Сертификация ISACA Certified Information Security Manager или по простому CISM

Идея сертифицироваться появилась в прошлом году. Ранее довольно скептически относился к разным видам сертификаций, воспринимая их как один из видов заработка денег для крупных компаний. Приходилось сталкиваться как с самими сертификациями, так и с людьми, которыми они были "обвешаны", но по факту в практике мало, что понимали. Положительных эмоций это не добавляло. И все таки, в один момент решился. Наверное, захотелось закрыть своего рода гештальт.

Так вот, решив сертифицироваться, начал смотреть, что "по душе". Выбор пал на сертификацию ISACA Certified Information Security Manager, благо реального опыта в части управления в информационной безопасности накопилось достаточно.

Начал собирать материал для подготовки. Получилось "не густо". CISM Review manual 11th edition 2014 года, CISM Review manual 15th edition 2017 года и CISM Review Questions, Answers & Explanation Manual 9th edition 2016 года. С одной стороны, конечно все могло безнадежно устареть, с другой стороны, обучаясь по курсам Microsoft, Cisco и т.д. я давно пришел к выводу, что учебные пособия, написанные ранее, обладают более цельным подходом и наполнением. И за базу лучше брать ранние издания, а как повтор или углубленное изучение уже использовать свежие выпуски.

Решив пойти самым легким путем перевел на русский язык первое издание (CISM Review manual 11th edition 2014 года). Прочитал я его достаточно быстро (две недели), сделав для себя несколько выводов:

• особенно ничего нового я не обнаружил для себя

• на вопросы из Review Questions, Answers & Explanation Manual отвечал с 70% успехом (по плану был 80%)

Дальше вмешались "высшие силы" - была большая нагрузка на работе и когда вернулся через месяц к учебе решил пойти немного по другому пути, а именно, охватить два домена (домены II и III) отдельно, т.к. они казались самыми непонятными при ответах на вопросы. В этом вопросе мне очень помогла другая сертификация от ISACA - COBIT Foundation. Материал очень интересен, сжат, краток. Хорошо описаны процессы в компании, особенно процессы связанные с ИТ и его связки с бизнесом компании. В свое время мне очень повезло (в тот момент я считал это голгофой), меня экстренно перевели из ИБ компании в ИТ и в основном отвечал я за наведения порядка и за доступностью ИТ-сервисов компании. Не знаю, как у Вас хабровчане, но в Казахстане почему-то доступность не считается вотчиной ИБ. Теперь я считаю, что каждый ИБ специалист должен как минимум поработать пол-года в ИТ компании и желательно в системах крепко связанных с основными бизнес-процессами компании (Мир видится в других красках).

Вернемся к COBIT Foundation. Месяц подготовки (очень тяжело было заставить себя обратно начать заниматься) и получены нужные знания и соответствующий сертификат.

Дальше все было достаточно легко и просто, но опыт экзамена по Cobit Foundation заставил читать исключительно на английском. После COBIT Foundation II и III домены стали интуитивно понятными. Подготовка шла своим чередом. Два месяца подготовки пролетели быстро. Не буду описывать, как планировать обучение. Здесь важно просто преодолеть лень, а найти тот путь который подходит именно тебе не сложно.

Самое интересное было на финише. Был запланирован экзамен на май месяц, т.к. ISACA планировали обновить сертификацию CISM c первого июня.

Также одним из преимуществ данной сертификации наличие удаленной сдачи экзамена. Сдав ранее Cobit Foundation я тоже использовал удаленный способ сдачи. Очень интересный опыт был. Необходимо помимо общих требований, которые изложены на сайте учитывать еще один факт с документами. Документы должны отражать ФИО на английском языке, в моем случае это был заграничный паспорт. Паспорт по итогу оказался ламинированным и его не видно через камеру на ноутбуке. Мне повезло, что человек который принимал экзамен попался опытный и при помощи стеклянного стакана с водой (использовали как линзу) он смог удостоверить мою личность.

Сам экзамен мне понравился. Не было глупых вопросов, вопросы были как из жизни. Описывают ситуацию, Вашу роль и необходимо решить, что делать. Экзамен пролетел быстро, управился за два часа.

Дальше ждать. На восьмой день пришло письмо поздравление об успешном сданном экзамене с указанием набранных баллов (497 при необходимых 450). Кстати самые успешные были II и III домены (спасибо Cobit Foundation).

Сбор документов был достаточно простой, правда необходимо было найти ребят, которые могли подтвердить мой опыт по предыдущим работам, но это уже приятная часть работы.

На девятый день после отправки документов пришел сертификат.

Каков итог:

• сертификация не должна быть целью, но периодически нужно делать встряску для мозга (раз в год мне кажется в самый раз);

• есть сертификации, которые помогают по новому взглянуть на вопросы информационной безопасности.