(ISC)²:n sertifioinnit
Huomaathan, että tällä sivulla annetut tiedot annetaan sitoumuksetta ja yksityiskohdat saattavat muuttua. Tarkista uusimmat tiedot aina sertifiointiorganisaation verkkosivuilta.
CISSP
CISSP®, Certified Information Systems Security Professional, on kansainvälisesti erittäin tunnettu, ANSI/ISO/IEC 17024-akkredoitu ammatillinen tietoturvasertifiointi.
CISSP-sertifiointeja valvoo (ISC)², International Information Systems Security Certification Consortium, tarkoitusta varten perustettu kansainvälinen voittoa tavoittelematon organisaatio.
Laaja-alainen CISSP-sertifiointi soveltuu hyvin esimerkiksi yrityksen tietoturvapäällikölle, tietoturva-alan konsultille tai tuotekehityksen tietoturvasta vastaavalle henkilölle.
CISSP-sertifionti edellyttää mm. toimimista vähintään neljä vuotta täysipäiväisesti ja ammattimaisesti tietoturvatehtävissä sekä vaativan kokeen läpäisyä. CISSP-tutkinto kestää kuusi tuntia ja sisältää 250 monivalintakysymystä kattaen kymmenen tietoturvan osaamisaluetta, joita kutsutaan nimellä CBK, Common Body of Knowledge. CBK on (ISC)²:n jatkuvasti päivittyvä määrittely tietoturva-alan ammatillisesta osaamisesta.
CBK:n vuonna 2006 päivitetyt osa-alueet ovat:
- Pääsynhallinta
- Sovellusten tietoturva
- Liiketoiminnan jatkuvuuden suunnittelu ja toipumissuunnittelu
- Kryptografia
- Tietoturvajohtaminen ja riskienhallinta
- Lainsäädäntö, vastaavuus ja tutkinta
- Käyttöturvallisuus
- Tila- ja ympäristöturvallisuus
- Turvallisuusarkkitehtuurit ja -mallit
- Tietoliikenne- ja verkkoturvallisuus sekä Internet-turvallisuus
(ISC)² korostaa että korkeaa moraalia ja etiikkaa sekä lakien noudattamista välttämättömänä osana korkeaa ammatintaitoa. Sertifiointia tavoittelevien henkilöiden tulee kirjallisesti sitoutua noudattamaan (ISC)²:n eettisiä sääntöjä:
- Turvaa ja suojele yhteisöäsi
- Ole vastuullinen sekä toimeksiantajaasi että kollegojasi kohtaan
- Toimi aina korkeiden eettisten normien mukaan
- Toimi kunniallisesti, oikein, vastuullisesti ja laillisesti
- Tee työsi toimeksiantajillesi ahkerasti ja ammattitaitoisesti
- Kehitä ja suojaa ammattiasi
CISSP-sertifiointiin valmentautuminen
Suomessa järjestetään normaalisti vuosittain kaksi (ISC)²:n virallista CISSP-seminaaria. Seminaarin kouluttajina toimivat (ISC)²:n valtuutetut kansainväliset asiantuntijat. Seminaarin luentokielenä on englanti, kuten tutkintotilaisuudessakin. Viisipäiväiseen seminaariin kuuluu:
- Viisi kahdeksan tunnin koulutuspäivää
- Täysin ajan tasalla oleva aineisto
- (ISC)²:n valtuuttama kouluttaja
- Koetesti
(ISC)²:n CISSP-seminaarit ja tenttipäivät löydät Tietoturva ry:n kalenterista. Viime vuosina on suomessa järjestetty CISSP-seminaareja myös muiden tahojen kuin (ISC)²:n toimesta. Suomalaiset alan koulutusyritykset ovat tuottaneet itse kehittämiään CISSP-seminaareja.
Myös itseopiskelulla on täysin mahdollista päästä läpi tentistä. Jos tietopohja on kunnossa, kokemuksen mukaan haastavinta on tottua englanninkielisiin monivalintakysymyksiin ja itse tenttitilanteen paineeseen – kysymyksiä on paljon ja aikaa rajoitetusti. Tehokas tapa itseopiskeluun on hankkia harjoitteluohjelma, joka tekee oikeaa tenttiä muistuttavia testikysymyksiä. Näin myös omat heikot kohdat paljastuvat. Preppaukseen on myös kirjoitettu useita kirjoja, joiden taso vaihtelee suuresti. Arvostelut kannattaa siis lukea ennen ostamista. Kannattaa myös ehdottomasti varmistaa, että kirja on kirjoitettu nimenomaan haluamaasi sertifiointia varten – joskus kirjoja päivitetään ”samankaltaisia” sertifiointeja silmälläpitäen hyvinkin kosmeettisin muutoksin.
Verkossa on myös erilaisia sertifiointeihin valmistavia sivustoja, joista mainittakoon tässä www.CCCure.org. Sivustolla ei ole mitään kytköstä (ISC)²:een tai Tietoturva ry:hyn.
Verkossa tai kirjojen mukana tulevat testikysymykset eivät ole oikeita koekysymyksiä, sillä kokeeseen tulijoiden on allekirjoitettava kysymyksiä koskeva salassapitositoumus.
Ilmoittautumiset, maksut ja taustatarkistus
CISSP- ja (ISC)²:n muita sertifionteja varten (ISC)² järjestää yhteistyössä Tietoturva ry:n kanssa tutkintotilaisuuksia yleensä kaksi kertaa vuodessa. Tilaisuudet ovat useimmiten pidetty toukokuussa ja marras-joulukuun vaihteessa pääkaupunkiseudulla.
Tutkintotilaisuuksiin osallistuminen maksaa n. 400-600 euroa riippuen ilmoittautumistavasta, tutkinnosta ja vaihtokursseista. CISSP-seminaarit ovat maksullisia. Tutkintomaksun lisäksi sertifioidun on maksettava vuotuista ylläpitomaksua.
Kaikkiin (ISC)²:n tutkintoihin ilmoittaudutaan suoraan (ISC)²:lle (http://www.isc2.org/). Ilmoittautuminen kannattaa tehdä ajoissa.
Kun tentti on suoritettu hyväksytysti, tarvitset vielä suosituksen joltakin nykyiseltä sertifioidulta henkilöltä. Hänen tehtävänsä on varmistaa ansioluettelosi oikeellisuus ja varmentaa työkokemuksesi. Tietoturva ry tai sen hallitus eivät valitettavasti voi tarjota tätä palveluna; sinun pitäisi tuntea jokin sertifioitu henkilö itse, tai voit antaa ansioluettelon varmennuksen tehtäväksi myös (ISC)²:lle.
Sertifioinnin yhdessä joudut myös tekemään selkoa mahdollisesta rikostaustasta, erityisesti tietotekniikkarikoksista. Väärinkäsityksten ehkäisemiseksi mainittakoon, että (ISC)²:n määritelmä ”hakkerille” on nimenomaan laittomuuksia tekevä krakkeri. Sertifiointien korkeiden eettisten vaatimusten vuoksi nämä asiat kannattaa varmistaa ennen tenttimistä, jos syytä huoleen omalla kohdalla on.
Sertifioinnin ylläpito
(ISC)²:n sertifiointien voimassa pitäminen edellyttää vuosittaista ylläpitomaksua sekä sitä, että sertifioitu todistettavasti ylläpitää osaamistaan. Tätä varten on luotu CPE-järjestelmä (Continuing Professional Education) jonka mukaan CPE-pisteitä voi kerätä seuraavista toimista:
- Osallistuminen alan kursseihin ja seminaareihin
- Osallistuminen turvallisuuskonferensseihin
- Jäsenyys Tietoturva ry:ssä ja osallistuminen yhdistysten toimintaan
- Tietoturva-alan tuote-esittelyihin osallistunen
- Yliopisto- ja amk-kurssien suorittaminen
- Koulutuksen tuottaminen
- Kirjojen tai artikkeleiden kirjoittaminen
- Tehtävät alan toimielimissä
- Itseopiskelu, kuten alan kirjallisuuden ja lehtien lukeminen
- Vapaaehtoistyö (ISC)²:ssa, kuten tutkintotilaisuuksien valvonta
CISSP-sertifiointeja varten tulee kerätä 120 CPE-pistettä kolmen vuoden aikana, joka vastaa noin täyttä työviikkoa vuodessa. Osallistuessasi Tietoturva ry:n tilaisuuksiin voit yleensä antaa sertifiointinumerosi, jolloin Tietoturva ry raportoi pisteet puolestasi. Jos joudut auditoinnin kohteeksi, voit pyytää Tietoturva ry:ltä todistuksen osallistumisestasi tilaisuuteen. Lisätietoa pisteiden saannista (ISC)²:n www-sivuilta.
Sertifioinnin ylläpidosta kannattaa sopia työnantajan kanssa. Usein työnantaja ymmärtää sertifioinnin edut ja tukee ylläpitoa sekä rahallisesti että antamalla mahdollisuuden käyttää työaikaa ammatillisen osaamisen ylläpitoon.
Kysyttävää CISSP-tutkinnosta?
Useimmiten vastaus löytyy (ISC)²:n sivuilta, http://www.isc2.org/.
ISSAP, ISSEP ja ISSMP
CISSP-tutkintoa on mahdollista syventää tietylle osa-alueelle lisätutkinnolla (”Concentration”). Nämä lisätutkinnot ovat ISSAP® (Concentration in Architecture), ISSEP® (Concentration in Engineering) ja ISSMP® (Concentration in Management). Näihin ilmoittaudutaan kuten CISSP-tutkintoonkin.
CSSLP
CSSLP(cm), Certified Secure Software Lifecycle Professional, on (ISC)²:n uusin tutkinto, joka sertifioi turvallisen ohjelmistokehityksen ammattilaisia.
CSSLP:n aihealueet ovat
- Turvallisten ohjelmistojen käsitteet
- Turvallisten ohjelmistojen vaatimukset
- Turvallinen ohjelmistosuunnittelu
- Turvallinen ohjelmiston toteutus/ohjelmointi
- Ohjelmistojen turvallisuustestaus
- Ohjelmistojen hyväksyminen
- Käyttöönotto, käyttö, ylläpito ja käytöstäpoisto
CSSLP-tutkinnon CPE-vaatimus on 90 pistettä kolmen vuoden aikana, vähintään 15 CPE-pistettä vuodessa.
SSCP
SSCP®, Systems Security Certified Practitioner, on hieman suppeampi ja enemmän tekniseen tietoturvaan keskittynyt tutkinto.
SSCP-tutkinto kattaa seuraavat alueet:
- Pääsynhallinta
- Hallinto
- Tarkastus ja valvonta
- Kryptografia
- Tietoliikenne
- Haittaohjelmat
- Riskit, vaste ja toipuminen
Myös SSCP-tutkintoon ilmoittaudutaan (ISC)²:n kautta.