Сертификации ISACA

Почему именно cisa?

Сертификация CISA достаточно высоко ценится во всём мире и потихоньку приходит и в Россию. Является хорошим подспорьем для трудоустройства в международные компании (однако опыт не заменит). Также в линейке сертификации ISACA аудитор является первой ступенькой на пути к CISM, который уже является признанным требованием для серьёзных руководителей IT или ИБ подразделений. Также особенностью CISA является разносторонность изучаемого материала, что будет полезно в любом случае.

Книги

Без пары хороших книг подготовка будет просто невозможной. Лучше всего полистать все, какие сможете получить, и подобрать подходящие именно вам, исходя из стиля изложения и актуальности материала (лучше смотреть книги, изданные за последние 2-3 года).

, и это очередной вклад в развитие информационной безопасности в России от группы компаний «Эшелон».

Кстати, в Сети можно найти неформальный перевод на русский язык устаревшей версии учебника для подготовки к CISSP

– пробежаться по вопросам тоже не помешает (на самом старте изучения). Начать готовиться лучше, используя литературу именно на русском языке (для погружения в предметную область), а заканчивать – массированным штудированием примерных вопросов исключительно на английском языке (см. базы вопросов ниже).

Кремль назвал «позитивными» контакты с ес по признанию covid-сертификатов

Мышление ит-аудитора

Для успешной сдачи экзамена CISA нужно хорошо представлять, как мыслит ИТ-аудитор. ИТ-аудиторы проверяют, как выполняются требования внутренних и внешних документов и мыслят совершенно иначе, нежели ИТ-специалисты, нацеленные на то, «чтобы все работало, а остальное – не важно».

Поясню на следующем примере. В ООО «Ромашка» доступ к системам предоставляется на основе заявок по электронной почте и выполняется определенная цепочка согласований. Для администратора отработанная заявка – ненужный мусор, который можно удалить в новогоднюю ночь, автоматически очищая архивы, а для ИТ-аудитора, эта заявка представляет собой важное свидетельство, подтверждающее выполнение процедуры, которую нужно хранить, как золото.

Для освоения методик, применяемых реальными ИТ-аудиторами, очень полезно стать членом ISACA (кстати, отделение ISACA есть в Москве ) и тем самым получить доступ к базе полезных методологических документов. Как уже видели в таблице, членство в ISACA дает существенные скидки как на сами экзамены, так и на продление.

О теории

Экзамен сдаётся после самоподготовки. В интернете также предлагают курсы, естественно, довольно дорогостоящие. За пять дней обещают осветить материал всего экзамена. Не буду следовать принципу «не читал, но осуждаю», но для себя подобный вариант отмёл сразу. Поэтому подготовка исключительно своими силами.

Теория представлена пятью доменами, описание которых есть на официально сайте. В каком-то смысле мне повезло, потому что моё профессиональное образование и основной практический опыт попадали в тематику домена Информационная безопасность, удельный вес которого в экзамене составляет почти треть.

Теперь об официальном мануале. Теории много, книга больше 300 страниц мелким шрифтом. Текст довольно живой и отличается в лучшую сторону от сухих стандартов. В начале каждого домена описаны те компетенции, которые в нём освещаются и те практические задачи, для которых эти компетенции необходимы. В конце каждого домена есть проверочные кейсы, чтобы можно было себя оценить, ответив на несколько вопросов.

Информация в мануале очень подробная и полезная. Позволяет взглянуть инженеру на вопросы управления проектами, а управленцам, например, на проблемы управления изменениями. Естественно глубина материала далека от профессиональной литературы, поэтому раздел, посвящённый вашей специализации, будет прочитываться раза в два быстрее.

Подготовка документов

Результаты экзамена оглашаются по истечении 5 недель. Это довольно быстро, ведь раньше было целых 8. После этого на электронную почту приходит уведомление и дальнейшие инструкции. ISACA честно предупреждает, что ещё рано хвалится всем о том, что вы стали CISA, однако даёт ссылки на соц. сети, чтобы каждый мог поделиться новостью об успешно сданном экзамене.

Теперь начинается этап подготовки CISA Application. Необходимо от руки или через форму в браузере заполнить 6 листов А4 следующей информацией:

1. Опыт работы

2. Опыт преподавания

3. Образование

4. Информация о доставке сертификата

5. Подтверждение от 2 человек

В соответствии с требованиями к сертификации необходимо подтвердить 5 лет опыта работы. Часть можно засчитать за опыт преподавания, а часть за высшее образование. Мне засчитали 2 года за высшее образование по информационной безопасности, остальные 4 года – за реальный опыт работы.

Для подтверждения образования можно направить в ISACA специальное письмо от учебного заведения, однако для упрощения процедура предусматривает подтверждение от 2 рекомендующих.Каждому из обоих подтверждающих (verifier) необходимо заполнить форму на двух листах, где указано, что они подтверждают образование, предыдущий опыт работы, настоящий опыт работы и перечисляют навыки (из доменов, как в мануале), которыми вы обладаете.

После этого сканы можно отправить на электронную почту ISACA, вам назначать Certification Assistant’а, который будет производить проверку и оформление сертификата, которая занимает до 8 недель.Одновременно с подачей документов на сертификацию необходимо оплатить ещё одну пошлину.

Подготовка к экзамену

Подготовка к экзамену — самая ответственная часть. Хорошо подготовившись, вы сдадите экзамен хорошо и получите сертификат.

Главный источник информации, который должен быть обязательно прочитан, а для успешной сдачи экзамена — выучен и понят — это Foundation Level Syllabus.На офсайте, в разделе «Downloads», доступен англоязычный вариант конспекта. Перевод на русский доступен на сайте rstqb, в разделе «Материалы».

Само название «конспект» говорит о том, что нужная информация предоставлена в очень сжатом виде. Для лучшего понимания (особенно, нового) дополнительные материалы по изучаемой теме нужно будет искать в поисковой системе. Можно использовать т.н. FlashCards

Ещё — есть книги, «заточенные» для сдачи экзамена, и в которых изучаемые темы освещены более подробно:Foundations of Software Testing: ISTQB Certification by Rex Black, Dorothy Graham, Erik Van VeenendaalSoftware Testing: An ISTQB-ISEB Foundation Guide by Peter Morgan, Angelina Samaroo and Brian HamblingISTQB Foundation Exam Preparation Guide — Rex BlackЕсли есть возможность и желание, хорошо использовать и их.

Неотъемлемым дополнением к конспекту является ISTQB Glossary of Testing Terms — глоссарий терминов, которые встречаются в тексте конспекта.Глоссарий, точно так же, как и сам конспект, обязателен к прочтению: на экзамене встречаются вопросы, для ответа на которые необходимо знать точное толкование того или иного термина.

Также, для подготовки к экзамену проводятся авторизированные тренинги, которые позволяют сэкономить время подготовки к экзамену, но такие тренинги стоят дополнительных денег (около 300 евро), а также не во всех странах есть авторизированные тренеры.

Сам изучаемый материал состоит из 6 основных разделов:

1. Основы тестирования.
   В этом разделе изучаются основы тестирования. Здесь объясняется, что такое тестирование и почему оно необходимо, к чему может привести наличие дефектов в ПО, рассказывается о целях тестирования на разных стадиях жизненного цикла ПО. Приводятся 7 принципов тестирования, отдельная глава посвящена психологии тестирования и кодексу этики тестировщика.
2. Место тестирования в жизненном цикле разработки ПО.
   В этом разделе рассказывается о моделях разработки ПО (V-модель, итеративно-инкрементные модели), об основных уровнях тестирования и их взаимосвязи (компонентное, интеграционное, системное и приёмочное тестирование), о типах тестирования (функциональное/нефункциональное, структурное, подтверждающее и регрессионное тестирование), об особенностях тестирования в период сопровождения.
3. Статические методы тестирования.
   В разделе рассказывается о методах статического тестирования:
   — рецензирование, здесь рассказывается о типах рецензирования (неформальное, сквозной контроль, технический анализ, инспекция), о ролях и обязанностях — применительно к каждому типу, о факторах успешного проведения рецензирования;
   — статический анализ с помощью инструментальных средств.
4. Методы проектирования тестов.
   Рассказывается о процессе разработки тестов основанных на спецификациях (это методы “чёрного ящика“, сюда входят эквивалентное разбиение, анализ граничных значений, тестирование таблицы решений и таблицы переходов, тестирование по сценариям использования), на структуре (это методы “белого ящика“, сюда входит тестирование операторов и покрытия, тестирование альтернатив и покрытия, а также другие методы, которые основаны на структуре ПО) и на основе опыта. Объясняется, как происходит выбор методов тестирования.
5. Управление тестированием.
   Рассказывается об организации процесса тестирования и почему важна независимость тестирования, о задачах руководителя тестирования и обычного тестировщика, о планировании тестирования (критерии входа/выхода, оценка трудозатрат тестирования), о мониторинге прогресса и контролировании тестирования, об управлении конфигурацией/версиями, о возможных рисках тестирования (риски проекта, риски продукта), об управлении инцидентами.
6. Инструментальные средства поддержки тестирования.
   В этом разделе рассказывается о типах инструментов, применяющихся в процессе тестирования, их классификация (инструменты для управления тестированием и тестами: инструменты управления тестированием и требованиями, средства управления конфигурацией; инструменты статического тестирования: инструменты рецензирования, статического анализа, моделирования; инструменты для работы с тестовыми спецификациями: инструменты проектирования тестов, подготовки тестовых данных; инструменты выполнения тестов и протоколирования: инструменты выполнения тестов, интегрированной среды модульного тестирования, тестовые компараторы, инструменты измерения покрытия и тестирования безопасности; инструменты для тестирования производительности и мониторинга: инструменты для тестирования производительности, нагрузочного/стресс-тестирования и мониторинга; инструменты оценки качества данных). Далее идет речь об эффективности использования инструментальных средств, о возможных выгодах и рисках, об основных принципах внедрения новых инструментов тестирования в организации.

В начале каждого раздела указываются термины, которые будут изучаться, и толкование которых необходимо знать (значение каждого используемого термина можно найти в глоссарии). Советую также ответственно подходить к изучению терминов: например, на экзамене может быть вопрос, где будет предложено указать разницу между дефектом (defect), недочётом (fault), помехой (bug) и ошибкой (error), просчётом (mistake).

В Интернете можно найти пробные варианты экзаменационных вопросов (например, по запросам «ISTQB Sample Question», «Foundation Level PRACTICE EXAM») — помогают оценить свои силы после основной подготовки, но вопросы на экзамене будут сложней. Уровень вопросов на пробном и реальном экзамене очень хорошо иллюстрирует картинка:

Кроме того, не следует забывать, что пробные вопросы-ответы в Интернете могут содержать ошибки.

Подготовка по вопросам

База вопросов состоит из двух частей. Первая — это книга с 100 свежими вопросами (обновляются каждый год), в которой есть подробные пояснения ответов и пара ответных листов как на экзамене, чтобы можно было устроить hardware симуляцию экзамена. Вопросы, как и в экзамене, перемешаны по темам, сложность варьируются от очевидных до сложных.

Вторая — база вопросов, предоставляемая на диске или просто скачиваемая в виде установочного файла размером 76 мегабайт. В случае если вы

живёте в России

не доверяете почте, устали ждать или у вас ультрабук без привода — выбирайте второй вариант. В базе порядка 1100 вопросов, включая те, что есть в бумажном обновлении за год. Если есть желание, то можно на этом сэкономить, не заказывая книжную версию.

каждому

большинству вопросов есть довольно подробные пояснения по ответам. Присутствуют различные режимы обучения, включая интеллектуальную систему Профессор, которая сама выбирает нужные для обучения вопросы (об этом подробнее в моём опыте под спойлером). Также есть режимы выбора вопросов по доменам и различным признакам (не просмотренные, с ошибками и т.д.).

Главная возможность — software симуляция экзамена — 4 часа с обратным отсчётом, 200 вопросов и никаких пояснений по выбору ответа.

Diablo 3 hardcore mode

Предложение/спрос

Давайте посмотрим, сколько всего специалистов, обладающих данными сертификатами, кем и где они работают – заглянем в социальные сети и на страницы ассоциаций. В прошлой статье, посвященной интернет-разведке мы уже

и использовали для этого специальный инструментарий, в этот раз ограничимся простым просмотром результатов поиска.

В сети Linkedin, к которой сейчас довольно ограниченный доступ, можно найти 539 аккаунтов российских пользователей с сертификатами CISA, 330 — c CISSP и 129 — c CISM.

Пролистывая профили пользователей, указавших данные сертификаты, можно увидеть, что их обладатели, как правило, занимают руководящие должности в крупных компаниях, многие задействованы в консалтинговой сфере (BIG4, ИТ-интеграторы и т.п.)

По официальной статистике ассоциаций ISC2 и ISACA сейчас в России всего 200 обладателей сертификатов CISSP, 203 CISA и 60 CISM (данная статистика по CISA и CISM включает только сертифицированных специалистов, являющихся также членами ассоциации ISACA).

Чтобы понять, а есть ли спрос на подобных специалистов, посмотрим наличие вакансий для людей, обладающих такими сертификатами и уровень зарплат, который им готовы предложить работодатели. Сведем результаты выдачи с сайта HH по нашим ключевым словам (названия сертификатов) в следующую таблицу:

Очевидно, что в основном такие специалисты востребованы в крупных городах и в особенности в столицах. Уровень зарплат достойный, но, конечно, же зарплату платят не за наличие сертификата, а за работу.

Анализируя эти данные нужно также помнить, что руководящие должности в крупных организациях часто замещаются без публикации вакансий. Поэтому реальный спрос на таких специалистов несколько выше.

Пять главных иб-сертификатов

В результате повышенного внимания к вопросам информационной безопасности растет потребность компаний в квалифицированных кадрах. Одним из критериев оценки квалификации специалиста является наличие у него того или иного сертификата. И хотя наличие сертификата не говорит о реальном уровне знаний человека, до сих пор во многих компаниях действует принцип «по одежке встречают».

Именно поэтому многие специалисты так стремятся получить заветную бумажку, которая, как они думают, может открыть им двери во многие российские и западные компании. И чем весомее будет сертификат, тем выше вероятность успешного прохождения собеседования.

Во-первых, подтверждение собственной квалификации (для себя «любимого»). Иногда это просто тщеславие и желание «похвастаться» перед окружающими. Во-вторых, возможность повышения зарплаты и большие возможности карьерного роста (в т.ч. и получение работы за границей).

На сегодняшний день существует две различных схемы сертификации специалистов в области безопасности, аналогичные схемам обучения. Первая схема не привязана ни к каким продуктам и охватывает различные аспекты той или иной технологии информационной безопасности.

К такой схеме сертификации относится Certified Information System Security Professional (CISSP) или Certified Information System Auditor (CISA). Не менее известной является сдача экзаменов на получение статуса Certified Information Systems Auditor (CISA)

в Information Systems Audit and Control Association (ISACA). Специалист, сертифицирующийся по второй схеме, зависит от конкретного продукта или решения, предложенного конкретной компанией. По такой схеме работают компании Cisco, Microsoft и другие. Существуют и смешанные системы сертификации.

Все экзаменационные вопросы выбираются из обширной базы, которая ежегодно пополняется новыми. Самое важное, что текущий экзамен (кстати, сдается он на английском языке) постоянно актуализируется и всегда базируется на современных технологиях и последних достижениях в рассматриваемых областях.

Экзамен на получение сертификата CISSP длится 6 часов и состоит из 250 вопросов, сгруппированных в 10 тем (т.н. доменов):

• разграничение доступа (модели разграничения доступа, технологии идентификации и аутентификации, методы атак и т.п.);
• сетевая безопасность (сетевые технологии, VPN, межсетевые экраны, методы атак и т.п.);
• процедуры управления безопасностью (классификация данных, политика безопасности, стандарты, анализ рисков, обучение персонала);
• разработка безопасных приложений (вредоносный код, разработка ПО);
• криптография (криптографические протоколы шифрования, функции хэширования, PKI, методы атак);
• архитектура безопасности (модели безопасности и ее оценки, Общие критерии и т.д.);
• эксплуатация инфраструктуры безопасности (поддержка средств защиты, управление персоналом и т.п.);
• непрерывность бизнеса (оценка ущерба, восстановление работоспособности);
• законодательство (законы, расследование инцидентов);
• физическая безопасность (видеонаблюдение, охранная сигнализация, пожарная охрана, обнаружение физического вторжения).

Сдав экзамен, вы получаете сертификат, однако свой статус придется каждые 3 года. Это можно сделать двумя способами: повторной сдачей экзамена или «добычей» 120 так называемых кредитов, которые «зарабатываются» написанием профильных статей, выступлениями на тематических конференциях, посещением семинаров, обучением, чтением книг по информационной безопасности и т.п.

Аналогичная схема действует и для многих других сертификаций по информационной безопасности и она оправдана —  технологии и ситуация на рынке меняется очень быстро. А значит «почивать на лаврах» не придется —  необходимо заниматься самообразованием и быть всегда в курсе последних новинок в данной области.

На сегодняшний день интерес к этому статусу в России очень высок. Если до 2003 года в России насчитывалось всего 2 сертифицированных эксперта, то сегодня на сайте ISC2 размещено 33 резюме тех, кто согласился открыть информацию о себе —  реально же их в 1,5-2 раза больше, и это число будет только расти.

Аудиторию для данной сертификации составляют средний и высший уровень руководства в области информационной безопасности — архитекторы по безопасности, CISO (Chief Information Security Officer), CSO (Chief Security Officer), вице-президент по вопросам безопасности.

Статус Systems Security Certified Practitioner (SSCP) был разработан консорциумом ISC2 для тех, кто пока не может сдать экзамен на статус CISSP или только готовится к нему, а также для тех, кто не стремится на руководящие позиции и ему не требуется более высокий статус от ISC2.

Учитывая одного прародителя, сертификация SSCP очень похожа на CISSP за небольшим исключением.Во-первых, вместо 10-ти доменов экзаменуемые проверяются всего по 7-ми: разграничение доступа (модели разграничения доступа, технологии идентификации и аутентификации, методы атак и т.п.), безопасность данных, администрирование безопасности, криптография, аудит и мониторинг, вредоносное ПО, управление рисками, реагирование и восстановление.

Во-вторых, число вопросов сокращено вдвое —  до125, также вдвое сокращено и время на экзамен —  до 3 часов. И, наконец, для сдачи данного экзамена необходим опыт работы в течение 1-го года по специальности (вместо трех).

В обоих случаях (CISSP и SSCP) получению статуса предшествует подписание этического кодекса поведения (Code of Ethics), который описывает, как себя должен вести обладатель престижного сертификата. Такое требование является обязательным при получении многих сертификатов, например, CISA.

Учитывая, что статус SSCP является только остановкой на половине пути к CISSP и то, что появился он позже последнего, то абсолютное большинство российских специалистов стремится именно к CISSP —  на сайте ISC2 зарегистрирован только один российский обладатель сертификата SSCP.

Аудитория для данной сертификации: специалисты отделов защиты информации, администраторы безопасности, ИТ-специалисты.

В 1969 году была основана Ассоциация аудита и контроля информационных систем (Information Systems Audit and Control Association, ISACA), которая на сегодня является признанным лидером в управлении, контроле и поддержке информационных систем, продвижении открытого стандарта CoBIT и ратует за стандартизацию в области ИТ.

Рекомендации:

1. Получайте скидки, став членом организации ISACA (опция платная). К тому же без членства к экзамену всё равно не допустят.

2. Покупайте материалы и всё остальное как можно раньше – больше сэкономите.

3. Если работодатель оплатит вашу сертификацию, то это будет приятной мелочью.

4. Достаточно только официальных материалов.

Сдача экзамена

Экзамен уровня CTFL можно сдавать не только на английском, но и на любом доступном национальном языке (русский язык присутствует в списке доступных языков), однако координаторы настойчиво не советуют сдавать экзамен на русском. С чем это связано, отчасти, стало ясно потом — я, как истинный QA, решил протестировать сдачу экзамена на русском (несмотря на то, что для меня большой разницы в языке «английский-русский» для сдачи экзамена нет).

На экзамене присутствовал представитель организации из Германии, он лично вручил мой вариант экзаменационных вопросов и пожал руку (я оказался единственным, кто выбрал сдачу экзамена не на английском). Собственно, минусы сдачи экзамена не на английском:

В информационной рассылке от координаторов экзамена также указывалось, что допустимо иметь на экзамене БУМАЖНЫЙ русско-английско-русский словарь, но на самом деле, когда одна из девушек попыталась воспользоваться им, присутствующий на экзамене глава экзаменационной комиссии попросил убрать его.

Экзамен содержит 40 вопросов, распечатанных на листах формата A4, каждый из которых имеет 4 варианта ответов, из которых нужно выбрать только один правильный.Для успешной сдачи экзамена необходимо правильно ответить не менее, чем на 26 вопросов.

Требования на экзамене стандартные: исправления не засчитываются, нельзя заполнять карандашом и пытаться списывать у соседа. Во время экзамена нельзя выходить (поэтому, планируйте справление естественных надобностей заранее). И еще, возьмите с собой документ, удостоверяющий личность, и ручку.

Сертификации isaca

Сертификация по tisax – dqs. международная сертификация

Хронология событий

В целом задача оказалась вполне по силам, если подойти к ней ответственно. Как и большинство задач по жизни, впрочем…

Получение сертификации проходило следующим образом:

Декабрь 2021 – принятие решения

Январь 2021 – покупка материалов

Январь – май 2021 – изучение теоретических материалов

Май- июнь 2021 – практика по базе вопросов

14 июня 2021 – экзамен

17 июля 2021 – получение результатов

18 июля 2021 – отправка документов на сертификацию

28 июля 2021 – получение подтверждения сертификации

2 августа 2021 – получение электронного бейджа, подтверждающего сертификацию

Ориентировочно сентябрь 2021 – получение бумажного сертификата

P.s. В следующий раз поведаю о том, как получать CPE, так необходимые для поддержания статуса. Как только наберусь достаточно опыта, конечно.

Цена вопроса

Прежде всего встаёт вопрос — а сколько это будет стоить? Здесь разумнее всего указывать цену в долларах, так она будет более актуальной и объективной. Мне повезло, и я успел оплатить большую часть в январе, когда

Крым ещё не был наш

доллар ещё не скакнул до нынешних 36 с копейками (когда начинал писать статью ещё был 35…).

1. New Member Fee Online 10.00

2. Russia Chapter (на 2021 год) 10.00

3. Basic Membership Dues (на 2021 год) 135.00

4. Bookstore Purchase (книги) 171.00

5. 2021 June CISA Exam 495.00 – 75.00 – 50.00 = 370.00

6. CISA Practice Question Database v14 185.00

7. CISA Application Processing Fee 50.00

Итого = 931.00

Из подготовительных материалов я купил всё, что только можно (на английском языке, есть ещё версии на японском, французском и т.д… Русский отсутствует и это хорошо). Полный учебный набор, предлагаемый ISACA, включает:1. Официальный мануал к экзамену (книга).2. Свежий вопросник на 2021 год (книга).3. База вопросов на 2021 год (ПО).Подробнее о них ниже.

Экзамен

Экзамен проводят в 3 раза в год. В 2021 это июнь, август и декабрь. Подробности о сроках закрытия регистрации на экзамен и скидках за раннюю регистрацию можно найти на официальном сайте.

Дело проходит в Москве. Сюда же, судя по всему, приезжают жители стран СНГ, где экзамены не проводят. Своей площадки у российского подразделения ISACA нет, поэтому проводится мероприятие на площадках университетов или других организаций. Июньский экзамен проходил в институте рядом с Белорусской.

Приглашение на экзамен — это документ, без которого к сдаче не допускают. Его высылают почтой и электронным письмом, чтобы можно было распечатать самому. В приглашении подробно описаны строгие правила проведения экзамена, условия

предания анафеме

изгнания с экзамена за нарушения и прочая важная информация. Пить и есть во время экзамена нельзя, да и времени не хватит.

Структура экзамена также подробно расписана на официальном сайте. Вначале устные инструкция, коллективное заполнение экзаменационных анкет и ответы на вопросы. затем все скрывают запечатанные вопросники (которые можно использовать как черновик) и приступают к экзамену.