Bezpečnostní certifikát

Po několika letech odkládání se Mathias připravuje ke zkoušce CISSP. Má tento krok vůbec nějaký smysl? A co je ke sl...


Po několika letech odkládání se Mathias připravuje ke zkoušce CISSP. Má tento
krok vůbec nějaký smysl? A co je ke složení zkoušky potřeba?
Tento měsíc se ubírám dvěma směry najednou. Dokončuji plnění řady úkolů,
jejichž cílem je maximálně snížit důsledky možného narušení bezpečnosti v mojí
firmě, případně zajistit funkčnost veškerých mechanismů v našem IT tak, abychom
se byli schopni co nejrychleji vyrovnat s nějakou kalamitní událostí. A po
pracovní době se připravuji ke složení odborné zkoušky, abych mohl získat
bezpečnostní certifikát. Přes den se starám o probíhající audity uživatelských
účtů a navíc s mým týmem připravujeme struktury skupin v rámci naší domény
Windows NT s cílem usnadnit správu sítě. Tato změna představuje velice výkonné
řešení, které nám umožní konfigurovat skupiny uživatelů s různě odstupňovanými
přístupovými právy a rozdělovat je do příslušných skupin podle přístupových
profilů zadaných pro jednotlivé role. Takové opatření by nám mělo pomoci
aplikovat konzistentní sadu bezpečnostních pravidel na celou bázi našich
uživatelů. Náš CIO se v současné době zabývá činností, které se říká
strukturovaná rekapitulace plánu obnovy po havárii. Celý postup budeme provádět
podle kontrolních seznamů a budeme procházet různé scénáře s našimi klíčovými
pracovníky. Bude-li naše strukturovaná rekapitulace úspěšná, přikročíme k
mnohem realističtějšímu testování na jednom z našich aktivních připojení.
Co se týče fyzické bezpečnosti, ostraha ve vstupní hale v přízemí věnuje
zřetelně zvýšenou pozornost tomu, kdo vchází do budovy nebo kdo z ní odchází. A
je také zřejmé, že většina zaměstnanců si více všímá svého okolí a zaznamenala
by projevy neobvyklého chování. I to je důsledek neblahých událostí z loňského
11. září. Možná, že se to zdá už vzdálené, ale není.

Certifikát CISSP
Asi před měsícem jsem se rozhodl, že začnu studovat, abych mohl získat
osvědčení specialisty na bezpečnost informačních systémů CISSP (Certified
Information Systems Security Professional), které uděluje mezinárodní
konsorcium bezpečnosti informačních systémů (ISC)2 (International Information
Systems Security Certification Consortium) z Massachusetts. Osvědčení CISSP je
mezi odborníky na bezpečnost informací uznáváno a v některých oborech se přímo
vyžaduje. Občas se podívám na webové stránky s nabídkou pracovních
příležitostí, kde se CISSP může uplatnit, a zjišťuji, že stále roste počet
míst, kde je tento certifikát vyžadován.
Zkouška CISSP sestává z 250 otázek, u kterých jsou uvedeny varianty odpovědi.
Test zahrnuje 10 základních oblastí znalostí označovaných CBK (common bodies of
knowledge), od řízení přístupu až po šifrování a fyzickou bezpečnost.
Konsorcium (ISC)2 vyhlásilo, že kandidáti CISSP musejí mít "praktickou znalost
všech 10 oblastí CBK" a "nejméně tři roky soustavně rozvíjené praxe v jedné
uvedené oblasti nebo v několika z nich".

Podivné zkoušky
Kolegové se mně ptali, proč jsem čekal tak dlouho, než jsem se rozhodl získat
osvědčení CISSP. V minulosti jsem si vždy myslel, že žádná osvědčení
nepotřebuji, že je to jen ztráta času a peněz a že zkušenosti jsou mnohem
cennější než nějaký titul napsaný před jménem. Mé zkušenosti z přijímacích
pohovorů s uchazeči o zaměstnání tento dojem ještě potvrdily. Asi před čtyřmi
lety jsem měl pohovor s uchazečem na pozici správce bezpečnosti. Jeho popis
praktických zkušeností obsahoval řadu titulů, jaké se udělují specialistům jako
Microsoft Certified Systems Engineer nebo Certified Novell Administrator.
Uchazeč se prokazoval znalostmi správy systému Solaris a zkušenostmi s
instalací a údržbou firewallu. Tvrdil, že má zkušenosti s nástroji pro údržbu
bezpečnosti IT a s dalšími aplikacemi, které podporují bezpečnost systému,
proto jsem měl o pohovor s tímto člověkem velký zájem.
Když se dostavil, vyvolal ve mně patřičný dojem. Bylo mu asi 30 let a byl na
svůj pohovor i náležitě oblečen. Jak pohovor pokračoval, postupně jsem
zjišťoval, že tento člověk má jen velmi malou znalost reálného světa
bezpečnosti a správy systémů. Jeho četná osvědčení pocházela z rychlokurzů,
jejichž cílem je naučit uchazeče jen to, co potřebuje, aby prošel závěrečnými
testy. Jenže reálný svět se od testů může výrazně lišit. Já jsem potřeboval
někoho, kdo by naskočil do rozjetého vlaku a držel tempo. Neměl jsem čas někoho
školit.
Od té doby jsem získal ještě několik podobných zkušeností s dalšími kandidáty.
To neznamená, že by člověk nemohl získat profesionály uznávané osvědčení.
Osvědčení Certified Internetworking Engineer, které zahrnuje praktický test, je
pravděpodobně nejobtížnější. Podle mých zkušeností jsou osoby s tímto
osvědčením velmi dobře kvalifikované ve svém oboru a zároveň mají dobrou
znalost některých aspektů bezpečnosti IT.

CISSP
Nakonec jsem se rozhodl podstoupit zkoušku CISSP poté, co jsem měl možnost
setkat se s několika profesionály, kteří celou přípravu absolvovali. Byl jsem
ohromen jejich znalostmi a navíc na celý studijní program jen pěli chválu.
Uvažoval jsem také o programu Global Information Assurance Certification
(GIAC), pořádaném SANS Institute. SANS Institute vždycky byl a stále je na
vedoucí pozici v oblasti informací a programů pro bezpečnost. Osvědčení GIAC
zahrnuje velký rozsah otázek týkajících se bezpečnosti informací a je obvyklé
zejména ve státním sektoru. Zní to trochu banálně, ale zvolil jsem raději CISSP
než GIAC čistě z důvodů popularity obou typů zkoušek. Například při dotazu na
vyhledání CISSP mi prohlížeč nabídl téměř 100 úspěšných odpovědí a při zadání
GIAC jen 14. Dal jsem si dva měsíce na studium ke zkouškám a v současné době
jsem skoro připraven. Studiu věnuji čtyři hodiny denně po práci a co nejvíce
volného času o víkendech. Při své přípravě čerpám hlavně ze tří publikací
(seznam a další informace naleznete ve vloženém textu). Používám také výborné
webové stránky na adrese www.cccure.org ty obsahují referenční materiály a
odkazy na další adresy, kde mohu získat tolik materiálů, prezentací a programů,
kolik jen pro svoji přípravu na zkoušku CISSP mohu potřebovat. Sestavil jsem si
složku s vytištěnými podklady z uvedené webové stránky a používám je ke studiu.
Ke každé z deseti požadovaných oblastí si přečtu jednu kapitolu z každé
publikace a potom si projdu nastřádané materiály. Nakonec si projdu všechny
praktické testy, které jsou mi dostupné. Po prostudování všech 10 segmentů se
vracím k místům, kde mám ještě nedostatky: šifrování, modely bezpečnosti a
fyzická bezpečnost. Také jsem si vyrobil indexové štítky, které mi pomáhají s
obtížnými pojmy.
I kdybyste třeba ještě nedospěli k rozhodnutí, že získáte tento (nebo nějaký
jiný) certifikát v oblasti bezpečnosti, rozhodně se alespoň podívejte do
uvedených zdrojů informací. Mnohé, co se tam dočtete, oceníte i v praxi.

Knihovna pro přípravu na CISSP
Při přípravě na zkoušku CISSP jsem využíval těchto tří knih:
The CISSP Prep Guide: Mastering the Ten Domains of Computer Security, autoři
Ronald L. Krutz, Russell Dean Vines a Edward M. Stroz, vydalo nakladatelství
Wiley v roce 2001. Je to nejlepší kniha pro přípravu na CISSP. Obsahuje záplavu
čistě studijních informací. Nejsou zde žádné dlouhé příběhy, jen několik
odborných názorů a příkladů z reálného světa přesně to, co potřebujete k
efektivní přípravě na zkoušku, včetně 200stránkové přílohy a slovníku pojmů.
Information Security Management Handbook, čtvrté vydání, autoři Micki Krause a
Harold F. Tipton, vydalo nakladatelství Auerbach Publications v roce 1999.
Tohle by měla být povinná četba. Na rozdíl od výše uvedené publikace obsahuje
tato kniha ohromné množství příkladů, které pomáhají čtenáři porozumět
popisovaným pojmům.
CISSP Exam Textbooks (theory and practice), autor S. Rao Vallabhaneni, vydalo
nakladatelství SRV Publications v roce 2001. Doslechl jsem se, že někteří lidé
prostudovali jenom publikaci SRV a úspěšně prošli testem, ale nalezl jsem zde
několik chyb a některé části jsou poněkud zavádějící. Ale pokud jste poslední
dobou neabsolvovali žádný test a nezaškrtávali v něm různé varianty odpovědí na
otázky, pak jsou pro vás tyto praktické úlohy jistě dobrou volbou.

Související webové odkazy
Podívejte se na webové stránky (ICS)2 (www.ics2.org), kde najdete skutečně
podrobné informace o seminářích CISSP a on-line studijních skupinách.
Doporučuji přihlásit se do jejich seznamu adres pro bezplatné zasílání novinek,
odkud se zpravidla rozesílá asi 15 nových zpráv denně.
Výborný zdroj pro přípravu na test naleznete na www.cccure.org. Nezapomeňte se
podívat do diskusní skupinu a na seznam odkazů.
Nejste-li si jisti v oblasti šifrování, navštivte stránky na www.cissps.com,
kde naleznete perfektní, do hloubky jdoucí informativní texty.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.