Сертификаты CISSP, CISA, CISM: как получить и стоит ли овчинка выделки?

    А почему у тебя на визитке написано «КИСА»?
    Ты вроде серьезный человек…
    (из разговора с приятелем)

    Мы все знаем, что нас встречают всегда по одежке, но не всегда задумываемся, а что именно стоит за этим словом «одежка». «Одежкой» являются наши атрибуты, которые позволяют другим людям легко вписать нас в свое представление о мире или, проще говоря, навесить на нас ярлык. Соответственно, управляя своими атрибутами, мы можем управлять тем, как нас воспринимают другие люди. В среде специалистов по информационной безопасности устоявшимися атрибутами, позволяющие другим причислять вас к серьезным ИБ-специалистам, являются такие статусы, как CISSP, CISA, CISM.

    В данной статье подробно рассмотрим, что стоит за этими сертификациями, как подготовиться к сдаче соответствующих экзаменов и стоит ли их получать.




    Что за сертификаты?


    Сначала расшифруем аббревиатуры и переведем, но не дословно, а по смыслу.

    CISSP (Certified Information Security Systems Professional) – сертифицированный специалист по информационной безопасности.

    CISA (Certified Information Systems Auditor) – сертифицированный ИТ-аудитор.

    CISM (Certified Information Security Manager) – сертифицированный менеджер по информационной безопасности.

    Именно такой состав выбранных для рассмотрения сертификаций объясняется их близостью по темам (доменам), ну и, конечно, наличию у автора статьи опыта проведения подготовки специалистов к данным экзаменам.

    Сведем информацию об экзаменах в следующую таблицу:

     


    CISSP


    CISA


    CISM


    Домены


    1. Security and Risk
    Management


    2. Asset Security


    3. Security
    Engineering


    4. Communication and
    Network Security


    5. Identity and
    Access Management


    6. Security
    Assessment and Testing


    7. Security
    Operations


    8. Software
    Development Security


     


    1. The Process of
    Auditing Information Systems


    2. Governance and
    Management of IT


    3. Information
    Systems Acquisition, Development and Implementation


    4. Information
    Systems Operations, Maintenance and Service Management


    5. Protection of Information Assets


    1. Information
    Security Governance


    2. Information Risk
    Management


    3. Information
    Security Program Development and Management


    4. Information Security
    Incident Management


    Длительность


    6 часов


    4 часа


    4 часа


    Количество вопросов


    250


    150


    150


    Проходной балл


    700 из 1000 баллов


    450 из 800 баллов


    450 из 800 баллов


    Требования к опыту


    5 лет


    5 лет


    5 лет


    Организация


    ISC2


    ISACA


    ISACA


    Стоимость экзамена


    599 USD


    760 USD


    575 USD
    для членов ISACA


     


    760 USD


    575 USD для членов ISACA


    Продление


    85 USD


    85 USD


    45 USD
    для членов ISACA


     


    85 USD


    45 USD для членов ISACA



    Что нужно знать и понимать?


    Очень не хочется занудно раскрывать объем знаний, который стоит за каждым из доменов (и очень хорошо описан в руководствах по экзаменам), поэтому кратко рассмотрим портрет идеального обладателя каждого из трех сертификатов.

    CISSP


    Истинный обладатель CISSP должен очень хорошо ориентироваться во всех современных течениях информационной безопасности и в первую очередь в области менеджмента ИБ. Соискатель должен уметь мыслить в категориях «уязвимость», «риск», «контрмера». Опыт администрирования средств защиты информации или взлома компьютерных сетей (этичного, конечно) будет бесспорно полезен, но на экзамене никто не будет требовать вспомнить какую-то определенную настройку или команду какой-либо системы, так как сертификация не зависит от какого-либо вендора. Нужно понимать, что стоит за аббревиатурами RFID, NIPS, RBAC, DIAMETER, IKE, ESP, LLC, MTPD, IDM, XSS, какие используются алгоритмы шифрования, хэширования и т.п.

    На мой взгляд, объем знаний CISSP соответствует объему знаний молодого специалиста, окончившего с хорошими отметками профильную кафедру и имеющему пару лет реального опыта в информационной безопасности в серьезной организации.

    CISA


    Обладатель CISA должен не только хорошо ориентироваться в области информационной безопасности, но и в ИТ-менеджменте, жизненном цикле информационных систем, и в том, как это все проверять на соответствие лучшим мировым практикам. В идеале соискателю данного сертификата надо пройти жизненную школу в одной из компаний большой четверки (BIG4: EY, PWC, KPMG, Deloitte) или в крупной компании, в которой есть полноценная группа или отдел ИТ-аудита.

    CISM


    Если обладателем CISSP может быть недавний выпускник вуза, работающий с железом и софтом, и лишь представляющем, что такое менеджмент, то CISM уже для людей, занимающихся менеджментом в области ИБ не первый год. Доменов в CISM меньше, чем в CISSP и сдать его человеку, уже сдавшему CISSP, проблем не составит.

    Какие могут быть сложности?


    Обсудим некоторые подводные камни, о которых нужно помнить при подготовке к экзаменам.

    «Бумажная» безопасность


    Многие технические специалисты увлекаются технологиями, а вот бизнес-процессы им совершенно не интересны, соответственно корпоративные политики, процедуры, стандарты воспринимаются как ненужные бумажки. С позиций менеджмента подобные документы являются очень важными, так как формируют требования информационной безопасности, которые в свою очередь реализуются с помощью технологий и грамотных действий сотрудников. Соискателю CISSP, СISA, CISM нужно научиться мыслить как управленцу и полюбить процессный подход к менеджменту всей душой.

    При пожаре выносить первым!


    Если для ответа на вопрос необходимо оценить приоритеты для спасения активов и в списке есть человеческая жизнь, то у нее всегда будет приоритет номер один. Сейфы с деньгами и документами можно смело оставить на милость стихии.

    Планирование непрерывности бизнеса и восстановления после сбоев (BCP/DRP)


    Во всех рассматриваемых экзаменах попадаются вопросы на тему BCP/DRP. В настоящее время подобные проекты реализуются только в довольно крупных организациях, соответственно лишь небольшой процент специалистов сталкивается с данными вопросами на практике. Для проработки этих тем лучше всего дополнительно изучить публикации двух профильных сообществ специалистов: The Business Continuity Institute и Disaster Recovery Institute.

    Мышление ИТ-аудитора


    Для успешной сдачи экзамена CISA нужно хорошо представлять, как мыслит ИТ-аудитор. ИТ-аудиторы проверяют, как выполняются требования внутренних и внешних документов и мыслят совершенно иначе, нежели ИТ-специалисты, нацеленные на то, «чтобы все работало, а остальное – не важно».

    Поясню на следующем примере. В ООО «Ромашка» доступ к системам предоставляется на основе заявок по электронной почте и выполняется определенная цепочка согласований. Для администратора отработанная заявка – ненужный мусор, который можно удалить в новогоднюю ночь, автоматически очищая архивы, а для ИТ-аудитора, эта заявка представляет собой важное свидетельство, подтверждающее выполнение процедуры, которую нужно хранить, как золото.

    Для освоения методик, применяемых реальными ИТ-аудиторами, очень полезно стать членом ISACA (кстати, отделение ISACA есть в Москве ) и тем самым получить доступ к базе полезных методологических документов. Как уже видели в таблице, членство в ISACA дает существенные скидки как на сами экзамены, так и на продление.

    Списывание


    У нас зачастую принято довольно снисходительно относиться к тем, кто списывает на экзаменах. В западной культуре списывание считается серьезным проступком, требующем соответствующего наказания. Правилами запрещается списывать на экзаменах ISACA и ISC2, процесс сдачи контролируется, нарушителей изгоняют с позором.

    Еще немного об этике


    И у ISC2, и у ISACA есть кодекс профессиональной этики – его лучше прочитать и запомнить, так как вопросы по этике обязательно будут и хорошее ее знание принесет несколько дополнительных баллов.

    Как подготовиться?


    Исходя из собственного опыта подготовки к экзаменам и проведения подготовительных курсов в учебном центре «Эшелон» предлагаю следующий алгоритм.

    Шаг 1. Где я?


    Выяснить в чем хорошо разбираетесь, а в чем не очень. Просмотреть вопросы по всем доменам или пройти пробные тесты. Определить какие домены для вас легкие, а по каким нужно «прокачаться».

    Шаг 2. Что с английским?


    Оцените, хватает ли ваших знаний английского для понимания вопросов и предлагаемых ответов, если нет, включите в свой план подготовки английский язык.

    Шаг 3. Добывание и изучение учебных материалов


    Книги


    Без пары хороших книг подготовка будет просто невозможной. Лучше всего полистать все, какие сможете получить, и подобрать подходящие именно вам, исходя из стиля изложения и актуальности материала (лучше смотреть книги, изданные за последние 2-3 года). Список специализированных руководств по подготовке к рассматриваемым экзаменам приведен в конце статьи. Рад сообщить, что совсем недавно появилась первая российская книга, в которой рассматриваются основные домены экзаменов: «Семь безопасных информационных технологий», и это очередной вклад в развитие информационной безопасности в России от группы компаний «Эшелон».
    Кстати, в Сети можно найти неформальный перевод на русский язык устаревшей версии учебника для подготовки к CISSP Шон Харрис (выполнил Дмитрий Орлов) – пробежаться по вопросам тоже не помешает (на самом старте изучения). Начать готовиться лучше, используя литературу именно на русском языке (для погружения в предметную область), а заканчивать – массированным штудированием примерных вопросов исключительно на английском языке (см. базы вопросов ниже).

    Дополнительные материалы


    По тем областям знаний, где вы себя чувствуете неуверенно, лучше читать дополнительные материалы, которые, как правило можно найти на профильных сайтах (isaca.org, isc2.org, thebci.org, drii.org).

    Глоссарий терминов


    Даже если на Шаге 2 вы оценили, что ваш уровень владения английским языком подходит для сдачи экзамена, не поленитесь и пролистайте глоссарий от ISACA. Обратите внимание, что в вопросах экзаменов зачастую фигурируют слова, перевод которых на русский язык не всегда однозначен (например, control — контрмера, мера минимизации риска, СЗИ, контроль).

    Базы вопросов


    Можно легко найти и приобрести базы вопросов для подготовки к экзаменам, как официальные от ISC2 и ISACA, так и от сторонних вендоров. Базы вопросов могут быть как в виде программ для тестирования, так в виде учебников. Очень полезный материал, позволяющий постоянно оценивать свою готовность к экзамену. Только не рассчитывайте увидеть точно такие же вопросы на самих экзаменах, поэтому заучивать вопросы и ответы наизусть – бесполезная трата времени.

    Курсы подготовки


    Стоит ли идти на специализированные курсы? Стоит, если хотите сразу за пару дней погрузиться в тематику экзамена и увидеть всю картину в целом. Нужно понимать, что никакой курс не заменит самостоятельное чтение книг и решение пробных тестов.

    Длительность этой фазы подготовки, если ни одного подобного экзамена ранее не сдавали, 3-4 месяца (в среднем по часу в день), если опыт успешной сдачи есть и уровень знаний высок, то срок может быть сокращен и до недели (разумеется, в режиме полного погружения).

    Шаг 4. Подготовка в последнюю неделю перед экзаменом


    Как правило, подготовка к экзамену растягивается на длительный срок и в конце можно немножко подзабыть, что изучали вначале. Поэтому целесообразно взять несколько дней отгула перед экзаменом, чтобы пролистать целиком свои материалы. В любом случае, в конце подготовки придется уделить пару дней для зубрежки отдельных технических параметров.

    Пара лайфхаков


    В этом разделе хочется привести несколько идей, которые могут облегчить подготовку и сдачу экзаменов.

    Отбросить бредовый вариант сразу и не тормозить


    Самый распространенный формат вопросов на всех рассматриваемых экзаменах так любимый западным миром MCQ (multiple choice question) – вопрос с несколькими вариантами ответов (как правило, 4). Прежде чем взяться за тренировку с вопросами экзаменов, попробуйте решить обратную задачу – придумать такой MCQ на тему, в которой вы разбираетесь, как никто другой. Вы увидите, что придумать более-менее близкие варианты к единственному правильному не так уж и просто, и вы обязательно включите один вариант, который будет по сути совершенно бредовый. А это значит, что при ответе на вопросы нужно сразу же исключать явно неправильный и искать лучший из оставшихся трех, и в большинстве случаев он виден сразу. Если же не виден, то лучше выбирать наугад и двигаться дальше, и ни в коем случае не зависать на одном вопросе дольше минуты.

    Обращайте внимание на FIRST, LAST, EXCEPT, NOT


    Необходимо внимательно читать вопросы и обращать внимания на слова, влияющие на выбор ответа напрямую: одно дело выбрать из списка контрмеру, которую надо внедрить в первую очередь, и другое дело – в последнюю.

    Стоит ли становиться сертифицированным специалистом?



    Предложение/спрос


    Давайте посмотрим, сколько всего специалистов, обладающих данными сертификатами, кем и где они работают – заглянем в социальные сети и на страницы ассоциаций. В прошлой статье, посвященной интернет-разведке мы уже «пробивали» целую группу пользователей и использовали для этого специальный инструментарий, в этот раз ограничимся простым просмотром результатов поиска.

    В сети Linkedin, к которой сейчас довольно ограниченный доступ, можно найти 539 аккаунтов российских пользователей с сертификатами CISA, 330 — c CISSP и 129 — c CISM.

    Пролистывая профили пользователей, указавших данные сертификаты, можно увидеть, что их обладатели, как правило, занимают руководящие должности в крупных компаниях, многие задействованы в консалтинговой сфере (BIG4, ИТ-интеграторы и т.п.)

    По официальной статистике ассоциаций ISC2 и ISACA сейчас в России всего 200 обладателей сертификатов CISSP, 203 CISA и 60 CISM (данная статистика по CISA и CISM включает только сертифицированных специалистов, являющихся также членами ассоциации ISACA).

    Чтобы понять, а есть ли спрос на подобных специалистов, посмотрим наличие вакансий для людей, обладающих такими сертификатами и уровень зарплат, который им готовы предложить работодатели. Сведем результаты выдачи с сайта HH по нашим ключевым словам (названия сертификатов) в следующую таблицу:


    CISSP


    CISA


    CISM


    Количество открытых вакансий


    41


    47


    26


    Распределение


    по регионам


    Россия 33


    Москва 29


    Украина 4


    Киев 4


    Беларусь 2


    Минск 2


    Санкт-Петербург 2


    Казахстан 1


    Астана 1


    Республика Алтай 1


    Самарская область 1


    Другие страны 1


    США 1


    Россия 34


    Москва 33


    Украина 8


    Киев 8


    Беларусь 3


    Минск 3


    Казахстан 2


    Астана 1


    Алматы 1


    Республика Алтай 1


    Россия 16


    Москва 15


    Украина 5


    Киев 5


    Беларусь 3


    Минск 3


    Казахстан 2


    Астана 1


    Алматы 1


    Республика Алтай 1


    Уровни заработной платы


    Указана 8


    от 195 000 руб — 3


    от 310 000 руб.- 2


    от 370 000 руб.- 1


    Указана 4


    от 195 000 руб. – 1


    Указана 2


    от 125 000 руб. 1



    Очевидно, что в основном такие специалисты востребованы в крупных городах и в особенности в столицах. Уровень зарплат достойный, но, конечно, же зарплату платят не за наличие сертификата, а за работу.

    Анализируя эти данные нужно также помнить, что руководящие должности в крупных организациях часто замещаются без публикации вакансий. Поэтому реальный спрос на таких специалистов несколько выше.

    Вопросы для оценки необходимости стать сертифицированным специалистом


    Давайте сведем в один список вопросы, ответы на которые позволят специалистам в области ИБ решить насколько им необходима сертификация.

    У меня получился такой «аудиторский» чеклист:

    1. Обладаете высшим техническим образованием в ИТ-сфере и средний балл не ниже 4?
    2. На работе занимаетесь проектами по большинству тем экзамена?
    3. Без словаря читаете английские статьи на профессиональные темы?
    4. Есть желание двигаться по карьерной лестнице вверх?
    5. Будет время готовиться вечерами и сможете взять несколько дней отгула перед экзаменом?
    6. Хоть немного ощущаете себя настоящим менеджером?
    7. Готовы к тому, чтобы жить и работать в столице?

    Если на большинство вопросов у вас положительный ответ, то определенно стоит ввязаться в это дело, подготовиться, сдать экзамен(ы), а затем постоянно поддерживать свои знания на достойном уровне.

    Учебники для подготовки к экзаменам


    1. Семь безопасных информационных технологий / Под. ред. А.С.Маркова. М.: ДМК Пресс, 2017. 224 с. Сайт книги:http://security-experts.ru/
    2. CISSP (ISC)2 Certified Information Systems Security Professional Official Study Guide, 7th Edition by James M. Stewart, Mike Chapple, Darril Gibson
    3. CISSP Official (ISC)2 Practice Tests, Mike Chapple, David Seidl
    4. CISA Review Manual, 26th Edition by ISACA
    5. CISA Review Questions, Answers & Explanations Manual, 11th Edition by ISACA
    6. CISM Review Manual, 15th Edition by ISACA
    7. CISM Review Questions, Answers & Explanations, 9th Edition by ISACA
    Эшелон 40,97
    Компания
    Поделиться публикацией
    Комментарии 26
    • 0
      А причем высшее техническое и оценка? Сейчас это ни о чем не говорит.
      Главное что бы человек разбирался в предметной области и умел самостоятельно обучаться и исследовать новые области.
      И конечно же самое главное — опыт :)
      • +1
        Высшее техническое — потому что не каждому человеку с гуманитарным образованием получится легко вникнуть в нашу ИБ-шную тематику, ну и у тех, кто умеет самостоятельно обучаться — оценки, как правило, очень хорошие)
        • +1
          Это не результат образования, а склад ума ;)
          Ох очень спорный тезис :) В моей группе(Специальность — Прикладная математика) хорошие оценки были у пары человек, кто привык зубрить и не отступать от линии партии(препода) ни на шаг. А если вы бюджетник, то готовьтесь, что вас будут выдавливать на платное отделение.

          Думаю для того, что бы вникнуть надо обладать желанием учиться и исследовать, плюс багаж технических знаний и опыт разработки.
      • +1
        в великобритании (да и в США впрочем тоже) без сертификата CISSP, CISA или CISM практически нереально получить работу в инфобезопасности.
        разве только через личные контакты, да и то чаще всего потебуют получить сертификат при первой же возможности.

        эти сертификации указываются работадателями как необходимое требование, потому рекрутеры просто не будут даже рассматривать резюме без буковок.

        • 0
          Если быть более точным, то для работы, связанной с менеджментом ИБ. Для технических специалистов другие сертификаты востребованы.
          • +1
            Ну да, конечно есть специализированные технические сертификации (по penetration testing, или для работы в гос структурах, или по продуктам), но наиболее универсальная это все ж CISSP.
        • +1
          Может подскажите кто в СПб этими курсами занимается?
          • +1
            У нас в Санкт-Петербурге есть представительство «Эшелон – Северо-Запад», на базе которого мы начинаем весной вести ряд наших курсов, если будет интерес к подготовке к CISSP, CISM — проведем и его в прекрасном городе на Неве))
        • 0
          Выборка из linkedIn мне кажется не очень показательной. Не думаю, что большинство людей, получившие сертификаты, там регистрируются.
          • +1
            Альтернативы Linkedin пока нет, к сожалению. Насчет представительности — как сказать, всего 200 CISA и 200 CISSP, при этом есть серьезное пересечение и в Linkedin 50 CISA (25%) и 31 CISSP (15%).
            • 0
              1. Что мешает наврать в LinkedIn?
              2. Цитирую вас: «данная статистика по CISA и CISM включает только сертифицированных специалистов, являющихся также членами ассоциации ISACA» — а если не члены, то их количество неизвестно.
              • +1
                ov7a, а какой Вы предложите вариант для определения того, где работают и чем занимаются обладатели данных сертификатов?
                • +1
                  Не думаю, что вообще есть хороший способ.
                  • +1
                    у вас правильный метод для западных данных. (не знаю как для РФ)
                    LinkedIn — это пожалуй лучший источник, все там есть и по где работают и чем занимаются и чем занимались
                    • 0
                      Поставить опросник на Хабре же
                    • +1
                      наврать в LinkedIn мешает открытость записи,
                      в приницпе любое вранье очень быстро выцепляется либо коллегами, либо рекрутерами.
                      CISSP еще к тому же номерной и проверить по базе ISC2 легко. (и регулярно проверяется)

                      указывать в профиле сертификацию очень важно — просто не будут даже разговаривать по позициям если нет сертификации. (например на эти позиции:

                      ссылка на поиск LinkedIn)

                      поэтому все стараются указать, причем даже не в разделе «сертификации», а в заголовке профиля, для облегчения поиска.

                • +2
                  Готовился по книге Eric Conrad CISSP Study Guide, без курсов. ИТ шный опыт очень помог, сдал с первого раза. Хорошее знание английского в этой области просто необходимо, в вопросах много труднопереводимых слов, хотя можно пользоваться бумажным словарем.
                  В целом сертификация помогает попасть в список приглашенных на собеседование, дальше уже зависит от опыта.
                  • 0
                    В сети Linkedin, к которой сейчас довольно ограниченный доступ, можно найти 50 аккаунтов российских пользователей с сертификатами CISA, 31 — c CISSP и 9 — c CISM.


                    вот 50 циса это крайне странно — тупо в большой четверке в сумме больше сертифицированных человек работает.
                    в поиске вот так выдало — 539 results for CISA
                    • +1
                      Man1ak вы оказались абсолютно правы, видимо вчера, когда я делал эти запросы, был какой-то сбой или у меня кривые руки))) Обновил данные, но теперь стало еще интереснее: по Linkedin у нас сертифицированных специалистов в 1,5-2 раза больше, чем на самом деле (по данным от ISACA и ISC2). Видимо, кто-то забывает убрать сертификат, когда уже «забивает» на его продление, ну а кто-то, возможно, жульничает.
                    • 0
                      Если вы хотите технических знаний — CISSP практически бесполезен. Его называют the widest shallow certification. Грубо говоря область охвата знаний огромна, но по каждой теме едва касается поверхности. Я до сих пор помню что самое интересное для меня при подготовке к CISSP оказалась тема «физическая безопасность» по которой я не знал вообще ничего. CISSP имеет смысл получить только если вы планируете искать работу за рубежом, в РФ о нем мало кто слышал, хотя судя по hh знание начало просачиваться. Еще в статье ничего не упомянуто о адском выматывающем 6ти часовом экзамене состоящем из 250 вопросов — очень тяжело чисто физически, внимание к концу экзамена уже очень сложно сосредоточить, в туалет выходить не рекомендуется, т.к. практически каждая минута на счету. Свой CISSP я получил в далеком 2007м году и входил в первую сотню CISSP в РФ.
                      • 0
                        CISA полезна, так как является на практике пререквизитом к нормальной вакансии ИТ аудитора.
                        Однако, после пары лет опыта, понимаешь, что она наиболее ценна именно в начале профессионального пути.
                        Выборка с ХХ.ру ни о чём, лучше убрать этот недоанализ, чтобы не вводить людей в заблуждение. А то подумают, что CISA получили и можно 200к просить. К нам такие иногда приходят.
                        • +1
                          Мне кажется вообще неправильное представление о сертификациях у многих (даже из комментариев к этой статье). Почему-то считают, что сертификация это получение новых знаний, хотя на самом деле это лишь подтверждение уже существуюших.
                          Именно так сертификации и рассматриваются рекрутерами и работадателями, просто как индикатор уровня профпригодности.
                        • 0
                          Стаж руководителя отдела разработки в зачет по требованиям к опыту не идёт? :)

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое