Сертифицированный менеджер информацонной безопасности (CISM)

Чем отличается CISM от других сертификаций в области информационной безопасности? Почему в программе CISM делается акцент на управленческих и экономических аспектах ИБ? Что же в итоге получает сертифицированный специалист по ИБ и его руководитель?

Чем отличается CISM от других сертификаций в области информационной безопасности?

Существует два основных вида международных программ обучения и сертификации в области ИТ и информационной безопасности (далее – ИБ): программы поставщиков (вендоров) и программы независимых организаций. Сертификации по ИБ таких поставщиков, как Microsoft, Cisco, Symantec, Check Point, RSA, Sun, Oracle, IBM, HP занимают важное место в индустрии ИТ-образования, однако, охватывают в основном технологические аспекты, зачастую с привязкой к конкретным решениям.
Программы сертификации независимых организаций отличаются большей универсальностью, более полным рассмотрением методологических, управленческих и экономических вопросов ИБ. Данные программы можно условно разделить на начальные, средние и высшие. К начальным относятся сертификации Brainbench и подобные, к средним – CompTIA Security+, Ascendant SCP, TrueSecure ICSA, SANS GIAC, (ISC)2 SSCP.
Из категории высших сертификаций в области ИБ в Украине сегодня представлена только одна программа – Certified Information Security Manager (CISM). Курс разработан и поддерживается независимой некоммерческой ассоциацией ISACA, авторитетной международной профессиональной ИТ-организацией, известной в Украине, прежде всего, как автор стандарта COBIT и концепции IT Governance. Программа ориентирована на опытных администраторов и менеджеров систем ИБ, сфокусирована на стратегическом управлении ИБ, экономической эффективности ИБ, управлении рисками информационных систем, проектами ИБ, инцидентами ИБ и непрерывностью бизнеса. Под бизнесом в широком смысле понимается любая деятельность организации – коммерческой, акционерной, частной, государственной, общественной и т. д.
Неформально, но фактически, сертификация ISACA CISM позиционируется в мире как альтернативное высшее специальное образование. В силу стремительного развития ИТ и относительной инерции западных и отечественных вузов, подготовка ими специалистов не всегда соответствует современным требованиям бизнеса. Создавшийся вакуум закономерно заполняется международными сертификационными программами высшей категории. Наряду с аббревиатурами MBA, Ph. D, акронимы CISA и CISM печатаются на визитках весьма уважаемых людей, бизнесменов и руководителей высшего звена. Статистические данные института SANS свидетельствуют, что специалисты с сертификатами ISACA CISA и CISM являются наиболее оплачиваемыми относительно других высших сертификаций.
При этом стоит отметить, что ассоциация ISACA ни в коей мере не позиционирует себя как конкурент вузам. Более того, за рубежом и в Украине ведется активное сотрудничество с вузами, разработка совместных учебных программ, привлечение студентов и преподавателей к разработке методических материалов, существуют скидки для студентов на организационные вносы, приобретение литературы и т. п. Признание лучшего опыта, открытость и взаимовыгодное сотрудничество являются частью философии ассоциации.

Почему в программе CISM делается акцент на управленческих и экономических аспектах ИБ?

Область охвата при управлении корпоративной ИБ зачастую сужена, разбита по различным службам предприятия, не интегрирована. В случае подчинения ИБ службе ИТ рассматриваются преимущественно программно-аппаратные вопросы, при подчинении службе безопасности – режимные. Рассеивание компетенции ИБ по различным подразделениям приводит к потере системности, дублированию функций, появлению незакрытых областей ответственности, и, как следствие, к снижению общей эффективности ИБ предприятия.
Службы режима предприятий и непосредственно финансово-экономические службы не всегда способны эффективно управлять ИБ ввиду сложной архитектурно-технологической составляющей ИБ, еѐтесной интеграции с корпоративными ИТ. Поэтому достаточно распространен вариант интуитивного выполнения многих функций ИБ службой ИТ. При этом характерная программно-аппаратная область компетенции в своѐм крайнем проявлении приводит к рассмотрению ИБ как чисто технической дисциплины, игнорированию юридических, экономических, методологических, образовательных, социальных, психологических, мотивационных проблем управления ИБ.
С одной стороны, большинство нарушений ИБ можно рассматривать как преимущественно технические, например, вирусные атаки, спам или отказы жестких дисков. В то же время, по величине материального ущерба наиболее серьезными являются нарушения не технической природы, а человеческой, такие как халатность, утечки информации и мошенничество. Более того, любая техническая
угроза может быть представлена как угроза человеческого фактора. Скажем, вирусная эпидемия, возникшая из-за пробоя многоуровневой антивирусной системы, - это, чаще всего, следствие нарушения правильной работы с лицензионным ПО, Интернет или электронной почтой. Уничтожение уникальной информации на сервере – следствие халатности или некомпетентности при организации отказоустойчивого хранилища и библиотеки резервирования. Поэтому есть все основания утверждать, что технических угроз ИБ не существует вообще, есть только недостаточная зрелость тех или иных процессов управления ИБ. В правильно работающей системе управления программным обеспечением и полномочиями антивирус не добавляет защищенности, а любой сбой в системе хранения данных компенсируется механизмами обеспечения избыточности.
Бизнес, как клиента корпоративной службы ИБ, не интересуют технические детали угроз, уязвимостей и средств управления ИБ, а интересует, например, какого усредненного годового ущерба поможет избежать то или иное программно-аппаратное решение по ИБ, как быстро окупится инвестиция в него и каков коэффициент ROI данной инвестиции. Нельзя забывать, что кто платит, тот и заказывает музыку. Услуги ИБ оплачиваются бизнесом, а для бизнеса существует только один показатель эффективности чего бы то ни было – это экономическая эффективность.
ИБ как специальность и отрасль знаний взрослеет. Рассмотрение ИБ как управленческой и экономической дисциплины, как полноценного бизнес-процесса, соответствует тенденции роста зрелости специальности, и повышения статуса и роли служб ИБ в компаниях. Усиливается влияние менеджеров ИБ на принятие решений, но это влияние не за счет собственного авторитета и кредита доверия, а за счет предоставления удобных механизмов управления ИБ высшему руководству компании. Данный тренд является перспективным не только в области ИБ, но также и в ИТ, и соответствует явлению повышения зрелости бизнеса вообще и корпоративных служб в частности. Под зрелостью имеется в виду прозрачность, управляемость, результативность, производительность и другие характеристики бизнес-процессов, увеличивающие рыночную стоимость предприятия.

Предметная область курса CISM.

ИБ занимается защитой информационных систем. В данном случае мы рассматриваем системы организаций, обычно состоящие из компьютеров и другого оборудования, средств связи, программ, документации и персонала, а также информации и процессов еѐобработки. В таких системах по разным причинам происходят инциденты – утечки информации, искажения, сбои. Отсюда цель. ИБ – это такое состояние системы, при котором инциденты происходят относительно редко, и ущерб от них допустимо мал. Поэтому, главные требования ИБ – целостность, доступность и конфиденциальность информации на всех этапах ее жизненного цикла.
ИБ недостижима только при применении определенного решения, разовой услуги или пакета мероприятий. ИБ – это непрерывный системный комплексный процесс, интегрированный во все бизнес-процессы предприятия и требующий участия всех пользователей системы – внутренних, внешних и временных. Но даже в этом случае 100%-ная ИБ недостижима. Термин «обеспечение ИБ» устарел. Сейчас говорят об управлении ИБ.
Управление ИБ – оптимизационная задача поиска компромисса между уровнем защиты и еѐценой. Причем, ценой являются как разовые инвестиции, так и постоянные, как денежные, так и ограничения удобства работы с информацией. Оптимизация инвестиций в ИБ часто выполняется интуитивно, но такой подход непрозрачен для руководства предприятия.
Оптимальность и прозрачность инвестиций в ИБ можно достичь, только применяя методы управления рисками. Умная служба ИБ распределяет ресурсы в соответствии с величиной рисков, а не конкретных инцидентов. А мудрая служба ещѐи делает управление ИБ прозрачным для руководства компании и предоставляет ему инструменты управления и контроля инвестиций и проектов по снижению рисков. Как это делается – и есть основной предмет тренинга.
На экзамене CISM чисто технические и технологические вопросы, связанные исключительно с оборудованием и программным обеспечением, занимают относительно небольшую долю. Некоторую долю курса составляет рассмотрение стандартов ISO 27002, COBIT, практик ITIL. Программа и экзамен CISM сконцентрированы на менеджменте ИБ, а именно на следующих пяти областях управления ИБ:

1. Стратегическое управление ИБ. Цель: внедрение и поддержка структурной основы для гарантирования соответствия стратегии ИБ целям бизнеса, законодательству и нормативным требованиям.
2. Управление информационными рисками. Цель: определение рисков ИБ и управление или для достижения бизнес-целей.
3. Разработка программы (портфеля проектов) ИБ. Цель: создание и поддержка программы внедрения стратегии ИБ.
4. Управление программой (портфелем проектов) ИБ. Цель: надзор за мероприятиями по ИБ с целью выполнения программы ИБ.
5. Управление инцидентами и реагирование на инциденты. Цель: планирование, разработка и управление мощностями по выявлению и реагированию на инциденты ИБ, а также по восстановлению после них.

Какова процедура получения сертификата CISM?

Для сертификации CISM необходимо сдать экзамен, набрав не менее 450 баллов из 800 возможных, документально подтвердить наличие опыта работы в предметной
области, подписать кодекс профессиональной этики ISACA и другие обязательства, такие как обязательство постоянно повышать профессионализм. Экзамен проводится два раза в год и состоит из 200 вопросов, по 4 варианта ответов, на английском языке в письменном виде. Ответы записываются карандашом в специальной форме. Бумажная технология тестов является характерной чертой высших сертификаций, поскольку позволяет максимально обезопасить от компрометации материал экзамена. Экзамен длится 4 часа в присутствии уполномоченных сотрудников центра сертификации ISACA. Во время экзамена нельзя общаться, пользоваться часами, мобильными телефонами, электронными устройствами, словарями, бумагой и другими предметами, кроме простых карандашей, резинок (ластиков) и выдаваемых тетрадей. Применяются жесткие ограничения на пищу, напитки и выход из комнаты по естественным потребностям. В Украине сертификация проводится на базе компании Ernst&Young.
После успешной сдачи экзамена в любой момент в течение 5 лет направляется форма заявки на сертификацию с описанием опыта работы. Опыт работы в области ИБ должен быть не менее 5 лет, причем не менее 3 лет — в менеджменте ИБ в областях программы. В зачет 1-2 лет общего опыта в ИБ могут идти различные сертификаты (Security+, SANS GIAC, CISA и др.) или диплом вуза по специальности, связанной с ИБ, но это не отменяет необходимость трехлетнего стажа менеджмента.
С момента выдачи сертификат действителен 3 года. Для продления срока действия необходимо профессиональное обучение, участие в телеконференциях и других образовательных событиях общей продолжительностью не менее 120 часов каждые 3 года, причем не менее 20 часов каждый год. На сайте cism.com.ua публикуются анонсы о данных событиях и другие подробности по обучению и сертификации CISM.
Требования и процедуры, описанные выше, подтверждают, что сертификация CISM предназначена для серьезных специалистов, целенаправленно, планомерно и последовательно строящих свой профессиональный путь, направленный на постоянное самообучение, развитие вширь (эрудиция, рыночная ниша), вглубь (компетенция, производительность) и ввысь (служебное положение, научные достижения).

Что же в итоге получает сертифицированный специалист по ИБ и его руководитель?

Прежде всего, – знания. Специалист, вооруженный знаниями, выполняет работу увереннее и быстрее, растет его производительность труда, а значит, и ценность сотрудника внутри компании. Как следствие, повышается рыночная стоимость специалиста. Также следует отметить такой важный фактор, как непрерывное профессиональное самосовершенствование сертифицированного специалиста. Международные сертификации, как правило, не являются разовым мероприятием, а с годами требуют подтверждения. Это обуславливает постоянное повышение
знаний специалиста, умножаемых на его возрастающий опыт, что с годами увеличивает ценность специалиста гораздо более существенно, чем без сертификации.
Работодатель, прежде всего, привлекает на службу в компанию передовой международный опыт, который повышает экономическую эффективность службы ИБ. Любой специалист по кадрам или опытный ИТ-директор подтвердит, что выращивание своих специалистов часто выгоднее найма сторонних, не знакомых с корпоративной культурой. Важно уметь вовремя проводить ротацию кадров и использовать материальные и нематериальные виды мотивации. Это усиливает лояльность персонала и отдачу от него. Для усиления мотивации рекомендуется следующее справедливое разделение затрат: обучение за счет работодателя, сертификация за счет самого сотрудника. Также допускается подписание сотрудником обязательства после обучения отработать на предприятии определенный срок либо возместить затраты на обучение в случае досрочного увольнения.
Характерной чертой современного глобализованного мира является конкуренция и стремительно развивающийся аутсорсинг. Приобретая программно-аппаратные решения и отдельные услуги по ИБ, компаниям не следует забывать, что ИБ недостижима только при внедрении разовых мероприятий. Отечественные компании не передают работы в области ИБ внешнему поставщику. Часто из-за опасений конфиденциальности, но в основном причина в том, что работа менеджера ИБ требует постоянной занятости, непрерывной переоценки рисков, поддержки документации, обучения пользователей, оперативного реагирования на инциденты и других постоянных работ, трудно поддающихся дискретному учету. Отечественные поставщики в этом отношении предоставляют ограниченный набор услуг.
В то же время, сертификация CISM сотрудников самих поставщиков означает официальное подтверждение их компетенции, статуса компании, не ограничивающейся только конкретными техническими вопросами по настройке и эксплуатации предлагаемых программных или аппаратных решений. Позиционирование компании как консалтинговой или как интегратора с соответствующим получением преимуществ на рынке невозможно без всесторонней области охвата проблем ИБ. В то время как сейчас аудиторскими сертификатами ISACA CISA обладают отдельные отечественные системные интеграторы, а также все компании т. н. «большой четверки», сертификатами ISACA CISM – только некоторые из них. Это подтверждает престижность данной сертификации.