pravděpodobně nikdo nebyl překvapenější než vedení mezinárodního konsorcia pro certifikaci bezpečnosti informačních systémů (ISC) 2, když 16letý indický student střední školy Namit Merchant v loňském roce složil a složil přísnou zkoušku Certified Information Security Systems Professional (CISSP).
ještě předtím, než Merchant seděl na zkoušku, (ISC)2 položil základy pro zpřísnění požadavků na nejznámější profesionální pověření v oboru. S účinností od ledna 2003 budou žadatelé o CISSP potřebovat čtyřletý titul nebo čtyři roky praxe, což je výrazně přísnější než současná tříletá praxe.
změna je krokem správným směrem. Má-li CISSP zůstat nositelem bezpečnostních certifikací, musí (ISC)2 řádně zajistit, aby tuto známku excelence dosáhli pouze ti nejkvalifikovanější. Nové požadavky by přinejmenším měly snížit pravděpodobnost, že (ISC)2 osvědčí další Teenagery. (To je dobrá zpráva pro obchodníka, protože to bude pravděpodobně znamenat, že bude dlouho držet titul nejmladšího CISSP.)
problém je v tom, že (ISC)2 nemá infrastrukturu nezbytnou k ověření profesní nebo vzdělávací historie každého žadatele, což znamená, že někteří méně svědomití kandidáti pravděpodobně proklouznou trhlinami.
nepředpokládejme, že všechny kontrolní přehlédnutí budou škodlivé. Stávající požadavky na certifikaci CISSP jsou: (1) souhlasí s etickým kodexem (ISC) 2, (2) složí zkoušku a (3) má tři roky přímé bezpečnostní zkušenosti v jedné nebo více doménách 10. První dva požadavky jsou jednoduché – nechat uchazeče podepsat etický kodex a složit test. Ověření kvalifikace je však významným závazkem.
úplné ověření bylo provedeno v minulosti. Předtím, než byla zkouška CISSP, (ISC)2 udělila certifikaci profesionálům v rámci programu“ grandfathering “ pouze na základě jejich zkušeností. Tito pradědečtí profesionálové byli ti, kteří vytvořili původní společný soubor znalostí (CBK)a první zkoušku CISSP. Vzhledem k tomu, že jen malý počet lidí byl grandfathered, výbor dobrovolníků byli schopni zvládnout pracovní zátěž.
ale s tisíci žadatelů z celého světa každý rok, jediný výbor samozřejmě nemůže ověřit tisíce žádostí CISSP (ISC)2 obdrží každý rok. V současné době jsou procesy aplikace, ověřování, plánování testů a recertifikace smluvně uzavřeny s (ISC)2 Services, pobočkou Scholder Measurement Technologies (SMT), testovací společností, která udržuje a hodnotí zkoušky CISSP a Systems Security Certified Practioner (SSCP). Ale Scholder není zodpovědný za provádění ověřování.
problém monumentálního ověření neznamená, že by (ISC) 2 měl opustit své vysoké standardy. Místo toho by měl přijmout další doplňkové kontroly, které zlepší jeho schopnost ověřovat kvalifikaci kandidátů CISSP.
kontrola na místě je jedním z možných způsobů, jak vyvážit náklady a požadavky na ověření,ale není to ideální. Auditoři mohou najít občasné zdobení žadatelů, ale stále existuje vysoká pravděpodobnost, že mnoho nekvalifikovaných lidí unikne screeningu.
Sponzoring je praktická ověřovací metoda, která vyžaduje minimální úsilí na straně (ISC)2. Každý CISSP je povinen dodržovat etický kodex, takže (ISC)2 může snížit část zátěže prověřování žadatelů tím, že CISSP ověří způsobilost kandidáta. Je nepravděpodobné, že by člen v dobrém stavu riskoval ztrátu svého pověření sponzorováním nekvalifikovaného žadatele. Kromě toho je mnohem snazší vyhledat existující CISSP, než ověřit vzdělání a pracovní historii žadatele.
Změna způsobu hlášení může také pomoci. Aktuální formulář žádosti CISSP vyžaduje informace o zaměstnání, ale postrádá kontaktní informace nezbytné pro kontroly spolehlivosti. Shromažďování popisu práce a ověřovacích kontaktů, počet let zkušeností a procento provedené bezpečnostní práce by kandidátům pomohlo řádně posoudit jejich zkušenosti s „přímou prací“ a usnadnit ověřování. Popisy práce a procenta lze porovnat s průmyslovými normami a kontaktní informace lze použít k ověření bezpečnostní složky každé uvedené pozice.
tato opatření nejsou dokonalá, ale mohla by zlepšit proces prověřování a snížit počet žádostí, které by (ISC)2 musel ověřit. Snaha organizace prosazovat a zvyšovat hodnotu CISSP je jistě chvályhodná. Doufejme ,že (ISC) 2 bude následovat své přísnější požadavky s ještě definitivnějšími ověřovacími postupy.
o autorovi: William Stackpole, CISSP, je aktivní (ISC)2 dobrovolník a bývalý předseda a současný člen výboru pro vývoj testů CISSP.