Сертифікати CISSP, CISA, CISM: як отримати і чи варта шкурка вичинки?

А чому у тебе на візитці написано «КИЦЯ»?
Ти ніби серйозна людина.
(з розмови з приятелем)
Ми всі знаємо, що нас завжди зустрічають по одягу, але не завжди замислюємося, а що саме стоїть за цим словом «одяг». «Одягом» є наші атрибути, які дозволяють іншим людям легко вписати нас своє уявлення про світ або, простіше кажучи, навісити на нас ярлик. Відповідно, керуючи своїми атрибутами, ми можемо керувати тим, як нас сприймають інші люди. У середовищі фахівців з інформаційної безпеки усталеними атрибутами, які дозволяють іншим зараховувати вас до серйозних ІБ-фахівців, є такі статуси, як CISSP, CISA, CISM.

У цій статті докладно розглянемо, що стоїть за цими сертифікаціями, як підготуватися до здачі відповідних іспитів і чи варто їх отримувати.




Що за сертифікати?
Спочатку розшифруємо абревіатури і переведемо, але не дослівно, а за змістом.

CISSP (Certified Information Security Systems Professional) – сертифікований фахівець з інформаційної безпеки.

CISA (Certified Information Systems Auditor) – сертифікований ІТ-аудитор.

CISM (Certified Information Security Manager) – сертифікований менеджер з інформаційної безпеки.

Саме такий склад обраних для розгляду сертифікацій пояснюється їх близькістю за темами (доменів), ну і, звичайно, наявності у автора статті досвіду проведення підготовки фахівців до даних іспитів.

Зведемо інформацію про іспити в наступну таблицю:

 
CISSP
CISA
CISM
Домени
1. Security and Risk
Management
2. Asset Security
3. Security
Engineering
4. Communication and
Network Security
5. Identity and
Access Management
6. Security
Assessment and Testing
7. Security
Operations
8. Software
Development Security
 
1. The Process of
Auditing Information Systems

2. Governance and
Management of IT
3. Information
Systems Acquisition, Development and Implementation

4. Information
Systems Operations, Maintenance and Service Management

5. Protection of Information Assets

1. Information
Security Governance

2. Information Risk
Management
3. Information
Security Development Program and Management

4. Information Security
Incident Management

Тривалість
6 годин
4 години
4 години
Кількість питань
250

150
150
Прохідний бал
700 з 1000 балів
450 з 800 балів
450 з 800 балів
Вимоги до досвіду
5 років
5 років
5 років
Організація
ISC2
ISACA
ISACA
Вартість іспиту
599 USD
760 USD
575 USD
для членів ISACA

 
760 USD
575 USD для членів ISACA
Продовження
85 USD
85 USD
45 USD
для членів ISACA

 
85 USD
45 USD для членів ISACA



Що потрібно знати і розуміти?
Дуже не хочеться занудно розкривати обсяг знань, який стоїть за кожним з доменів (і дуже добре описано в посібниках по іспитів), тому коротко розглянемо портрет ідеального володаря кожного з трьох сертифікатів.

CISSP
Істинний володар CISSP повинен дуже добре орієнтуватися у всіх сучасних течіях інформаційної безпеки і в першу чергу в області менеджменту ІБ. Здобувач повинен вміти мислити в категоріях «уразливість», «ризик», «контрзахід». Досвід адміністрування засобів захисту інформації або злому комп'ютерних мереж (етичного, звичайно) буде безперечно корисний, але на іспиті ніхто не буде вимагати згадати якусь певну параметр або команду якої-небудь системи, так як сертифікація не залежить від будь-яких вендора. Потрібно розуміти, що стоїть за абревіатурами RFID, NIPS, RBAC, DIAMETER, IKE, ESP, LLC, MTPD, IDM, XSS, які використовуються алгоритми шифрування, хешування і т. п.

На мій погляд, обсяг знань CISSP відповідає обсягу знань молодого фахівця, який закінчив з хорошими оцінками профільну кафедру і має пару років реального досвіду в інформаційній безпеці серйозної організації.

CISA
Володар CISA повинен не тільки добре орієнтуватися в області інформаційної безпеки, але і в ІТ-менеджменті, життєвий цикл інформаційних систем, і в тому, як це все перевіряти на відповідність кращим світовим практикам. В ідеалі здобувачеві даного сертифікату треба пройти життєву школу в одній з компаній великої четвірки (BIG4: EY, PWC, KPMG, Deloitte) або великої компанії, в якій є повноцінна група або відділ ІТ-аудиту.

CISM
Якщо володарем CISSP може бути недавній випускник вузу, який працює з залізом і софтом, і лише представляє, що таке менеджмент, то CISM вже для людей, що займаються менеджментом в області ІБ не перший рік. Доменів в CISM менше, ніж у CISSP і здати його людині, вже здав CISSP, проблем не складе.

Які можуть бути складності?
Обговоримо деякі підводні камені, про які потрібно пам'ятати при підготовці до іспитів.

«Паперова» безпека

Багато технічні фахівці захоплюються технологіями, а от бізнес-процеси їм абсолютно не цікаві, відповідно корпоративні політики, процедури, стандарти сприймаються як непотрібні папірці. З позицій менеджменту подібні документи є дуже важливими, так як формують вимоги інформаційної безпеки, які в свою чергу реалізуються з допомогою технологій і грамотних дій співробітників. Здобувачеві CISSP, СІЅА, CISM потрібно навчитися мислити як управлінцю і полюбити процесний підхід до менеджменту всією душею.

При пожежі виносити першим!

Якщо для відповіді на питання необхідно оцінити пріоритети для порятунку активів і у списку є людське життя, то у неї завжди буде пріоритет номер один. Сейфи з грошима і документами можна сміливо залишити на милість стихії.

Планування безперервності бізнесу і відновлення після збоїв (BCP/DRP)

У всіх розглянутих іспитах попадаються питання на тему BCP/DRP. В даний час подібні проекти реалізуються тільки в досить великих організаціях, відповідно, лише невеликий відсоток фахівців стикається з цими питаннями на практиці. Для опрацювання цих тем краще всього додатково вивчити публікації двох профільних спільнот фахівців: The Business Continuity Institute і Disaster Recovery Institute.

Мислення ІТ-аудитора

Для успішної здачі іспиту CISA потрібно добре уявляти, як мислить ІТ-аудитор. ІТ-аудитори перевіряють, як виконуються вимоги внутрішніх і зовнішніх документів і мислять зовсім інакше, ніж ІТ-фахівці, націлені на те, «щоб все працювало, а решта – не важливо».

Поясню на такому прикладі. У ТОВ «Ромашка» доступ до систем надається на основі заявок по електронній пошті і виконується певна ланцюжок погоджень. Для адміністратора відпрацьована заявка – непотрібне сміття, який можна видалити в новорічну ніч, автоматично очищаючи архіви, а для ІТ-аудитора, ця заявка являє собою важливе свідчення, що підтверджує виконання процедури, яку потрібно зберігати, як золото.

Для освоєння методик, застосовуваних реальними ІТ-аудиторами, дуже корисно стати членом ISACA (до речі, відділення ISACA є у Москві ) і тим самим отримати доступ до базі корисних методологічних документів. Як вже бачили в таблиці, членство в ISACA дає суттєві знижки як на самі іспити, так і на продовження.

Списування

У нас часто прийнято досить поблажливо ставитися до тих, хто списує на іспитах. У західній культурі списування вважається серйозним проступком, що вимагає відповідного покарання. Правилами забороняється списувати на екзаменах ISACA і ISC2, процес здачі контролюється, порушників виганяють з ганьбою.

Ще трохи про етику

І у ISC2, і у ISACA є кодекс професійної етики – його краще прочитати і запам'ятати, оскільки питання етики обов'язково будуть і її гарне знання принесе кілька додаткових балів.

Як підготуватися?
Виходячи з власного досвіду підготовки до іспитів і проведення підготовчих курсів у навчальному центрі «Ешелон» пропоную наступний алгоритм.

Крок 1. Де я?
З'ясувати в чому добре розбираєтеся, а що не дуже. Переглянути питання по всіх доменів або пройти пробні тести. Визначити які домени для вас легкі, а за яким потрібно «прокачатися».

Крок 2. Що з англійською?
Оцініть, вистачає ваших знань англійської для розуміння питань і пропонованих відповідей, якщо ні, включіть в свій план підготовки англійську мову.

Крок 3. Добування та вивчення навчальних матеріалів

Книги

Без пари хороших книг підготовка буде просто неможливою. Найкраще погортати всі, які зможете отримати, і підібрати відповідні саме вам, виходячи із стилю викладу і актуальності матеріалу (краще дивитися книги, видані за останні 2-3 року). Список спеціалізованих посібників з підготовки до досліджуваних іспитів наведено в кінці статті. Радий повідомити, що зовсім недавно з'явилася перша російська книга, в якій розглядаються основні домени іспитів: «Сім безпечних інформаційних технологій», і це черговий внесок у розвиток інформаційної безпеки в Росії від групи компаній «Ешелон».
До речі, в Мережі можна знайти неформальний переклад на російську мову застарілої версії підручника для підготовки до CISSP Шон Харріс (виконав Дмитро Орлов) – пробігтися з питань теж не завадить (на самому старті вивчення). Почати готуватися краще, використовуючи літературу саме російською мовою (для занурення в предметну область), а закінчувати – масованим штудіюванням примірних питань виключно англійською мовою (див. бази питань нижче).

Додаткові матеріали

З тих галузей знань, де ви почуваєте себе невпевнено, краще читати додаткові матеріали, які, як правило, можна знайти на профільних сайтах (isaca.org, isc2.org, thebci.org, drii.org).

Глосарій термінів

Навіть якщо на Кроці 2 ви оцінили, що ваш рівень володіння англійською мовою підходить для здачі іспиту, не полінуйтеся і перегорніть глосарій від ISACA. Зверніть увагу, що в питаннях іспитів часто фігурують слова, переклад яких на українську мову не завжди однозначний (наприклад, control — контрзахід, міра мінімізації ризику, СЗІ, контроль).

Бази питань

Можна легко знайти і придбати бази питань для підготовки до іспитів, як офіційні від ISC2 і ISACA, так і інших вендорів. Бази питань можуть бути як у вигляді програм для тестування, так у вигляді підручників. Дуже корисний матеріал, що дозволяє постійно оцінювати свою готовність до іспиту. Тільки не розраховуйте побачити точно такі ж питання на самих іспитах, тому заучувати питання і відповіді напам'ять – марна трата часу.

Курси підготовки

Чи варто йти на спеціалізовані курси? Варто, якщо хочете відразу за пару днів поринути в тематику іспиту і побачити всю картину в цілому. Потрібно розуміти, що жодний курс не замінить самостійне читання книг і рішення пробних тестів.

Тривалість цієї фази підготовки, якщо жодного подібного іспиту раніше не здавали, 3-4 місяця (у середньому по годині в день), якщо досвід успішної здачі є і рівень знань високий, то термін може бути скорочений до тижня (зрозуміло, в режимі повного занурення).

Крок 4. Підготовка в останній тиждень перед іспитом
Як правило, підготовка до іспиту розтягується на тривалий термін і в кінці можна трохи призабути, що вивчали спочатку. Тому доцільно взяти кілька днів відгулу перед іспитом, щоб перегорнути цілком свої матеріали. У будь-якому випадку, в кінці підготовки доведеться приділити пару днів для зубріння окремих технічних параметрів.

Пара лайфхаков
В цьому розділі хочеться навести кілька ідей, які можуть полегшити підготовку та здачу іспитів.

Відкинути тупий варіант відразу і не гальмувати

Найпоширеніший формат питань на всіх розглянутих іспитах так улюблений західним світом MCQ (multiple choice question) – питання з декількома варіантами відповідей (як правило, 4). Перш ніж взятися за тренування з питаннями іспитів, спробуйте вирішити зворотний завдання – придумати такий MCQ на тему, в якій ви розбираєтеся, як ніхто інший. Ви побачите, що придумати більш-менш близькі варіанти до єдиного правильного не так вже і просто, і ви обов'язково включіть один варіант, який буде по суті абсолютно маревний. А це означає, що при відповіді на питання потрібно відразу ж відкидати явно неправильний і шукати кращий з решти трьох, і в більшості випадків він видно відразу. Якщо ж не видно, то краще вибирати навмання і рухатися далі, і ні в якому разі не зависати на одному питанні довше хвилини.

Звертайте увагу на FIRST, LAST, EXCEPT, NOT

Необхідно уважно читати питання та звертати уваги на слова, що впливають на вибір відповіді прямо: одна справа-вибрати зі списку контрзахід, яку треба впровадити в першу чергу, і інша справа – в останню.

чи Варто ставати сертифікованим фахівцем?

Пропозиція/попит
Давайте подивимося, скільки всього спеціалістів, які володіють даними сертифікатами, ким і де вони працюють – заглянемо в соціальні мережі і на сторінки асоціацій. У минулій статті, присвяченій інтернет-розвідці ми вже «пробивали» цілу групу користувачів і використовували для цього спеціальний інструментарій, в цей раз обмежимося простим переглядом результатів пошуку.

В мережі Linkedin, до якої зараз досить обмежений доступ, можна знайти 50 акаунтів російських користувачів з сертифікатами CISA, 31 — c CISSP і 9 — c CISM.

Гортаючи профілі користувачів, що вказали дані сертифікати, можна побачити, що їх володарі, як правило, займають керівні посади у великих компаніях, багато задіяні в консалтинговій сфері (BIG4, ІТ-інтегратори тощо)

За офіційною статистикою асоціацій ISC2 і ISACA зараз у Росії всього 200 власників сертифікатів CISSP, 203 CISA і 60 CISM (дана статистика по CISA і CISM включає тільки сертифікованих фахівців, які є також членами асоціації ISACA).

Щоб зрозуміти, а чи є попит на таких фахівців, подивимося наявність вакансій для людей, які володіють такими сертифікатами і рівень зарплат, який їм готові запропонувати роботодавці. Зведемо результати видачі з сайту HH за нашими ключовими словами (назви сертифікатів) в наступну таблицю:

CISSP
CISA
CISM
Кількість відкритих вакансій
41
47
26
Розподіл
по регіонах
Росія 33
Москва 29
Україна 4
Київ 4
Білорусь 2
Мінськ 2
Санкт-Петербург 2
Казахстан 1
Астана 1
Республіка Алтай 1
Самарська область 1
Інші країни 1
США 1
Росія 34
Москва 33
Україна 8
Київ 8
Білорусь 3
Мінськ 3
Казахстан 2
Астана 1
Алмати 1
Республіка Алтай 1
Росія 16
Москва 15
Україна 5
Київ 5
Білорусь 3
Мінськ 3
Казахстан 2
Астана 1
Алмати 1
Республіка Алтай 1
Рівні заробітної плати
Вказана 8
від 195 000 руб — 3
від 310 000 руб. — 2
від 370 000 руб. — 1
Вказана 4
від 195 000 руб. – 1
Вказана 2
від 125 000 руб. 1


Очевидно, що в основному такі фахівці затребувані у великих містах і особливо в столицях. Рівень зарплат гідний, але, звичайно, ж зарплату платять не за наявність сертифіката, а за роботу.

Аналізуючи ці дані потрібно також пам'ятати, що керівні посади у великих організаціях часто заміщуються без публікації вакансій. Тому реальний попит на таких фахівців декілька вище.

Питання для оцінки необхідності стати сертифікованим фахівцем

Давайте зведемо в один список питання, відповіді на які дозволять фахівцям в області ІБ вирішити наскільки їм необхідна сертифікація.

У мене вийшов такий «аудиторський» чекліст:

  1. Володієте вищою технічною освітою в ІТ-сфері та середній бал не нижче 4?
  2. На роботі займаєтеся проектами по більшості тем іспиту?
  3. Без словника читаєте англійські статті на професійні теми?
  4. Є бажання рухатися кар'єрними сходами вгору?
  5. Буде час готуватися вечорами і зможете взяти кілька днів відгулу перед іспитом?
  6. Хоч трохи відчуваєте себе справжнім менеджером?
  7. Готові до того, щоб жити і працювати в столиці?
Якщо на більшість питань у вас позитивну відповідь, то безперечно варто вплутатися в цю справу, підготуватися і здати іспит(и), а потім постійно підтримувати свої знання на гідному рівні.

Підручники для підготовки до іспитів
  1. Сім безпечних інформаційних технологій / Під. ред. А. С. Маркова. М.: ДМК Прес, 2017. 224 с. Сайт книги:http://security-experts.ru/
  2. CISSP (ISC)2 Certified Information Systems Security Professional Official Study Guide, 7th Edition by James M. Stewart, Mike Chapple, Darril Gibson
  3. CISSP Official (ISC)2 Practice Tests, Mike Chapple, David Seidl
  4. CISA Review Manual, 26th Edition by ISACA
  5. CISA Review Questions, Answers & Explanations Manual, 11th Edition by ISACA
  6. CISM Review Manual, 15th Edition by ISACA
  7. CISM Review Questions, Answers & Explanations, 9th Edition by ISACA
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.