Вендоронезависимые международные сертификации специалистов в области информационной безопасности
Certified Information Systems Security Professional (CISSP)
вендорнезависимая сертификация по информационной безопасности от некоммерческой организации International Information Systems Security Certifications Consortium, более известной как (ISC)².
Сертификация включает в себя 10 тем (доменов):
• Access Control
• Telecommunications and Network Security
• Information Security Governance and Risk Management
• Software Development Security
• Cryptography
• Security Architecture and Design
• Operations Security
• Business Continuity and Disaster Recovery Planning
• Legal, Regulations, Investigations and Compliance
• Physical (Environmental) Security
Certified Information Security Manager (CISM)
Разработан ассоциацией ISACA. Сертификат CISSP является стандартом де-факто в области информационной безопасности, но за его долгую историю выявились определенные недоработки данной квалификационной схемы. Поэтому и появился статус CISM, который позволяет увязать информационную безопасность со стратегией развития бизнеса компании. Если сравнить 10 доменов CISSP с содержанием CISM, то увидим полное отсутствие технической части. Только управление: связь стратегии ИБ с требованиями бизнеса (21 % всех вопросов), идентификация и управление рисками безопасности, влияющими на бизнес-цели (21 %), управление программой ИБ (21 %), направление всех активностей, связанных с ИБ (24 %), управление программой управления рисками и непрерывностью бизнеса (13 %).
Certified Information Systems Auditor (CISA)
Для того, чтобы контролировать соблюдение требований стандартов по управлению ИТ-инфраструктурой, ISACA предложила программу подготовки и сертификации аудиторов информационных систем (Certified Information Systems Auditor, CISA). Сегодня это самая известная программа подготовки внешних аудиторов (для внутренних аудиторов существует сертификация CIA от IIA).
Экзамен на получение данного статуса очень похож на CISSP — содержит 200 вопросов и занимает 4 часа. Различие состоит в темах, которые рассматривают в рамках курса подготовки и на экзамене. В данном случае внимание уделяется процессу аудита информационной системы (10 % всех вопросов), управлению ИТ-инфраструктурой (15 % вопросов), управлению жизненным циклом системам и инфраструктурой (16 %), доставке и поддержке ИТ-сервисов (14 %), защита информационных активов (31 %) и непрерывности и восстановлению бизнеса (14 %).