CISSP

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה לניווט קפיצה לחיפוש
Certified Information Systems Security Professional logo.png

CISSP (ראשי תיבות באנגלית של: Certified Information Systems Security Professional, תרגום: מוסמך אבטחת מערכות מידע מקצועי) היא תעודת הסמכה פרטית באבטחת מידע הניתנת על ידי ISC)²) (אנ'), הקונסורציום הבינלאומי להסמכות באבטחת מערכות מידע. בינואר 2020 היו בעולם 142,112 מחזיקי תעודת CISSP‏, 90,514 מתוכם בארצות הברית ו- 346 בלבד בישראל.[1]

ביוני 2004, נכנס CISSP לתקן ANSI ISO/IEC 17024:2003.[2][3] ואושרה רשמית על ידי מחלקת ההגנה האמריקאית (ה-DoD).[4] ה-CISSP אומצה כנקודת מוצא עבור תוכנית ISSEP של הסוכנות לביטחון לאומי.[5]

יתרונות החברות בקונסורציום - ²(ISC)[עריכת קוד מקור | עריכה]

חברות בקונסורציום מעניקה יתרונות רבים - קורסים מקצועיים ללא תשלום, הנחות והטבות לכנסי אבטחת מידע, בתי עסק, רכישת ספרי לימוד מקצועיים של הקונסורציום ועוד.[1]

הבהרות בדבר מעמד ודרישות קבלת ההסמכה[עריכת קוד מקור | עריכה]

מעבר בחינת ההסמכה לבדו אינו הופך את המועמד להסמכה למוסמך מיידית ומועמד שעבר את בחינת ההסמכה אינו רשאי להציג עצמו כמוסמך CISSP, מחזיקי תעודת ההסמכה נדרשים להוכיח 5 שנות ניסיון מקצועיות בתחום אבטחת המידע/הגנת סייבר בטרם קבלת תעודת ההסמכה וזאת רק לאחר שצלחו את מבחן ההסמכה, תארים אקדמיים מסוימים בתחום או תעודת הסמכה מוכרת מתוך רשימת תעודות הסמכה מאושרות מהוות אישור בעבור שנת ניסיון אחת בלבד ומכאן שבצירופם יידרש המועמד להציג רק 4 שנות ניסיון במקרים מסוימים ע"פ שיקול דעתו הבלעדי של הקונסורציום.[2]

את תעודת ההסמכה ניתן לקבל בשתי דרכים בלבד: 1. על ידי המלצה ממחזיק תעודת CISSP המאשרת את הניסיון הרלוונטי. 2. על ידי המלצה מנציג וועדת אשרורים מקצועית מטעם הקונסורציום (תהליך ארוך ומדויק יותר) תוך הצגת מסמכי הוכחת ניסיון רלוונטי, תהליך קבלת ההסמכה מכונה Endorsement באנגלית ואורכו עומד כיום על שבועיים-90 יום.

גם אם המועמד בחר לבחור בהמלצה ממחזיק תעודת CISSP ייתכן והוא יידרש לעבור וועדה מקצועית כחלק מתהליך ביקורת פנימית ואימות מקצועי הנערך כל העת על ידי הקונסורציום למחזיקי התעודות והמועמדים לקבלת תעודות ההסמכה.

מחזיקי תעודת ההסמכה מחויבים לקוד האתי של הקונסורציום בכל עת המורכב מ-4 סעיפים עיקריים ותוכנם: אבטחת ביטחון הציבור ואמון הציבור, חוקיות, הוגנות, יושרה, כבוד הדדי וכנות, מקצועיות חסרת פשרות, קידום והגנה על המקצוע.שכן החזקת ההסמכה היא זכות מחייבת.[3].

רק לאחר השלמת מעבר הבחינה, השלמת תהליך ה-Endorsement וחתימה על הקוד האתי, יוכל המועמד להסמכה להציג את עצמו כמוסמך CISSP.

במדינות רבות בעולם, ההסמכה מקבילה לתואר שני ומהווה סטנדרט זהב לכשירות למקצוע אבטחת המידע או הגנת סייבר, בישראל המצב מעט שונה בלשון המעטה ואין להסמכה ערך מוסף ייחודי בקרב מרבית המעסיקים במשק וזאת חרף העובדה שאבטחת מידע הוא אחד המקצועות המבוקשים בעולם.

מבנה המבחן והשוואה מול מבחני הסמכה אחרים[עריכת קוד מקור | עריכה]

נכון להיום, מבחן ה-CISSP הוא מבחן בסגנון אדפטיבי (CAT), מורכב מ-100-150 שאלות, ומבוסס על 8 תחומי ה-CBK עליהם ייבחן המועמד בקפידה ובהם המועמד להסמכה חייב להוכיח בקיאות בחומר, ניתוח עסקי, יישום פרקטי וכן ראייה אסטרטגית (בכל אחד ואחד בלמעלה מ-300 הנושאים שנבדקים במבחן לאורכם ורוחבם של 8 תחומים), למועמד יעמדו 3 שעות בלבד לצלוח את המבחן בהצלחה, ועליו לעבור את המבחן בציון 700 לפחות מתוך 1000.[4][5]

מבחן ה-CISSP מוכר בכינויו: "Mile wide and an Inch deep", בתרגום ישיר לעברית, רחב כמייל (1.609344 ק"מ) בכמותו של הידע הנדרש אך בעומקו רק אינץ', הכוונה היא שהמבחן כולל הרבה נושאים אך לא נכנס לפירוט מעמיק יתר על המידה בכל נושא, המבחן נחשב לאחד המבחנים המאתגרים ביותר מבין כלל מבחני הסמכות ה-IT/ICT ו-Cybersecurity הקיימים בשוק כגון: RHCSA ,CCNP, MCSE, CISM, CISA, CEH, GSEC, CCISO, OSCP.

עלות הבחינה[עריכת קוד מקור | עריכה]

עלות הבחינה, נכון לפברואר 2020 עומדת על 699$ דולר, כ-2400 ש"ח.[6].

הצהרה בדבר זכאות להסמכה[עריכת קוד מקור | עריכה]

על המועמד למבחן ההסמכה לענות על 4 שאלות זכאות להסמכה בטרם הבחינה בהתאם לדרישות בדיקות הרקע של הקונסורציום. [7]

מועמד בעל רישום פלילי אינו רשאי להיבחן או להחזיק בהסמכות הקונסורציום.

תוכן ההסמכה[עריכת קוד מקור | עריכה]

תוכנית הלימודים לקראת CISSP מכסה מגוון נושאים של אבטחת מידע.[6] הבחינה מבוססת על מה ש ISC)²) מגדיר את גוף הידע המשותף או CBK (ראשי תיבות של Common Body of Knowledge). "CBK הוא טקסונומיה – אוסף של נושאים רלוונטיים למומחי אבטחת מידע ברחבי העולם. CBK קובע מסגרת משותפת של מונחי אבטחת מידע, ועקרונות המאפשרים לאנשי מקצוע בתחום אבטחת המידע ברחבי העולם לדון, ולפתור נושאים הנוגעים למקצוע עם הבנה משותפת."[7]

מ-15 באפריל 2018, CISSP תוכנית הלימודים כוללת את הנושאים הבאים:[8]

  • אבטחה וניהול סיכונים
  • אבטחת נכסים 
  • אדריכלות והנדסה אבטחה 
  • תקשורת ואבטחת רשת
  • ניהול זהויות וגישה (IAM)
  • הערכת אבטחה ובדיקות
  • פעולות אבטחה
  • אבטחת תוכנה ופיתוח

הכנה למבחן[עריכת קוד מקור | עריכה]

מבחן ה-CISSP הוא רחב כמייל ועמוק כאינץ' ועל כן נדרשת הכנה משמעותית אליו, ניתן להתכונן אליו במגוון דרכים, קורסי הכנה מקצועיים במכללות מורשות ובעלות אישור מיוחד להכנה למבחן מטעם הקונסורציום, ספרי לימוד רשמיים מטעם הקונוסורציום, קייטנת לימוד - Bootcamp, הדרכת און-ליין, הדרכה פרטית, כיתות הדרכה ייחודיות ועוד. [8]

דרישות חידוש הסמכה[עריכת קוד מקור | עריכה]

ההסמכה תקפה ל-3 שנים בלבד אך ניתן לחדשה ל-3 שנים נוספות בהינתן עמידה בדרישות הבאות:

  1. תשלום דמי חבר במשך כל שנה במהלך כל 3 השנים לתוקפה של ההסמכה,[9].
  2. צבירת נקודות (שעות) המשך השכלה מקצועיות בהתאם לדרישות הסף (CPE),[10].

ניתן לחדש את ההסמכה גם על ידי מעבר בחינה סמוך לתאריך תום 3 השנים לתוקפה של ההסמכה אך גישה זו לחלוטין אינה מומלצת ממספר סיבות: 1. זה עולה הרבה יותר. 2. זה מצריך משאבי זמן רבים יותר. 3. אתגריות הבחינה אינה מבטיחה את צליחתה בצורה אוטומטית.

התמחויות לאחר CISSP[עריכת קוד מקור | עריכה]

מחזיק תעודת הסמכת CISSP במצב מקצועי טוב (Good Standing) כפי שמוגדר על ידי קונסורציום מי שעמד בכל החובות והזכויות שלו באשר להחזקת תעודת ההסמכה CISSP, יכול לבחור להמשיך ולהתקדם לעבר תעודת הסמכה התמחות מיוחדת

CISSP Concentration, נכון לשנת 2020, ההתמחויות כלל אינן מוכרות בישראל, ולכן לא מומלץ להתקדם לעבר התמחות אם מחזיק התעודה עובד בשוק המקומי בלבד ואינו עובד בחברות בינלאומיות או מול גורמים בינלאומיים הדורשים התמחות CISSP בעבור פרויקטים מיוחדים, תעודת הסמכה מיוחדת מכונה הסמכת עילית, מספר המחזיקים בהם בספירה כלל עולמית הוא 4,497, נכון לינואר 2020.[9]

ההתמחויות הן: 1. מוסמך הנדסת אבטחת מערכות מידע מקצועי ,CISSP-ISSEP.

2. מוסמך ארכיטקטורת אבטחת מערכות מידע מקצועי ,CISSP-ISSAP.

3. מוסמך ניהול אבטחת מערכות מידע מקצועי, CISSP-ISSMP.

על המועמד להתמחות המיוחדת לעבור מבחן הסמכה ייחודי בהתאם ל-CBK של ההתמחות המבוקשת, ועליו להוכיח 2 שנות ניסיון רלוונטיות להתמחות בלבד ולהשלים תהליך Endorsement מקוצר, כמו כן, על המועמד לחדש את תעודת ההתמחות על ידי צבירת נקודות (שעות) המשך השכלה מקצועית בהתאם לדרישות הסף (CPE) הרלוונטיות לתחום ההתמחות שלו בלבד (הנדסת אבטחת מידע, ארכיטקטורת אבטחת מידע, ניהול אבטחת מידע), פרטים ומידע נוסף אודות ההתמחויות השונות: [11].

משנת 2019 אין צורך בתשלום דמי חבר נוספים בעבור החזקת תעודה נוספת של הקונסוצוריום.[12]

בעוד שתעודת ההסמכה CISSP מאשרת 5 שנות ניסיון מקצועי, תעודת התמחות מאשרת 7 שנות ניסיון מקצועי, 5 כלליות ו-2 נוספות הרלוונטיות להתמחות בלבד.

מחזיק תעודת ההסמכה CISSP במצב טוב אינו מוגבל להתמחות אחת בלבד, ורק אם הוא סופרמן - ייתכן ויצליח לצלוח 3 מבחני התמחות, מעטים האנשים שהצליחו לעשות זאת ולא מומלץ לנסות להיות סופרמן אלא להתמקד בהתמחות אחת ספציפית - תחום בו המועמד מצטיין במיוחד - הנדסה, ארכטיקטורה או ניהול, כפי שפורט מקודם.

עלות מבחן התמחות, נכון לפברואר 2020 עומד על 599$ דולר, כ- 2,055 ש"ח.[13]

תעודות הסמכה אחרות של הקונסורציום[עריכת קוד מקור | עריכה]

הקונסורציום מציע אפשרויות הסמכה רבות גם לאלו שלא צברו 5 ניסיון מקצועיות בתחום אבטחת המידע/הגנת הסייבר כגון תעודת הסמכת SSCP או מסלולי עמית להסמכה - מעמד מיוחד שניתן למי שצולח מבחן הסמכה ואינו בעל הניסיון הנדרש לקבלת ההסמכה, מעמד זה מאפשר למועמד להסמכה לצבור את הניסיון הרלוונטי ואז לבצע Endorsement, כמו כן, הקונסוצוריום מציע אפשרויות העשרה נוספות להתמחות במגוון תחומים נוספים כגון הסמכות בתחום הענן, המגזר הרפואי, תכנות ועוד.. כל זאת בהתאם ל-CBK של תחומים אלה ובכפוף לעמידה בזכויות ובחובות של הקונסורציום, לרבות תשלום דמי חבר פעם בשנה והמשך השכלה מקצועית, מידע נוסף אודות ההסמכות השונות, דרישותיהן ועוד: [14].

קישורים חיצוניים[עריכת קוד מקור | עריכה]

הערות שוליים[עריכת קוד מקור | עריכה]

  1. ^ "Member Counts". (ISC)². בדיקה אחרונה ב-15 בינואר 2018. 
  2. ^ ANSI Accreditation Services - International Information Systems Security Certification Consortium, Inc. (ISC)2, ansica.org Archived 2012-07-18 at the Wayback Machine
  3. ^ "(ISC)² CISSP Security Credential Earns ISO/IEC 17024 Re-accreditation from ANSI" (הודעה לעיתונות). Palm Harbor, FL: (ISC)². 26 בספטמבר 2005. אורכב מ-המקור ב-March 2, 2010. בדיקה אחרונה ב-23 בנובמבר 2009. (הקישור אינו פעיל, 19.2.2020)
  4. ^ "DoD 8570.01-M Information Assurance Workforce Improvement Program" (PDF). מחלקת ההגנה של ארצות הברית. 24 בינואר 2012. בדיקה אחרונה ב-12 באפריל 2012. 
  5. ^ "NSA Partners With (ISC)² To Create New InfoSec Certification". 27 בפברואר 2003. אורכב מ-המקור ב-September 29, 2011. בדיקה אחרונה ב-3 בדצמבר 2008. (הקישור אינו פעיל, 19.2.2020)
  6. ^ Conrad; Misenar; Feldman. 11th Hour CISSP. Syngress. ISBN 978-0-12-417142-8. 
  7. ^ Tipton; Henry. Official (ISC)² Guide to the CISSP CBK. Auerbach Publications. ISBN 0-8493-8231-9. 
  8. ^ "CISSP-Exam-Outline-121417--Final.ashx". (ISC)². בדיקה אחרונה ב-20 באפריל 2018. 
  9. ^ "Member Counts". (ISC)². בדיקה אחרונה ב-15 בינואר 2018.