Pashkov Kuzma - Leading InfoSec 、EMCトレーナー@ training.muk.ua/courses/security

0.アクティビティとしての情報セキュリティ

情報セキュリティ（IS）の分野における最初の重要な経験は、2000年代初頭に北西部で最大規模のシステムインテグレータの情報セキュリティツールを開発するための研究室で得られました。 研究室は、安全な実行で自動化システムを作成する完全なサイクルを提供しました。研究、開発作業から始まり、保護システムのストリーミング作成を継続し、保証サービスの組織で終了します。



作成されたシステムは、コマーシャルモードとステートシークレットモードの両方で使用されることになっていたため、クラス/保護レベルへの準拠に関する認証/テストに必ず合格しました。 実験室のスタッフは、ジマ・ウラジミールやソヘン・ビクターなど、国内最高の軍事大学の出身者（ A.F. Mozhaiskyにちなんで命名された高等軍事学校とS.M. Budennyにちなんで命名された高等軍事学校 ）に輝いていました。 同時に、私と同じように「 情報保護 」の分野で勉強している学生は、試運転エンジニアとして研究室に参加していました。



システムは、Hewlett-Packard機器、Microsoftソフトウェア、およびNPC情報セキュリティツールに基づいて作成されました。 顧客は請負業者の従業員の資格に関する厳しい要件を提示したため、実験室管理者はトレーニングと認定のための予算を割り当てました。 さらに、認定コースとベンダー（HP、Microsoft、Informzaschita）の認定ですべてが明らかだった場合、情報セキュリティの最低限の知識とスキルに関する不確実性がありました。



エンジニアの欠員の申請者は、情報セキュリティのトレーニングのレベルがまったく異なることを示し、経営者は、 CompTIA Security +のベンダーに依存しない認証ステータスの存在を入力要件として使用するという強い意思決定を行いました。 この選択の国家的類似物はなく、 CompTIA A + 、 Network +およびServer +のステータスは 、他のインテグレーターユニットによる人材の採用とトレーニングで既に正常に使用されていたため、この選択は明白でした。 一般に、私は情報セキュリティの最初の認証の準備を始めました。

1.認証に関する知識

情報セキュリティは多くの科学の交差点にあり、 リスクの爆発的な増大に関連して、情報セキュリティは動的に発展している科学分野でもあります。 そのため、情報セキュリティの知識とスキルの最小セットを決定するタスクには、情報技術市場の状態を継続的に分析し、このセットを定期的に調整する体系的なアプローチが必要です。



13年以上にわたり、このタスクは、ISO / IEC Standart 17024のトレーニングおよび認証のためのオープンスタンダードのファミリに従って、米国国立標準研究所（ANSI）の管理下にあるベンダー独立認証コンピューティング技術産業協会（CompTIA） の最大のオペレーターによって成功裏に解決されてきました 。



長年にわたり、セキュリティ+認定は、情報セキュリティの基礎に関する一連の知識とスキルを4回再定義しました。 最初の反復は、コードSY0-101を使用したコンピューターテストの形式で、プロメトリックテストセンターで意欲的な設計エンジニアとして合格し、配送試行に対して250ドルを支払いました。 2015年、この記事を書いている時点で、コードSY0-401を使用したテストの4番目のバージョンが関連しています。また、この認定の著者のトレーニングコースの教師として、専門的な関心から既に合格しています。

SY0-401試験は、英語の100の質問で構成され、90分間続き（ネイティブスピーカーでない人は30分）、6つのドメイン（トピック）で理論的知識と実践的スキルの両方をチェックします。



1）ネットワークセキュリティ

2）要件の順守と運用の安全性

3）脅威と脆弱性

4）アプリケーション、データ、ホストのセキュリティ

5）アクセス制御とエンティティ管理

6）暗号化



試験の受験者の要件の広範なリストは 、次のように表示できます。



-ISリスクを管理するための一連の対策の開発と実装の基本原則に関する知識。



-確立されたISポリシー/標準/手順に関する背景情報、最新の情報技術の安全な使用の特徴、脆弱性、およびそれらに関連する攻撃の一般的な考え方に関する知識。



任意（Windows / Linuxオペレーティングシステム）およびロールベース（ビジネスアプリケーション）のアクセス制御モデルを実装する、公開されている情報セキュリティツールを使用する実践的なスキル。

2.準備の方法

私の専門分野で勉強しておらず、情報セキュリティの経験はないが、情報技術を専門とする人には、CompTIA A +、Network +、およびServer +認定資格を取得するか、少なくとも準備することを強くお勧めします-入力要件に記載されていますセキュリティ+候補者に。



情報セキュリティの学位を取得した大学での私のトレーニングは、情報セキュリティの基本原則の理解をもたらし、設計エンジニアのチームでセキュリティシステムを作成するためにストリーミングすることで、適用された問題を解決するときにこの理解を実践することができました。 したがって、各ドメインの最も明白な原則を説明しようとします。



1）ネットワークセキュリティ：ネットワーク境界の概念とそのポイントでの制御機能の実装。 組織のデータ伝送媒体へのアクセス制御および通信チャネルを介した伝送中のデータ保護。



2）要件の遵守と運用のセキュリティ：保護システムの要件の主な情報源としての法律と規制当局。 組織および管理、設計/運用のドキュメント。



3）脅威と脆弱性：脅威のソースとその機能。 定量的および定性的リスク評価;



4）アプリケーション、データ、およびホストのセキュリティ：自動化されたシステムを分解し、その結果に対する制御機能を実装するためのオプション。



5）アクセス制御とエンティティ管理：制御の本質。 アクセス属性のライフサイクルと権限管理



6）暗号化：対称/非対称暗号化の使用の問題とそれらを解決する方法。 公開鍵インフラストラクチャ



おそらく、これらの原則は、Pluralsight（以前のCBT Nuggets）、開発者、および認定ステータスと試験コードの名前など、主要な世界企業の名前で検索エンジンで見つけることができるビデオコース（コンピューターベースのトレーニング-CBT）を明らかにするでしょう。 ブルース・シュナイダーの著書「Applied Cryptography」、「 Security of Global Network Technologies 」、Vladimir Zima、Microsoft 2821認定コース「Windowsテクノロジーに基づいた公開キーインフラストラクチャの設計、試運転、およびメンテナンス」の通過。それ以来、 モスクワとキエフの主要なトレーニングセンターで問題なく読むことができました。



2003年に原則を理解して適用することに問題がなかった場合、さまざまなクローズドおよびオープン保護技術の機能に関する参照情報を使用して、障害が明確に観察されました。 現在でも、さまざまなITコース、Kerberos、RADIUS / TACACS +などの技術、ポリシーと標準の特定の名前、および米国の暗号化アルゴリズムの特性を教えてきた10年以上の経験があるため、文字通りの暗記ではなくとも、少なくとも集中する必要があります、試験に合格する前に文献を読み直し、記憶をリフレッシュしてください。



したがって、確立された伝統によれば、世界をリードするIT / IS書籍の出版社（Wiley、Sybex、Syngress、Microsoft Pressなど）の自習マニュアルの助けを借りて、集中的にセルフトレーニングに取り組む必要があります。



検索エンジンやwww.certification.ruなどのサブジェクトフォーラムの「CompTIA Security + Exam study guide」など、認定ステータスの名前と「スタディガイド」などのフレーズを使用すると、さまざまな著者の2〜3冊の本を簡単に見つけることができます。トレーニングアプローチ。 教科書は圧倒的に英語で書かれているので、必ず英語の技術を強化してください。



公的に入手可能な情報保護ツールを使用する実用的なスキルは、試験の説明に対応するスタンドと一連の実験室の作業で非常に簡単に習得できます。 スタンドは、さまざまなオペレーティングシステムとビジネスアプリケーションを備えた仮想マシンのセットの形で、シェアウェアハイパーバイザー（Oracle Virtual Box、Microsoft Hyper-V、VMWare ESXiなど）を使用して安価な機器で組み立てることができます。 その作成と実験室のワークショップ自体の詳細な手順については、前述の自習マニュアルを参照してください。



また、試験に合格するたびに支払いが行われることを忘れないでください（現在約266ドル）実際の試験。 www.certcollection.orgなどの検索エンジンやトピックフォーラムでは、これらのテストシステムを試験コードでいつでも見つけることができます。



正解率が一貫して高い（> 90％）ため、実際のテストシステムVirtual University Enterprise（www.vue.com）またはPrometric（www.prometric.com）での最初の試行で試験に合格することを期待できます。



空き時間に2か月の準備をして初めて（大学や大学での勉強をキャンセルしなかった）、10年間の専門分野での継続的な作業の後、3週間かかりました-結論を導きます。

3.結果

2003年、この試験に合格すると生涯にわたるセキュリティ+ステータスが付与されましたが、3年間有効であり、継続教育プログラムの一環として資格を最新に保っていることをCompTIAオペレーターに定期的に確認する必要があります。

4.見通し

Security +は、情報セキュリティの専門家のキャリアにおける便利な出発点であり、主要メーカー（Microsoft、RSA、IBM、Ciscoなど）の情報セキュリティツールのエンジニアリング認定と、 ISACA（ISC）2 、EC-評議会等。



また、CompTIA認定サイクルの他の記事を読んでいない人のために、多くのアメリカの大学の学部/大学院プログラム、および追加の専門教育の枠組みで、CompTIA認定がカウントされ、トレーニングのための時間とお金が節約されることを思い出してください。

5.ストーリーの継続

その後の管理職への異動、エンジニアチームの管理、コストの正当化の必要性、部下の行動に対する個人の責任、作業のタイミングにより、プロジェクト管理の方法論に迅速に対応することができました。 しかし、これはすでに次の記事のストーリーであり、そのテーマはCompTIAプロジェクト+認証です。



CompTIAのトレーニングと認定に関する質問は、PashkovK @ muk.com.uaで楽しみにしています。



ITプロフェッショナル向けのCompTIA認定。 パート1/7：CompTIA A +

ITプロフェッショナル向けのCompTIA認定。 CompTIA CTT +（認定テクニカルトレーナー）



MUK-Service-あらゆる種類のIT修理：保証、非保証修理、スペアパーツの販売、契約サービス