valószínűleg senki sem lepődött meg jobban, mint az International Information Systems Security Certifications Consortium (ISC)2 vezetése, amikor a 16 éves Indiai középiskolás diák, Namit Merchant tavaly letette a szigorú Certified Information Security Systems Professional (CISSP) vizsgát.
még mielőtt a kereskedő a vizsgára ült volna, (ISC)2 megalapozta az iparág legismertebb szakmai hitelesítő adatainak szigorítását. Hatályos január 2003, CISSP pályázóknak szükségük lesz egy négyéves diploma vagy négy éves szakmai tapasztalat, ami lényegesen szigorúbb, mint a jelenlegi hároméves tapasztalat előfeltétele.
a változás egy lépés a helyes irányba. Ha a CISSP továbbra is a biztonsági tanúsítványok standard hordozója marad, akkor (ISC)2-nek megfelelően rendőrnek kell lennie annak biztosítására, hogy csak a legképzettebbek érjék el ezt a kiválósági jelet. Legalábbis az új követelményeknek csökkenteniük kell annak valószínűségét, hogy az (ISC)2 több tinédzsert tanúsít. (Ez jó hír a Merchant számára, mivel ez valószínűleg azt jelenti, hogy sokáig a legfiatalabb CISSP címet viseli.)
a probléma az, hogy (ISC) 2 nem rendelkezik a szükséges infrastruktúrával, hogy ellenőrizze minden pályázó szakmai vagy oktatási történelem, ami azt jelenti, hogy néhány kevésbé lelkiismeretes jelöltek valószínűleg csúszik át a repedések.
ne feltételezzük, hogy minden ellenőrzési hiba rosszindulatú lesz. A meglévő CISSP tanúsítási követelmények a következők: (1)elfogadja az (ISC) 2 etikai kódexet, (2) leteszi a vizsgát és (3) három éves közvetlen biztonsági tapasztalattal rendelkezik a 10 terület közül egy vagy több területén. Az első két követelmény egyszerűen kezelhető – a jelölt aláírja az etikai kódexet, és megteszi a tesztet. A képesítések ellenőrzése azonban jelentős vállalkozás.
teljes ellenőrzést végeztek a múltban. Mielőtt volt egy CISSP vizsga, (ISC) 2 nyújtott tanúsítványok szakemberek a “nagyapa” program alapján kizárólag a tapasztalataikat. Ezek a nagypapa szakemberek voltak azok, akik létrehozták az eredeti Common Body of Knowledge (CBK) és az első CISSP vizsgálat. Mivel csak kevés ember volt Nagyapa, egy önkéntesekből álló bizottság képes volt kezelni a munkaterhelést.
de mivel évente több ezer jelentkező van a világ minden tájáról, egyetlen bizottság nyilvánvalóan nem tudja ellenőrizni az évente beérkező több ezer CISSP-kérelmet (ISC)2. Jelenleg az alkalmazás, az ellenőrzés, a teszt ütemezése és az újraminősítési folyamatok az (ISC)2 Services-hez, a Scholder Measurement Technologies (SMT) egyik ágához tartoznak, amely a CISSP és a Systems Security Certified Practioner (SSCP) vizsgákat tartja fenn és pontozza. De Scholder nem felelős az ellenőrzésekért.
a monumentális ellenőrzési probléma nem jelenti azt, hogy az (ISC)2-nek el kellene hagynia magas színvonalát. Ehelyett más kiegészítő ellenőrzéseket kell magában foglalnia, amelyek javítják a CISSP-jelöltek képesítésének ellenőrzésére való képességét.
a helyszíni ellenőrzés az ellenőrzés költségeinek és követelményeinek egyensúlyba hozásának egyik lehetséges módja, de nem ideális. Az auditorok találhatják a pályázók alkalmi díszítését, de még mindig nagy a valószínűsége annak, hogy sok képzetlen ember elkerüli a szűrést.
a szponzorálás egy gyakorlati ellenőrzési módszer, amely minimális erőfeszítést igényel az (ISC)2 részéről. Minden CISSP köteles betartani az etikai kódexet, így (ISC) 2 csökkentheti a pályázók ellenőrzésének néhány terhét azáltal, hogy a CISSP-k érvényesítik a jelölt jogosultságát. Nem valószínű, hogy egy jó helyzetben lévő tag kockáztatja, hogy elveszíti hitelesítő adatait egy képzetlen pályázó szponzorálásával. Különben is, ez sokkal könnyebb, hogy néz ki egy meglévő CISSP, mint az, hogy ellenőrizze a kérelmező oktatási és munkatörténetét.
a tapasztalatok jelentésének megváltoztatása szintén segíthet. A jelenlegi CISSP jelentkezési lap nem kér foglalkoztatási információkat, de mentes a háttérellenőrzésekhez szükséges elérhetőségektől. A munkaköri leírás és az ellenőrzési kapcsolatok, az éves tapasztalat és az elvégzett biztonsági munka százalékos aránya összegyűjtése segítené a jelölteket abban, hogy megfelelően értékeljék “közvetlen munkahelyi” tapasztalataikat, és megkönnyítsék az ellenőrzést. A munkaköri leírások és százalékok összehasonlíthatók az iparági normákkal, és a kapcsolattartási adatok felhasználhatók az egyes felsorolt pozíciók biztonsági összetevőinek ellenőrzésére.
ezek az intézkedések nem tökéletesek, de javíthatják az ellenőrzési folyamatot és csökkenthetik az (ISC)2 által ellenőrizendő alkalmazások számát. A szervezet erőfeszítései a CISSP értékének fenntartására és növelésére minden bizonnyal dicséretes. Remélhetőleg az (ISC)2 szigorúbb követelményeit még határozottabb ellenőrzési gyakorlatokkal fogja követni.
A szerzőről: William Stackpole, CISSP, aktív (ISC)2 önkéntes és a CISSP Tesztfejlesztési Bizottság korábbi elnöke és jelenlegi tagja.