Pull to refresh
0

Сертификация CISSP: Howto

Reading time 21 min
Views 82K
Привет, Хабравчане!

Недавно я сдал одну из топовых сертификаций в области информационной безопасности: Certified Information Systems Security Professional или кратко CISSP. В процессе подготовки я по крупицам собирал от коллег, а также по разным форумам и сайтам полезную информацию о сертификации и экзамене. «А ведь это может кому-то пригодиться!» подумал я, разбираясь на рабочем столе, и убрал палец с кнопки Delete.
Под катом я расскажу о своем опыте подготовки и поделюсь советами и приемами, которые проверил на себе. Надеюсь, этот материал поможет вам лучше понять, что такое CISSP и стоит ли его сдавать, а также сэкономить драгоценное время в процессе подготовки.


Что за CISSP?


Certified Information Systems Security Professional – это вендорнезависимая сертификация по информационной безопасности от некоммерческой организации International Information Systems Security Certifications Consortium, более известной как (ISC)². Эта сертификация появилась в далеком 1991 году и на данный момент около 70 000 специалистов являются действующими CISSP.
Сертификация CISSP в первую очередь предназначена для консультантов, аудиторов, архитекторов, аналитиков и управленцев в области информационной безопасности (ИБ).
CISSP относят к числу высших сертификаций в области ИБ. Из популярных в России вендорнезависимых сертификаций CISSP идет в одном ряду с CISA (аудитор информационных систем, в том числе ИБ-аудитор), CISM (управленец в области ИБ) и CEH (теоретические основы этичного хакинга). На мой взгляд, последние две сдать несколько проще.
Сертификация включает в себя 10 тем (доменов):

• Access Control
• Telecommunications and Network Security
• Information Security Governance and Risk Management
• Software Development Security
• Cryptography
• Security Architecture and Design
• Operations Security
• Business Continuity and Disaster Recovery Planning
• Legal, Regulations, Investigations and Compliance
• Physical (Environmental) Security

Про сертификацию CISSP говорят, что она 20 миль в ширину и дюйм в глубину. Лучше и не скажешь. Глубоко разбираться в каждой теме не надо, но ваши знания должны ровным слоем без пробелов покрывать все 10 доменов.
Для получения звания CISSP необходимо сдать шестичасовой письменный экзамен из 250 вопросов по 10 доменам, подписать согласие с Этическим Кодексом (ISC)², а также подтвердить как минимум пятилетний опыт работы хотя бы по 2 из 10 доменов с поручительством от специалиста с действующим сертификатом CISSP.

Зачем сдавать?


Я бы выделил следующие основные причины:
Знания. Многие, наверное, слышали заунывные рассуждения о том, что все эти сертификации никому не нужны, не имеют отношения к реальным знаниям и т.п. Мне кажется, что это мнение людей, которые либо не сдавали обсуждаемые сертификации, либо сдавали не то, что им нужно. Наивно полагать, что сертификат = знания или то, что бумажка может заменить реальный опыт. Однако ничто так не упорядочивает знания и не выявляет пробелы, как подготовка к сертификации. Это относится к вендорским сертификациям и вдвойне к таким «концептуальным» сертификациям, как CISSP. Для меня эта мотивация была основной и результатом я доволен.
Трудоустройство. Без сомнения, маститая сертификация в резюме смотрится неплохо, но тут я бы не хотел особо обнадеживать. Абсолютное большинство работодателей в России слыхом не слыхивало ни о каких CISSP, а если компания достаточно зрелая в данном вопросе, то ее будут в первую очередь интересовать реальные знания и опыт, которые скрываются за сертификацией. Исключение тут составляют системные интеграторы, которые постоянно вынуждены доказывать свой опыт заказчикам, предъявляя списки выполненных проектов и те самые сертификаты своих сотрудников.
Профессиональная гордость. Признание профессионального сообщества и коллег. Ну, или, проще говоря, ЧСВ. У военных есть ордена, спортсмены получают черные пояса и КМС, в MacDonald’s вывешивают работника месяца на стену. Думаю, ничего плохого в здоровом честолюбии нет.

Тысяча причин, чтобы не сдавать


Интернет полнится жаркими баталиями на тему необходимости и достаточности сертификации CISSP. Они успеют вам порядком надоесть, пока вы будете готовиться к экзамену. Вы находите ветку форума с обсуждением домена Операционная безопасность и обнаруживаете, что 80% комментариев содержат споры на эту тему. Если у иностранцев принято получить сертификат, а потом хвастаться фотом его сожжения, то у наших соотечественников более популярна позиция «не читал, но осуждаю».
Чтобы принять решение, знать надо все мнения. Поэтому пара ссылок:
Статья и классический холливар в комментариях:
www.infosecisland.com/blogview/22257-Your-CISSP-is-Worthless-So-Now-What.html#!
Древняя статья от нынешней иконы отечественной «бумажной» информационной безопасности Алексея Лукацкого, которая до сих пор висит в топах поисков по рунету:
www.pcweek.ru/infrastructure/article/detail.php?ID=65988
Презентация «Why You Should Not Get a CISSP» (спасибо jekap за наводку):
attrition.org/security/conferences/why_you_should_not_get_a_CISSP-public.pdf#!

Экзамен и подтверждение опыта


Ниже я расскажу о своем опыте сдачи, а пока сухие факты:
Экзамен состоит из 250 вопросов по всем доменам. На него дается 6 часов без перерывов. Получается в среднем по 1,5 мин. на вопрос. Выйти передохнуть, попить водички или в туалет можно только за счет своего времени. К концу от стресса и напряжения выматываешься совершенно, скорость падает. Поэтому реально надо тратить на вопрос не более минуты.
Все вопросы имеют 4 варианта ответа, из которых надо выбрать наилучший. В этом слове вся соль и вся сложность экзамена CISSP. Вопросов на знание какого-то однозначного факта минимум. Почти все вопросы имеют несколько верных ответов, и нужно выбрать самый лучший с точки зрения методологий и лучших практик, входящих в состав курса (этого добра там сотни). Ну и здравый смысл никто не отменял.
Раньше экзамен сдавали на бумаге и проходил он 2-3 раза в год. Однако последний год сдача производится на компьютере и в любое время, когда в тестовом центре есть место. Старые CISSP ворчат о том, что сертификация уже не та. Да, ощущения какого-то особого торжественного ритуала больше нет, но зато сдавать на привычном компьютере куда комфортнее, да и это, на мой взгляд, реально экономит время на экзамене. Раньше надо было переносить ответы из черновика и старательно зарисовывать квадратики напротив ответов. Теперь этого нет, что, как мне кажется, дает сдающему минут 40 дополнительного времени. Однако вопросы проще не становятся, а новые темы каждый год добавляются в курс, так что легко не будет точно.
Сдать экзамен мало, надо еще подтвердить свой пятилетний опыт минимум в 2 из 10 доменах. Это отпугивает многих молодых специалистов или людей, которые раньше трудились в других областях. Однако тут есть пара особенностей, которые помогут приблизить получение сертификации. Высшее образование в области ИБ засчитывается за год опыта. Если образования такого не имеется, то год опыта можно получить за счет получения одной сертификаций из этого списка. Большей частью там всякая экзотика, однако CCSP/CCNP Security у вас вполне может быть, если вы занимались Cisco. А экзамен CompTIA Security+ можно сдать просто в рамках подготовки к CISSP, потому что это о том же, только проще в 10 раз. В списке есть и CISM с CISA, но если они у вас есть, то и с опытом скорее всего все нормально.
Ваш опыт должен подтвердить действующий CISSP. Если такового не найдется, его вам подыщет (ISC)².

Подготовка


Как учил я:
Когда я только задумался о подготовке к CISSP, мне попался блог Дмитрия Орлова, где он выложил полный (ну, почти) перевод на русский 5-го издания книги Шон Харрис «CISSP All-In-One Exam Guide». Труд это поистине титанический, причем выполнен он на высочайшем уровне. Отличный русский язык, внимание к терминам и форматированию. Читать – одно удовольствие. Снимаю перед Дмитрием шляпу.
Однако моей целью была сертификация, а сдать английский экзамен, прочитав русский учебник, думаю, почти невозможно. Поэтому русскую версию я не спеша прочитал до начала подготовки, пытаюсь вникнуть в общую суть.
Поиск книг на Amazon по слову CISSP выдает множество учебников, сборников вопросов и т.п. Но основные учебники – это официальный гайд от (ISC)² и книга от той самой Шон Харрис (да, Шон — женщина — см. фото справа). В конце 2012 г. в продаже должны были появиться новые издания этих книг. Я дождался этого момента и в феврале, через неделю после заказа на Amazon, обе книги лежали у меня на столе. Два тяжеленных кирпича по 1500 стр. намекали на то, что пора браться за дело.
И тут я совершил свою главную ошибку. Не прислушившись к советам коллег на форумах, я решил, что прошлое издание книги Шон Харрис я уже читал на русском, а Official (ISC)² Guide наверняка более полно охватывает темы экзамена, поэтому основным учебником был выбран именно он. Это была большая глупость. Official (ISC)² Guide не просто написан менее понятно, чем книга Харрис. Он написан просто ужасно. Материал подан неудобно, путано, нелогично. Нумерации у глав нет, а стиль заголовков меняется произвольно по ходу книги, поэтому непонятно, что во что вложено. Встречаются перепутанные или повторяющиеся абзацы. Орфографические ошибки есть даже в названиях глав (доменов)! Традиционно описание протокола RADIUS во всех книгах по ИБ почему-то очень кривое, но здесь были побиты все рекорды. На форумах высказывалось мнение о том, что английский язык и термины в Official (ISC)² Guide ближе к экзамену, но и это мне кажется сомнительным (экзамен и книгу готовят разные люди). Я бы рекомендовал вообще не тратить деньги на эту книгу, даже как на второй источник информации.
Экзамен я заказал на 4 июня, поэтому у меня было 3 месяца на изучение. Если бы до этого я не прочитал русскую версию учебника, времени бы не хватило. Рекомендую заранее составить план обучения. Это позволит отследить отставание от плана намного раньше. Если учить по 2-3 часа в будни и по 6-8 часов в выходные, то один домен можно выучивать за неделю. Плюс в конце изучения все необходимо повторить и прорешать как можно больше тестовых вопросов. У меня не было возможности учить на работе, в выходные всегда находились какие-то дела, поэтому из графика я выбился почти сразу. В итоге в мае был взят отпуск между праздниками, а до конца месяца пришлось превратиться в затворника.
Очень многие сдают этот экзамен не с первого раза именно потому, что сначала ошибочно полагают, что можно прочитать учебник и идти сдавать. При таком подходе шансов сдать практически нет. К концу книги первые домены испаряются из памяти совершенно. Поэтому я решил писать конспект на английском, а в конце повторять по нему и прорешивать вопросы. В конспект писал только то, чего не знал или боялся забыть. Вышло полторы тетради на 80 листов убористым почерком. Тут дело в том, что учебники по CISSP сами по набивке материалом больше похожи на конспекты. Если Шон Харрис еще позволяет себе изредка лирические отступления и примеры из жизни, то Official (ISC)² Guide просто строчит фактами, как пулемет.
Помимо этих книг пользуются популярностью следующие источники информации:
www.logicalsecurity.com/education/education_cbt.html — видеокурсы от Шон Харрис. Я никогда не понимал, как люди учат сертификации по видеокурсам: очень много времени тратится, а глубина все равно недостаточная и читать книгу придется в любом случае. Однако курсы пользуются неизменной популярностью. Возможно, и вам этот формат подойдет.
www.amazon.com/CISSP-CAP-Prep-Guide-Platinum/dp/0470007923 — многие хвалят книги Рональда Крутца по подготовке к CISSP. Я оценить не имел возможности. Эта книга часто называется в качестве альтернативы учебнику Шон Харрис, так как Шон большая любительница лирических отступлений и детского юморка, что некоторых выводит из себя.
www.amazon.com/CISSP-Study-Guide-Second-Edition/dp/1597499617 — книгу Эрика Конрада отличает краткость и четкость. Подготовленный читатель может использовать ее для обучения, обращаясь к другим гайдам за дополнительными подробностями. Спасибо за рекомендацию bugaga0112358.

Прорешивание вопросов

Невероятно важным в подготовке является прорешивание как можно большего количества вопросов по всем 10 доменам. Это позволяет выявить слабые места, которые точно будут даже после самого тщательного изучения книжки, а также привыкнуть к формату экзамена.
Вопросы есть в учебниках после каждого домена плюс с книгой Шон Харрис идет диск с 1400 вопросами. Минусом вопросов в учебниках по любым сертификациям является то, что вопросы там даются на знание текста только что прочитанной главы, а не «как на экзамене». Те, кто сдавал экзамены Cisco, меня поймут.
Поэтому я купил за 40$ полугодовую подписку на тестовые вопросы сайта www.cccure.org и впоследствии не пожалел об этом. Движок с вопросами удобный, хоть и немного тормозной. Хорошо работает на планшете или телефоне, поэтому нарешивал вопросы я исключительно лежа на диване или греясь на весеннем солнышке на балконе. Часть вопросов на сайте бесплатные, поэтому перед покупкой вы можете все сами оценить. Правильный ответ поясняется очень подробно. Даются большие куски теории и внешние ссылки.
К экзамену я прорешал чуть более 1700 вопросов по всем доменам (это совсем немного, на большее не хватило времени), что позволило сильно взбодрить знания. Бывалые рекомендуют доходить по каждому домену до 80% и только после этого считать, что вы подготовились. Поверьте, это непросто. Я брался за домен, который считал хорошо изученным, и получал процентов 60 и легкий шок. Это хорошо отрезвляет и уничтожает иллюзии о том, что прочитав 1 раз книгу, вы все будете знать.
Все интернеты забиты сообщениями о том, что любые вопросы хороши, но вопросы реального экзамена все равно ни с чем по сложности не сравнить. Мне так не показалось. На мой взгляд, вопросы с www.cccure.org даже несколько сложнее экзаменационных. Кроме того, на экзамене не встречаются откровенно идиотские вопросы, которые попадаются во всех сборниках (в стиле «какой вес должен выдерживать пол под каждой из 4 ножек несгораемого шкафа класса 3 по бразильской классификации 1973 г.»).
Тестовые вопросы помогают свыкнуться с форматом экзамена и это сильно экономит время и нервы в реальном «бою». Глаза привычно пробегают по тексту вопроса, мозг почти автоматически отбрасывает неверные ответы, как он уже делал пару тысяч раз, вы настраиваетесь на рабочий лад и щелкаете вопрос за вопросом, не отвлекаясь ни на что.
Вот еще пару источников тестовых вопросов:
www.isc2.org/studiscope/default.aspx — вопросы от авторов экзамена. Стоят непомерно дорого и самих вопросов совсем мало. Если есть лишние деньги, можно купить.
booksite.syngress.com/companion/conrad — бесплатные вопросы от Эрика Конрада, автора книги и подкастов по подготовке к CISSP.
www.amazon.com/CISSP-Practice-Exams-Second-Edition/dp/0071792341 — книга Шон Харрис с дополнительными тестовыми вопросами.

Интернеты

На 3 сентября 2013 г. действующие сертификаты CISSP в России имело 184 человек (всего 84730). Беларусь, Украина и Казахстан добавляют еще 1, 16 и 7 человек соответственно. Даже суммарно у нас CISSP меньше, например, чем в Малайзии, Ирландии, Польше или ЮАР. Отсюда вывод: искать толковые материалы и информацию на русском не слишком хорошая идея. Лучше сразу идти на англоязычные ресурсы.
Материалы не особо экзотические, поэтому гуглится практически все. Как верно заметил один из готовящихся, «Google is my wife, and Wikipedia is my mistress». Пообщаться с коллегами, задать вопрос или почитать об опыте сдачи экзамена можно на форуме сайта cccure.org или в тематических группах в Linkedin (там действительно мощные комьюнити, много людей, уже сдавших и помогающих новичкам, даже сама Шон Харрис появляется иногда).

Полезные ресурсы

securhotel.blogspot.ru — блог Андрея Шишкина, где он выкладывает mindmap по доменам CISSP. Последние годы все просто без ума от mindmap, но я лично предпочитаю старые-добрые конспекты.
www.securityhelp.ru/cissp/naiz.pdf, www.securityhelp.ru/cissp/Overley_Updated.pdf — «Шпаргалки» по курсу, удобные для повторения материала в транспорте, например.
securitycerts.org/review/cissp-acronyms.htm — Список сокращений по всем доменам. Полезно при повторении материала.

Очное обучение


На западе очень популярно обучение в формате Boot Camp. Мы тоже не отстаем.
Навскидку, подготовку к сдаче CISSP проводят как минимум в 2 учебных центрах в Москве: Микроинформ и Эшелон. Микроинформ был первый в этой области (раньше, когда экзамен был на бумаге, его там и сдавали), а у Эшелона было интересное предложение по обучению после работы.
Реклама утверждает, что курсы подготовят вас к экзамену наилучшим образом. Однако переоценивать очное обучение не стоит. Материала так много, что никакой курс его вам не даст. Идти туда нужно уже частично подготовленным, чтобы задать вопросы и послушать советы бывалых.
Мое личное мнение: такое обучение рационально, только если вас туда отправляет ваша компания. То есть как альтернатива сидению в офисе это эффективно, но за ту же неделю самостоятельного обучения дома вы выучите раз в 10 больше.

Заказ экзамена


Экзамен заказывается через систему Pearson VUE (я заказывал за $599). Предварительно надо зарегистрироваться на сайте www.isc2.org и получить ID.
Я бы рекомендовал заказать экзамен в самом начале подготовки, чтобы четко обозначить для себя момент окончания этой работы. Это поможет собраться и раньше начать интенсивно готовиться. Иначе подготовка может растянуться навечно.
В Москве на данный момент можно сдавать в двух центрах тестирования (в Академии Народного Хозяйства на Юго-Западной и в центре ACET на Октябрьской), также есть центры в Питере и Киеве.
Тестовых центров так мало, потому что требования к ним повышенные. Таких мер безопасности я не видел ранее ни на одном экзамене.

Описание того, как я сдавал экзамен, получилось у меня уж слишком в стиле ЖЖ, не особо, думаю, уместном на Хабре. Тем, кому неинтересно читать душещипательный лытдыбр, предлагается сразу перейти к разделу Tips.
Как сдавал я

Перед экзаменом


Все советуют в последний день не готовиться, а отдыхать и хорошенько отсыпаться. Мол, если вы не знаете, то поздно надрываться. Главное, чтобы на экзамене мозг был отдохнувший.
Этот совет не для меня. Я всегда повторяю материал накануне перед сном. Весь вечер перед экзаменом я перечитывал свои конспекты и повторял классификации.
Днем я купил небольшой перекус и воду, сходил в книжный за бумажным словарем. Правилами разрешено принести на экзамен словарь общей лексики (специализированные запрещены). Словарь проверяют на то, чтобы в нем не было шпаргалок, а также на то, что в нем дается только переводы слов и нет развернутых словарных статей.
К концу дня я понял, что спасаться от жары холодным соком было не очень хорошей идеей – я заболел.

День экзамена


В ночь перед экзаменом у меня разболелось горло так, как не болело никогда. От боли я не мог уснуть до 4 утра. Потом обезболивающее и Колдрекс победили и я уснул. В 8 утра я проснулся совершенно больной, позавтракал, выпил еще Колдрекса и полный мрачных мыслей отправился на экзамен. К перекусу и воде прибавились капли в нос и таблетки.
Я сдавал в ACET на Октябрьской. Я заранее уточнил по телефону, как их найти и сделал это не зря: центр прямо у метро, но найти его с первого раза не так просто.
Служащая центра оказалась очень вежливой и приятной бабушкой, которая, однако, тщательно проверила мои карманы, забрала все вещи и часы и проверила 2 документа, удостоверяющие личность (это может быть российский паспорт, загран, права, кредитка – главное, чтобы хотя бы на одном была фотография). В зал можно вносить только 1 документ и словарь. Даже капли в нос не дали взять. Только платок.
Тебе выдают «смываемый» блокнот, маркеры к нему и беруши. Служащая также выдала мне желтые строительные наушники на случай, если шум в зале будет сильно мешать и беруши не помогут (там несколько машин — люди сдают самые разные экзамены). На деле там было очень тихо все время экзамена, никто не шумел.
В зале ты сидишь под камерой, которая снимает тебя сверху. На столе всегда должен лежать паспорт. Для входа и выхода из зала нужно прикладывать руку к сканеру, чтобы исключить возможность подмены сдающего во время выхода в туалет, например. Кстати, туалет там тоже отдельный, чтобы сдающий не мог выйти с контролируемой территории. Там камер, вроде, не было:)
Мой план был такой: отвечаю на вопросы 3 часа, затем, между 3 и 4 часом, делаю перерыв минут на 10 (туалет, вода, шоколадка). И снова в бой. Делать много перерывов довольно глупо: многим не хватает времени (1,5 мин. на каждый из 250 головоломных вопросов – это очень мало). Производительность стремительно падает к концу, поэтому за первые 3 часа надо ответить, думаю, минимум на 150 вопросов.
Я решил избегать откладывания вопросов на потом, оставив эту возможность на самый крайний случай.
Когда я еще студентом сдавал свой первый экзамен по Cisco, мне вторым же вопросом попалась лаба, которая безбожно глючила (почти все рассказы про экзамены Cisco начинаются со слов «Лаба глючила»). Я возился с ней очень долго и начал по-настоящему нервничать, когда по истечении 25 минут я был все еще на втором вопросе. Благо, потом удалось нагнать график. На этом экзамене первые вопросы наоборот помогли мне успокоить нервы и приступить к работе. Формат вопросов был очень привычен после прорешивания учебных заданий с cccure.com, а сложность их мне показалась даже ниже.
Следующие 3 часа я работал, как машина. Полностью сосредоточился на экзамене. В зал периодически входили и выходили люди, но я их почти не замечал. Сердце колотилось ускорено, но ровно. Из-за адреналина в крови ощущение было такое, будто я только что залпом выпил банку энергетика. Видимо, из-за долгого напряжения последних недель подготовки, кульминацией которых был этот экзамен, теперь я чувствовал какую-то необычную суровую решимость. Даже если я не знал ответа, я быстро и без колебаний выбирал лучший, на мой взгляд, ответ и шел дальше.
В результате через 3 часа я перевалил за 200 вопросов, значительно опережая план. Но и нервы мои уже пахли подгорающими контактами. Я решил сбавить скорость и спокойно дойти до конца экзамена. Тут болезнь и взяла свое. У меня болела голова и поднялась температура. Каждые следующие 10 вопросов давались мне с огромным трудом. Внимание рассеялось. В какой-то момент мне даже стало тяжело читать словарь. Строки разбегались, а белые страницы начали плыть разными цветами. Мышцы ломило, даже сидеть стало очень тяжело.
Я понял, что если сделаю перерыв и выйду, то вернуться обратно будет очень сложно. Поэтому дотянул до конца экзамена, медленно отвечая на последние вопросы. В итоге через 4 часа после начала экзамена я добрался до 250-го вопроса и нажал на кнопку окончания теста.
Не думаю, что создатели экзамена сознательно хотели так жестоко подшутить над сдающими, однако финальное окно, думаю, может вызвать у особо чувствительных сдающих нервный припадок. Оно начинается с фразы «Поздравляем вас…». Но не спешите танцевать «Яблочко» на столе. Поздравляют вас с окончанием теста. Результат распечатывается автоматически на принтере работника центра.
Осознание того, что я сдал, и радость от этого пришли только уже за дверями тестового центра. В процессе подготовки я надеялся отпраздновать успех (при хорошем раскладе), растянувшись на солнышке на летней веранде какого-нибудь кафе сразу после экзамена, лениво потягивая из кружечки. На деле я еле дополз до дома, упал в кровать и провалялся в ней без малого неделю с жесточайшим гриппом. Благо, потом был отпуск и я все же отдохнул хорошенько.


Tips…


Решил выписать несколько полезных, на мой взгляд, советов по сдаче экзамена.
1. Учить надо «с запасом». История выше должна была проиллюстрировать эту мысль. Вы можете заболеть, разволноваться на экзамене, вас будет что-то отвлекать в тестовом центре (шум, люди и т.п.). Кроме того, вопросы экзамена обновляют чаще, чем учебники. То есть будет некоторый процент вопросов, которые в учебнике не освещались вообще.
2. Вопросы, особенно длинные, с большим объемом информации, лучше читать с конца. Сначала сам вопрос, а потом данные. Иначе можно пробираться через текст объемом в страницу А4 с кучей подробностей и цифр и обнаружить в конце, что вопрос чисто методический и вся информация выше совершенно не нужна. А бесценное время потрачено.
3. Вопросы, вызывающие сомнения, можно помечать, чтобы вернуться к ним в конце. Мой совет: обязательно проставьте самый вероятный ответ сразу. Времени вернуться может не быть, поумнеете к шестому часу вы едва ли, да и интуиция во многих методических вопросах очень помогает.
4. Вопросов, на которые вы можете сразу дать правильный ответ, совсем немного. Вопросы в стиле «Какая длина хеша MD5?» или «Как называется технология логического разделения локальной сети на широковещательные домены на уровне коммутаторов?» процентов 10, не больше. На них надо тратить по 5 секунд, чтобы успеть ответить на большую часть вопросов, где верных ответов 2-4 из 4 и надо выбрать лучший. Здесь надо действовать от обратного и сразу вычеркивать мысленно неверные ответы. Вроде бы это очевидный совет, но по себе скажу, что после третьего часа внимание начинает рассеиваться и ты ловишь себя на том, что перечитываешь снова и снова варианты, которые уже отбросил. Надо жестко себя контролировать. Вычеркнул вопрос – его больше для тебя не существует.
5. Попробуйте заранее порешать тестовые вопросы с таймером, чтобы убедиться, что времени на сомнения и долгие раздумья нет. Вы забуксовали на 1 вопросе, а в результате вам не хватит времени на 3 вопроса куда проще. Действовать надо решительно. Не знаете точно, еще раз перечитайте вопрос, там могут быть подсказки. Все равно не знаете – интуиция помогает выбрать из 2-3 наиболее вероятных ответов. На долгие сомнения и рисование закорюк в блокноте времени не будет.
6. Есть фундаментальные концепции, которые проходят красной нитью через все 10 доменов. Их надо всегда иметь в виду. Основное:
a. Жизнь и здоровье человека всегда ценнее всего. Никакие данные или правила не могут быть важнее человеческой жизни (даже жизни нарушителя).
b. CISSP – это не инженер, админ или пентестер. Это в первую очередь менеджер, который налаживает управляемый процессный подход к безопасности в организации и мыслит в плоскости стоимости владения, рисков, ценности активов, законодательства и т.п. Помните об этом, и ответить на многие вопросы станет намного легче.
7. Не зря от претендентов на звание CISSP требуют 5 лет работы по специальности. Реальный опыт очень помогает. Однако надо быть осторожным. При сдаче экзамена всегда предпочитайте концепцию из книжки реальному опыту. Судя по холиварам на форумах по сравнительно простым вопросам из курса, кривой реальный опыт очень многим мешает отвечать на вопросы верно. CISSP сдают, чтобы упорядочить знания и усвоить ключевые концепции. Чем ломать копья в форумных перепалках, лучше подумайте, почему ваш опыт отличается от концепции и что вы можете улучшить в своей работе.
8. Раньше экзамен CISSP обвиняли в том, что вопросы были очень сильно ориентированы на американское законодательство. Когда я видел в тестовых вопросах что-то вроде «В чем суть четвертой поправки к конституции с точки зрения ИБ?» я приходил в тихий ужас. По моим ощущениям, сейчас процентов 40 сдающих – это спецы из Индии, Пакистана и т.п. (как правило, из большой аудиторской четверки). Поэтому экзамен хорошо почистили от американской специфики. Из этого следует правило: ответы на вопросы должны быть универсальными. Если не указано, например, что в стране прецедентное право, то ответ должен подходить под любую распространенную систему права.
9. Многие вопросы бывают очень замысловатыми (это вам не Cisco или Microsoft). Всякие двойные отрицания («как не следует поступать, чтобы не допустить… ) и лишняя информация не должны вас сбивать. Мысленно переформулируйте вопрос проще (например, нет+нет=да).
10. Для сдачи экзамена важно хорошо знать английский и далеко не только технический. Однако свои пробелы в знании языка можно неплохо компенсировать, читая учебники по CISSP и решая тестовые вопросы. Очень важно четко понимать разницу между «ключевыми словами» и особенности их применения: must, should, may, most, least, enough и т.п.
11. В вопросах встречаются финансовые и управленческие термины, которые технарю могут быть не совсем ясны. Я понял это на этапе подготовки и потому активно консультировался с гуглом, а также со своей мамой (бухгалтером) и девушкой (финансовым аудитором) по вопросам, связанным с оценкой материальных и нематериальных активов, выручкой, доходами, амортизацией, акциями и т.п. Узнал много нового.
12. У (ISC)² есть Этический Кодекс ((ISC)² Code Of Ethics). Зачастую его игнорируют, просто подписывая, как очередной agreement. Это большая ошибка. Кодекс необходимо знать практически наизусть (благо он совсем коротенький) и отталкиваться от него в вопросах, связанных с этикой и принятием решений.
13. Как не все йогурты одинаково полезны, так и не все домены одинаково важны. Обычно рекомендуют уделить особое внимание следующим доменам: Information Security and Risk management, Access Control, Security Architecture, Telecommunication and Network Security, BCP and DRP. Однако по моим ощущениям вопросов хватало по всем доменам.

… & Tricks


Поговорим про читеров.
Традиционно в России многие экзамены сдаются путем «дампинга», то есть заучиванием наизусть ответов на украденные вопросы экзаменов. На Западе ситуация немного другая (у них получше с пониманием необходимости личного профессионального роста, да и с работы могут попросить, если обман вскроется), но халявщиков все равно пруд пруди. Все популярные сертификации (те же Cisco, Microsoft) можно сдать, вообще ничего не зная. Один знакомый знакомого сдал двухчасовой экзамен за 15 минут, потому что выучил ответы на вопросы по первым буквам – ему даже не пришлось их читать на экзамене. Американцы запросили видеозапись из учебного центра, но шпаргалок у него не было, поэтому сертификат пришлось дать. Такой бы талант, да в мирное русло…
При этом дампы даже не обязательно покупать – ворованные вопросы воруют повторно у продавцов и выкладывают в интернет.
Когда CISSP сдавался на бумаге одновременно во всем мире, заранее украсть вопросы было практически невозможно, потому что они готовились заново для каждого нового экзамена. Теперь же ситуация изменилась. Организаторы экзамена понимают, что самое слабое место – это учебные центры. Поэтому сдавать экзамен можно в очень небольшом числе УЦ с повышенными мерами безопасности. Однако «сливы» скорее всего все равно будут. Надеюсь, это не дискредитирует сертификацию в будущем.
По данным с форумов, летом актуальных дампов в открытом доступе или в продаже не было. При этом есть куча фейковых сборников вопросов, составленных из заданий из учебников, древних экзаменов и прочего хлама. Видел умилительный комментарий под дампом из 215 вопросов: «Спасибо огромное, я сдал на 1000 из 1000! Дамп полностью корректен!». Учитывая, что в экзамене 250 вопросов (из базы неизвестного размера), а баллы при успехе не сообщаются, верится с трудом. А кто-то наивный может и потратить зря деньги и попытку сдачи.
Дампы, конечно, могут быть использованы как бесплатный источник пробных вопросов сомнительного качества, однако это полностью противоречит кодексу этики CISSP. Решайте сами.
Теперь о шпаргалках. Протащить шпоры на экзамен, наверное, можно, но использовать их будет очень проблематично. В тестовых центрах действительно следят за этим внимательно (в отличие от УЦ, принимающих «обычные» экзамены). Да и времени не хватит. Как верно заметил один мой коллега, даже наличие компьютера с интернетом совершенно не поможет в сдаче экзамена. С необходимой для сдачи скоростью могут работать только ваши мозги.
Надеюсь, написанное выше отобьет у вас желание вставать на скользкую дорожку обмана. Честно сданный экзамен такого уровня позволит вам самим зауважать себя немного больше.
А это стоит любых трудов.



После экзамена


Если вы не сдали

CISSP часто не сдают с первого раза, убиваться по этому поводу не стоит. Как правило, после экзамена люди сами понимают, почему они не сдали. Плюс проблемные темы будут выделены в протоколе экзамена.
Первая пересдача возможна через 30 дней, затем интервалы растут: вторая — через 90 дней, третья — через 180. Если вы не сдали 2 раза, значит вы что-то делаете не так. На форумах, конечно, встречаются печальные посты в духе „сегодня я сдаю 5-й раз, если не сдам, не знаю, стоит ли жить дальше“. Но они не должны наводить уныние. Обычно после провала человек просто осознает, что учил недостаточно, впрягается в учебу с двойной силой и сдает со второго раза. Ну или бросает это дело.

Итак, вы сдали

Вы еще не CISSP. Вы CISSP Associate. Правила строго запрещают на этом этапе именовать себя CISSP где-либо. Наказание — пожизненный запрет на сертификацию.
Через пару рабочих дней после экзамена вам на почту прилетят поздравления и описание множества возможностей, которые перед вами теперь открылись: участие в тематических тусовках и конференциях, подписки на закрытые издания, разные сервисы для „членов клуба“ и т.п. Самое интересное в конце — как, собственно, получить долгожданный сертификат.
Не раз читал кокетливые замечания о том, что экзамен — лишь первый этап, а сама сертификация начинается дальше. Не думаю, что оформление пары бумажек требует такой торжественности.
Вам потребуется написать резюме на английском с данными об опыте по доменам (это основное — на это упор), образовании, других сертификациях и публикациях, которые у вас есть. Второй документ — Endorsement form. В нем должна стоять подпись действующего CISSP, подтверждающего данные из вашего резюме, а также в целом то, что вы человек достойный и положительный.
Данные резюме могут быть дополнительно проверены. Например, у меня запросили скан диплома (высшее образование в области ИБ я зачел за год опыта, так как мне не хватало 3 месяцев до 5 лет).
Если вы еще не набрали нужного опыта, вы можете оставаться в статусе CISSP Associate, пока не наберете недостающие год-два.

Поддержание сертификации

Экзамен не надо пересдавать для поддержания статуса CISSP. Вместо этого необходимо платить ежегодные взносы Annual Maintenance Fee (AMF) и набирать балы профессионального обучения Continuing Professional Education (CPE). AMF сейчас составляет $85. CPE даются за обучение по специальности, посещение конференций, чтение профессиональной литературы и т.п. Больше всего баллов дается за выступления и преподавание в области ИБ. Надо набирать не менее 120 CPE за 3 года, и не менее 20 СРЕ за каждый год. На первый взгляд кажется, что это очень много, но на деле получается, что если вы реально работаете по профессии, то набрать эти баллы не так уж сложно.

Что дальше?

Многие задаются этим вопросом, после того как сдают CISSP. Прямого пути «выше» нет. В своем классе данная сертификация большинством признается наивысшей. Поэтому логично развивать специализации, которые актуальны для вас.
У (ISC)² есть несколько специализаций для CISSP, но они не особо популярны у нас.
Если вы аудитор или управленец, то можно взглянуть в сторону сертификаций от ISACA. Сертификации CISA и CISM популярны и хорошо известны в России. Не слышал, чтобы кто-то сдавал маститые CGEIT (Governance of Enterprise IT) и CRISC (Risk and Information Systems Control).
У ИБ-спецов (особенно аудиторов) довольно популярны сертификации по ISO 27000, PCI-DSS, ITIL, COBIT и т.п. Но если вы занимаетесь этими направлениями, мои советы, думаю, вам уже ни к чему.
В области тестов на проникновение популярна сертификация CEH от EC-Council. Редкий специалист по penetration tests избежал соблазна потешить свое эго, пройдясь по ней паровым катком критики. Однако если воспринимать CEH как некий baseline и сборник методологий (журналистам нужны скандальные взломы и 0-day, а корпоративным клиентам – в первую очередь предсказуемое и воспроизводимое тестирование), то он совсем неплох.
Вендорские линейки сертификаций выбираются по специализации. Наиболее популярны (не случайно, конечно) сертификации в области ИБ от Cisco и Microsoft. Свои сертификации есть у любого более-менее крупного вендора.

Заключение


Материал получился объемным, но, думаю, человек, вступивший на нелегкий путь подготовки к CISSP, найдет время для его прочтения и в итоге сэкономит немало времени.
Желаю вам сдать с первого раза. А для этого нужно учиться по правильным учебникам, а не на своих ошибках. Надеюсь, статья вам в этом немного поможет.
Рад буду ответить на вопросы и дополнить статью вашими материалами.

Янкин Андрей, CISSP
Tags:
Hubs:
+25
Comments 33
Comments Comments 33

Articles

Information

Website
it.ru
Registered
Founded
Employees
1,001–5,000 employees
Location
Россия