- Сертификаты в области информационной безопасности: что актуально в рф и за рубежом
- Что выбрать?
- Время и практика
- Еще практика
- Как я сдавал (и сдал) cism. часть 3. необходимый опыт
- О теории
- Подготовка по вопросам
- Российские специалисты по информационной безопасности о пользе и значении сертификата cissp
- Экзамен
Сертификаты в области информационной безопасности: что актуально в рф и за рубежом
Нерассмотренным остался класс сертификатов, которыми в большей мере пользуются технические ИБ-специалисты. Подтверждение квалификации в области администрирования и конфигурации какого-либо оборудования — основная задача сертификатов данного типа.
Поскольку вендоров на рынке представлено великое множество, сперва может показаться, что выбрать некое ограниченное множество действительно значимых сертификатов — задача непростая. В данном случае можно пойти по одному из двух путей:
1. Получить сертификат одного из «мастодонтов» рынка IT — к подобным можно отнести Cisco с сертификациями CCNA, CCNP и CCIE Security, Microsoft с сертификациями MCSA и MCSE, наконец, Red Hat c сертификациями RHCSA и RHCE. Два наиболее существенных плюса данного подхода: а) возможность получения работы в компании, выдавшей соответствующий сертификат; б) признание со стороны профессионального сообщества, как следствие — более высокий интерес со стороны большого числа компаний, находящихся в поиске нового сотрудника с определённым уровнем квалификации.
2. Получить узкоспециализированный сертификат — в качестве примера можно привести сертификат технического специалиста UserGate, аналогичный сертификат для специалиста по технологии ViPNet и так далее. Интерес к подобного рода сертификации обычно возникает в том случае, когда компании необходимо получить доступ к работе с продуктами некоторого вендора — для этого в штате выделяется сотрудник, который проходит необходимый обучающий курс, в результате чего компания достигает свою цель. Если говорить о получении подобного сертификата специалистом исключительно для себя, то в качестве одной из немногих возможных причин видится нацеленность на работу в компании, которой требуется технический специалист, знакомый с оборудованием конкретного вендора. В остальных случаях лучше будет присмотреться к предыдущему «пути».
В завершение хочется сказать о том, что, как и везде, «плохих», «ненужных» или «лишних» сертификатов в сфере ИБ нет — процесс обучения важен для сотрудника любого профиля, как важно и то, чтобы этот процесс был непрерывным. Но рынок, как известно, диктует свои правила, а значит путь ИБ-специалиста в некотором смысле предопределен.
Никита Мулаков
Руководитель направления аудита и консалтинга, Акрибия
Что выбрать?
На этот вопрос вам никто не ответит кроме вас самих. Ваша будущая сертификация зависит от того, в какую фирму вы планируете и по какому профилю. Например, если вы пойдете в российскую фирму-разработчика средств защиты, то вам ни один из перечисленных ваше сертификатов не потребуется.
Если ваша цель – компании большой четверки, то без CISA (а для Ernst&Young еще и CISSP) вам не обойтись. Если вы стремитесь управлять процессами информационной безопасности у своего работодателя, то здесь вам понадобится CISSP или CISM. И, наконец, если вы просто хотите быть хорошим администратором безопасности или входить в группу реагирования на инциденты, то лучше сконцентрироваться на получении «вендорских» сертификатов, SSCP или GIAc .
Если же вы юрист и хотите заниматься расследованиями компьютерных преступлений, то вам понадобятся сертификаты, о которых выше не говорилось: CCCI (Certified Computer Crime Investigator), CCFT (Certified Computer Forensic Technician), CCCP (Certified Computer Crime Prosecutor)
Не стоит забывать, что сертификат только подтверждает ваши знания, а не наоборот. В конце концов, может статься, что если вы сотрудник первого отдела или специалист по борьбе с мошенничеством, то вам скорее подойдет сертификат CCO (Certified Confidentiality Officer) от частного агентства BECCA (Business Espionage Controls Countermeasures Association)
или CFE (Certified Fraud Examiner) от ACFE (Association of Certified Fraud Examiners) соответственно. Эти сертификаты не являются общепризнанными и вряд ли знакомы большинству HR-менеджеров, но зато подготовка к их получению даст вам действительно полезные и нужные на вашей позиции знания.
Стоит ли так стремиться к сертификату? Некоторые готовы построить свой профессиональный и карьерный рост только через призму своего таланта – им не нужны никакие сертификации. Да и многие консультанты по карьере рекомендуют получать не сертификаты, а опыт работы в какой-либо крупной и «серьезной» компании, что гораздо больше влияет на карьеру и рост зарплаты, чем наличие какого-либо статуса.
Но и сертификат не является совсем уж бесполезной вещью. Если у вас нет опыта работы в Cisco, IBM, Ernst&Young и вы не уверены в силе своего таланта, то «бумага с печатью» лишней не будет. Надо помнить, что когда резюме смотрит сотрудник отдела кадров, то у него перед глазами только 4-х и 5-ти буквенные аббревиатуры – опыт по информационной безопасности в резюме не покажешь.
Поэтому при наличии сертификата шансы на первое интервью возрастают. А вот на первом и последующих интервью сертификат уже не будет играть столь важную роль. Хороший менеджер по персоналу будет обращать внимание на немного другие характеристики кандидата – умение работать в команде, мотивация, понимание корпоративных ценностей, готовность к обучению и т.д.
Время и практика
Считаю идеально начать месяца за 4 до экзамена, чтобы:
Мануал достаточно сложен.
В общем, пока я прочитал мануал один раз — уже подзабыл первую главу. Но на второй раз — прочиталось быстрее, и реально отложилось в голове.
Вопросы в финальном экзамене будут совершенно другими. Но сдав все вопросы в тестовой базе, вы пропитаетесь исаковским духом и логикой, и это совершенно необходимо для сдачи экзамена.
Рекомендуется достичь во всех 5ти доменах не менее 80%.
У меня в первом раунде почему-то не получалось выбить более 70%. Вероятно, мой «здравый неправильный» смысл сражался с понятийными ловушками исаки.
Для меня, например, была новой область криптования. Да и вообще, многие технические термины приходилось разбирать в первый раз. Например ДМЗ (ну не знал я что это), виды атак, интернет протоколы.
В группах по подготовке к экзамену люди писали, что они тратят по 4 часа в день на протяжении 2-3 месяцев. Мне кажется это слишком. Жить (и работать) когда?Итак, хорошо бы выделять по часу времени 2-3 раза в неделю на обучение.У меня в один момент не получилось поддержать ритм, и за 2 недели до экзамена я понял, что не успеваю.
Еще практика
Дело в том, что наверное половина всех вопросов на экзамене содержат в формулировке эти слова. Например – what’s the MOST practical approach for information security manager to start with security strategy building. Ну и тд. Поэтому, встретив в мануале most чего-то там — стоит разобраться, что isaca так выделяет.
Часто,
одна и та же вещь объясняется в разных главах по разному
. Приходилось читать и перечитывать, подключать гугл. А какова детальная взаимосвязь BIA (Business impact analysis) и Risk management с точки зрения ISACA я до сих пор не могу объяснить. Да потому что задолбали описывать в каждой секции по своему:-
Поэтому все вопросы (ну кроме самых технических) нужно рассматривать
с позиции менежмента и бизнеса
Например:
Accountability by business process owners can BEST be obtained through:
A. periodic reminder memorandums.
B. strict enforcement of policies.
C. policies signed by IT management.
D. education and awareness meetings. — правильный этот, п.ч. только так работает здравый бизнес.
Еще пример:An information security program should be sponsored by:A. infrastructure management.B. the corporate legal department.C. key business process owners. — правильный этот, п.ч. кто владеет деньгами, тот и музыку танцует.D. quality assurance management.
Как бы очевидно. Структурирует твой разум.
Я использовал майндмэп тул — freemind.
Как я сдавал (и сдал) cism. часть 3. необходимый опыт
Как я сдавал (и сдал) CISM. Часть 3. Необходимый опыт
Я уже начал потихоньку заполнять необходимые документы, подтверждающие мой практический опыт. Об этом необходимом опыте я и расскажу в сегодняшней заметке.
Ранее:
Ну, оплатить 50$ просто (я это сделал кредиткой на сайте ISACA). Далее надо разобраться с подтверждением опыта.
Как многие знают, для получения статуса CISM необходим пятилетний опыт в ИБ, причем минимум 3 года надо быть в роли менеджера по ИБ (“Information Security Manager”). При этом кандидат должен был быть ответственным за программу или процессы управления ИБ. Ну, или выступать в роли консультанта по этим вопросам. Я скорее иду именно по консалтинговому опыту.
И это еще не все. Кандидат должен подтвердить опыт минимум по 3 из 4 доменов сертификации CISM, напомню их:
- Information Security Governance
- Information Risk Management and Compliance
- Information Security Program Development and Management
- Information Security Incident Management
Обратите внимание, что учитывается не весь опыт, а лишь за последние 10 лет.
Есть две возможности сократить необходимые года общего 5-летнего опыта (!но 3 года опыта в управлении ИБ должны быть):
- Можно “скинуть” 2 года если выполняется одно из условий:
- Или можно “скинуть” 1 год при выполнении одного из следующих условий:
- наличие одного полного года опыта в управлении информационными системами;
- наличие одного полного года опыта в управлении общей безопасностью (“general security”, и приводят примеры: “physical security”, “personnel security”, “investigations management”), причем именно в “управлении” (т.е. работа просто охранником “не катит”);
- наличие одного из базовых сертификатов по ИБ (приводится пример GIAC (SANS Global Information Assurance Certification), MCSE (Microsoft Certified Systems Engineer), CompTIA Security , CBCP (Disaster Recivery Institute Certified Business Continuity Professional), ESL IT Security Manager);
- прохождение обучения по программе управления ИБ, соответствующей некоей “the Model Curriculum” (видимо, это какая-то официальная программа обучения).
Есть еще одна “фишка”, про которую мало кто знает. Можно каждые 2 года преподавания (full-time university instructor) менеджмента ИБ зачесть за 1 год опыта в управлении ИБ.
В принципе, мне должно хватить своего опыта, я работаю по профессии с 2007 года (первая должность была “инженер 1й категории сектора защиты информации службы безопасности и режима” в ФПД ОАО РЖД), а с 2008 года я уже попал в консалтинг (в компанию ЛЕТА). Причем в консалтинге занимался именно вопросами управления ИБ.
В общий комплект отсылаемых документов я не буду прикладывать свой диплом (вряд ли он будет засчитан. да и, видимо, его надо переводить на английский), а вот международные сертификаты по ISO 27001, ITIL и COBIT5 отправлю (хотя тоже вряд ли будут учтены, но все же). Российские сертификаты и дипломы о прохождении курсов повышения квалификации отсылать не имеет смысла…
В следующей заметке по теме CISM я расскажу про заполнение анкеты и ее верификацию (подтверждение).
В США летающие микрочипы следят за людьми и вирусами, троян GriftHorse заразил 10 млн Android-гаджетов, а новый робот Amazon оказался настоящим кошмаром. А также еженедельные конкурсы с
О теории
Экзамен сдаётся после самоподготовки. В интернете также предлагают курсы, естественно, довольно дорогостоящие. За пять дней обещают осветить материал всего экзамена. Не буду следовать принципу «не читал, но осуждаю», но для себя подобный вариант отмёл сразу. Поэтому подготовка исключительно своими силами.
Теория представлена пятью доменами, описание которых есть на официально сайте. В каком-то смысле мне повезло, потому что моё профессиональное образование и основной практический опыт попадали в тематику домена Информационная безопасность, удельный вес которого в экзамене составляет почти треть.
Теперь об официальном мануале. Теории много, книга больше 300 страниц мелким шрифтом. Текст довольно живой и отличается в лучшую сторону от сухих стандартов. В начале каждого домена описаны те компетенции, которые в нём освещаются и те практические задачи, для которых эти компетенции необходимы. В конце каждого домена есть проверочные кейсы, чтобы можно было себя оценить, ответив на несколько вопросов.
Информация в мануале очень подробная и полезная. Позволяет взглянуть инженеру на вопросы управления проектами, а управленцам, например, на проблемы управления изменениями. Естественно глубина материала далека от профессиональной литературы, поэтому раздел, посвящённый вашей специализации, будет прочитываться раза в два быстрее.
Выбрав летний экзамен, который должен состоятся в июне, я принял решение начать готовиться за 5 месяцев. Как выяснилось позже – это намного больше чем советуют на форумах. Однако этот подход дал свои результаты, сертификат получен, так что считаю, что выбрал правильный путь.
В большинстве обзоров по подготовке к CISA вы встретите утверждение, что официальных материалов достаточно. Теперь я могу со всей уверенностью подтвердить это заявление, особенно если у вас хороший технический бекграунд.
Однако я
не просто решил
готовиться за 5 месяцев, но и
делал это успешно и почти ежедневно
. Стабильность, регулярность, постоянство — это всё залог хорошего результата (как и в любом обучении). В середине января я оплатил книги, и чтобы без дела не ждать, пока они придут (в моем случае это ожидание длилось более месяца) стал читать мануал 2021 года, найденный на просторах интернета. По уверениям бывалых, большая часть материала за год не изменилась (да и за два, и за три, по сути, тоже).
Ниже пример графика, в соответствии с которым я готовился и мотивировал себя (в колонках диапазон страниц, пустые и вступительные страницы пропускал). В среднем получалось прочитать порядка 4 страниц официального мануала в день, что для иностранного текста мелким шрифтом было достаточно, особенно если не просто читать, а пытаться ещё понять и запомнить. В результате из-за хорошего качества текста и его «живости» мой словарный запас заметно расширился.
Я просчитал, что примерно к маю закончу всю теорию и после этого смогу посвятить полтора месяца изучению базы вопросов.
Примерно так и получилось, однако майские праздники, как водится и как я и подозревал, напрочь выбивают из колеи подготовки, несмотря ни на какую сверх мотивацию.
Подготовка по вопросам
База вопросов состоит из двух частей. Первая — это книга с 100 свежими вопросами (обновляются каждый год), в которой есть подробные пояснения ответов и пара ответных листов как на экзамене, чтобы можно было устроить hardware симуляцию экзамена. Вопросы, как и в экзамене, перемешаны по темам, сложность варьируются от очевидных до сложных.
Вторая — база вопросов, предоставляемая на диске или просто скачиваемая в виде установочного файла размером 76 мегабайт. В случае если вы
живёте в России
не доверяете почте, устали ждать или у вас ультрабук без привода — выбирайте второй вариант. В базе порядка 1100 вопросов, включая те, что есть в бумажном обновлении за год. Если есть желание, то можно на этом сэкономить, не заказывая книжную версию.
каждому
большинству вопросов есть довольно подробные пояснения по ответам. Присутствуют различные режимы обучения, включая интеллектуальную систему Профессор, которая сама выбирает нужные для обучения вопросы (об этом подробнее в моём опыте под спойлером). Также есть режимы выбора вопросов по доменам и различным признакам (не просмотренные, с ошибками и т.д.).
Главная возможность — software симуляция экзамена — 4 часа с обратным отсчётом, 200 вопросов и никаких пояснений по выбору ответа.
Diablo 3 hardcore mode
Базу вопросов я купил ещё в марте, как только она стала доступна (продавать её начали позже чем основные материалы).
Однако я бережно хранил дистрибутив вплоть до майских праздников, считая, что лучше вначале прочитать весь мануал, а потом прогонять сразу все вопросы. Уже после окончания подготовки я подумал, что может быть и стоило отвечать по 50-100 вопросов из базы по каждому домену после того, как прочитал материал из мануала. Возможно это позволило бы чётче усвоить и запомнить основные принципы. Однако не уверен, что это всё не стерлось бы последующими доменами.
База вопросов представляет собой специальную программу, позволяющую отслеживать успехи по ответам на вопросы, выборы режимов тренировок и т.д. Отличный вариант, без него мне кажется нереальным успешно подготовится к экзамену.
База даёт понять основные принципы формирования вопросов, поскольку зачастую вопросы звучат немного не обычно. Как всем известно вопросы в абсолютном большинстве случаев требуют выбрать неправильный не правильный, а наиболее подходящий или, например, наименее сложный вариант. Также по этим вопросам вы поймете основные идеи, вроде: человеческая жизнь превыше всех остальных ценностей и целей (в случае проверки наличия систем безопасности при катастрофах, например), свидетельства аудита должны быть достоверными и надёжными (прежде чем докладывать о каком-либо нарушении необходимо собрать достаточные, достоверные и веские доказательства) и т.д. Эти концепции позволят легче ориентироваться в вопросах, когда возникают сомнения.
Общая концепция тренировки позволяет проходить адаптивный курс Personal Professor, в течении которого программа сама подбирает вам вопросы и домены, смешивая их в пропорции примерно соответствующей экзамену. Также есть возможность отвечать на вопросы отдельного домена и т.д.
Вначале я проходил вопросы по 30-50 штук в режиме Personal Professor каждый день. После ответа программа предоставляет пояснение по правильным и неправильным ответам. Это позволяет усвоить не только принципы «как надо», но и «как не надо», что, безусловно, тоже полезно. таким образом тестирование позволяет изучать материал даже в процессе ответов на вопросы. Однако программа Профессора периодически подсовывает старые вопросы, для закрепления. Повторы составляют порядка 10-20% и это с одной стороны полезно, ведь «повторение — мать ученья». Однако с другой стороны вопросы примелькиваются и после этого голова уже выбирает ответ не на основе размышлений, а вспоминая вопрос.
Я думаю, что в чистом виде запомнить 1100 вопросов с ответами нереально, однако по самому различному набору ассоциаций (длинна вопроса, ключевые слова) перед самым экзаменом (через месяц ежедневных занятий) я отвечал более чем на 50% вопросов на автомате, почти не думая и не читая ответы, а как бы «воспринимая» их (глядя рассеянным взглядом на весь текст на мониторе, как бойцы на ринге, чтобы уловить все движения соперника). Поэтому ближе к концу пришлось немного менять тактику обучения. За неделю до экзамена у меня оставалось порядка 300 вопросов, на которые я ни разу не ответил правильно в течении обучения (либо ошибался, либо программа даже не предлагала мне эти вопросы). Поэтому в последнюю неделю я тренировался отвечая только на те вопросы, которые были не отвечены, программа предполагает и такой режим. Я ставил себе целью ответь правильно хотя бы 1 раз на абсолютно все вопросы.
Были вопросы, на которые я отвечал неправильно раз за разом. Моя логика рассуждений расходилась с мнением специалистов ISACA. Может быть ввиду отсутствия опыта, тонкостей перевода и чего-то ещё. Я честно старался долбить эти вопросы вновь и вновь, пока не пойму и запомню суть правильного ответа.
Также в программе есть возможность симуляции экзамена – 200 вопросов за 4 часа. Я проходил такое тестирование 4 или 5 раз, чтобы потренироваться усидчивости и примерно смоделировать нагрузку. Однако, конечно, такая тренировка даёт лишь примерное представление об экзамене. Обычно я справлялся от 2 с четвертью до 3 часов из положенных 4.
Российские специалисты по информационной безопасности о пользе и значении сертификата cissp
O сертификате Certified Information Systems Security Professional (CISSP) в нашей стране пока известно мало. Между тем он пользуется высоким авторитетом среди специалистов по информационной безопасности ведущих стран мира. Сертификация CISSP — своего рода гарантия, что обладающий ею специалист сумеет выстроить и будет правильно управлять корпоративной политикой информационной безопасности.
Проведение сертификации CISSP в России началось недавно, летом этого года. Первый экзамен был организован в рамках сотрудничества компаний «Микроинформ» и International Information Systems Security Certification Consortium — (ISC)2, которая занимается разработкой содержания экзамена и проведением сертификации CISSP по всему миру.
До этого в нашей стране было всего пять сертифицированных специалистов CISSP. Двое из них согласились ответить на наши вопросы. Менеджер по услугам в области информационных технологий и компьютерной безопасности компании Ernst & Young Николай Петров был первым россиянином, прошедшим сертификацию CISSP в январе 2000 года в Швейцарии.
Что послужило для вас стимулом получить сертификацию CISSP?
Николай Петров (НП):
В то время я работал в одной из крупнейших международных компаний; для таких организаций наличие сертификата CISSP y людей, занимающихся информационной безопасностью, обязательно. В течение полутора лет я оставался единственным обладателем этого сертификата в России. Когда в середине 2001 года, просматривая сайт консорциума
www.isc2.org
, я обнаружил, что в России появился еще один сертифицированный специалист, то очень обрадовался. Для меня это означало, что в нашей стране компании стали проявлять интерес к информационной безопасности, который подкрепляется общепризнанными в мире стандартами.
Иван Личманов (ИЛ):
Идея подтвердить свою профессиональную квалификацию появилась давно. Существует немало различных сертификаций по продуктам тех или иных производителей, но по информационной безопасности в широком смысле, насколько мне известно, лишь несколько. Наиболее престижна, вероятно, CISSP. Этот факт, а также удачный опыт коллеги, сдавшего сертификационный экзамен на звание CISSP, послужили основным стимулом.
Что изменилось в вашей профессиональной деятельности? Как повлияло получение сертификации на развитие вашей карьеры?
НП: Так получилось, что я сменил работу — пришел в международную консультационную компанию «большой четверки», заинтересованную в развитии услуг по информационной безопасности. Мы начинали практически с нуля, предлагая независимую сертификацию в области информационной безопасности и диагностику защиты.
Но сейчас могу с уверенностью сказать, что среди иностранных компаний мы находимся на ведущих позициях в таких областях, как диагностика защиты, расследование компьютерных преступлений, сертификация, внедрение нормативных документов, построение архитектуры безопасности, разработка плана ведения непрерывной деятельности и т. д.
ИЛ: CISSP — основательная проверка теоретических знаний по информационной безопасности вообще, а также хорошая база для развития профессиональных навыков в будущем. Для получения сертификата претендент должен иметь не менее четырех лет опыта работы в области информационной безопасности, что является достаточно объективным подтверждением практических навыков.
На мой взгляд, CISSP имеет ряд особенностей, непосредственно влияющих на развитие профессиональной карьеры: во-первых, это действительно престижная сертификация, во-вторых, в России число специалистов CISSP пока невелико и, в-третьих, в отличие от сертификаций по программным продуктам экзамен на звание CISSP не зависит от какого-либо конкретного решения или производителя.
Ваши впечатления от сертификационного экзамена?
НП: Довольно сложный экзамен, очень много специфичных английских терминов из области информационной безопасности. Вопросы экзамена затрагивают темы из 10 областей компетенции. Хорошо, что, получая высшее образование, я специализировался в изучении криптографии — вопросы из данной области выглядели для меня очень простыми. Однако из 24 человек экзамен сдали лишь 12.
ИЛ: Впечатлений очень много. Экзамен проходит в письменной форме, длится шесть часов и очень строго контролируется. Темп сдачи напряженный. Экзамен можно охарактеризовать так: сложный, но при достаточной подготовке и решимости «штурмовать» каждый из 250 вопросов — вполне реальный для того, чтобы набрать проходной бал.
Что вы делаете для того, чтобы подтверждать сертификацию?
НП: Я посещаю специализированные курсы обучения, так как они необходимы мне для работы, например курсы Extreme Hacking компании Ernst & Young, выступаю на конференциях, посвященных проблемам безопасности. Это не так сложно, если работаешь в данной области.
ИЛ: Для того чтобы подтверждать звание CISSP, можно либо пересдать экзамен через три года, либо за эти три года набрать не менее 120 так называемых СРЕ (Continuing Professional Education). Наличие некоторого количества СРЕ подтверждает, что в течение этих трех лет ваша профессиональная деятельность была связана с информационной безопасностью, а должное их количество — что вы занимались этим направлением достаточно глубоко.
СРЕ присваиваются за обучение, чтение лекций, проведение семинаров, написание статей и пр. В течение полугода с момента сдачи экзамена я прошел курс по анализу рисков, который проводится специалистами MIS Training Institute в «Микроинформе» (этот курс соответствует 22 СРЕ), а также читал в МГТУ лекции, посвященные безопасности операционных систем.
Насколько актуальна подобная сертификация для российских специалистов в области информационной безопасности?
НП: Сейчас половина сертифицированных специалистов в России работает в иностранных компаниях, а другая — в отечественных. Надеюсь, что с каждым годом число сертифицированных специалистов из российских компаний будет расти, ведь CISSP — общепризнанный международный стандарт, и, чтобы компания могла заявить о качестве своих услуг, наличие таких специалистов необходимо.
ИЛ: Сертификация CISSP обязывает поддерживать свою квалификацию и следовать кодексу этики организации (ISC)2. Далее, поскольку существует тенденция к более широкому распространению в России западного опыта и международных стандартов по информационной безопасности, данная сертификация позволяет адекватно воспринимать этот опыт и стандарты, что, на мой взгляд, очень важно в условиях существования обширной терминологической базы, специфичной для России, и не всегда корректных переводов зарубежных источников.
Наконец, сертификация позволяет получить знания по очень широкому спектру вопросов, начиная с физической безопасности и законодательства и заканчивая архитектурными аспектами, криптографией, разработкой программного обеспечения и пр. Я не знаю других сертификационных программ по информационной безопасности с подобной сферой охвата.
Экзамен
Экзамен проводят в 3 раза в год. В 2021 это июнь, август и декабрь. Подробности о сроках закрытия регистрации на экзамен и скидках за раннюю регистрацию можно найти на официальном сайте.
Дело проходит в Москве. Сюда же, судя по всему, приезжают жители стран СНГ, где экзамены не проводят. Своей площадки у российского подразделения ISACA нет, поэтому проводится мероприятие на площадках университетов или других организаций. Июньский экзамен проходил в институте рядом с Белорусской.
Приглашение на экзамен — это документ, без которого к сдаче не допускают. Его высылают почтой и электронным письмом, чтобы можно было распечатать самому. В приглашении подробно описаны строгие правила проведения экзамена, условия
предания анафеме
изгнания с экзамена за нарушения и прочая важная информация. Пить и есть во время экзамена нельзя, да и времени не хватит.
Структура экзамена также подробно расписана на официальном сайте. Вначале устные инструкция, коллективное заполнение экзаменационных анкет и ответы на вопросы. затем все скрывают запечатанные вопросники (которые можно использовать как черновик) и приступают к экзамену.
Приглашения на экзамен, отправленного по почте, я не дождался до сих пор. Наверное, таможенники подумали, что в письме из Америки лежит iPhone. Однако приглашение легко распечатывается с сайта ISACA из личного кабинета.
Из тонкостей
: пишите своё имя на сайте на английском языке. То, что в документе, удостоверяющем вашу личность на экзамене (паспорт), написано по-русски – не проблема. Достоверная информация от технической поддержки.
На экзамене всё далеко не так строго, как было написано в приглашении. Сотрудники обучающего центра, проводившие экзамен, – милые люди, разговаривающие на русском. Отвечают на любые вопросы. Активно помогают. В итоге можно было брать с собой вещи и мобильные устройства (что категорически было запрещено в документе), при условии, что их аккуратно положить рядом со стулом. Я же оставил всё в машине, взяв с собой лишь паспорт, карандаши, приглашение, да ключи от авто. Кому-то даже удалось немножко перекусить. Одного опоздавшего запустили уже после начала oral instruction, хотя второго исключения, думаю, уже не допустили бы. Желающим раздавали беруши и карандаши, если кто забыл.
Старт немножко задержался и экзамен начался минут на 40 позже запланированного времени. 4 часа пролетели почти незаметно и их едва хватило.
Всё что я в итоге успел – это ответить на три четверти вопросов сразу на чистовик. А оставшиеся 50 вопросов с черновика перечитать снова и ещё раз обдумав ответ занести в answer sheet. Всё что у меня осталось – 20 минут. Судя по паре соседей я был не самым медленным, так что времени на самом деле меньше, чем я рассчитывал.
Вопросы на экзамене совершенно другие чем в базе. Не стоит надеяться найти похожие или переиначенные вопросы. Вопросы кажутся сложнее чем в подготовительной базе. Возможно это стресс и условия экзамена. От некоторых вопросов создавалось ощущение, что их тематика даже не освещалась в мануале, хотя уверен, то это не так. А это значит, что 1100 вопросов даже в общих чертах не покрыли весь материал.
В целом на экзамене меньше лёгких вопросов вроде выбора хэш-функции среди алгоритмов шифрования, выбора правильного типа резервного ЦОДа и т.д.
Однако есть небольшая часть вопросов (может 10%-15%), на которые получится ответить руководствуясь теми самыми общими принципами, о которых было сказано выше.
По выходу с экзамена у меня не было абсолютно никакого понимания своих результатов. Я чувствовал, что с совершенно одинаковой вероятность мог, как и сдать, так и не сдать экзамен. Очень необычное ощущение, ставшее следствием сложных вопросов.
Некоторые сдавшие советуют напиться и забыть об экзамене, пока не получите результаты. А если не получается забыть – напиться ещё раз. Мне же удалось просто оградить себя от мутных мыслей и погрузившись работу отстранится от этого, несмотря на регулярные расспросы окружающих о результате.