О теории
Экзамен сдаётся после самоподготовки. В интернете также предлагают курсы, естественно, довольно дорогостоящие. За пять дней обещают осветить материал всего экзамена. Не буду следовать принципу «не читал, но осуждаю», но для себя подобный вариант отмёл сразу. Поэтому подготовка исключительно своими силами.
Теория представлена пятью доменами, описание которых есть на официально сайте. В каком-то смысле мне повезло, потому что моё профессиональное образование и основной практический опыт попадали в тематику домена Информационная безопасность, удельный вес которого в экзамене составляет почти треть.
Теперь об официальном мануале. Теории много, книга больше 300 страниц мелким шрифтом. Текст довольно живой и отличается в лучшую сторону от сухих стандартов. В начале каждого домена описаны те компетенции, которые в нём освещаются и те практические задачи, для которых эти компетенции необходимы. В конце каждого домена есть проверочные кейсы, чтобы можно было себя оценить, ответив на несколько вопросов.
Информация в мануале очень подробная и полезная. Позволяет взглянуть инженеру на вопросы управления проектами, а управленцам, например, на проблемы управления изменениями. Естественно глубина материала далека от профессиональной литературы, поэтому раздел, посвящённый вашей специализации, будет прочитываться раза в два быстрее.
Выбрав летний экзамен, который должен состоятся в июне, я принял решение начать готовиться за 5 месяцев. Как выяснилось позже – это намного больше чем советуют на форумах. Однако этот подход дал свои результаты, сертификат получен, так что считаю, что выбрал правильный путь.
В большинстве обзоров по подготовке к CISA вы встретите утверждение, что официальных материалов достаточно. Теперь я могу со всей уверенностью подтвердить это заявление, особенно если у вас хороший технический бекграунд.
Однако я
не просто решил
готовиться за 5 месяцев, но и
делал это успешно и почти ежедневно
. Стабильность, регулярность, постоянство — это всё залог хорошего результата (как и в любом обучении). В середине января я оплатил книги, и чтобы без дела не ждать, пока они придут (в моем случае это ожидание длилось более месяца) стал читать мануал 2021 года, найденный на просторах интернета. По уверениям бывалых, большая часть материала за год не изменилась (да и за два, и за три, по сути, тоже).
Ниже пример графика, в соответствии с которым я готовился и мотивировал себя (в колонках диапазон страниц, пустые и вступительные страницы пропускал). В среднем получалось прочитать порядка 4 страниц официального мануала в день, что для иностранного текста мелким шрифтом было достаточно, особенно если не просто читать, а пытаться ещё понять и запомнить. В результате из-за хорошего качества текста и его «живости» мой словарный запас заметно расширился.
Я просчитал, что примерно к маю закончу всю теорию и после этого смогу посвятить полтора месяца изучению базы вопросов.
Примерно так и получилось, однако майские праздники, как водится и как я и подозревал, напрочь выбивают из колеи подготовки, несмотря ни на какую сверх мотивацию.
Подготовка по вопросам
База вопросов состоит из двух частей. Первая — это книга с 100 свежими вопросами (обновляются каждый год), в которой есть подробные пояснения ответов и пара ответных листов как на экзамене, чтобы можно было устроить hardware симуляцию экзамена. Вопросы, как и в экзамене, перемешаны по темам, сложность варьируются от очевидных до сложных.
Вторая — база вопросов, предоставляемая на диске или просто скачиваемая в виде установочного файла размером 76 мегабайт. В случае если вы
живёте в России
не доверяете почте, устали ждать или у вас ультрабук без привода — выбирайте второй вариант. В базе порядка 1100 вопросов, включая те, что есть в бумажном обновлении за год. Если есть желание, то можно на этом сэкономить, не заказывая книжную версию.
каждому
большинству вопросов есть довольно подробные пояснения по ответам. Присутствуют различные режимы обучения, включая интеллектуальную систему Профессор, которая сама выбирает нужные для обучения вопросы (об этом подробнее в моём опыте под спойлером). Также есть режимы выбора вопросов по доменам и различным признакам (не просмотренные, с ошибками и т.д.).
Главная возможность — software симуляция экзамена — 4 часа с обратным отсчётом, 200 вопросов и никаких пояснений по выбору ответа.
Diablo 3 hardcore mode
Базу вопросов я купил ещё в марте, как только она стала доступна (продавать её начали позже чем основные материалы).
Однако я бережно хранил дистрибутив вплоть до майских праздников, считая, что лучше вначале прочитать весь мануал, а потом прогонять сразу все вопросы. Уже после окончания подготовки я подумал, что может быть и стоило отвечать по 50-100 вопросов из базы по каждому домену после того, как прочитал материал из мануала. Возможно это позволило бы чётче усвоить и запомнить основные принципы. Однако не уверен, что это всё не стерлось бы последующими доменами.
База вопросов представляет собой специальную программу, позволяющую отслеживать успехи по ответам на вопросы, выборы режимов тренировок и т.д. Отличный вариант, без него мне кажется нереальным успешно подготовится к экзамену.
База даёт понять основные принципы формирования вопросов, поскольку зачастую вопросы звучат немного не обычно. Как всем известно вопросы в абсолютном большинстве случаев требуют выбрать неправильный не правильный, а наиболее подходящий или, например, наименее сложный вариант. Также по этим вопросам вы поймете основные идеи, вроде: человеческая жизнь превыше всех остальных ценностей и целей (в случае проверки наличия систем безопасности при катастрофах, например), свидетельства аудита должны быть достоверными и надёжными (прежде чем докладывать о каком-либо нарушении необходимо собрать достаточные, достоверные и веские доказательства) и т.д. Эти концепции позволят легче ориентироваться в вопросах, когда возникают сомнения.
Общая концепция тренировки позволяет проходить адаптивный курс Personal Professor, в течении которого программа сама подбирает вам вопросы и домены, смешивая их в пропорции примерно соответствующей экзамену. Также есть возможность отвечать на вопросы отдельного домена и т.д.
Вначале я проходил вопросы по 30-50 штук в режиме Personal Professor каждый день. После ответа программа предоставляет пояснение по правильным и неправильным ответам. Это позволяет усвоить не только принципы «как надо», но и «как не надо», что, безусловно, тоже полезно. таким образом тестирование позволяет изучать материал даже в процессе ответов на вопросы. Однако программа Профессора периодически подсовывает старые вопросы, для закрепления. Повторы составляют порядка 10-20% и это с одной стороны полезно, ведь «повторение — мать ученья». Однако с другой стороны вопросы примелькиваются и после этого голова уже выбирает ответ не на основе размышлений, а вспоминая вопрос.
Я думаю, что в чистом виде запомнить 1100 вопросов с ответами нереально, однако по самому различному набору ассоциаций (длинна вопроса, ключевые слова) перед самым экзаменом (через месяц ежедневных занятий) я отвечал более чем на 50% вопросов на автомате, почти не думая и не читая ответы, а как бы «воспринимая» их (глядя рассеянным взглядом на весь текст на мониторе, как бойцы на ринге, чтобы уловить все движения соперника). Поэтому ближе к концу пришлось немного менять тактику обучения. За неделю до экзамена у меня оставалось порядка 300 вопросов, на которые я ни разу не ответил правильно в течении обучения (либо ошибался, либо программа даже не предлагала мне эти вопросы). Поэтому в последнюю неделю я тренировался отвечая только на те вопросы, которые были не отвечены, программа предполагает и такой режим. Я ставил себе целью ответь правильно хотя бы 1 раз на абсолютно все вопросы.
Были вопросы, на которые я отвечал неправильно раз за разом. Моя логика рассуждений расходилась с мнением специалистов ISACA. Может быть ввиду отсутствия опыта, тонкостей перевода и чего-то ещё. Я честно старался долбить эти вопросы вновь и вновь, пока не пойму и запомню суть правильного ответа.
Также в программе есть возможность симуляции экзамена – 200 вопросов за 4 часа. Я проходил такое тестирование 4 или 5 раз, чтобы потренироваться усидчивости и примерно смоделировать нагрузку. Однако, конечно, такая тренировка даёт лишь примерное представление об экзамене. Обычно я справлялся от 2 с четвертью до 3 часов из положенных 4.
Пять главных иб-сертификатов
В результате повышенного внимания к вопросам информационной безопасности растет потребность компаний в квалифицированных кадрах. Одним из критериев оценки квалификации специалиста является наличие у него того или иного сертификата. И хотя наличие сертификата не говорит о реальном уровне знаний человека, до сих пор во многих компаниях действует принцип «по одежке встречают».
Именно поэтому многие специалисты так стремятся получить заветную бумажку, которая, как они думают, может открыть им двери во многие российские и западные компании. И чем весомее будет сертификат, тем выше вероятность успешного прохождения собеседования.
Во-первых, подтверждение собственной квалификации (для себя «любимого»). Иногда это просто тщеславие и желание «похвастаться» перед окружающими. Во-вторых, возможность повышения зарплаты и большие возможности карьерного роста (в т.ч. и получение работы за границей).
На сегодняшний день существует две различных схемы сертификации специалистов в области безопасности, аналогичные схемам обучения. Первая схема не привязана ни к каким продуктам и охватывает различные аспекты той или иной технологии информационной безопасности.
К такой схеме сертификации относится Certified Information System Security Professional (CISSP) или Certified Information System Auditor (CISA). Не менее известной является сдача экзаменов на получение статуса Certified Information Systems Auditor (CISA)
в Information Systems Audit and Control Association (ISACA). Специалист, сертифицирующийся по второй схеме, зависит от конкретного продукта или решения, предложенного конкретной компанией. По такой схеме работают компании Cisco, Microsoft и другие. Существуют и смешанные системы сертификации.
Все экзаменационные вопросы выбираются из обширной базы, которая ежегодно пополняется новыми. Самое важное, что текущий экзамен (кстати, сдается он на английском языке) постоянно актуализируется и всегда базируется на современных технологиях и последних достижениях в рассматриваемых областях.
Экзамен на получение сертификата CISSP длится 6 часов и состоит из 250 вопросов, сгруппированных в 10 тем (т.н. доменов):
- разграничение доступа (модели разграничения доступа, технологии идентификации и аутентификации, методы атак и т.п.);
- сетевая безопасность (сетевые технологии, VPN, межсетевые экраны, методы атак и т.п.);
- процедуры управления безопасностью (классификация данных, политика безопасности, стандарты, анализ рисков, обучение персонала);
- разработка безопасных приложений (вредоносный код, разработка ПО);
- криптография (криптографические протоколы шифрования, функции хэширования, PKI, методы атак);
- архитектура безопасности (модели безопасности и ее оценки, Общие критерии и т.д.);
- эксплуатация инфраструктуры безопасности (поддержка средств защиты, управление персоналом и т.п.);
- непрерывность бизнеса (оценка ущерба, восстановление работоспособности);
- законодательство (законы, расследование инцидентов);
- физическая безопасность (видеонаблюдение, охранная сигнализация, пожарная охрана, обнаружение физического вторжения).
Сдав экзамен, вы получаете сертификат, однако свой статус придется каждые 3 года. Это можно сделать двумя способами: повторной сдачей экзамена или «добычей» 120 так называемых кредитов, которые «зарабатываются» написанием профильных статей, выступлениями на тематических конференциях, посещением семинаров, обучением, чтением книг по информационной безопасности и т.п.
Аналогичная схема действует и для многих других сертификаций по информационной безопасности и она оправдана — технологии и ситуация на рынке меняется очень быстро. А значит «почивать на лаврах» не придется — необходимо заниматься самообразованием и быть всегда в курсе последних новинок в данной области.
На сегодняшний день интерес к этому статусу в России очень высок. Если до 2003 года в России насчитывалось всего 2 сертифицированных эксперта, то сегодня на сайте ISC2 размещено 33 резюме тех, кто согласился открыть информацию о себе — реально же их в 1,5-2 раза больше, и это число будет только расти.
Аудиторию для данной сертификации составляют средний и высший уровень руководства в области информационной безопасности — архитекторы по безопасности, CISO (Chief Information Security Officer), CSO (Chief Security Officer), вице-президент по вопросам безопасности.
Статус Systems Security Certified Practitioner (SSCP) был разработан консорциумом ISC2 для тех, кто пока не может сдать экзамен на статус CISSP или только готовится к нему, а также для тех, кто не стремится на руководящие позиции и ему не требуется более высокий статус от ISC2.
Учитывая одного прародителя, сертификация SSCP очень похожа на CISSP за небольшим исключением.Во-первых, вместо 10-ти доменов экзаменуемые проверяются всего по 7-ми: разграничение доступа (модели разграничения доступа, технологии идентификации и аутентификации, методы атак и т.п.), безопасность данных, администрирование безопасности, криптография, аудит и мониторинг, вредоносное ПО, управление рисками, реагирование и восстановление.
Во-вторых, число вопросов сокращено вдвое — до125, также вдвое сокращено и время на экзамен — до 3 часов. И, наконец, для сдачи данного экзамена необходим опыт работы в течение 1-го года по специальности (вместо трех).
В обоих случаях (CISSP и SSCP) получению статуса предшествует подписание этического кодекса поведения (Code of Ethics), который описывает, как себя должен вести обладатель престижного сертификата. Такое требование является обязательным при получении многих сертификатов, например, CISA.
Учитывая, что статус SSCP является только остановкой на половине пути к CISSP и то, что появился он позже последнего, то абсолютное большинство российских специалистов стремится именно к CISSP — на сайте ISC2 зарегистрирован только один российский обладатель сертификата SSCP.
Аудитория для данной сертификации: специалисты отделов защиты информации, администраторы безопасности, ИТ-специалисты.
В 1969 году была основана Ассоциация аудита и контроля информационных систем (Information Systems Audit and Control Association, ISACA), которая на сегодня является признанным лидером в управлении, контроле и поддержке информационных систем, продвижении открытого стандарта CoBIT и ратует за стандартизацию в области ИТ.
Экзамен
Экзамен проводят в 3 раза в год. В 2021 это июнь, август и декабрь. Подробности о сроках закрытия регистрации на экзамен и скидках за раннюю регистрацию можно найти на официальном сайте.
Дело проходит в Москве. Сюда же, судя по всему, приезжают жители стран СНГ, где экзамены не проводят. Своей площадки у российского подразделения ISACA нет, поэтому проводится мероприятие на площадках университетов или других организаций. Июньский экзамен проходил в институте рядом с Белорусской.
Приглашение на экзамен — это документ, без которого к сдаче не допускают. Его высылают почтой и электронным письмом, чтобы можно было распечатать самому. В приглашении подробно описаны строгие правила проведения экзамена, условия
предания анафеме
изгнания с экзамена за нарушения и прочая важная информация. Пить и есть во время экзамена нельзя, да и времени не хватит.
Структура экзамена также подробно расписана на официальном сайте. Вначале устные инструкция, коллективное заполнение экзаменационных анкет и ответы на вопросы. затем все скрывают запечатанные вопросники (которые можно использовать как черновик) и приступают к экзамену.
Приглашения на экзамен, отправленного по почте, я не дождался до сих пор. Наверное, таможенники подумали, что в письме из Америки лежит iPhone. Однако приглашение легко распечатывается с сайта ISACA из личного кабинета.
Из тонкостей
: пишите своё имя на сайте на английском языке. То, что в документе, удостоверяющем вашу личность на экзамене (паспорт), написано по-русски – не проблема. Достоверная информация от технической поддержки.
На экзамене всё далеко не так строго, как было написано в приглашении. Сотрудники обучающего центра, проводившие экзамен, – милые люди, разговаривающие на русском. Отвечают на любые вопросы. Активно помогают. В итоге можно было брать с собой вещи и мобильные устройства (что категорически было запрещено в документе), при условии, что их аккуратно положить рядом со стулом. Я же оставил всё в машине, взяв с собой лишь паспорт, карандаши, приглашение, да ключи от авто. Кому-то даже удалось немножко перекусить. Одного опоздавшего запустили уже после начала oral instruction, хотя второго исключения, думаю, уже не допустили бы. Желающим раздавали беруши и карандаши, если кто забыл.
Старт немножко задержался и экзамен начался минут на 40 позже запланированного времени. 4 часа пролетели почти незаметно и их едва хватило.
Всё что я в итоге успел – это ответить на три четверти вопросов сразу на чистовик. А оставшиеся 50 вопросов с черновика перечитать снова и ещё раз обдумав ответ занести в answer sheet. Всё что у меня осталось – 20 минут. Судя по паре соседей я был не самым медленным, так что времени на самом деле меньше, чем я рассчитывал.
Вопросы на экзамене совершенно другие чем в базе. Не стоит надеяться найти похожие или переиначенные вопросы. Вопросы кажутся сложнее чем в подготовительной базе. Возможно это стресс и условия экзамена. От некоторых вопросов создавалось ощущение, что их тематика даже не освещалась в мануале, хотя уверен, то это не так. А это значит, что 1100 вопросов даже в общих чертах не покрыли весь материал.
В целом на экзамене меньше лёгких вопросов вроде выбора хэш-функции среди алгоритмов шифрования, выбора правильного типа резервного ЦОДа и т.д.
Однако есть небольшая часть вопросов (может 10%-15%), на которые получится ответить руководствуясь теми самыми общими принципами, о которых было сказано выше.
По выходу с экзамена у меня не было абсолютно никакого понимания своих результатов. Я чувствовал, что с совершенно одинаковой вероятность мог, как и сдать, так и не сдать экзамен. Очень необычное ощущение, ставшее следствием сложных вопросов.
Некоторые сдавшие советуют напиться и забыть об экзамене, пока не получите результаты. А если не получается забыть – напиться ещё раз. Мне же удалось просто оградить себя от мутных мыслей и погрузившись работу отстранится от этого, несмотря на регулярные расспросы окружающих о результате.