий (Microsoft, IBM, Hewlett-Packard, Dell и пр.) и включение ее в свои программы обучения и сертификации в качестве входных требований к участию в этих программах или в виде замены части своих сертификационных экзаменов (что очень помогло мне в дальнейшем при получении инженерных статусов Microsoft и Hewlett-Packard).
Также относительно недавно я узнал, что во многих американских ВУЗах в программах бакалавриата\магистратуры, а также в рамках дополнительного профессионального образования сертификации CompTIA также засчитываются, позволяя сэкономить время и деньги на обучение. Причина всему этому — сама суть CompTIA, это одна из крупнейших некоммерческих организаций, занимающихся разработкой и поддержкой программ обучения и сертификации специалистов по ИТ в соответствии с передовыми открытыми стандартами профессионального образования ISO/IEC 17024, а также требованиями Американского Национального Института Стандартов (ANSI).
6. Продолжение истории
Стоит ли говорить, что инициатива главного инженера производства привела к объективному улучшению показателей производительности и качества работы сборщиков на опытном участке производства компьютеров и мотивировала участников эксперимента и далее профессионально развиваться в сфере информационных технологий, используя озвученную методику. Впоследствии я перешел в подразделение автоматизации, где в зону моей ответственности был передан сегмент сети организации с десятками конечных пользователей, но это уже история для следующей статьи, тема которой — сертификации CompTIA — Network+.
Жду вопросы по обучению и сертификациям CompTIA по адресу PashkovK@muk.com.ua
Lead InfoSec, EMC trainer @ training.muk.ua/courses/security
Запись вебинара автора — Программа подготовки к сертификациям CISSP, CISM, CISA, Security+
Сертификации CompTIA для ИТ-специалистов. Часть 4 из 7. CompTIA Security+
0. Информационная безопасность как вид деятельности
Первый значимый опыт работы в сфере обеспечения информационной безопасности (далее ИБ) я получил в лаборатории разработки средств защиты информации одного из крупнейших системных интеграторов Северо-Запада в начале 2000х. Лаборатория обеспечивала полный цикл создания автоматизированных систем в защищенном исполнении: начиная с научно-исследовательских, опытно-конструкторских работ, продолжая потоковым созданием систем защиты, и заканчивая организацией их гарантийного обслуживания.
Создаваемые системы предполагалось использовать как в режиме коммерческой, так и гостайны, поэтому они в обязательном порядке проходили аттестацию/испытания на соответствие классу/уровню защищенности. Профессиональный состав коллектива лаборатории блистал выходцами лучших военных ВУЗов страны (ВКА им. А.Ф. Можайского и ВАС им. С.М.Буденного), такими как Зима Владимир и Сохен Виктор. В то же время к работе в лаборатории в качестве инженеров пуско-наладчиков привлекались студенты, обучающиеся по направлению «защита информации», вроде меня.
Системы создавались на основе оборудования Hewlett-Packard, программного обеспечения Microsoft и средств защиты информации НИП Информзащита. Заказчик предъявлял жестокие требования к квалификации персонала Исполнителя, поэтому руководство лаборатории выделяло бюджет на обучение и сертификацию. Причем если с авторизованными курсами и сертификациями вендоров (HP, Microsoft, Информзащита) все было очевидно, то в части касающейся минимального набора знаний и навыков по информационной безопасности была неопределенность.
Соискатели на вакансию инженера показывали абсолютно разный уровень подготовки в ИБ, и руководством было принято волевое решение использовать в качестве входного требования наличие вендорнезависимого сертификационного статуса CompTIA Security+. Этот выбор был очевиден, так как национальных аналогов данной сертификации не было, а статусы CompTIA A+, Network+ и Server+ уже успешно использовались другими подразделениями интегратора при наборе и обучении персонала. Вообщем, я начал готовиться к своей первой сертификации в ИБ.
1. Знакомство с сертификацией
Информационная безопасность находится на стыке целого ряда наук, а в связи со взрывным ростом рисков ИБ является еще и динамично развивающейся научной дисциплиной. Именно поэтому задача определения минимального набора знаний и навыков по ИБ требует системного подхода с непрерывным анализом состояния рынка информационных технологий и регулярной корректировкой этого набора.
Уже более 13 лет эту задачу успешно решает крупнейший оператор вендорнезависимых сертификаций Computing Technology Industry Association (CompTIA) под контролем American National Standarts Institute (ANSI) в соответствии с семейством открытых стандартов обучения и сертификации ISO/IEC Standart 17024.
За эти годы сертификация Security+ переопределяла набор знаний и навыков по основам ИБ 4 раза. Первая итерация имела вид компьютерного теста с кодом SY0-101 и сдавал я ее в качестве начинающего инженера-конструктора в центре тестирования Prometric, оплатив 250$ за попытку сдачи. В 2015 году на момент написания этой статьи актуальной является 4я версия теста с кодом SY0-401, ее я тоже сдал уже из профессионального интереса как преподаватель авторского курса подготовки к данной сертификации.
Экзамен SY0-401 состоит из 100 вопросов на английском языке, длится 90 минут (плюс 30 минут для тех кто не является носителем языка), и проверяет как теоретические знания, так и практические навыки в 6 доменах (темах):
1) безопасность сети
2) соответствие требованиям и безопасность операций
3) угрозы и уязвимости
4) безопасность приложений, данных и хостов
5) контроль доступа и управление сущностями
6) криптография
Обширный список требований к кандидатам на сдачу экзамена можно представить в следующем виде:
— знание фундаментальных принципов разработки и реализации комплекса мер по управлению рисками ИБ;
— знание справочной информации об устоявшихся политиках/стандартах/процедурах ИБ, особенностях безопасного использования современных информационных технологий, уязвимостях и общем представлении об ассоциированных с ними атаках;
А также практические навыки использования общедоступных средств защиты информации, реализующих дискреционную (в операционных системах Windows/Linux) и ролевую (в бизнес-приложениях) модели контроля доступа.
2. Методика подготовки
Для тех кто не учился по моей специальности и не имеет опыта работы в ИБ, но специализируется на информационных технологиях, крайне советую получить или хотя бы подготовиться (без непосредственной сдачи экзаменов) к сертификациям CompTIA A+, Network+ и Server+ — именно они указаны во входных требованиях к кандидатам Security+.
Мне же обучениев ВУЗе по специальности «Защита информации» дало понимание фундаментальных принципов обеспечения ИБ, а работа в коллективе инженеров-конструкторов, потоково создающих системы защиты, позволила применить это понимание на практике при решении прикладных задач. Поэтому постараюсь описать самые очевидные принципы для каждого домена:
1) безопасность сети: понятие периметра сети и реализация функций контроля в его точках; контроль доступа к среде передачи данных организации и защита данных в процессе передачи по каналам связи;
2) соответствие требованиям и безопасность операций: законы и регуляторы как основные источники требований к системе защиты; организационно-распорядительная, конструкторская/эксплуатационная документация;
3) угрозы и уязвимости: источники угроз и их особенности; количественная и качественная оценка рисков;
4) безопасность приложений, данных и хостов: варианты декомпозиции автоматизированной системы и реализация функций контроля над ее результатами;
5) контроль доступа и управление сущностями: суть контроля; жизненный цикл атрибутов доступа и управление привилегиями;
6) криптография: проблемы использования симметричной/асимметричной криптографии и способы их решения; инфраструктура открытых ключей
Возможно, эти принципы вам раскроют видеокурсы (Computer-based training — CBT), которые можно найти в поисковых системах по названиям их ведущих мировых, например, Pluralsight (бывшая CBT Nuggets), разработчиков, а также по названиям сертификационных статусов и кодам экзаменов. Мне же очень помогли книги Брюса Шнайдера «Прикладная криптография», «Безопасность глобальных сетевых технологий» Владимира Зимы, а также прохождение авторизованного курса Microsoft 2821 «Проектирование, пуско-наладка и обслуживание инфраструктуры открытых ключей на основе технологий Windows», обновленная версия которого до сих пор с успехом читается в ведущих учебных центрах Москвы и Киева.
Если с пониманием и применением принципов в 2003 году проблем у меня не было, то вот со справочной информацией об особенностях разнообразных закрытых и открытых технологий защиты однозначно наблюдался провал. Даже сейчас, имея более чем 10-летний опыт преподавания разнообразных ИТ-курсов, технологии вроде Kerberos, RADIUS/TACACS+ и пр., специфические названия политик и стандартов, а также характеристики американских криптографических алгоритмов требуют если не буквального заучивания, то хотя бы необходимости сконцентрироваться, перечитать литературу и освежить память перед сдачей экзамена.
Поэтому по сложившейся традиции приходится интенсивно заниматься самообучением с помощью учебных пособий для самостоятельной подготовки от ведущих мировых издательств книг по тематике ИТ/ИБ: Wiley, Sybex, Syngress, Microsoft Press и др.
По названию сертификационного статуса и словосочетаниям вроде “study guide”, например, “CompTIA Security+ exam study guide” в поисковых системах и тематических форумах, таких как www.certification.ru, можно легко найти 2-3 книги разных авторов, чтобы ознакомиться с разными подходами к подготовке. Учебники в подавляющем большинстве на английском языке, так что не забудьте подтянуть технический английский.
Практические навыки использования общедоступных средств защиты информации достаточно легко получить при наличии стенда и набора лабораторных работ, соответствующих описанию экзамена. Стенд можно собрать на дешевом оборудовании с помощью условно-бесплатных гипервизоров (Oracle Virtual Box, Microsoft Hyper-V, VMWare ESXi и пр.) в виде комплекта виртуальных машин с разнообразными ОС и бизнес-приложениями. Подробные инструкции по его созданию и сам лабораторный практикум ищите в упомянутых ранее пособиях для самостоятельной подготовки.
Также не забудьте, что каждая попытка сдачи экзамена платная (сейчас около 266$), так что стоит “натаскать” себя в платных тестирующих системах (Boson, TestOut, MeasureUp и др) с пулом вопросов уровня соответствующего экзаменационным, эмулирующих то, что происходит на реальном экзамене. В поисковых системах и тематических форумах вроде www.certcollection.org эти тестирующие системы вы всегда можете найти по кодам экзаменов.
Добившись стабильно высокого процента правильных ответов (>90%), можно надеяться на успешную сдачу экзамена с первой попытки в реальной системе тестирования Virtual University Enterprise (www.vue.com) или Prometric (www.prometric.com)
В первый раз я потратил 2 месяца, занимаясь подготовкой в свободное время (учебу в ВУЗе и работу никто не отменял), через 10 лет непрерывной работы по специальности это заняло у меня 3 недели — делайте выводы.
3. Результат
В 2003 году успешная сдача этого экзамена давала пожизненный статус Security+, теперь же он дается на 3 года и для его продления требуется регулярно подтверждать оператору CompTIA, что вы поддерживаете свою квалификацию в актуальном состоянии в рамках программы непрерывного обучения Continuous Education.
4. Перспективы
Security+ является удобной отправной точкой в карьере специалиста в ИБ и засчитывается как в инженерных сертификациях по средствам защиты информации ведущих производителей (Microsoft, RSA, IBM, Cisco и пр), так и в экспертных вендорнезависимых сертификациях от ISACA, (ISC)2, EC-Council и др.
Также, для тех кто не читал другие статьи из цикла «Сертификации CompTIA», напоминаю, что во многих американских ВУЗах в программах бакалавриата\магистратуры, а также в рамках дополнительного профессионального образования сертификации CompTIA засчитываются, позволяя сэкономить время и деньги на обучение.
5. Продолжение истории
Последующий переход на руководящую должность, попытки управления коллективом инженеров, необходимость обосновывать затраты, персональная ответственность за действия подчиненных и сроки исполнения работ заставили меня оперативно разобраться с методологией управления проектами. Но это уже история для следующей статьи, тема которой — сертификация CompTIA Project+.