(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Сертификаты CISSP, CISA, CISM: как получить и стоит ли овчинка выделки?

Источник: habrahabr

А почему у тебя на визитке написано "КИСА"?
Ты вроде серьезный человек…
(из разговора с приятелем)

Мы все знаем, что нас встречают всегда по одежке, но не всегда задумываемся, а что именно стоит за этим словом "одежка". "Одежкой" являются наши атрибуты, которые позволяют другим людям легко вписать нас в свое представление о мире или, проще говоря, навесить на нас ярлык. Соответственно, управляя своими атрибутами, мы можем управлять тем, как нас воспринимают другие люди. В среде специалистов по информационной безопасности устоявшимися атрибутами, позволяющие другим причислять вас к серьезным ИБ-специалистам, являются такие статусы, как CISSP, CISA, CISM.

В данной статье подробно рассмотрим, что стоит за этими сертификациями, как подготовиться к сдаче соответствующих экзаменов и стоит ли их получать.


Что за сертификаты?

Сначала расшифруем аббревиатуры и переведем, но не дословно, а по смыслу.

CISSP (Certified Information Security Systems Professional) - сертифицированный специалист по информационной безопасности. 

CISA (Certified Information Systems Auditor) - сертифицированный ИТ-аудитор.

CISM (Certified Information Security Manager) - сертифицированный менеджер по информационной безопасности.

Именно такой состав выбранных для рассмотрения сертификаций объясняется их близостью по темам (доменам), ну и, конечно, наличию у автора статьи опыта проведения подготовки специалистов к данным экзаменам.

Сведем информацию об экзаменах в следующую таблицу:

CISSP

CISA

CISM

Домены

1. Security and Risk
Management

2. Asset Security

3. Security
Engineering

4. Communication and
Network Security

5. Identity and
Access Management

6. Security
Assessment and Testing

7. Security
Operations

8. Software
Development Security

1. The Process of
Auditing Information Systems 

2. Governance and
Management of IT

3. Information
Systems Acquisition, Development and Implementation 

4. Information
Systems Operations, Maintenance and Service Management 

5. Protection of Information Assets 

1. Information
Security Governance 

2. Information Risk
Management

3. Information
Security Program Development and Management 

4. Information Security
Incident Management

Длительность

6 часов

4 часа

4 часа

Количество вопросов

250 

150

150

Проходной балл

700 из 1000 баллов

450 из 800 баллов

450 из 800 баллов

Требования к опыту

5 лет

5 лет

5 лет

Организация

ISC2

ISACA

ISACA

Стоимость экзамена

599 USD

760 USD

575 USD
для членов ISACA 

760 USD

575 USD для членов ISACA

Продление

85 USD

85 USD

45 USD
для членов ISACA 

85 USD

45 USD для членов ISACA


Что нужно знать и понимать?

Очень не хочется занудно раскрывать объем знаний, который стоит за каждым из доменов (и очень хорошо описан в руководствах по экзаменам), поэтому кратко рассмотрим портрет идеального обладателя каждого из трех сертификатов. 

CISSP

Истинный обладатель CISSP должен очень хорошо ориентироваться во всех современных течениях информационной безопасности и в первую очередь в области менеджмента ИБ. Соискатель должен уметь мыслить в категориях "уязвимость", "риск", "контрмера". Опыт администрирования средств защиты информации или взлома компьютерных сетей (этичного, конечно) будет бесспорно полезен, но на экзамене никто не будет требовать вспомнить какую-то определенную настройку или команду какой-либо системы, так как сертификация не зависит от какого-либо вендора. Нужно понимать, что стоит за аббревиатурами RFID, NIPS, RBAC, DIAMETER, IKE, ESP, LLC, MTPD, IDM, XSS, какие используются алгоритмы шифрования, хэширования и т.п.

На мой взгляд, объем знаний CISSP соответствует объему знаний молодого специалиста, окончившего с хорошими отметками профильную кафедру и имеющему пару лет реального опыта в информационной безопасности в серьезной организации.

CISA

Обладатель CISA должен не только хорошо ориентироваться в области информационной безопасности, но и в ИТ-менеджменте, жизненном цикле информационных систем, и в том, как это все проверять на соответствие лучшим мировым практикам. В идеале соискателю данного сертификата надо пройти жизненную школу в одной из компаний большой четверки (BIG4: EY, PWC, KPMG, Deloitte) или в крупной компании, в которой есть полноценная группа или отдел ИТ-аудита.

CISM

Если обладателем CISSP может быть недавний выпускник вуза, работающий с железом и софтом, и лишь представляющем, что такое менеджмент, то CISM уже для людей, занимающихся менеджментом в области ИБ не первый год. Доменов в CISM меньше, чем в CISSP и сдать его человеку, уже сдавшему CISSP, проблем не составит.

Какие могут быть сложности?

Обсудим некоторые подводные камни, о которых нужно помнить при подготовке к экзаменам.

"Бумажная" безопасность

Многие технические специалисты увлекаются технологиями, а вот бизнес-процессы им совершенно не интересны, соответственно корпоративные политики, процедуры, стандарты воспринимаются как ненужные бумажки. С позиций менеджмента подобные документы являются очень важными, так как формируют требования информационной безопасности, которые в свою очередь реализуются с помощью технологий и грамотных действий сотрудников. Соискателю CISSP, СISA, CISM нужно научиться мыслить как управленцу и полюбить процессный подход к менеджменту всей душой.

При пожаре выносить первым!

Если для ответа на вопрос необходимо оценить приоритеты для спасения активов и в списке есть человеческая жизнь, то у нее всегда будет приоритет номер один. Сейфы с деньгами и документами можно смело оставить на милость стихии.

Планирование непрерывности бизнеса и восстановления после сбоев (BCP/DRP)

Во всех рассматриваемых экзаменах попадаются вопросы на тему BCP/DRP. В настоящее время подобные проекты реализуются только в довольно крупных организациях, соответственно лишь небольшой процент специалистов сталкивается с данными вопросами на практике. Для проработки этих тем лучше всего дополнительно изучить публикации двух профильных сообществ специалистов: The Business Continuity Institute и Disaster Recovery Institute.

   

Мышление ИТ-аудитора

Для успешной сдачи экзамена CISA нужно хорошо представлять, как мыслит ИТ-аудитор. ИТ-аудиторы проверяют, как выполняются требования внутренних и внешних документов и мыслят совершенно иначе, нежели ИТ-специалисты, нацеленные на то, "чтобы все работало, а остальное - не важно". 

Поясню на следующем примере. В ООО "Ромашка" доступ к системам предоставляется на основе заявок по электронной почте и выполняется определенная цепочка согласований. Для администратора отработанная заявка - ненужный мусор, который можно удалить в новогоднюю ночь, автоматически очищая архивы, а для ИТ-аудитора, эта заявка представляет собой важное свидетельство, подтверждающее выполнение процедуры, которую нужно хранить, как золото.

Для освоения методик, применяемых реальными ИТ-аудиторами, очень полезно стать членом ISACA (кстати, отделение ISACA есть в Москве ) и тем самым получить доступ к базе полезных методологических документов. Как уже видели в таблице, членство в ISACA дает существенные скидки как на сами экзамены, так и на продление.

Списывание

У нас зачастую принято довольно снисходительно относиться к тем, кто списывает на экзаменах. В западной культуре списывание считается серьезным проступком, требующем соответствующего наказания. Правилами запрещается списывать на экзаменах ISACA и ISC2, процесс сдачи контролируется, нарушителей изгоняют с позором.

Еще немного об этике

И у ISC2, и у ISACA есть кодекс профессиональной этики - его лучше прочитать и запомнить, так как вопросы по этике обязательно будут и хорошее ее знание принесет несколько дополнительных баллов.

Как подготовиться?

Исходя из собственного опыта подготовки к экзаменам и проведения подготовительных курсов в учебном центре "Эшелон" предлагаю следующий алгоритм.

Шаг 1. Где я?

Выяснить в чем хорошо разбираетесь, а в чем не очень. Просмотреть вопросы по всем доменам или пройти пробные тесты. Определить какие домены для вас легкие, а по каким нужно "прокачаться".

Шаг 2. Что с английским?

Оцените, хватает ли ваших знаний английского для понимания вопросов и предлагаемых ответов, если нет, включите в свой план подготовки английский язык.

Шаг 3. Добывание и изучение учебных материалов

Книги

Без пары хороших книг подготовка будет просто невозможной. Лучше всего полистать все, какие сможете получить, и подобрать подходящие именно вам, исходя из стиля изложения и актуальности материала (лучше смотреть книги, изданные за последние 2-3 года). Список специализированных руководств по подготовке к рассматриваемым экзаменам приведен в конце статьи. Рад сообщить, что совсем недавно появилась первая российская книга, в которой рассматриваются основные домены экзаменов: "Семь безопасных информационных технологий", и это очередной вклад в развитие информационной безопасности в России от группы компаний "Эшелон".
Кстати, в Сети можно найти неформальный перевод на русский язык устаревшей версии учебника для подготовки к CISSP Шон Харрис (выполнил Дмитрий Орлов) - пробежаться по вопросам тоже не помешает (на самом старте изучения). Начать готовиться лучше, используя литературу именно на русском языке (для погружения в предметную область), а заканчивать - массированным штудированием примерных вопросов исключительно на английском языке (см. базы вопросов ниже).

Дополнительные материалы

По тем областям знаний, где вы себя чувствуете неуверенно, лучше читать дополнительные материалы, которые, как правило можно найти на профильных сайтах (isaca.orgisc2.orgthebci.orgdrii.org).

Глоссарий терминов

Даже если на Шаге 2 вы оценили, что ваш уровень владения английским языком подходит для сдачи экзамена, не поленитесь и пролистайте глоссарий от ISACA. Обратите внимание, что в вопросах экзаменов зачастую фигурируют слова, перевод которых на русский язык не всегда однозначен (например, control - контрмера, мера минимизации риска, СЗИ, контроль).

Базы вопросов

Можно легко найти и приобрести базы вопросов для подготовки к экзаменам, как официальные от ISC2 и ISACA, так и от сторонних вендоров. Базы вопросов могут быть как в виде программ для тестирования, так в виде учебников. Очень полезный материал, позволяющий постоянно оценивать свою готовность к экзамену. Только не рассчитывайте увидеть точно такие же вопросы на самих экзаменах, поэтому заучивать вопросы и ответы наизусть - бесполезная трата времени.

Курсы подготовки

Стоит ли идти на специализированные курсы? Стоит, если хотите сразу за пару дней погрузиться в тематику экзамена и увидеть всю картину в целом. Нужно понимать, что никакой курс не заменит самостоятельное чтение книг и решение пробных тестов.

Длительность этой фазы подготовки, если ни одного подобного экзамена ранее не сдавали, 3-4 месяца (в среднем по часу в день), если опыт успешной сдачи есть и уровень знаний высок, то срок может быть сокращен и до недели (разумеется, в режиме полного погружения). 

Шаг 4. Подготовка в последнюю неделю перед экзаменом

Как правило, подготовка к экзамену растягивается на длительный срок и в конце можно немножко подзабыть, что изучали вначале. Поэтому целесообразно взять несколько дней отгула перед экзаменом, чтобы пролистать целиком свои материалы. В любом случае, в конце подготовки придется уделить пару дней для зубрежки отдельных технических параметров.

Пара лайфхаков

В этом разделе хочется привести несколько идей, которые могут облегчить подготовку и сдачу экзаменов.

Отбросить бредовый вариант сразу и не тормозить

Самый распространенный формат вопросов на всех рассматриваемых экзаменах так любимый западным миром MCQ (multiple choice question) - вопрос с несколькими вариантами ответов (как правило, 4). Прежде чем взяться за тренировку с вопросами экзаменов, попробуйте решить обратную задачу - придумать такой MCQ на тему, в которой вы разбираетесь, как никто другой. Вы увидите, что придумать более-менее близкие варианты к единственному правильному не так уж и просто, и вы обязательно включите один вариант, который будет по сути совершенно бредовый. А это значит, что при ответе на вопросы нужно сразу же исключать явно неправильный и искать лучший из оставшихся трех, и в большинстве случаев он виден сразу. Если же не виден, то лучше выбирать наугад и двигаться дальше, и ни в коем случае не зависать на одном вопросе дольше минуты.

Обращайте внимание на FIRST, LAST, EXCEPT, NOT

Необходимо внимательно читать вопросы и обращать внимания на слова, влияющие на выбор ответа напрямую: одно дело выбрать из списка контрмеру, которую надо внедрить в первую очередь, и другое дело - в последнюю.

Стоит ли становиться сертифицированным специалистом?

Предложение/спрос

Давайте посмотрим, сколько всего специалистов, обладающих данными сертификатами, кем и где они работают - заглянем в социальные сети и на страницы ассоциаций. В прошлой статье, посвященной интернет-разведке мы уже "пробивали" целую группу пользователей и использовали для этого специальный инструментарий, в этот раз ограничимся простым просмотром результатов поиска.

В сети Linkedin, к которой сейчас довольно ограниченный доступ, можно найти 539 аккаунтов российских пользователей с сертификатами CISA, 330 - c CISSP и 129 - c CISM.

Пролистывая профили пользователей, указавших данные сертификаты, можно увидеть, что их обладатели, как правило, занимают руководящие должности в крупных компаниях, многие задействованы в консалтинговой сфере (BIG4, ИТ-интеграторы и т.п.)

По официальной статистике ассоциаций ISC2 и ISACA сейчас в России всего 200 обладателей сертификатов CISSP, 203 CISA и 60 CISM (данная статистика по CISA и CISM включает только сертифицированных специалистов, являющихся также членами ассоциации ISACA).

Чтобы понять, а есть ли спрос на подобных специалистов, посмотрим наличие вакансий для людей, обладающих такими сертификатами и уровень зарплат, который им готовы предложить работодатели. Сведем результаты выдачи с сайта HH по нашим ключевым словам (названия сертификатов) в следующую таблицу:


 

CISSP

CISA

CISM

Количество открытых вакансий

41

47

26

Распределение

по регионам

Россия 33

Москва 29

Украина 4

Киев 4

Беларусь 2

Минск 2

Санкт-Петербург 2

Казахстан 1

Астана 1

Республика Алтай 1

Самарская область 1

Другие страны 1

США 1

Россия 34

Москва 33

Украина 8

Киев 8

Беларусь 3

Минск 3

Казахстан 2

Астана 1

Алматы 1

Республика Алтай 1

Россия 16

Москва 15

Украина 5

Киев 5

Беларусь 3

Минск 3

Казахстан 2

Астана 1

Алматы 1

Республика Алтай 1

Уровни заработной платы

Указана 8

от 195 000 руб - 3

от 310 000 руб.- 2

от 370 000 руб.- 1

Указана 4

от 195 000 руб. - 1

Указана 2

от 125 000 руб. 1


Очевидно, что в основном такие специалисты востребованы в крупных городах и в особенности в столицах. Уровень зарплат достойный, но, конечно, же зарплату платят не за наличие сертификата, а за работу. 

Анализируя эти данные нужно также помнить, что руководящие должности в крупных организациях часто замещаются без публикации вакансий. Поэтому реальный спрос на таких специалистов несколько выше. 

Вопросы для оценки необходимости стать сертифицированным специалистом

Давайте сведем в один список вопросы, ответы на которые позволят специалистам в области ИБ решить насколько им необходима сертификация.

У меня получился такой "аудиторский" чеклист:

  1. Обладаете высшим техническим образованием в ИТ-сфере и средний балл не ниже 4?
  2. На работе занимаетесь проектами по большинству тем экзамена?
  3. Без словаря читаете английские статьи на профессиональные темы?
  4. Есть желание двигаться по карьерной лестнице вверх?
  5. Будет время готовиться вечерами и сможете взять несколько дней отгула перед экзаменом?
  6. Хоть немного ощущаете себя настоящим менеджером?
  7. Готовы к тому, чтобы жить и работать в столице?

Если на большинство вопросов у вас положительный ответ, то определенно стоит ввязаться в это дело, подготовиться, сдать экзамен(ы), а затем постоянно поддерживать свои знания на достойном уровне.

Ссылки по теме


 Распечатать »
 Правила публикации »
  Написать редактору 
 Рекомендовать » Дата публикации: 31.01.2017 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
Raize Components 6
Panda Gold Protection - ESD версия - на 1 устройство - (лицензия на 1 год)
GFI WebMonitor Plus Edition - подписка на 1 год
Allround Automation PL/SQL Developer - Annual Service Contract - Single user
ARCHICAD 21, локальная лицензия на 12 месяцев
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Поиск сертификаций
 
 
Мнение профессионалов
"Подготовка к сертификации включает в себя изучение продуктов и технологий. Возможно придется изучать те части с которыми вы еще не работали. Для новых технологий очень сложно определить то, на что следует обратить особое внимание. И вот тогда важно использовать рекомендации для сдачи экзаменов на сертификацию. Именно они помогут вам сконцентрироваться на главном..."
Jonathan Blair, MCSD for .NET Edinburgh, Scotland

"Наличие сертификата MCSE для нас обязательно. Мы не рассматриваем кандидатов на позиции, если они не прошли сертификацию. Сейчас все наши специалисты сертифицированы. Возможность показать все сертифицированных специалистов в компании - прекрасный способ показать нашу техническую квалификацию для клиентов и партнеров..."

Tony Neuser, Director of the Microsoft Solutions Practice for Unisys Global Network Services, Unisys Corporation

"Предлагая новый проект, иногда достаточно просто указать, сколько специалистов в компании имеют сертификат MCSD, чтобы подчеркнуть насколько серьезно Compaq проводит техническую экспертизу."

Mark King, Solutions Architect, Compaq Computer Corporation
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Новости ITShop.ru - ПО, книги, документация, курсы обучения
Обучение для IT-профессионалов
Обучение и сертификация Microsoft
IT сертификация
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
 



    
rambler's top100 Rambler's Top100