В кибербезопасности очень важны опыт и знания специалистов — цена ошибки слишком высока. Поэтому для ИБ-специалистов существует сертификация, которая подтверждает их знания.
Что нужно знать о сертификации
Большинство известных сертификатов — зарубежные. В России их сейчас получить нельзя. Чтобы пройти онлайн-экзамен, может понадобиться иностранный аккаунт и карта. Если экзамен проводят офлайн, то единственный вариант — лично поехать в страну проведения.
Тем не менее зарубежные сертификаты по-прежнему известны и ценятся в ИБ-сообществе. Появляются и российские аналоги, но их выбор довольно ограничен: разработать так же много сертификаций, как за рубежом, пока не успели.
Сертификаты для начинающих специалистов
Если специалист только начинает свой путь в кибербезопасности, он тоже может подтвердить свои знания. Сертификат начального уровня лучше, чем его отсутствие.
CompTIA Security+
Стоимость одной попытки: 404 доллара
Это сертификат по информационной безопасности от известной организации CompTIA. В нем нет строгих требований к кандидату, только рекомендуемый опыт от двух лет в сфере ИБ. Не нужно предоставлять другие сертификаты или проходить отбор, достаточно зарегистрироваться и подать заявку.
Чтобы получить сертификат, необходимо пройти экзамен. Он длится 90 минут и состоит из заданий-тестов с несколькими вариантами ответа и более практических задач с развернутыми ответами. Всего они касаются пяти областей:
- типы атак, угрозы и уязвимости;
- проектирование и архитектура ИБ-решений;
- процесс внедрения ИБ-систем;
- реагирование на инциденты кибербезопасности;
- требования законодательства и соответствие им.
Последний пункт не так актуален для россиян: CompTIA — компания из Америки, и законы там другие. Но чтобы получить сертификат, придется их изучить.
Всего за экзамен можно получить до 900 баллов. Проходной балл — 750. Если набрать столько или выше, компания выдаст сертификат, который будет действителен следующие три года. Продлить срок действия можно, но необходимо подтвердить свои активности в сфере ИБ за те три года, что действует сертификат.
(ISC)2 CC (Certified in Cybersecurity)
Стоимость одной попытки: 199 долларов, но можно пройти бесплатно по акции.
Этот сертификат считается бюджетным, поэтому востребован среди начинающих ИБ-специалистов. Впрочем, есть разные тарифы: можно оплатить только прохождение экзамена, а можно вдобавок купить официальный подготовительный курс.
Экзамен состоит из 100 вопросов. Все они — в формате теста и касаются пяти сфер информационной безопасности:
- принципы безопасности;
- непрерывность работы бизнеса, реагирование на инциденты и восстановление после атак;
- контроль доступа и ограничение прав;
- сетевая безопасность;
- SecOps — методология совместной работы IT-отдела и ИБ-отдела.
Максимальный балл за экзамен — 1000, но чтобы получить сертификат, достаточно набрать от 700 баллов. Сертификат действует три года, и каждый год за него нужно доплачивать по 50 долларов. А чтобы продлить его, необходимо подтвердить свои ИБ-активности.
GIAC GISF (Information Security Fundamentals)
Стоимость одной попытки: от 1000 долларов.
Это начальная версия сертификата GIAC, она считается вводной к более серьезным сертификатам. Слово fundamentals указывает на идею — проверить знание фундаментальных, базовых принципов кибербезопасности. Например:
- устройство компьютерных сетей;
- терминология в информационной безопасности;
- способы реагирования на инциденты;
- политики безопасности и так далее.
Зарегистрироваться на участие в экзамене из России можно только с помощью иностранных аккаунтов: доступ к официальному сайту закрыт для российских IP-адресов. Но потом все равно придется ехать за рубеж: тесты проводятся офлайн.
Тест включает в себя 75 вопросов, на которые нужно ответить за два часа. Если набрать 71% верных ответов или выше — можно получить сертификат.
eJPT (eLearnSecurity)
Стоимость одной попытки: от 249 долларов
В отличие от предыдущих, этот сертификат более узкоспециализированный. Он предназначен для пентестеров — специалистов, которые имитируют действия хакеров, чтобы найти уязвимости в системе. Экзамен оценивает в первую очередь практические навыки по четырем направлениям:
- методологии оценки безопасности;
- аудит устройств и сетей;
- тестирование на проникновение устройств и сетей;
- тестирование на проникновение веб-приложений.
Основная часть экзамена — не тест, а практические задания. Участник работает в виртуальной среде, в которой выполняет ряд задач по пентесту. Срок для их решения куда больше, чем для других сертификатов: 48 часов. А набрать нужно 70% правильных решений.
Сертификат действует три года с возможностью продления. Минимальная стоимость попытки включает не только ваучер на экзамен, но и три месяца доступа к обучающим материалам.
BTL1 (Blue Team Level 1)
Стоимость одной попытки: 399 фунтов — это около 545 долларов
Это, можно сказать, сертификат для «противоположной» стороны. Blue Team — сленговое название специалистов, которые непосредственно отбивают атаки хакеров или пентестеров, если речь идет о проверке уровня безопасности.
Сертификат предназначен для начинающих специалистов Blue Team. Как и в предыдущем случае, задания в сертификационном экзамене — практические. Их всего 20 штук, и они охватывают несколько тем:
- основы информационной безопасности;
- анализ фишинговых атак;
- отслеживание угроз;
- цифровая криминалистика;
- информация и мониторинг событий;
- реагирование на угрозы.
Задания выполняются в виртуальной онлайн-среде — специалисту даны ситуации, в которых он должен правильно отреагировать с использованием ИБ-инструментов. Нужно набрать не менее 70% верных решений, чтобы получить сертификат.
У BTL есть и другие уровни сертификации для специалистов с большим опытом. Со временем можно будет пройти новые экзамены и получить более ценные сертификаты.
Доступ к официальному сайту для сертификации закрыт из России. Чтобы войти и зарегистрироваться, понадобится иностранный IP-адрес.
Сертификаты для продвинутых ИБ-специалистов
Эти сертификаты предназначены для тех, кто уже какое-то время работает в сфере ИБ. Новичок их пройти, скорее всего, не сможет — не подойдет по требованиям. Зато для опытного специалиста сертификат по информационной безопасности из этой группы — достойное подтверждение компетенций.
(ISC)2 CISSP (Certified Information Systems Security Professional)
Стоимость одной попытки: от 749 долларов, но зависит от страны
Этот сертификат высшего уровня — один из самых известных в сфере ИБ. Он считается очень престижным, но и получить его не просто. Нужно иметь опыт работы в информационной безопасности от пяти лет, причем в двух и более сферах. И подготовка к экзамену длительная и сложная. Люди готовятся к нему месяцами, если не годами.
В экзамене на сертификат CISSP 250 вопросов. На сдачу дается 6 часов без перерывов. Вопросы касаются восьми ниш, причем минимум в двух из них у кандидата должен быть практический опыт:
- управление рисками в информационной безопасности;
- безопасность активов, в первую очередь данных;
- безопасность архитектуры и инфраструктуры;
- безопасность сетей и связи;
- идентификация и контроль доступа;
- оценка безопасности и тестирование;
- мероприятия по обеспечению безопасности;
- безопасность разработки ПО.
В экзамене можно набрать до 1000 баллов, но проходной — не менее 700. После сдачи теста человек сразу получает в экзаменационном центре документ: поздравление с прохождением или сообщение о неудаче.
CISSP сдается только офлайн в специальных сертификационных центрах. В России их сейчас нет — придется ехать за рубеж, чтобы пройти экзамен. С собой на тестирование нельзя взять даже блокнот: только документы и, если нужно, лекарства и еду.
(ISC)2 SSCP (Systems Security Certified Practitioner)
Стоимость одной попытки: 249 долларов
Это еще один престижный сертификат, но менее продвинутый, чем CISSP, хотя предлагает его та же компания. Его позиционируют как сертификат для тех, кто по каким-то причинам пока не может сдать CISSP или готовится к нему, или для ИБ-специалистов, которые не планируют занимать руководящие должности.
SSCP — можно сказать, «младшая версия» CISSP для специалистов с опытом от одного года. Вопросы экзамена в целом касаются тех же тем, но ниши распределены и названы иначе:
- концепции и практики кибербезопасности;
- контроль доступа;
- распознавание, мониторинг и анализ рисков;
- реагирование на инциденты и восстановление;
- криптография;
- безопасность сетей и коммуникаций;
- безопасность систем и приложений.
Кроме того, вопросов вдвое меньше, чем в CISSP, — 125 штук. Экзамен длится три часа, но с 1 октября 2025 года компания планирует сократить время до двух часов.
Чтобы пройти экзамен и получить сертификат, нужно набрать минимум 700 баллов из возможных 1000. Можно купить расширенную версию ваучера: она позволяет в срок до 180 дней бесплатно пересдать экзамен.
ISACA CISM (Certified Information Security Manager)
Стоимость одной попытки: 756 долларов или 575 долларов для членов ассоциации ISACA
Этот сертификат по своему смыслу похож на CISSP: он предназначен в первую очередь для управленцев в сфере ИБ. Чтобы получить сертификат, нужно иметь не менее пяти лет опыта в информационной безопасности, и минимум три из них — в управлении.
Сдать экзамен могут и те, кто не соответствует требованиям, но сертификат им не выдадут. После успешной сдачи нужно будет добрать недостающий опыт в течение пяти лет, тогда ассоциация может выдать сертификат. Повторно проходить экзамен для этого не понадобится.
Экзамен на сертификацию состоит из 150 вопросов, на которые нужно ответить за четыре часа. Вопросы охватывают четыре основных области:
- управление информационной безопасностью;
- риск-менеджмент, то есть управление рисками для безопасности;
- разработка и управление системой информационной безопасности;
- реагирование на инциденты и устранение их последствий.
Максимум за экзамен можно набрать 800 баллов, но сертификат выдают, если участник получил хотя бы 450. Пройти его можно онлайн, но понадобится передать в центр сертификации сканы документом на английском языке. Россиянам нужен будет загранпаспорт, а платить придется иностранной картой.
CompTIA CySA + (Cybersecurity Analyst +)
Стоимость одной попытки: 425 долларов
В интернете можно встретить старое название CSA+, но актуальное — CySA +. Компания обновила сертификацию и ее название. Это сертификат высшего уровня с уклоном в аналитику. Он делает упор на обнаружение, прогнозирование и предотвращение инцидентов кибербезопасности.
Чтобы подать заявку, специалисту рекомендуют иметь от четырех лет опыта в практической кибербезопасности, причем на должности, связанной с аналитикой. Кроме того, нужно иметь один из базовых сертификатов CompTIA, например упомянутый выше Security+.
Экзамен на получение сертификата состоит из 85 вопросов, посвященных нескольким «аналитическим» дисциплинам:
- операции информационной безопасности;
- управление уязвимостями;
- реагирование на инциденты;
- отчеты и коммуникация.
Пройти экзамен можно в течение 12 месяцев с покупки ваучера. Длится он 165 минут, а проходной балл — 750 из 900. Расширенная версия ваучера включает страховку для повторных попыток.
Сертификации GIAC
Стоимость одной попытки: от 999 до 1299 долларов за первую попытку сертификации, 899–1199 долларов за повторные попытки, 479 долларов за расширение сертификации
Компания GIAC предлагает не единую сертификацию, а целую систему из нескольких сертификатов. Специалист может комбинировать их, чтобы составить уникальное резюме.
Сертификатов для кибербезопасности «в целом», кроме уже упомянутых Fundamentals (GISF), у компании две:
- GSEC (Security Essentials) — базовый уровень, который подходит для специалистов с небольшим опытом или тех, кто еще не выбрал специализацию;
- GCED (Enterprise Defender) — продвинутый уровень, рассчитанный на менеджеров ИБ в больших корпорациях. Делает упор на облачные системы защиты и сложные сети.
Кроме этого, GIAC предлагает огромное количество сертификатов для узких специалистов. Полностью ознакомиться с ними можно по ссылке. А об основных специализированных сертификатах рассказали ниже.
Сертификаты для узких специалистов
Информационная безопасность не ограничивается широкими темами. Есть более специфические направления, и для них тоже придуманы свои сертификации.
OSCP (Offensive Security Certified Professional) — пентест. Одна из самых известных сертификаций в тестировании на проникновение. Интересна тем, что процесс прохождения делится на три части:
- теория — кандидатам выдают файлы-учебники с основной теоретической информацией по вопросам экзамена;
- практика — кандидаты могут потренироваться решать задачи на специальных машинах;
- экзамен — состоит из двух этапов, каждый длится по 24 часа и включает практические задания.
EC-Council CEH (Certified Ethical Hacker) — пентест. Этот сертификат разработала компания EC-Council. Чтобы пройти его, нужно иметь два года практического опыта: если его нет, компания предлагает купить их обучающий курс. Можно купить только ваучер с предварительным тестированием навыков, а можно докупить курс — к прохождению экзамена будут готовить специалисты компании.
HTB CPTS (Certified Penetration Testing Specialist) — пентест. Создатели позиционируют эту сертификацию как middle-уровень. Она не для новичков, но и не высшего уровня. В рамках экзамена кандидат проводит пентест методом черного ящика.
HTB CDSA (Certified Defensive Security Analyst) — защита. Еще одна сертификация от HTB, на этот раз для другой стороны — активных защитников. Она тоже ориентирована на практику: в рамках экзамена кандидатам предстоит анализировать безопасность и реагировать на инциденты.
ISACA CRISC — бизнес-риски. Сертификация от уже известной компании ISACA с сильным уклоном в бизнес-процессы. Экзамен сильнее, чем другие, фокусируется на связи между кибербезопасностью и бизнесом.
Российские сертификаты
Из России сейчас непросто пройти сертификацию от зарубежных компаний. Поэтому у нас разрабатывают свои: их намного меньше, но они существуют.
Например, один из известных российских сертификатов — ССК (Сертификационный специалист по кибербезопасности) от УЦ «Эшелон». Позиционируется как аналог CISSP — требует пяти лет практического опыта. Обладатели зарубежного сертификата могут получить этот без экзамена. Сам экзамен состоит из 100 вопросов, на которые дается два часа, а для прохождения нужно набрать 70% правильных ответов.
Существуют также сертификация ФСТЭК и сертификация ФСБ. Но их получают не отдельные специалисты, а компании, которые работают в сфере ИБ. Так они подтверждают, что их системы защиты соответствуют требованиям российского законодательства. А сертификат ФСБ нужен компаниям, которые работают с гостайной и криптографией.
Что еще стоит знать о сертификации в ИБ
- Некоторые сертификации требуют, чтобы кандидат подписал этический кодекс — набор правил, которым должен следовать обладатель сертификата. Без подписания кодекса сертификат не выдадут. Это особенно часто встречается в зарубежных сертификациях высшего уровня вроде CISSP или CISM.
- Российские сертификации не заменяют зарубежные, особенно на иностранном рынке. Но чтобы работать в России, продвинутому специалисту рано или поздно понадобится получить российский сертификат — как минимум от ФСТЭК.
- Для начальных должностей в сфере ИБ сертификации не обязательны. Но чтобы получить высокие должности, они крайне желательны — а некоторые работодатели и вовсе не рассматривают кандидатов без престижных сертификатов.
Сертификация в информационной безопасности — главное
- Новичок в мире ИБ может пройти сертификацию начального уровня. Она поможет подтвердить знания и повысить свою ценность как специалиста.
- Опытный ИБ-специалист может получить престижные сертификаты вроде CISSP или CISM. Они помогут построить карьеру и претендовать на более высокую зарплату.
- Специалист узкого профиля, например пентестер или аналитик, может пройти одну из тематических сертификаций. Они тоже бывают разного уровня: от новичков до профи.
