Kompetencje i metodyka

ISACA

ISACA to międzynarodowe stowarzyszenie osób zajmujących się zawodowo zagadnieniami dotyczącymi audytu, kontroli, bezpieczeństwa oraz innymi aspektami zarządzania systemami informatycznymi. Poprzednio znane jako Information Systems Audit and Control Association.

ISACA skupia obecnie 86000 osób (członków stowarzyszenia i specjalistów posiadających certyfikaty wydawane przez ISACA) z ponad 160 krajów. Struktura ISACA składa się z 175 oddziałów działających w ponad 70 krajach. W Polsce ISACA reprezentowana jest przez "ISACA - stowarzyszenie do spraw audytu i kontroli systemów informatycznych", powstałe w Warszawie w 1997 roku i działające jako oddział regionalny ISACA.

COBIT

COBIT (Control Objectives for Information and related Technology) - standard opracowany przez ISACA oraz IT Governance Institute, zbiór dobrych praktyk z zakresu IT Governance, które mogą być wykorzystywane w szczególności przez audytorów systemów informatycznych. COBIT 4.1 opisuje 34 wysokopoziomowe procesy, które obejmują 210 celów kontrolnych pogrupowanych w czterech domenach:

  • planowanie i organizacja (Planning and Organization),
  • nabywanie i wdrażanie (Acquisition and Implementation),
  • dostarczanie i wsparcie (Delivery and Support),
  • monitorowanie i ocena (Monitoring and Evaluation).

CISA

Certified Information Systems Auditor, CISA (Certyfikowany Audytor Systemów Informatycznych) - certyfikat zawodowy dla osób zajmujących się audytem systemów informatycznych wydawany przez ISACA.
Deklarowane cele powstania tego certyfikatu to:

  • rozwijać i utrzymywać narzędzie testowania, które może być używane do oceny indywidualnych kompetencji w zakresie audytu systemów informatycznych,
  • dostarczyć mechanizmu motywującego audytorów systemów informatycznych do utrzymywania swoich kompetencji i monitorowania efektów programów szkoleniowych,
  • pomagać kierownictwu w rozwijaniu funkcji kontroli systemów informatycznych, dostarczając kryteria dla doboru i szkolenia personelu.

Proces egzaminacyjny CISA uzyskał certyfikację American National Standards Institute (ANSI) zgodnie z normą ISO/IEC 17024:2003.

Aby uzyskać certyfikat CISA konieczne jest:

  • Zdanie egzaminu organizowanego przez ISACA dwa razy w roku.
  • Potwierdzone 5 lat doświadczenia w audycie informatycznym, lub pracy w kontroli w obszarze informatyki lub w pracy w obszarze bezpieczeństwa, z uwzględnieniem, iż:
    • 1 rok można zastąpić 1 rokiem doświadczenia w pracy przy systemach informatycznych lub w audycie finansowym/operacyjnym,
    • odpowiednio 1 albo 2 lata uzyskuje się posiadając tytuł licencjata lub magistra (3 lata jeśli program studiów zgodny z programem ISACA),
    • 2 lata w roli pełnoetatowego wykładowcy w obszarach takich jak informatyka, księgowość, audyt itp., równoważy 1 rok wymaganego doświadczenia.
  • Deklaracja przestrzegania kodeksu etyki.
  • Deklaracja prowadzenia ustawicznego kształcenia w obszarach związanych z audytem, kontrolą lub bezpieczeństwem informacji.
  • Deklaracja stosowania standardów zawodowych publikowanych przez ISACA.

ISECOM

Institute for Security and Open Methodologies (ISECOM) jest otwartą, non-profit, społecznością działająca od stycznia 2001.

Działalność ISCOM skupia się na dostarczaniu elementarnej wiedzy o bezpieczeństwie, badaniach, certyfikacji i integracji technologii ze światem biznesu. ISECOM dostarcza certyfikacje, wsparcie projektowe i szkoleniowe dla niezależnych i niepowiązanych z producentami organizacji. Ich programy szkoleniowe, standardy i najlepsze praktyki są całkowicie neutralne i wolne od wpływów krajowych, jak i komercyjnych. 

OSSTMM

Open Source Security Testing Methodology Manual (OSSTMM) jest opracowaną przez ISECOM metodyką przeprowadzania testów penetracyjnych i oceny ich wyników. Testy wykonywane zgodnie z OSSTMM podzielone są na pięć sekcji (kanałów) w skład których wchodzą badania takie jak: kontrola informacji i danych, poziom świadomości bezpieczeństwa u pracowników, poziom kontroli/obrony przed nadużyciami jak i metodami socjotechnicznymi, sieci teleinformatyczne, urządzenia bezprzewodowe, fizyczna kontrola dostępu, kontrola fizycznej lokalizacja (np. budynków). OSSTMM skupia się na elementach technicznych, które powinny być testowane, oraz na tym, co robić przed, w trakcie i po wykonaniu testu bezpieczeństwa i jak oceniać wyniki. Nowe rodzaje testów oparte na najlepszych międzynarodowymi praktykach, przepisach, regulacjach i zasadach etycznych są regularnie dodawane i aktualizowane w OSSTMM.

CISSP

Certyfikat Certified Information Systems Security Professional (CISSP) jest potwierdzeniem doświadczenia i kompetencji w temacie szeroko pojętego bezpieczeństwa systemów informatycznych. Certyfikacja CISSP jako pierwsza w branży IT została uznana przez International Organization for Standardization/International Electrotechnical Commission za spełniającą wymagania normy ISO/IEC 17024.

W celu uzyskania certyfikatu CISSP (Certified Information Systems Security Professional) należy zdać egzamin oraz udokumentować posiadanie 4-letniego doświadczenia w obszarze bezpieczeństwa informacji lub też 3-letniego doświadczanie i ukończonych studiów wyższych czy też 2-letniego doświadczenia i pracy magisterskiej z tematyki bezpieczeństwa informacji. Egzaminy CISSP prowadzone są przez firmę (ISC)2.