Борис Гончаров: CISSP е глобалният отговор върху всички аспекти на сигурността на информацията (3 част)
CISSP is a registered mark of the International Information Systems Security Certification Consortium in the United States and other countries.
Трета част на интервюто с Борис Гончаров за CISSP и ползите от сертификацията (Втора част можете да прочетете тук).
New Horizons Bulgaria: Като един от първите CISSP сертифицирани в България, какво ще разкажеш за титлата?
Борис Гончаров: Титлата е изключително престижна и разпознаваема, в държавите, в които съм посещавал нашата компания из света. Така или иначе, когато говорим за CISSP, говорим за професионализъм. CISSP е един етикет, но не само. Той е обективно доказателство за опит, за разбиране в детайли и комплексно цялата проблематика, свързана с управление сигурността на информацията. Това е единственият такъв сертификат и програма за обучение, който има ISO сертификат и е признат от Министерство на oтбраната на САЩ.
New Horizons Bulgaria: Доколко е разпознаваем сертификатът в България?
Борис Гончаров: В България не е много разпознаваем, поради простия факт, че в нашата страна проблемът за сигурността на информацията има съвсем други измерения. Не че те са различни от това, което съществува навсякъде другаде по света, но необходимостта от тази компетентност не е осъзната. Или хората го правят за престиж, или за да разрешат някакъв проблем, което не е правилно така или иначе. Просто не сме узрели, за да осъзнаем проблемите, свързани със сигурността на информацията.
New Horizons Bulgaria: Има ли стойност за една организация да има сертифициран CISSP и каква е тя?
Борис Гончаров: Ами, това е доста забавно, защото когато имаш един CISSP в организацията, той автоматически вдига нивото на организацията, стига да има необходимата позиция и някакво влияние върху бизнеса. Когато има сертифициран CISSP цялата организация изглежда и мисли по различен начин – само с идеите си и разбирането си за дълбочината на проблема той може да повлияе на самата организация да се замисли много по-дълбоко, за да развие някаква система за управление и да се случи нещо съвсем друго.
New Horizons Bulgaria: Какъв е процесът за доказване на това, че човек има необходимите знания да бъде удостоен с титлата (и да придобие това обективно доказателство)?
Борис Гончаров: Първо, човек трябва да е доказал уменията си в сферата на управлението, за да може да се яви на изпит. Оттам, самият изпит протича съвсем просто – прочитат ти правата и получаваш моливче и хартия за попълване алгоритъма на въпросника. Сложното идва от огромното количество интелектуална енергия, която изразходваш. В системата на българското образование никога не съм се сблъсквал с толкова сложен, изтощителен и комплексен изпит, който същевременно е изключително добре построен от гледна точка на практическата си ориентираност. Материалът не подлежи на зазубряне, той е когнитивен и кандидатът трябва да притежава познанието, за да реши зададените казуси.
New Horizons Bulgaria: Каква е връзката между ISO 27001 и CISSP?
Борис Гончаров: Помня времето, когато започнах с внедряване на ISO 27001 – преди да се запозная със CISSP и да взема сертификат. След като започнах да се запознавам с материята, това, което ми минаваше през главата беше: „Господи, защо го направих обратното?”. Това щеше да ми реши хиляди практически проблеми с ISO 27001 – идеи, практики, разбиране на дълбочината на проблема, знания за неща, с които принципно може да не си се сблъсквал в практиката и познаване на материя, до която не си се докосвал. Това дава CISSP – глобалният поглед върху всички аспекти на сигурността на информацията – дори да не си се сблъсквал с някои от тях, то ти дава всичко това, за да можеш да напипаш и най-малките детайли. Благодарение на това, комбинирайки CISSP и ISO 27001 съм намерил редица отговори на въпроси, свързани с внедряването на конкретни механизми за контрол.
New Horizons Bulgaria: Каква част от материала на CISSP е приложим в български условия? Би ли казал, че има части, които не са приложими.
Борис Гончаров: Единствената такава част, която е неприложима е свързана с law investigation & ethics, тъй като в нашето законодателство има редица бели петна в това отношение. Липсва нормативна база за начина, по който се доказват и разследват електронни престъпления, както и представянето на доказателствата. Въобще този домейн е по-конкретен, тъй като има развито законодателство в Америка и Англия, докато в България такива закони няма, а и да има – не може да се направи нищо за юридическа защита от гледна точка на организацията.
Но това не значи, че не трябва да се познава материята и да се мисли в тази посока. Защото това дава умения и практика, които можеш да си внедриш чисто в доказването на един ИТ инцидент. Това има голямо значение за разбирането на източника на проблема и управлението на възникването на такива проблеми. Така че дори да няма някакви юридически последствия, това може да бъде приложено вътрешно –то няма някаква юридическа стойност в България, но въпреки това има стойност от гледна точка на самата организация и затягането на дисциплината, внедряването на допълнителни мерки за контрол, а и в някакъв момент – след 2-10 години това ще се случи и в България.
Когато внедрих ISO 27001 в компанията, бях първият на международно ниво и сега, 2010 година се появи изискване всички 122 компании на G4S да в съответствие с изискванията на стандарта. В рамките на международната компанията съм с около 4-5 години напред, същото ще стане в законодателството и аз вече знам какво да правя, на мен няма да ми е необходимо тепърва да мисля по тези въпроси. Човек трябва да знае какво съществува, какво може да се случи и как да бъде приложено, винаги да гледа стратегически напред и не говорим за 1-2 години напред. Въпросът не трябва да бъде „Какво искам да правя догодина?”, а „Къде искам да бъда след 10 години?”. Това е истинският въпрос, който всеки трябва да си зададе – организация или специалист.
New Horizons Bulgaria: Какво е основното послание, което искаш да отправиш в курса и каква е мотивацията ти да си водещ на такъв курс?
Борис Гончаров: Обичам да общувам с хора, да се сблъсквам с различни ситуации. За мен колкото повече изговарям нещо, толкова по-голямо разбиране добивам, пречупвайки го през общуването си с други мои колеги, то придобива нов смисъл, нова стойност за мене, още повече ме обогатява и придобива още повече значение за мене. От друга страна да общувам с хора, които са част от този проблем, от тази среда, която е в България. И между другото, интересното е, че колкото повече CISSP специалисти има в една среда, това тласка, колкото и пресилено да звучи – целия процес напред в една държава. Това насищане на добре подготвени специалисти в една държава само подобрява нивото на управлението на сигурността на информацията на национално ниво. Когато се срещна с колеги, на които съм водил курс или са сертифицирани, говорим на един език и всички ние, работейки в различни организации поставяме нови изисквания към другите, с които имаме контакт – подизпълнители, клиенти, контрагенти.
Този ефект се разпространява правопропорционално на броя на хората, които притежават тази сертификация и за мен в това се състои истинската й стойност. Затова е важно и лично предизвикателство, да помагам на повече хора това нещо да се случва навсякъде, за което съм благодарен и на вашата организация, че ми предоставя тази възможност. Затова, моето послание за курса е „Бъдете подготвени, гледайте напред във времето”. Това е същността на CISSP.
New Horizons Bulgaria: Има ли още нещо, което би искал да споделиш за CISSP?
Борис Гончаров: Може би има мнение за CISSP-а, че е много теоретичен и че като сертификация не е много практичен. До известна степен в някои домейни е така, защото има теоретични постановки, които трябва да се познават, но ако се замислим дълбоко, CISSP е нещо абсолютно всеобхватно и той напипва всеки проблем от А-Я – една огромна база данни със знания, натрупани с годините от толкова много хора, техния практически опит.
Аз като човек, който има предимно практически познания, винаги съм бил така – правя нещо и после научавам за него, но това което ми мина през главата, когато се запознах със CISSP след внедряването на ISO 27001 беше „Ако знаех това, сега щеше да е по-лесно”.
София, 07 май 2010