İnformasiya təhlükəsizliyi mütəxəssislərini sertifikatlaşdırma sistemləri

Qeyd. Bu məqalə 2008-ci ildə bir konfrans üçün hazırlanmışdı. İnformasiya təhlükəsizliyi sürətlə inkişaf edir və həmin müddətdə məruzədəki bir sıra faktlar köhnəlmişdir və müəllifin düzəliş etməyə imkanı yoxdur. Lakin oxucular üçün faydalı ola biləcəyini nəzərə alaraq, məruzəni veb-saytda yerləşdirmək qərara alınmışdır. Oxuculardan bunu nəzərə almaları xahiş olunur.

İnformasiya təhlükəsizliyinin təmin edilməsində bu sahə üzrə ixtisaslaşan mütəxəssislərin hazırlanması mühüm əhəmiyyət daşıyır. İnformasiya təhlükəsizliyi sahəsində kadrların hazırlanmasında ali məktəblərlə yanaşı bir sıra beynəlxalq konsorsiumlar və şirkətlər də mühüm rol oynayırlar. Təqdim olunan işdə beynəlxalq konsorsiumların fəaliyyəti və müvafiq sertifikatlaşdırma sistemləri  analiz edilir. 

İnformasiya təhlükəsizliyinin təmin edilməsi informasiya cəmiyyəti quruculuğunda əsas problemlərdən biridir. Bu problemin həllində elm və texnologiyanın müasir tələblərinə cavab verən proqram-texniki vasitələr və həllərlə yanaşı yüksək peşə hazırlığına malik mütəxəssislərə əhəmiyyətli rol ayrılır. İnformasiya texnologiyalarının tətbiqi genişləndikcə informasiya təhlükəsizliyi üzrə mütəxəssislərə tələbat da artır. Mütəxəssisin peşəkarlığının qiymətləndirilməsi meyarlarından biri də onun bu və ya digər sertifikatlara malik omasıdır. Son onilliklərdə müxtəlif sertifikatlaşdırma sistemləri peşəkarlığın rəsmi ekspertizası kimi dünyada öz təsdiqini tapmaqdadır.

İnformasiya təhlükəsizliyi üzrə onlarla müxtəlif sertifikatlaşdırma proqramları mövcuddur, onları iki əsas qrupa bölmək olar: istehsalçıdan asılı olmayan və istehsalçıdan asılı olan sertifikatlaşdırma proqramları. Qarışıq sertifikatlaşdırma sistemləri də mövcuddur.

Birinci növ proqramlar hər hansı konkret aparat/proqram məhsuluna bağlı deyil və informasiya təhlükəsizliyinin bu və ya digər texnologiyasının müxtəlif aspektlərini əhatə edirlər. Belə sertifikatlaşdırma sistemlərinə Certified Information System Security Professional (CISSP) və ya Certified Information System Auditor (CISA) aiddir.

İstehsalçıdan asılı olan sertifikatlaşdırma sistemləri konkret şirkətin təklif etdiyi konkret məhsuldan və ya həldən asılıdır. Aparat və proqram təminatının bir çox istehsalçısı məxsusi sertifikatlaşdırma proqramlarına malikdir. Belə sertifikatlaşdırma sistemləri əvvəlcə istehsalçıların marketinq proqramlarının tərkib hissəsi kimi meydana çıxmışdı. İnformasiya təhlkəsizliyi texnologiyalarının və sistemlərinin Cisco, ISS, Symantec, CheckPoint, RSA Security, IBM və s. kimi tanınmış istehsalçıları informasiya təhlükəsizliyi üzrə mütəxəssisləri sertifikatlaşdırma sistemlərinə malikdirlər. Nüfuzuna görə (və sertifikatlı mütəxəssislərin əmək haqqının həcminə görə) burada Cisco sertifikatları liderlik edir. İnformasiya texnologiyaları sahəsinin ən iri istehsalçıları da, məsələn, Microsoft, Sun, Computer Associates, 3SOM, Nortel Networks və s. öz sertifikatlaşdırma proqramları çərçivəsində informasiya təhlükəsizliyi üzrə ixtisaslaşmalar təklif edirlər, lakin onlar təhlükəsizlik üzrə mütəxəssislərə deyil, mühəndislərə, administratorlara və s. hesablanıb, belə sertifikatlaşdırma informasiya təhlkəsizliyi üzrə mütəxəssislər üçün artıq kifayət deyil.

İstehsalçıdan asılı olmayan sertifikatlaşdırma sistemləri informasiya təhlükəsizliyinə hərtərəfli yanaşmanı nəzərdə tutur: mütəxəssisdən təhlükəsizliyin texniki və idarəetmə aspektlərini bilməsi, həmçinin geniş spektrdə – kriptoqrafiyadan fiziki mühafizəyə qədər ən müxtəlif məsələlər üzrə biliklərə malik olması tələb olunur.

Müxtəlif sənaye assosiasiyaları və konsorsiumları konkret istehsalçıdan asılı olmayan bir sıra sertifikatlaşdırma proqramları təklif edirlər. Bu sertifikatlaşdırma proqramlarını kadrların səviyyəsindən asılı olaraq üç səviyyəyə bölmək olar: ilkin, orta, yüksək.

Məlumdur ki, informasiya təhlükəsizliyinin təmin edilməsi qanunvericilik, inzibati, təşkilati və proqram-texniki tədbirləri əhatə etməklə kompleks yanaşma tələb edir. Mövcud sertifikatlaşdırma sistemləri demək olar ki, bu istiqamətləri tam əhatə edir. Bu istiqamətlərə təxmini uyğunluqdan çıxış edərək mövcud sertifikatlaşdırma sistemlərinin daha bir təsnifatını da vermək olar: texniki; idarəetmə; audit; insidentlərin təhqiqatı üzrə bilikləri və kompleks bilikləri təsdiqləyən sertifikatlaşdırma sistemləri. 

Əksər mütəxəssislər tərəfindən hesab olunur ki, informasiya təhlükəsizliyi sahəsində ən yüksək səviyyədə tanınmanı CISSP (Certified Information Systems Security Professional) statusu təmin edir. CISSP proqramı  informasiya sistemlərinin təhlükəsizliyi sahəsində sertifikatlaşdırma üzrə beynəlxalq (ISC)2 konsorsiumu tərəfindən işlənilmişdir.


Sertifikat Təşkilat
CISSP (Certified Information Systems Security Professional) International Information Security Systems Certification Consortium (ISC)2
SSCP (Systems Security Certified Practitioner)
CISM (Certified Information Security Manager) Information Systems Audit and Control Association (ISACA)
CISA (Certified Information Security Manager)
GSLC (GIAC Security Leadership Certification) SANS (System Administration, Networking, and Security) Institute Global Information Assurance Certification
GCSC (GIAC Certified Security Consultant)
GCIA (GIAC Certified Intrusion Analyst)
CCSA (Certification in Control Self-Assessments) The Institute of Internal Auditors
CPP (Certified Protection Professional) American Society for Industrial Security (ASIS)
CIW Security Analyst (Certified Internet Webmaster) ProsoftTraining
CompTIA Security+ Computing Technology Industry Association (CompTIA)
Certified Ethical Hacker (CEH) Council of Electronic Commerce Consultants (EC-Council)
SCNA (Security Certified Network Architect) Cisco
MCSE:Security, MCSA:Security Microsoft

(ISC)2 konsorsiumu. (ISC)2 – International Information Systems Security Certification Consortium, Inc. aparıcı qeyri-kommersiya təşkilatıdır, konsorsiumun məqsədi bütün dünya ölkələri mütəxəssislərinin informasiya təhlükəsizliyi üzrə sertifikatlaşdırılmasıdır. Yarandığı 1989-cu ildən bəri (ISC)2 şirkəti tərəfindən informasiya təhlükəsizliyi sahəsində dünyanın 110 ölkəsindən 33000 mütəxəssis sertifikatlaşdırılmışdır. ABŞ Florida ştatı, Palm Harborda yaradılmış şirkətin Virciniya (ABŞ), Vyana, London, HonKonq və Tokioda ofisləri var. (ISC)2 “İnformasiya Sistemlərinin Təhlükəsizliyi üzrə Sertifikatlı Peşəkar” (CISSP) və “İnformasiya Təhlükəsizliyi Sistemləri üzrə Sertifikatlı Praktik” (SSCP) diplomları verir. İnformasiya təhlükəsizliyi üzrə sertifikatlar arasında "qızıl standart" olan CISSP sertifikatlaşdırma proqramını 2004-cü ilin iyununda ISO (Beynəlxalq standartlaşdırma təşkilatı) rəsmən bəyənmişdir. CISSP sertifikatlaşdırma sistemi şəxsi heyətin qiymətləndirilməsi və sertifikatlaşdırılması sahəsində ANSI ISO/IEC 17024 standartının ciddi tələblərinə uyğun olan ilk sertifikatlaşdırma proqramıdır. (ISC)2 həmçinin CBK (Common Base of Knowledge) – sənayedə ən yaxşı praktik həllər əsasında təhsil və təlimlə əlaqəli məhsullar və xidmətlər portfeli də təklif edir. Konsorsium hər il “(ISC)2 Global Information Security Workforce Study” toplusunu buraxır.

CISSP. CISSP sertifikatı almaq üçün yalnız bu sahədə ən azı üç il işləyən mütəxəssislər imtahan verə bilərlər (iddiaçılar haqqında informasiya imtahana qeydiyyat zamanı yoxlanır).

İmtahan sualları geniş biliklər bazasından seçilir, bu baza hər il 100-150 yeni sualla zənginləşdirilir. Ən vacibi odur ki, cari imtahan (imtahan ingilis dilində verilir) daim aktual saxlanır, həmişə müasir texnologiyalara və baxılan sahələrdə ən son nailiyyətlərə əsaslanır. Bundan başqa, informasiya təhlükəsizliyi sahəsində digər sertifikatlaşdırma sistemlərindən fərqli olaraq, bu imtahan hansısa konkret istehsalçıya "bağlanmayıb", bu da onun müstəqilliyi haqqında danışmağa imkan verir.

CISSP sertifikatı almaq üçün imtahan altı saat sürür və on mövzu (və ya domen) üzrə qruplaşdırılmış 250 sualdan ibarətdir:

1. Girişin idarə edilməsi (girişin idarə edilməsi modelləri, identifikasiya və autentifikasiya texnologiyaları, hücum metodları və s.);
2. Şəbəkə təhlükəsizliyi (şəbəkə texnologiyaları, VPN, şəbəkələrarası ekranlar, hücum metodları);
3. Təhlükəsizliyin idarə edilməsi prosedurları (informasiyanın təsnifatı, təhlükəsizlik siyasəti, standartlar, risqlərin analizi, şəxsi heyətin təlimi);
4. Təhlükəsiz tətbiqi proqramların yazılması (zərərli kod, proqram təminatının işlənməsi);
5. Kriptoqrafiya (kriptoqrafik şifrləmə protokolları, heş funksiyalar, PKI, hücum metodları);
6. Təhlükəsizlik arxitekturası (təhlükəsizlik və onun qiymətləndirilməsi modelləri, ümumi meyarlar);
7. Təhlükəsizlik infrastrukturunun istismarı (mühafizə vasitələrinin dəstəklənməsi, şəxsi heyətin idarə edilməsi və s.);
8. Biznesin fasiləsizliyi (ziyanın qymətləndirilməsi, iş qabiliyyətinin bərpası);
9. Qanunvericilik (qanunlar, insidentlərin təhqiqatı);
10. Fiziki təhlükəsizlik (videomüşahidə, mühafizə siqnalizasiyası, yanğından mühafizə, fiziki müdaxilələrin aşkarlanması).

Hər sualın dörd cavab variantı var, onlardan yalnız biri düzgündür. Sualların 70 %-nə cavab vermək lazımdır.

İmtahanı verib sertifikat aldıqdan sonra hər üç ildən bir öz CISSP statusunu təsdiq etmək lazımdır. Bunu ya imtahanı təkrar verməklə, ya da 120 kredit "qazanmaqla" etmək olar. Kreditlər profil məqalələr yazmaqla, tematik konfranslarda çıxış etməklə, seminarlarda iştirakla, təlimlə, informasiya təhlükəsizliyi üzrə kitablar oxumaqla və s. "qazanılır".

ISACA – İnformasiya Sistemlərində Audit və İdarəetmə üzrə Assosiasiya (Information Systems Audit and Control Association, ISACA) 1969-cu ildə yaradılıb və hazırda dünyanın 100-dən artıq ölkəsindən 20 minə yaxın üzvü birləşdirir və 12 mindən artıq informasiya sistemləri üzrə auditorun fəaliyyətini əlaqələndirir.

CompTIA – informasiya texnologiyaları (İT) sənayesi üzrə dünya miqyasında tanınan bir çox sertifikatlaşdırma proqramları ilə məşhurdur. Məsələn, A+, Linux+, Network+, Security+, Server+ və s. sertifikatlaşdırma proqramları CompTIA-ya məxsusdur. CompTIA Security+ ilkin səviyyə sertifikatıdır. Security+ sertifikatı şəxsin təhlükəsizlik üzrə aşağıdakı biliklərə malik olmasını sübut edir:

  • kommunikasiya təhlükəsizliyi;
  • infrastruktur təhlükəsizliyi;
  • kriptoqrafiya;
  • operativ təhlükəsizlik;
  • ümumi təhlükəsizlik.

Security+ sertifikatını almaq məqsədilə imtahan vermək üçün əvvəlcədən heç bir məhdudiyyət qoyulmur. Lakin CompTİA təşkilatı tövsiyə edir ki, namizədlər 2 il şəbəkə texnologiyaları üzrə təcrübəyə malik olsunlar və ya Network+ imtahanını vermiş olsunlar.

Sun, IBM/Tivoli Software Group, Symantec, Motorola, Hitachi Electronics Services, Verisign şirkətlər İT mütəxəssisləri uyğun vakansiyalara işə götürdükdə Security+ sertifikatını tələb edirlər.

Cisco Şəbəkə Akademiyası. Stendford universitetinin əməkdaşları Avropa, Yaxın Şərq və Afrikanın təhsil müəssisələri ilə tərəfdaşlıq əlaqələrinin yaradılması məqsədi ilə 1984-cü ildə Cisco Systems firmasını qurdular. Təhsil müəssisələri və Cisco şirkəti ilə birlikdə həyata keçirilən  «Cisco Şəbəkə Akademiyası» təhsil layihəsi yaradıldı. Fəaliyyətinin başlanğıcında akademiya şəbəkələrə xidmət edilməsi üzrə ixtisaslı kadrların hazırlanması üçün nəzərdə tutulurdu, lakin sonradan informasiya təhlükəsizliyi ilə bağlı fənlərin xüsusi çəkisi artdıqca akademiya informasiya təhlükəsizliyi üzrə mütəxəssis hazırlığının güclü mərkəzi kimi məşhurlaşdı.

Hazırda Cisco Şəbəkə Akademiyası İnternet üçün şəbəkə texnologiyalarında dünya lideridir. Cisco Akademiyaları 152 ölkədə açılıb (dünyada 10 000-dən çox akademiya var), onlarda 470 000-dən çox tələbə təhsil alır. Akademiya informasiya təhlükəsizliyi sahəsində dünyada qəbul edilmiş standartlardan və həllərdən istifadə etməklə lokal və qlobal şəbəkələrin layihələndirilməsi, qurulması və texniki dəstəklənməsinin nəzəriyyəsi və praktikası üzrə mütəxəssislərin fundamental hazırlığını təmin edir.

Cisco Şəbəkə Akademiyasının proqramı 280 saata hesablanıb. Tədris planları təhsil və şəbəkə texnologiyaları sahəsində ən yaxşı mütəxəssislərin iştirakı ilə ABŞ təhsil standartlarına uyğun olaraq işlənib. Tədris kursunu bitirdikdən sonra “Cisco sertifikatlı şəbəkə mütəxəssisi” (CCNA) və ya “Cisco sertifikatlı şəbəkə peşəkarı” (CCNP) adı almaq üçün imtahan keçirilir. Tədris 14 yaşdan aparılır.

Tədris prosesində ən mütərəqqi təhsil və bilik səviyyəsinə nəzarət metodikaları tətbiq edilir. O cümlədən distant təhsil texnologiyaları geniş istifadə edilir. «Elektron təhsil üzrə Qlobal laboratoriya» fəaliyyət göstərir, laboratoriya onlayn rejimdə hər gün təxminən 35 000 test həyata keçirir. Təhsil 9 dildə aparılır. Tədris materialları 90 gündən bir təzələnir.

SANS İnstitutu (System Administration, Networking and Security Institute) informasiya təhlükəsizliyi üzrə tanınmış mərkəzlərdən biri hesab olunur. Müxtəlif kurslar, treninqlər, nəşrlər və tədqiqatlar ilə yanaşı SANS İnstitutunda insidentlərin analizi üzrə xüsusi mərkəz (Global Incident Analysis Center, GIAC) də yaradılmışdır, mərkəz öz əsas fəaliyyəti ilə bərabər təhlükəsizlik üzrə texniki mütəxəssislərin sertifikatlaşdırılmasını da təklif edir.  

GIAC sertifikatlaşdırmanın 3 səviyyəsini təklif edir – GSEC (baza səviyyəsi), GCFW/GCIA/GCIH/GCNT/GCUX və GSE. Digər texniki sertifikatlaşdırma proqramlarından fərqli olaraq GIAC mütəxəssislərin bir neçə inkişaf istiqamətini müəyyən edir:

    –  şəbəkələrarası ekranlar, perimetrin mühafizəsi və VPN –  GIAC Certified Firewall Analyst;
    –  hücumların aşkarlanması – GIAC Certified Intrusion Analyst;
    –  insidentlərin idarə edilməsi –  GIAC Certified Incident Handling;
    –  Windows-un təhlükəsizliyi  –  GIAC Certified Windows Security; 
    –  Unix-in təhlükəsizliyi –  GIAC Certified Unix Security.

Sertifikat almaq üçün 5 ay müddətində praktiki tapşırığı yerinə yetirmək (layihə), sonra bir ay müddətində iki onlayn-imtahan vermək lazımdır, hər imtahan 75 sualdan ibarətdir, cavablara 2 saat ayrılır. Hər 2 və ya 4 ildən bir (istiqamətdən asılı olaraq) sertifikatın sahibi təsdiqləyici onlayn-imtahan verməlidir.

GIAC Security Expert sertifikatı GIAC proqramının ən yüksək pilləsidir. Bu sertifikatı almaq üçün namizəd əvvəlki beş səviyyə üzrə sertifikatları aldıqdan sonra (həm də ən azı biri üzrə 90%-dən çox bal toplamaqla) şifahi imtahan verməli, bir sıra praktiki tapşırıqları yerinə yetirməli, ssenari prinsipi üzrə qurulmuş yazılı imtahan verməli və öz seçdiyi mövzu üzrə şifahi təqdimat yerinə yetirməlidir.

Təhlükəsizlik üzrə analitik (CIW Security Analyst) sertifikatı İT-peşəkarları üçün orta səviyyə statusudur, bu peşəkarlar "elektron kommersiya xidmətlərini tətbiq edirlər, konfiqurasiya edirlər və idarə edirlər, həmçinin elektron kommersiya və şəbəkə təhlükəsizliyi sahəsində təhlükəsizlik üzrə həllər tətbiq edirlər".

CIW Security Analyst səviyyəsini əldə etmək üçün namizəd şəbəkə administratorluğuna yönəlmiş: MCSE, CNE, CCNP, CCIE, LPI Level 2 sertifikatlarından birinə malik olmalı, 40 akademik saat həcmində 3 kursu: şəbəkə təhlükəsizliyi və şəbəkələrarası ekranlar; əməliyyat sistemlərinin təhlükəsizliyi; təhlükəsizliyin/hücumların auditi və təhdidlərin analizi kurslarını öyrənməli və CIW Security Professional imtahanını verməlidir.

Certified Ethical Hacker (CEH) də təhlükəsizlik üzrə dünyada nüfüza malik sertifikatlardandır. CEH sertifikatı şəxsin işlədiyi təşkilatın təhlükəsizliyini sərbəst şəkildə yoxlamaq, qeyri-leqal hakerlərin istifadə etdiyi metodlara qarşı şirkətin təhlükəsizliyini test etmək bacarıqlarını sübüt edir. EC Council bir çox məşhur şirkətlərin, məsələn, CİSCO Systems, Microsoft, Sun Microsystems, Oracle, Google və s. əməkdaşlarından imtahan qəbul etmiş və sertifikatlaşdırmışdır.

Microsoft sertifikat sistemi bir qədər mürəkkəbdir. Təhlükəsizlik üzrə olan sertifikatlar konkret əməliyyat sisteminə bağlıdır (məsələn, 2000 Server, 2003 server). Bu imtahanlardan da hər hansı birini vermək üçün 4-5 ayrı-ayrı imtahanları vermək lazımdır. Microsoft bu yaxınlarda yeni sertifikatlaşdırma sistemi yaratmışdır. Orada qruplaşdırma bir qədər dəyişdirilib. Lakin köhnə sistem də öz aktuallığını itirməyib.

MIS Training Institute. Dünyanın informasiya təhlükəsizliyi üzrə mütəxəssislərin hazırlanması sahəsində ixtisaslaşan ən yaşlı şirkəti MIS Training Institute özünün yeni "Information Security Boot Camp: Prepping for Certification" ("İnformasiya təhlükəsizliyi üzrə sertifikatlaşdırmaya hazırlıq düşərgəsi") təlim proqramını həyata keçirir.


 Əlaqə:
 Telefon: (994 12) 5104253
 E-poçt: info at sciencecert dot az
2013 © AMEA İnformasiya Texnologiyaları İnstitutu
Saytdakı məlumatlardan istifadə edərkən www.sciencecert.az saytına istinad zəruridir.