CPP IT Security Engineer en (ISC)²‐certificering (v3)
1. Samenvatting In dit document wordt het CPP IT Security Engineer vergeleken met andere certificeringen (stand van zaken april 2013). Deze vergelijking heeft de Open Universiteit op eigen gezag gemaakt en er kunnen geen rechten aan worden ontleend. Binnen het vakgebied informatiebeveiliging is er zowel nationaal als internationaal sprake van een enigszins chaotische situatie met betrekking tot kwalificering en certificering van professionals. Er is een grote verscheidenheid aan titels en certificeringen zonder duidelijke samenhang, die worden uitgegeven door opleidingsinstituten en beroepsverenigingen op grond van opleidingen en/of beroepservaring. In dit document wordt dat in sectie 2 nader toegelicht. Een van de meest toonaangevende instituten met internationaal aanzien voor certificering op gebied van security is het International Information Systems Security Certification Consortium, afgekort als (ISC)² [1]. Het CPP IT Security Engineer sluit goed aan bij de (ISC)²‐ certificeringen CISSP, CISSP‐ISSAP en CSSLP. In sectie 3 van dit document wordt dit nader toegelicht. De onderwerpen die in deze certificeringen aan bod komen, worden voor circa 70% tot 80% afgedekt door het CPP. De cursus Security en IT uit het CPP dekt met name CISSP en CISSP‐ISSAP af en de cursus Software Security uit het CPP dekt met name CSSLP af. Er geldt echter dat het CPP niet alle onderwerpen uit CISSP, CISSP‐ISSAP en CSSLP afdekt, hetgeen met name het geval is voor onderwerpen op gebied van fysieke security, business continuity, disaster recovery, beheer, governance, regelgeving, compliance, supply chain, acceptance, operations en maintenance. Het CPP is technischer van aard, biedt meer theoretische diepgang en is meer gericht op conceptueel begrip, terwijl met name het CISSP tentamen meer gericht is op basale feitenkennis. Er zijn diverse commerciële opleiders die trainingen aanbieden ter voorbereiding van tentamens voor (ISC)2‐certificeringen. Deze trainingen worden aangeboden in een korte, aaneengesloten periode waarin voltijds in een bestek van 5 à 10 cursusdagen de leerstof wordt gedoceerd. Het CPP IT Security Engineer aan de OU heeft een duidelijk andere opzet. Het CPP onderscheidt zich niet alleen door het academische karakter met meer aandacht voor concepten en verdieping in plaats van feitenkennis, maar ook door de wijze waarop het wordt aangeboden. Het CPP bestaat uit avondbijeenkomsten die gespreid over een jaar plaatsvinden met voldoende tussentijd voor zelfstudie, oefening en bezinking. De bijeenkomsten bestaan uit een mix van klassikale en online bijeenkomsten, waarin de leerstof wordt toegelicht en er ruim aandacht is voor opdrachten, practica en actuele ontwikkelingen.
2. Kwalificatie en certificatie van informatiebeveiligers Het CPNI.NL (Centre for Protection of the National Infrastructure), sinds 1 januari 2011 onderdeel van TNO Integrale Veiligheid, heeft een ʹOnderzoek naar kwalificatie en certificatie van informatiebeveiligersʹ laten uitvoeren [2]. Bevindingen van dit onderzoek zijn als volgt:
1
CPP IT Security Engineer en (ISC)²‐certificering (v3)
−
−
Binnen het vakgebied informatiebeveiliging bestaat een enigszins chaotische situatie met betrekking tot kwalificering en certificering van professionals. Er bestaan veel mogelijkheden om certificaten te behalen die het recht geven om een titel achter de naam te zetten, zoals: ABCP, CAP, CBCP, CEH, CGEIT, CIA, CIPP, CISA, CISM, CISSP, CITP, CRISC, CSSLP, FBCI, FBCS, ISMAS, ISMES, ISSAP, ISSEP, ISSMP, MBCP, MISM, MSIT, OPSA, OPST, QiCA, RE, RIB, RO, RSE en SSCP. Door de grote verscheidenheid is het inschatten van de betekenis en waarde van titels en certificeringen lastig. De eindtermen van cursussen en opleidingen op het gebied van informatiebeveiliging in het Nederlandse middelbaar en hoger onderwijs zijn nauwelijks gestandaardiseerd en geharmoniseerd. Opleidingsinstellingen en beroepsverenigingen geven certificaten en titels uit die gestoeld zijn op opleidingen en/of beroepservaring. Het is daardoor onduidelijk in hoeverre verschillende opleidingen met elkaar te vergelijken zijn en welke opleidingen in het kader van doorstroming op elkaar aansluiten.
Het onderzoek onderschrijft de noodzaak om tot een uniforme kwalificering en certificering voor informatiebeveiligers te komen en schetst een pad daartoe onder aanvoering van het PvIB (Platform voor Informatiebeveiliging) eventueel in samenwerking met andere beroepsorganisaties. Het onderzoek geeft geen nadere beschrijving van de diverse certificeringen en opleidingen. Wel worden functies beschreven op strategisch, tactisch en operationeel niveau binnen de domeinen informatierisicomanagement (informatievoorziening, informatiebeveiliging en risicomanagement als integraal geheel) en ICT‐beveiliging (ontwerpen en implementeren van ICT‐beveiligingsmaatregelen).
3. (ISC)² Het (ISC)², International Information Systems Security Certification Consortium (https://www.isc2.org/), is een internationaal consortium dat meerdere breed‐geaccepteerde certificeringen verleent op gebied van security. Een citaat op de (ISC)² website luidt: The International Information Systems Security Certification Consortium, Inc., (ISC)², is the global leader in educating and certifying information security professionals throughout their careers. (ISC)² verleent de volgende certificeringen: − CAP (Certified Authorization Professional), gericht op security professionals die verantwoordelijk zijn voor het formaliseren van processen rondom risk assessment, het opstellen van security requirements en documentatie − CISSP (Certified Information Systems Security Professional), gericht op security professionals die verantwoordelijk zijn voor architectuur, ontwerp, management en maatregelen op gebied van security; opvolgend op CISSP kunnen specifieke CISSP Concentrations behaald worden: CISSP‐ISSAP (Information Systems Security Architecture Professional), CISSP‐ISSEP (Information Systems Security Engineering Professional) en CISSP‐ISSMP (Information Systems Security Management Professional)
2
CPP IT Security Engineer en (ISC)²‐certificering (v3)
−
−
CSSLP (Certified Secure Software Lifecycle Professional), gericht op security professionals die verantwoordelijk zijn voor security van applicaties gedurende de software lifecycle SSCP (Systems Security Certified Practitioner), gericht op security professionals zoals network security engineers, security systems analysts en security administrators, alsmede op professionals die basiskennis moeten hebben van security zonder dat dit een primair onderdeel is van hun taak.
Deze certificeringen worden verleend op grond van het afleggen van een examen en werkervaring. Er zijn diverse opleiders die cursussen aanbieden als voorbereiding op een examen. Beginnende professionals die nog niet aan de werkervaringseis voldoen, kunnen wel al het betreffende examen afleggen en dan de status Associate of (ISC)² verwerven. Een gangbaar pad vanaf Associate of (ISC)² is eerst SSCP, vervolgens CISSP en daarna een CISSP Concentration. De CISSP en CSSLP certificeringen sluiten het dichtste aan bij het CPP IT Security Engineer. In 3.1 t/m 3.3 worden de CISSP en CSSLP certificeringen nader toegelicht en vergeleken met het CPP IT Security Engineer.
3.1 CISSP CISSP is geaccrediteerd volgens ANSI ISO/IEC Standaard 17024:2003. Het is een zeer gangbaar begrip in de security‐wereld en wordt vaak vereist voor functies in de informatiebeveiliging. CISSP certificering is met name gericht op mid‐ of senior‐level managers in functies als Chief Information Security Officer, Chief Security Officer of Senior Security Engineer [3]. Voor CISSP certificering komen professionals in aanmerking die ten minste vijf jaar full‐time werkervaring hebben in minimaal twee van de CISSP‐domeinen behorende tot de ʹCommon Body of Knowledgeʹ (CBK). Bij een hbo‐bachelordiploma is de eis ten minste vier jaar werkervaring. Bij bezit van SSCP certificering of een andere certificering (https://www.isc2.org/credential_waiver/) wordt de werkervaringseis met een jaar verkort. De tien domeinen van de CISSP CBK zijn: 1. Access control 2. Telecommunications and network security 3. Information security governance and risk management 4. Software development security 5. Cryptography 6. Security architecture and design 7. Operations security 8. Business continuity and disaster recovery planning 9. Legal, regulations, investigations and compliance 10. Physical (environmental) security. Als voorbereiding op het examen verzorgen (ISC)² en tal van commerciële aanbieders CISSP‐ trainingen. Het schriftelijk examen bestaat uit 250 vierkeuzevragen, duurt maximaal zes uur en staat onder toezicht van examinatoren. Behalen van het tentamen leidt tot de Associate‐ kwalificatie die vervolgens zes jaar geldig blijft. Als binnen deze periode aan de 3
CPP IT Security Engineer en (ISC)²‐certificering (v3)
werkervaringeis voldaan wordt, wordt CISSP certificering verleend. CISSP certificering blijft drie jaar geldig, waarna deze dient te worden vernieuwd. Dat kan door het examen nogmaals af te leggen, of door 120 studie‐uren te besteden (bijscholing, bijwonen van conferenties e.d.). In Nederland worden onder andere de volgende CISSP‐opleidingen aangeboden; - De CIBIT Academy geeft een cursus als voorbereiding op het CISSP‐tentamen. Deze cursus duurt vijf volledige dagen (circa 50 uur). Gesteld wordt dat de leerstof wordt behandeld op hbo+‐niveau. Daarna is er een periode van vier weken voor zelfstudie, waarna het tentamen kan worden afgelegd. http://www.cibit.nl/nl/ict‐opleidingen/opleiding‐cissp‐information‐security/ - De Security Academy geeft een elfdaagse cursus als voorbereiding op het CISSP‐ tentamen. http://www.securityacademy.nl/opleidingen/cissp‐opleiding.html Er zijn diverse boeken waarin de leerstof van CISSP CBK wordt behandeld, zoals [4] en [5]. Om CISSP‐ISSAP te verkrijgen is twee jaar additionele werkervaring vereist op gebied van security architectuur, en is gericht op Chief Security Architects en Analysts die typisch werkzaam zijn als onafhankelijk consultant. De zes domeinen in de CISSP‐ISSAP CBK zijn: − Access control systems and methodology − Communications and network security − Cryptography − Security architecture analysis − Technology related Business continuity planning (BCP) and Disaster recovery planning (DRP) − Physical Security Considerations. CISSP‐ISSEP is samen met NSA (U.S. National Security Agency) ontwikkeld en is gericht op het integreren van security in projecten, applicaties, bedrijfsprocessen en informatiesystemen. De vier domeinen in de CISSP‐ISSEP CBK zijn: − Systems security engineering − Certification and accreditation (C&A) / Risk management framework (RMF) − Technical management − U.S. Government information assurance related policies and issuances. Om CISSP‐ISSMP te verkrijgen is twee jaar additionele werkervaring vereist op gebied van security management. De vijf domeinen in de CISSP‐ISSMP CBK zijn: − Security management practices − Systems development security − Security compliance management − Business continuity planning (BCP) & Disaster recovery planning (DRP) − Law, investigation, forensics and ethics. Tabel 1 geeft een overzicht van de domeinen uit de CISSP CBK [6] en een indicatie van de mate waarin deze afgedekt worden door het CPP IT Security Engineer. 4
CPP IT Security Engineer en (ISC)²‐certificering (v3)
CISSP CBK
CPP IT Security Engineer
Access Control Telecommunications and Network Security Information Security Governance and Risk Management Software Development Security Cryptography Security Architecture and Design Operations Security Business Continuity and Disaster Recovery Planning Legal, Regulations, Investigations and Compliance Physical (Environmental) Security
95 % 95 % 60 % 95 % 95 % 85 % 85 % 65 % 40 % 5 %
Tabel 1: CISSP CBK versus CPP IT Security Engineer
3.2 CSSLP De CSSLP CBK beslaat best practices, policies en procedures voor het invoeren van security in alle fasen van softwareontwikkeling. CSSLP certificering is relevant voor alle stakeholders in de software lifecycle. Voor CSSLP certificering komen professionals in aanmerking die ten minste vier jaar full‐time werkervaring hebben in minimaal een van de CSSLP‐domeinen behorende tot de ʹCommon Body of Knowledgeʹ (CBK). Bij een hbo‐bachelordiploma is de eis ten minste drie jaar werkervaring. De acht domeinen van de CSSLP CBK zijn: 1. Secure software concepts 2. Secure software requirements 3. Secure software design 4. Secure software implementation/coding 5. Secure software testing 6. Software acceptance 7. Software deployment, operations, maintenance and disposal 8. Supply chain and software acquisition. Als voorbereiding op het examen verzorgen (ISC)² en tal van commerciële aanbieders CSSLP‐trainingen. Het schriftelijk examen bestaat uit 175 vierkeuzevragen, duurt maximaal vier uur en staat onder toezicht van examinatoren. Behalen van het tentamen leidt tot de Associate‐kwalificatie die vervolgens zes jaar geldig blijft. Als binnen deze periode aan de werkervaringeis voldaan wordt, wordt CSSLP certificering verleend. CSSLP certificering blijft drie jaar geldig, waarna deze dient te worden vernieuwd. Dat kan door het examen nogmaals af te leggen, of door 90 studie‐uren te besteden (bijscholing, bijwonen van conferenties e.d.). In Nederland biedt de CIBIT Academy een cursus als voorbereiding op het CSSLP‐tentamen. Deze cursus duurt vijf volledige dagen (circa 50 uur). Gesteld wordt dat de leerstof wordt behandeld op hbo+‐niveau. Daarna is er een periode van vier weken voor zelfstudie, waarna het tentamen kan worden afgelegd. http://www.cibit.nl/nl/ict‐opleidingen/opleiding‐csslp‐information‐security/ Er zijn diverse boeken waarin de leerstof van CSSLP CBK wordt behandeld, zoals [7]. 5
CPP IT Security Engineer en (ISC)²‐certificering (v3)
Tabel 2 geeft een overzicht van de domeinen uit de CSSLP CBK [8] en een indicatie van de mate waarin deze afgedekt worden door het CPP IT Security Engineer. CSSLP CBK
CPP IT Security Engineer
Secure software concepts Secure software requirements Secure software design Secure software implementation/coding Secure software testing Software acceptance Software deployment, operations, maintenance and disposal Supply chain and software acquisition
85 % 95 % 95 % 95 % 65 % 5 % 40 % 5 %
Tabel 2: CSSLP CBK versus CPP IT Security Engineer
3.3 CISSP en CSSLP versus CPP IT Security Engineer Het CPP IT Security Engineer dekt circa 80% van CSSLP af. De tien domeinen uit de CISSP CBK komen grotendeels in het CPP aan bod, met uitzondering van het domein Physical (Environmental) Security. Het CPP is technischer van aard, terwijl CISSP meer aandacht besteedt aan zaken als beheer, governance, regelgeving, operations en compliance van security. Wat betreft de CISSP Concentrations, sluit het CPP goed aan bij CISSP‐ISSAP, met uitzondering van de onderwerpen business continuity, disaster recovery en physical security. Het CPP IT Security Engineer dekt circa 70% van CSSLP af. De acht domeinen uit de CSSLP CBK komen grotendeels in het CPP aan bod, met uitzondering van het domein Supply chain and software acquisition. Het CPP is theoretischer van aard, biedt meer diepgang en is gericht op de fasen in de software lifecycle voorafgaand aan operationeel gebruik. CSSLP besteedt ruimer aandacht aan zaken als acceptance, deployment, operations, maintenance en disposal. De CISSP en CSSLP tentamens toetsen vooral feitenkennis, terwijl toetsing in het CPP meer gericht is op conceptueel begrip. Hoewel het CPP zowel CISSP als CSSLP in ruime mate afdekt, is het niet zondermeer gezegd dat men na afronding van het CPP ook het CISSP of CISSP tentamen met goed gevolg kan afleggen. Met een korte tentamenvoorbereiding (bv. bestudering van [4], [5] of [7]) moet men een heel eind kunnen komen. Naast het tentamen is ook ruime werkervaring vereist voor CISSP en CSSLP certificering. Deze werkervaring wordt niet aangebracht in het CPP. Het CPP IT Security Engineer is opgebouwd uit de bachelorcursus Security en IT en de mastercursus Software security, aangevuld met extra leerstof, opdrachten, practica en begeleiding. CISSP certificering biedt vrijstelling voor de cursus Security en IT. CSSLP certificering is qua inhoud te beperkt en biedt derhalve geen vrijstelling voor de cursus Security en IT. De cursus Software security wordt niet vrijgesteld op grond van (ISC)2 certificeringen.
6
CPP IT Security Engineer en (ISC)²‐certificering (v3)
4. Bronnen [1] M. Baveco, Waarde van certificeringen, Informatiebeveiliging, november 2004, pp. 22‐24 https://www.pvib.nl/download/?id=6474557&download=1 [2] Marcel Spruit en Fred van Noord, Onderzoek naar kwalificatie en certificatie van informatiebeveiligers, versie 1.0, 11 april 2011 http://www.cpni.nl/publicaties/onderzoek‐naar‐kwalificatie‐en‐certificatie‐van‐ informatiebeveil [3] Informatiebrochure CISSP https://www.isc2.org/uploadedFiles/Credentials_and_Certifcation/CISSP/CISSP_for%20P rofessionals.pdf [4] Official (ISC)2 Guide to the CISSP CBK http://www.amazon.com/Official‐ISC‐Guide‐CISSP‐ Press/dp/0849382319/ref=sr_1_2?ie=UTF8&s=books&qid=1248705332&sr=8‐2# [5] CISSP: Certified Information Systems Security Professional Study Guide http://www.amazon.com/CISSP‐Certified‐Information‐Security‐ Professional/dp/0470276886/ref=sr_1_5?ie=UTF8&s=books&qid=1248705332&sr=8‐5 [6] CISSP Candidate Information Bulletin, 1 January 2012 https://www.isc2.org/CIB/CISSP‐CIB.pdf [7] Official (ISC)2 Guide to the CSSLP, Mano Paul, CRC Press, 2011 http://www.amazon.com/Official‐ISC‐Guide‐CSSLP‐ Press/dp/1439826056/ref=sr_1_1?s=books&ie=UTF8&qid=1351937656&sr=1‐1 [8] CSSLP Candidate Information Bulletin, April 2013 https://www.isc2.org/CIB/CSSLP‐CIB.pdf
7
