Как я сдавал (и сдал) CISM. Часть 3. Необходимый опыт

Содержание

Что за сертификаты?
Что делать?
Что же не так?
Что дальше
Что нужно знать и понимать?
Шаг 2. что с английским?
«бумажная» безопасность
Cissp
Базы вопросов
Виды сертификации
Вопросы для оценки необходимости стать сертифицированным специалистом
Глоссарий терминов
Дополнительные материалы
Еще немного об этике
Как подготовиться?
Как я сдавал (и сдал) cism. часть 3. необходимый опыт
Какие могут быть сложности?
Книги
Курсы подготовки
Мышление ит-аудитора
На экзамене
Обращайте внимание на first, last, except, not
Отбросить бредовый вариант сразу и не тормозить
Пара лайфхаков
Планирование непрерывности бизнеса и восстановления после сбоев (bcp/drp)
Предложение/спрос
При пожаре выносить первым!
Пять главных иб-сертификатов
Регистрируемся на экзамен
Сертификация isst
Система сертификации iecex, потенциально взрывоопасная среда.
Списывание
Шаг 1. где я?
Шаг 4. подготовка в последнюю неделю перед экзаменом

Что за сертификаты?

Сначала расшифруем аббревиатуры и переведем, но не дословно, а по смыслу.

CISSP (Certified Information Security Systems Professional) – сертифицированный специалист по информационной безопасности.

https://www.youtube.com/watch?v=videoseries

CISA (Certified Information Systems Auditor) – сертифицированный ИТ-аудитор.

CISM (Certified Information Security Manager) – сертифицированный менеджер по информационной безопасности.

Именно такой состав выбранных для рассмотрения сертификаций объясняется их близостью по темам (доменам), ну и, конечно, наличию у автора статьи опыта проведения подготовки специалистов к данным экзаменам.

Сведем информацию об экзаменах в следующую таблицу:

Что делать?

Кроме собственно сертификатов от вендоров, существуют и вендор-независимые системы сертификации, в сторону которых я и рекомендую смотреть специалистам, которые не отказались от идеи самостоятельного развития и профессионального роста.

На самом деле, у меня уже был опыт сдачи подобного экзамена в 2021 году, когда я сдавал CompTIA Security . Это очень неплохой вариант для начинающего специалиста, чтобы оценить свой уровень и даже расширить кругозор в каких-то вопросах. CompTIA Secuity это такой блиц из 90 вопросов за 90 минут.

Что же не так?

Довольно быстро выясняется, что о существовании CISSP знаете только Вы и пара коллег. Эти загадочные буквы не фигурируют в названиях вакансий, если это, конечно, не иностранная компания, где CISSP зачастую являются обязательным условием приглашения на собеседование.

Однако престиж профессии постепенно падает, и абитуриенты отдают предпочтение более раскрученным и социально привлекательным специальностям, а выпускники ВУЗов, приходящие на собеседования всё чаще, не могут сформулировать, чем же конкретно они занимались последние 5 лет в стенах своей alma mater.

Парадокс в другом – количество сертифицированных CISSP, CISA и CISM в РФ постепенно растет, а значит не всё потеряно.

Блог Сергея на английском языке можно прочитать тут.

Что дальше

Итак, экзамен сдан, и Вы стали CISSP (ха-ха, на самом деле, нет). Теперь ваш опыт должен подтвердить кто-то из действующих CISSP. Это может быть коллега, приятель или даже совсем не знакомый человек – нигде в правилах не указано, в каких Вы должны быть с ним отношениях.

Что нужно знать и понимать?

Очень не хочется занудно раскрывать объем знаний, который стоит за каждым из доменов (и очень хорошо описан в руководствах по экзаменам), поэтому кратко рассмотрим портрет идеального обладателя каждого из трех сертификатов.

Шаг 2. что с английским?

Оцените, хватает ли ваших знаний английского для понимания вопросов и предлагаемых ответов, если нет, включите в свой план подготовки английский язык.

«бумажная» безопасность

Многие технические специалисты увлекаются технологиями, а вот бизнес-процессы им совершенно не интересны, соответственно корпоративные политики, процедуры, стандарты воспринимаются как ненужные бумажки. С позиций менеджмента подобные документы являются очень важными, так как формируют требования информационной безопасности, которые в свою очередь реализуются с помощью технологий и грамотных действий сотрудников. Соискателю CISSP, СISA, CISM нужно научиться мыслить как управленцу и полюбить процессный подход к менеджменту всей душой.

Cissp

Истинный обладатель CISSP должен очень хорошо ориентироваться во всех современных течениях информационной безопасности и в первую очередь в области менеджмента ИБ. Соискатель должен уметь мыслить в категориях «уязвимость», «риск», «контрмера». Опыт администрирования средств защиты информации или взлома компьютерных сетей (этичного, конечно) будет бесспорно полезен, но на экзамене никто не будет требовать вспомнить какую-то определенную настройку или команду какой-либо системы, так как сертификация не зависит от какого-либо вендора.

На мой взгляд, объем знаний CISSP соответствует объему знаний молодого специалиста, окончившего с хорошими отметками профильную кафедру и имеющему пару лет реального опыта в информационной безопасности в серьезной организации.

Базы вопросов

Можно легко найти и приобрести базы вопросов для подготовки к экзаменам, как официальные от ISC2 и ISACA, так и от сторонних вендоров. Базы вопросов могут быть как в виде программ для тестирования, так в виде учебников. Очень полезный материал, позволяющий постоянно оценивать свою готовность к экзамену.

Виды сертификации

Certified Cost Technician (CCT) / Сертифицированный стоимостной техник	Претендент, который продемонстрировал мастерство владения базовыми навыками и знаниями управления стоимостью. Данный вид сертификации предусмотрен для тех, кто только начинает карьеру стоимостного инженера, для молодых специалистов, которые еще не имеют необходимого многолетнего опыта для сертификации – Certified Cost Professional (CCP)/ Сертифицированный профессионал по стоимости, или для профессионалов, имеющих большой опыт работы в области управления проектами, но желающих развить свою компетенцию в области стоимостного инжиниринга.
Certified Cost Professional (CCP) / Сертифицированный профессионал по стооимости	CCP – это опытный профессионал с передовыми знаниями и техническими экспертными навыками, применяющий общие принципы и лучшие практики Комплексного Управления Стоимостью (Total Cost Management (TCM)) в планировании, выполнении и управлении любым организационным проектом или программой. CCP также демонстрирует способности к исследовательской работе и способен выявлять аспекты принципов и практик TCM на всех стадиях разработки проекта или программы с заинтересованными лицами, как с внутренними, так и внешними.
Certified Estimating Professional (CEP) / Сертифицированный профессионал по оценке	CEP – это профессионал, обладающий необходимыми знаниями, чтобы произвести экономическую оценку потенциальных проектов с помощью поддержки развития бюджетов, анализа необходимых ресурсов и функционально-стоимостного анализа. Применяя совокупные знания, изложенные в практических рекомендациях 46R-11 AACE, CEP оценивает расходы в установленных рамках, чтобы консультировать руководство в вопросах принятия решений о финансировании проекта. СЕР способен четко обосновывать смету расходов, как устно, так и письменно, для всех заинтересованных сторон, которым важен успех проекта.
Earned Value Professional (EVP) / Профессионал в области методики освоенного объема	EVP – это профессионал по методике освоенного объема, который владеет мастерством контрактной деятельности, относящейся к применению методики освоенного объема в части преобразования возможностей проекта в организованную структуру для исполнения: планирования, расчета расписания и бюджетирования работ проекта с момента инициации до момента завершения с использованием интегрированного инструмента стоимость/расчет расписания. EVP должен обладать большим опытом в вопросе контроля прогресса проекта для измерения производительности. EVP работает с системой освоенного объема и ее бухгалтерскими составляющими, служащими для записи фактических затрат по проекту или работе. Такой специалист способен создавать соответствующие отчеты, а также понимать и анализировать отображаемую в отчете информацию. Он осуществляет управление изменениями в рамках работ и/или любыми отклонениями от намеченного плана, а также курирует утвержденные изменения или начальный план на протяжении всего жизненного цикла проекта / портфеля проектов в государственном и/или частном секторе. Профессионал по освоенному объему должен иметь большой опыт в интерпретации данных / показателей методики освоенного объема и должен обладать необходимыми навыками для обеспечения согласованных коммуникации (устных и письменных) между всеми уровнями заинтересованных лиц проекта (внутренних и внешних).
Decision & Risk Management Professional (DRMP) / Профессионал по решению и управлению рисками	DRMP- Практик высшего уровня, имеющий предпринимательский опыт в части статьи расходов на протяжение всего жизненного цикла, обладающий знаниями и навыками, начиная от аналитических и заканчивая социально/психологических навыков управления. DRPM также имеет обширный технический опыт в работе со специальными инструментами и сервисами, такими как: анализ решений, оценка риска и анализ неопределенности, анализ степени риска графика. DRMP обладает развитыми коммуникативными навыками для согласования всех уровней заинтересованных сторон проекта и всё в большей степени востребован руководителями для участия в процессе принятия решения – будь то решение о продолжении или прекращении инвестиций или определение необходимых Резервов на непредвиденные затраты капитального проекта.
Planning & Scheduling Professional (PSP) / Профессионал планирования и разработки графиков	PSP-это квалифицированный профессионал в области планирования и разработки графиков проекта, с передовым опытом в сфере проектного планирования, и разработки, мониторинга, корректировки, прогнозирования и анализа интегрированных графиков проекта. PSP осуществляет планирование и разработку процессов с соблюдением основ «Комплексного управления стоимостью» (the AACE International Total Cost Management (TCM). PSP эффективно взаимодействует со всеми заинтересованными сторонами проекта, как с внутренними так и с внешними.
Certified Forensic Claims Consultant (CFCC)/ Сертифицированный консультант по судебным искам	CFCC – опытный профессионал и практикующий эксперт, работающий в сфере разрешения споров по строительству и судебных разбирательств. CFCC в своей работе уделяет особое внимание претензиям, связанным с проектами проектирования и строительства в странах с общими законами или смешанным правом. CFCC представляет специалистов-практиков и специалистов, которые отвечают набору требований и критериев разрешения споров, включающих опыт, образование и соблюдение этических норм, принятых в отрасли.

Про сертификаты: Ошибка при получении электронной подписи в 2021 году. Неверная электронная подпись

Вопросы для оценки необходимости стать сертифицированным специалистом

Давайте сведем в один список вопросы, ответы на которые позволят специалистам в области ИБ решить насколько им необходима сертификация.

У меня получился такой «аудиторский» чеклист:

Обладаете высшим техническим образованием в ИТ-сфере и средний балл не ниже 4?
На работе занимаетесь проектами по большинству тем экзамена?
Без словаря читаете английские статьи на профессиональные темы?
Есть желание двигаться по карьерной лестнице вверх?
Будет время готовиться вечерами и сможете взять несколько дней отгула перед экзаменом?
Хоть немного ощущаете себя настоящим менеджером?
Готовы к тому, чтобы жить и работать в столице?

Если на большинство вопросов у вас положительный ответ, то определенно стоит ввязаться в это дело, подготовиться, сдать экзамен(ы), а затем постоянно поддерживать свои знания на достойном уровне.

Глоссарий терминов

Даже если на Шаге 2 вы оценили, что ваш уровень владения английским языком подходит для сдачи экзамена, не поленитесь и пролистайте

. Обратите внимание, что в вопросах экзаменов зачастую фигурируют слова, перевод которых на русский язык не всегда однозначен (например, control — контрмера, мера минимизации риска, СЗИ, контроль).

Дополнительные материалы

По тем областям знаний, где вы себя чувствуете неуверенно, лучше читать дополнительные материалы, которые, как правило можно найти на профильных сайтах (

Еще немного об этике

И у ISC2, и у ISACA есть кодекс профессиональной этики – его лучше прочитать и запомнить, так как вопросы по этике обязательно будут и хорошее ее знание принесет несколько дополнительных баллов.

Как подготовиться?

Исходя из собственного опыта подготовки к экзаменам и проведения

предлагаю следующий алгоритм.

Как я сдавал (и сдал) cism. часть 3. необходимый опыт

Продолжаю рассказывать про получение сертификата CISM.

Я уже начал потихоньку заполнять необходимые документы, подтверждающие мой практический опыт. Об этом необходимом опыте я и расскажу в сегодняшней заметке.

Ранее:

Ну, оплатить 50$ просто (я это сделал кредиткой на сайте ISACA). Далее надо разобраться с подтверждением опыта.

Как многие знают, для получения статуса CISM необходим пятилетний опыт в ИБ, причем минимум 3 года надо быть в роли менеджера по ИБ (“Information Security Manager”). При этом кандидат должен был быть ответственным за программу или процессы управления ИБ. Ну, или выступать в роли консультанта по этим вопросам. Я скорее иду именно по консалтинговому опыту.
И это еще не все. Кандидат должен подтвердить опыт минимум по 3 из 4 доменов сертификации CISM, напомню их:

Information Security Governance
Information Risk Management and Compliance
Information Security Program Development and Management
Information Security Incident Management

Обратите внимание, что учитывается не весь опыт, а лишь за последние 10 лет.

Есть две возможности сократить необходимые года общего 5-летнего опыта (!но 3 года опыта в управлении ИБ должны быть):

Можно “скинуть” 2 года если выполняется одно из условий:
Или можно “скинуть” 1 год при выполнении одного из следующих условий:

наличие одного полного года опыта в управлении информационными системами;
наличие одного полного года опыта в управлении общей безопасностью (“general security”, и приводят примеры: “physical security”, “personnel security”, “investigations management”), причем именно в “управлении” (т.е. работа просто охранником “не катит”);
наличие одного из базовых сертификатов по ИБ (приводится пример GIAC (SANS Global Information Assurance Certification), MCSE (Microsoft Certified Systems Engineer), CompTIA Security , CBCP (Disaster Recivery Institute Certified Business Continuity Professional), ESL IT Security Manager);
прохождение обучения по программе управления ИБ, соответствующей некоей “the Model Curriculum” (видимо, это какая-то официальная программа обучения).

Есть еще одна “фишка”, про которую мало кто знает. Можно каждые 2 года преподавания (full-time university instructor) менеджмента ИБ зачесть за 1 год опыта в управлении ИБ.

В принципе, мне должно хватить своего опыта, я работаю по профессии с 2007 года (первая должность была “инженер 1й категории сектора защиты информации службы безопасности и режима” в ФПД ОАО РЖД), а с 2008 года я уже попал в консалтинг (в компанию ЛЕТА). Причем в консалтинге занимался именно вопросами управления ИБ.

В общий комплект отсылаемых документов я не буду прикладывать свой диплом (вряд ли он будет засчитан. да и, видимо, его надо переводить на английский), а вот международные сертификаты по ISO 27001, ITIL и COBIT5 отправлю (хотя тоже вряд ли будут учтены, но все же). Российские сертификаты и дипломы о прохождении курсов повышения квалификации отсылать не имеет смысла…

В следующей заметке по теме CISM я расскажу про заполнение анкеты и ее верификацию (подтверждение).

мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на

, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как

Какие могут быть сложности?

Обсудим некоторые подводные камни, о которых нужно помнить при подготовке к экзаменам.

Книги

Без пары хороших книг подготовка будет просто невозможной. Лучше всего полистать все, какие сможете получить, и подобрать подходящие именно вам, исходя из стиля изложения и актуальности материала (лучше смотреть книги, изданные за последние 2-3 года).

, и это очередной вклад в развитие информационной безопасности в России от группы компаний «Эшелон».

Кстати, в Сети можно найти неформальный перевод на русский язык устаревшей версии учебника для подготовки к CISSP

– пробежаться по вопросам тоже не помешает (на самом старте изучения). Начать готовиться лучше, используя литературу именно на русском языке (для погружения в предметную область), а заканчивать – массированным штудированием примерных вопросов исключительно на английском языке (см. базы вопросов ниже).

Курсы подготовки

Стоит ли идти на специализированные курсы? Стоит, если хотите сразу за пару дней погрузиться в тематику экзамена и увидеть всю картину в целом. Нужно понимать, что никакой курс не заменит самостоятельное чтение книг и решение пробных тестов.

Длительность этой фазы подготовки, если ни одного подобного экзамена ранее не сдавали, 3-4 месяца (в среднем по часу в день), если опыт успешной сдачи есть и уровень знаний высок, то срок может быть сокращен и до недели (разумеется, в режиме полного погружения).

Про сертификаты: Обязательная маркировка одежды с 2021 года

Мышление ит-аудитора

Для успешной сдачи экзамена CISA нужно хорошо представлять, как мыслит ИТ-аудитор. ИТ-аудиторы проверяют, как выполняются требования внутренних и внешних документов и мыслят совершенно иначе, нежели ИТ-специалисты, нацеленные на то, «чтобы все работало, а остальное – не важно».

Поясню на следующем примере. В ООО «Ромашка» доступ к системам предоставляется на основе заявок по электронной почте и выполняется определенная цепочка согласований. Для администратора отработанная заявка – ненужный мусор, который можно удалить в новогоднюю ночь, автоматически очищая архивы, а для ИТ-аудитора, эта заявка представляет собой важное свидетельство, подтверждающее выполнение процедуры, которую нужно хранить, как золото.

Для освоения методик, применяемых реальными ИТ-аудиторами, очень полезно стать членом ISACA (кстати, отделение ISACA есть в Москве ) и тем самым получить доступ к базе полезных методологических документов. Как уже видели в таблице, членство в ISACA дает существенные скидки как на сами экзамены, так и на продление.

На экзамене

В назначенный день приезжаем в тестовый центр, проходим формальности и садимся за компьютер. Тест состоит из 250 вопросов по всем доменам. На него дается 6 часов, перерывов нет. Причем, практически нет вопросов на знание какие-то понятий, фактов или определений.

В основном вопросы направлены на проверку знания лучших практик, методологий и стандартов. Т.е. у вопроса могут быть все ответы логически правильные, но только один отвечает стандарту. Например, если среди ответов есть что-нибудь про “обеспечить физическую безопасность людей”, то этот ответ всегда правильный.

Я управился где-то за 3,5 часа, и это весьма неплохо, потому что после двух часов напряженной работы внимание потихоньку рассеивается, логика перестает работать. Зато включается здравый смысл и опыт, которые и позволяют отсеивать заведомо ложные ответы, а из оставшихся выбирать наиболее точный.

Итак, добираемся до последнего вопроса, нажимаем “Finish” и наконец … ничего, собственно, не происходит. Нужно подойти к Администратору тестового центра, который и выдаст распечатку с поздравлением. Либо с оповещением, что экзамен не сдан, и придется по новой платить $699 за очередную попытку. При этом, если экзамен не сдан, в распечатке будет указано, сколько баллов набрано и сколько не хватило.

Я сдал с первого раза, притом, что на подготовку ушло около трёх месяцев. Я читал бесконечные истории, о том, как люди сдавали этот экзамен по 3-4 раза, и морально готовился к такому же сценарию. Однако всё оказалось проще, видимо не зря в требованиях указан реальный опыт работы.

Моё разочарование “сложностью” этого экзамена разделили несколько зарубежных коллег. Причем, каждый по своей причине: кого-то расстроила простота экзамена (столько времени потратили на знакомство с международным законодательством, GDPR и поправками к конституции США, а на эту тему было только 3 вопроса), а кого-то оторванность от реальной жизни (ни одной лабораторной работы!).

Но так и суть экзамена не в этом. Он и задуман быть “милей в ширину, но дюймом в глубину”. Кандидат должен показать свой широкий кругозор в теме, а также понимать какие бизнес-процессы стоят за галочками в настройках Active Directory, и какие политики реализуют таблицы маршрутизации. CISSP должен полюбить процессный подход и начать уже мыслить как менеджер в хорошем смысле этого слова.

Обращайте внимание на first, last, except, not

Необходимо внимательно читать вопросы и обращать внимания на слова, влияющие на выбор ответа напрямую: одно дело выбрать из списка контрмеру, которую надо внедрить в первую очередь, и другое дело – в последнюю.

Отбросить бредовый вариант сразу и не тормозить

Самый распространенный формат вопросов на всех рассматриваемых экзаменах так любимый западным миром MCQ (multiple choice question) – вопрос с несколькими вариантами ответов (как правило, 4). Прежде чем взяться за тренировку с вопросами экзаменов, попробуйте решить обратную задачу – придумать такой MCQ на тему, в которой вы разбираетесь, как никто другой.

Вы увидите, что придумать более-менее близкие варианты к единственному правильному не так уж и просто, и вы обязательно включите один вариант, который будет по сути совершенно бредовый. А это значит, что при ответе на вопросы нужно сразу же исключать явно неправильный и искать лучший из оставшихся трех, и в большинстве случаев он виден сразу.

Пара лайфхаков

В этом разделе хочется привести несколько идей, которые могут облегчить подготовку и сдачу экзаменов.

Планирование непрерывности бизнеса и восстановления после сбоев (bcp/drp)

Во всех рассматриваемых экзаменах попадаются вопросы на тему BCP/DRP. В настоящее время подобные проекты реализуются только в довольно крупных организациях, соответственно лишь небольшой процент специалистов сталкивается с данными вопросами на практике. Для проработки этих тем лучше всего дополнительно изучить публикации двух профильных сообществ специалистов:

Предложение/спрос

Давайте посмотрим, сколько всего специалистов, обладающих данными сертификатами, кем и где они работают – заглянем в социальные сети и на страницы ассоциаций. В прошлой статье, посвященной интернет-разведке мы уже

и использовали для этого специальный инструментарий, в этот раз ограничимся простым просмотром результатов поиска.

В сети Linkedin, к которой сейчас довольно ограниченный доступ, можно найти 539 аккаунтов российских пользователей с сертификатами CISA, 330 — c CISSP и 129 — c CISM.

Пролистывая профили пользователей, указавших данные сертификаты, можно увидеть, что их обладатели, как правило, занимают руководящие должности в крупных компаниях, многие задействованы в консалтинговой сфере (BIG4, ИТ-интеграторы и т.п.)

По официальной статистике ассоциаций ISC2 и ISACA сейчас в России всего 200 обладателей сертификатов CISSP, 203 CISA и 60 CISM (данная статистика по CISA и CISM включает только сертифицированных специалистов, являющихся также членами ассоциации ISACA).

Чтобы понять, а есть ли спрос на подобных специалистов, посмотрим наличие вакансий для людей, обладающих такими сертификатами и уровень зарплат, который им готовы предложить работодатели. Сведем результаты выдачи с сайта HH по нашим ключевым словам (названия сертификатов) в следующую таблицу:

Очевидно, что в основном такие специалисты востребованы в крупных городах и в особенности в столицах. Уровень зарплат достойный, но, конечно, же зарплату платят не за наличие сертификата, а за работу.

Анализируя эти данные нужно также помнить, что руководящие должности в крупных организациях часто замещаются без публикации вакансий. Поэтому реальный спрос на таких специалистов несколько выше.

При пожаре выносить первым!

Если для ответа на вопрос необходимо оценить приоритеты для спасения активов и в списке есть человеческая жизнь, то у нее всегда будет приоритет номер один. Сейфы с деньгами и документами можно смело оставить на милость стихии.

Пять главных иб-сертификатов

В результате повышенного внимания к вопросам информационной безопасности растет потребность компаний в квалифицированных кадрах. Одним из критериев оценки квалификации специалиста является наличие у него того или иного сертификата. И хотя наличие сертификата не говорит о реальном уровне знаний человека, до сих пор во многих компаниях действует принцип «по одежке встречают».

Именно поэтому многие специалисты так стремятся получить заветную бумажку, которая, как они думают, может открыть им двери во многие российские и западные компании. И чем весомее будет сертификат, тем выше вероятность успешного прохождения собеседования.

Во-первых, подтверждение собственной квалификации (для себя «любимого»). Иногда это просто тщеславие и желание «похвастаться» перед окружающими. Во-вторых, возможность повышения зарплаты и большие возможности карьерного роста (в т.ч. и получение работы за границей).

На сегодняшний день существует две различных схемы сертификации специалистов в области безопасности, аналогичные схемам обучения. Первая схема не привязана ни к каким продуктам и охватывает различные аспекты той или иной технологии информационной безопасности.

К такой схеме сертификации относится Certified Information System Security Professional (CISSP) или Certified Information System Auditor (CISA). Не менее известной является сдача экзаменов на получение статуса Certified Information Systems Auditor (CISA)

в Information Systems Audit and Control Association (ISACA). Специалист, сертифицирующийся по второй схеме, зависит от конкретного продукта или решения, предложенного конкретной компанией. По такой схеме работают компании Cisco, Microsoft и другие. Существуют и смешанные системы сертификации.

Про сертификаты: Сертификаты службы «Санита»

Все экзаменационные вопросы выбираются из обширной базы, которая ежегодно пополняется новыми. Самое важное, что текущий экзамен (кстати, сдается он на английском языке) постоянно актуализируется и всегда базируется на современных технологиях и последних достижениях в рассматриваемых областях.

Экзамен на получение сертификата CISSP длится 6 часов и состоит из 250 вопросов, сгруппированных в 10 тем (т.н. доменов):

разграничение доступа (модели разграничения доступа, технологии идентификации и аутентификации, методы атак и т.п.);
сетевая безопасность (сетевые технологии, VPN, межсетевые экраны, методы атак и т.п.);
процедуры управления безопасностью (классификация данных, политика безопасности, стандарты, анализ рисков, обучение персонала);
разработка безопасных приложений (вредоносный код, разработка ПО);
криптография (криптографические протоколы шифрования, функции хэширования, PKI, методы атак);
архитектура безопасности (модели безопасности и ее оценки, Общие критерии и т.д.);
эксплуатация инфраструктуры безопасности (поддержка средств защиты, управление персоналом и т.п.);
непрерывность бизнеса (оценка ущерба, восстановление работоспособности);
законодательство (законы, расследование инцидентов);
физическая безопасность (видеонаблюдение, охранная сигнализация, пожарная охрана, обнаружение физического вторжения).

Сдав экзамен, вы получаете сертификат, однако свой статус придется каждые 3 года. Это можно сделать двумя способами: повторной сдачей экзамена или «добычей» 120 так называемых кредитов, которые «зарабатываются» написанием профильных статей, выступлениями на тематических конференциях, посещением семинаров, обучением, чтением книг по информационной безопасности и т.п.

Аналогичная схема действует и для многих других сертификаций по информационной безопасности и она оправдана — технологии и ситуация на рынке меняется очень быстро. А значит «почивать на лаврах» не придется — необходимо заниматься самообразованием и быть всегда в курсе последних новинок в данной области.

На сегодняшний день интерес к этому статусу в России очень высок. Если до 2003 года в России насчитывалось всего 2 сертифицированных эксперта, то сегодня на сайте ISC2 размещено 33 резюме тех, кто согласился открыть информацию о себе — реально же их в 1,5-2 раза больше, и это число будет только расти.

Аудиторию для данной сертификации составляют средний и высший уровень руководства в области информационной безопасности — архитекторы по безопасности, CISO (Chief Information Security Officer), CSO (Chief Security Officer), вице-президент по вопросам безопасности.

Статус Systems Security Certified Practitioner (SSCP) был разработан консорциумом ISC2 для тех, кто пока не может сдать экзамен на статус CISSP или только готовится к нему, а также для тех, кто не стремится на руководящие позиции и ему не требуется более высокий статус от ISC2.

Учитывая одного прародителя, сертификация SSCP очень похожа на CISSP за небольшим исключением.Во-первых, вместо 10-ти доменов экзаменуемые проверяются всего по 7-ми: разграничение доступа (модели разграничения доступа, технологии идентификации и аутентификации, методы атак и т.п.), безопасность данных, администрирование безопасности, криптография, аудит и мониторинг, вредоносное ПО, управление рисками, реагирование и восстановление.

Во-вторых, число вопросов сокращено вдвое — до125, также вдвое сокращено и время на экзамен — до 3 часов. И, наконец, для сдачи данного экзамена необходим опыт работы в течение 1-го года по специальности (вместо трех).

В обоих случаях (CISSP и SSCP) получению статуса предшествует подписание этического кодекса поведения (Code of Ethics), который описывает, как себя должен вести обладатель престижного сертификата. Такое требование является обязательным при получении многих сертификатов, например, CISA.

Учитывая, что статус SSCP является только остановкой на половине пути к CISSP и то, что появился он позже последнего, то абсолютное большинство российских специалистов стремится именно к CISSP — на сайте ISC2 зарегистрирован только один российский обладатель сертификата SSCP.

Аудитория для данной сертификации: специалисты отделов защиты информации, администраторы безопасности, ИТ-специалисты.

В 1969 году была основана Ассоциация аудита и контроля информационных систем (Information Systems Audit and Control Association, ISACA), которая на сегодня является признанным лидером в управлении, контроле и поддержке информационных систем, продвижении открытого стандарта CoBIT и ратует за стандартизацию в области ИТ.

Регистрируемся на экзамен

Экзамен сдается в знакомой многим тестовой системе Pearson VUE, где принимают экзамены те же Cisco или Microsoft. Однако фокус в том, что далеко не каждый из тестовых центров принимает этот экзамен. В Санкт-Петербурге, например, такой центр всего один.

Всё дело в том, что к тестовым центрам, принимающим экзамен CISSP предъявляются более суровые требования, чем обычно. Например, при регистрации в тестовом центре необходима биометрическая идентификация по рисунку вен ладони, соответственно тестовому центру необходимо иметь соответствующее оборудование.

На экзамен брать с собой ничего нельзя, кроме необходимых медикаментов и, пожалуй, чего-нибудь перекусить. А вот не забыть надо с собой документ, удостоверяющий личность.

Сертификация isst

Мы разработали (сложную) систему конвертации групповых супервизионных часов в личные супервизионные часы (применимо к супервизионным группам из 2−6 участников). Определяя основание для конвертации, мы проголосовали за то, чтобы рассматривать 3 групповых часа (180 минут) с 6 участниками в группе, как приблизительный эквивалент «1 часа» индивидуальной супервизии (50 минут).

К примеру, если в группе 6 супервизантов, то мы предполагаем, что каждый получает 1/6 группового времени. Таким образом, если продолжительность супервизии 2 часа (120 минут) — каждый участник группы получает 20 минут непосредственного супервизионного времени в группе. Это равнозначно 20 минутам индивидуальной супервизии. Остальные 100 минут отводятся на наблюдение за супервизией других участников. Мы решили (голосованием), что время, проводимое в наблюдении за другим членом группы, эквивалентно 20% времени, которое отводится на получение супервизии для собственных кейсов. Таким образом, 100 минут наблюдения за другими приравнивается к 20 индивидуальным минутам (20%).

Итого, по формуле выше, в зависимости от количества участников каждые 60 минут группового супервизионного времени эквивалентны:

для 2 стажеров в группе – 36 зачетных минут;
для 3 стажеров в группе – 30 зачетных минут;
для 4 стажера в группе – 24 зачетных минуты;
для 5 стажеров в группе – 22 зачетных минуты;
для 6 стажеров в группе – 20 зачетных минут;

(60 минут индивидуальной супервизии = 60 зачетных минут)

Обратите внимание: чтобы быть аккредитованными, стажеры могут комбинировать групповую и индивидуальную супервизии. Индивидуальная супервизия рекомендована, но не является обязательной.

Система сертификации iecex, потенциально взрывоопасная среда.

IECEx ATEX взрывоопасная среда

Система сертификации IECEx – это широко используемая, признанная во всем мире система оценки соответствия для оборудования и услуг, предназначенных для использования во взрывоопасных средах. Она касается оборудования, которое работает в любой среде, где существует риск взрыва.

.Это эффективная система, которая позволяет производителям сокращать затраты и время выхода на рынок, ускоряя оценку продукта в стране.

Сертификация IECEx – это добровольная схема, принятая в 31 стране мира и основанная на соблюдении стандартов IEC.

ATEX – это обязательная схема при размещении продуктов в Европейском Союзе, основанная на соблюдении основных требований Директивы 2021/34/ЕС и гармонизированных стандартов ЕС.. Во многих случаях путь соответствия с использованием стандартов IEC и EN обеспечивает общий путь к сертификации ATEX и IECEx с минимальным дублированием усилий.

Продукция, имеющая соответствие IECEx не может быть размещена на рынке Европейского союза, должно быть соответствие ATEX.

схема сертификации IECEx требует полного соответствия стандарту

IECEx и ATEX описывают общие требования к конструкции, испытаниям и маркировке электрического оборудования, компонентов или устройств, предназначенных для использования во взрывоопасных средах. И IECEx, и ATEX соответствуют одним и тем же стандартам (например, IEC-EN 60079), поэтому с точки зрения технического содержания разницы практически нет.

Производители, которые провели испытания в нашей лаборатории, имеют шанс с меньшими затратами получить положительную оценку по соответствию требований системе IECEx. Наш нотифицированный орган имеет договоренность о взаимном признании протоколов ATEX и IECEx.

Следует отметить, что ATEX не требует соблюдения соответствующих стандартов IEC. И наоборот, схема сертификации IECEx требует полного соответствия стандарту IECEx, который указан в сертификате IECEx.

Списывание

У нас зачастую принято довольно снисходительно относиться к тем, кто списывает на экзаменах. В западной культуре списывание считается серьезным проступком, требующем соответствующего наказания. Правилами запрещается списывать на экзаменах ISACA и ISC2, процесс сдачи контролируется, нарушителей изгоняют с позором.

Шаг 1. где я?

Выяснить в чем хорошо разбираетесь, а в чем не очень. Просмотреть вопросы по всем доменам или пройти пробные тесты. Определить какие домены для вас легкие, а по каким нужно «прокачаться».

Шаг 4. подготовка в последнюю неделю перед экзаменом

Как правило, подготовка к экзамену растягивается на длительный срок и в конце можно немножко подзабыть, что изучали вначале. Поэтому целесообразно взять несколько дней отгула перед экзаменом, чтобы пролистать целиком свои материалы. В любом случае, в конце подготовки придется уделить пару дней для зубрежки отдельных технических параметров.