CISSP (Certified Information Security Systems Professional) относится к “золотому стандарту” в индустрии безопасности и давно входит в топы IT сертификаций.

Сложность сертификации


Изначальные требования для прохождения сертификации достаточно высоки, возможно, поэтому это многих отпугивает: минимум 5 лет подтвержденного опыта в области безопасности как минимум в 2 из 8 доменов, которые покрывает CISSP (о доменах ниже).

Экзамен действительно сложный. До этого у меня было 12 Майкрософт сертификаций, которые рядом не стояли по сложности и требованию к уровню знаний. CISSP требует достаточно широких знаний безопасности, от физической защиты активов до управления безопасностью на предприятии уровня enterprise.

Все эти сложности сказываются на качестве и ценности самой сертификации.

У нас всё ещё смотрят «сквозь пальцы» на подобные сертификаты, хотя за рубежом это часто является необходимым условием для высокой технической должности. Возможно, сервисная модель ведения бизнеса подпортила отношение к сертификации, как к постоянному росту — новые функциональные формы часто предпочтительнее нефункциональных атрибутов систем, включая безопасность.

Что дает сертификация


Из 15 лет опыта в IT около 7-8 из них тесно связаны с безопасностью (разработка высоко-защищенных архитектур, web security анализ, ручной penetration testing, разработка собственной IDS (intrusion detection system), управление безопасностью лайв систем, консалтинг). И каждый раз, когда дело касается безопасности, продавцы и клиенты задавали один и тот же вопрос “как вы можете подтвердить свой опыт”. То есть первое, что получил от сертификации — наличие доказательства экспертизы в области безопасности.

На удивление, отношение к сертификатам в западном мире (в частности, в Англии) совершенно другое. Там верят в их силу, и было удивительно, когда разработчики и менеджеры сходу начинают задавать точечные вопросы или рассказывать про своё знание этой сертификации. Продавцы теперь при любом случае, удобном или нет, обязательно вспоминают, что у компании есть сертифицированный специалист CISSP. То есть сама сертификация стала и частью маркетинга.

Если говорить в целом о безопасности. Мало знать некие отдельные технические детали — современные условия требуют знаний управления самой безопасностью. Оценка и управление рисками, моделирование угроз, многоуровневая защита, стандарты и фреймворки безопасности, Business Continuity и Disaster Recovery планы, уровни классификации данных, что выливается в многочисленные политики, гайдлайны, процедуры и так далее. Согласно тому же GDPR (General Data Protection Regulation), если вы не можете документально показать, что соответствуете этому предписанию, то уже не важно, насколько хорошо ваша система построена — вы не соответствуете. Со всем этим делом был уже знаком, но CISSP помог структурировать информацию относительно стандартов и их требований.

Ещё один немаловажный момент — сама подготовка к экзамену позволяет освежить знания, которые не требуются каждый день и подзабываются. Кто сейчас сходу может вспомнить, какой режим симметричного шифрования в каких случаях лучше всего использовать: ECB, CBC, CFB, OFB или CTR? В чём отличия между HMAC, CBC-MAC и СМАС для гарантии целостности сообщения? Вот и я про то. Главное, даже не в том, чтобы это запомнить (хотя для экзамена придётся), а в том, чтобы в дальнейшем знать, куда посмотреть, чтобы принять правильное решение. “Припомнить” хорошо забытые знания полезно время от времени.

Домены


Как было сказано выше, CISSP покрывает 8 доменов в области безопасности.

Домен #1. Security and Risk Management — вопросы стандартов и фреймворков безопасности (ISO/IEC 27000, ITIL, SABSA, COBIT, NIST, ...), регламентов и актов (GDPR, PCI DSS, HIPAA, Patriot Act, ...), конфиденциальность, фреймворки по управлению рисками (ISO 31000, COSO, NIST). Короче, всё, что связано с мировыми практиками и стандартами в области безопасности.

Домен #2. Asset Security — классификация данных, жизненный цикл данных, уровни ответственности в организации, политики хранения данных, стратегии защиты и удаления данных.

Домен #3. Security Engineering — криптография, системы управления ключами, защитные механизмы операционных систем, модели доступа к данным, физическая защита зданий

Домен #4. Communication and Network Security — топология и стандарты сетей, сетевая защита, защита каналов, угрозы и сетевые атаки, управление безопасностью коммуникаций.

Домен #5. Identity and Access Management — контроль физического и логического доступа, системы доступа и их управление, биометрический доступ, атаки на системы доступа, системы обнаружения и предотвращения проникновений.

Домен #6. Security Assessment and Testing — методы проведения анализа безопасности, тестирование на проникновение, уязвимостей, бэкапов данных, восстановление бизнеса в случае непредвиденных обстоятельств, организация отчётности.

Домен #7. Security Operations — расследование инцидентов по безопасности, управление физической защитой, системы управления инцидентами, управление изменениями, стратегии восстановления бизнеса в случае происшествий.

Домен #8. Software Development Security — практики безопасности, внедренные в процесс разработки, управление изменениями и конфигурацией, защита репозиториев. С этим доменом у меня было проще всего, в своё время разработал свой SDLC для сервисного бизнеса для нескольких компаний.

Как видно, сама сертификация покрывает очень широкую область безопасности и во многом связана с управлением, калькуляцией, процессами и стандартами безопасности.

Опыт сдачи


Теперь немного о шагах самой сдачи:

1. Найти существующего CISSP, который подтвердит опыт и квалификацию
Перед сдачей на сертификат, необходим референс от существующего сертифицированного специалиста CISSP, который готов поручиться за ваш опыт. Если проблематично такого найти, можно запросить его у ISC2.

2. Купить онлайн экзамен в Pearson VUE
Ближайшие аккредитованные центры для сдачи CISSP в Москве, Вильнюсе, Киеве. Выбор пал на Москву.

3. Подготовка к экзамену
Основным источником выступила книга CISSP All-in-One Exam Guide, Seventh Edition. Не стоит обольщаться, что, прочитав её, можно сдать экзамен:

  • это 1300 страниц забористого текста с кучей аббревиатур
  • многие моменты приходилось искать дополнительно на просторах Интернета
  • на экзамене помню вопрос, который был упомянут одним коротеньким предложением в книге

Чем хорош этот источник:

  • хорошо структурированная информация и хорошая подача
  • действительно ориентирован на экзамен
  • в конце каждого домена есть список вопросов для проверки
  • до сих пор служит настольной книгой, когда вопросы касаются безопасности

Пару рекомендаций:

  • читайте всё изначально в английском варианте
  • не пытайтесь найти вопросы, которые будут на экзамене и заучить их — вопросы постоянно перемешивают; в конце сдачи список вопросов никто никому не предоставляет
  • не забудьте выучить Code of Ethics, часть вопросов будет по нему

4. Сдача экзамена
В Москву прибыл за день до сдачи. Гостиница Варшава находится в том же здании, где и проходит экзамен. С приезда до глубокой ночи гонял список вопросов. Не знаю, советовать выспаться или нет — это сугубо личный момент.

В центре сдачи всё пафосно-серьёзно — снимают отпечатки пальцев, обыскивают карманы, снимают на видео. От берушей лучше не отказываться, рядом будут другие ребята сдавать свои экзамены. На экзамен выделяется 6 часов, 250 вопросов. То есть меньше 2 минут на вопрос. Поэтому без ответов вопросы лучше не оставлять, возможно, вы не успеете к ним вернуться. Полагайтесь на свой опыт и интуицию. Можно помечать себе вопросы, в которых не до конца уверены.

Специфика экзамена: в предложенном списке ответов все ответы могут быть правильными, но нужно выбрать самый подходящий. Поэтому метод “от обратного” не всегда будет работать. Самым главным активом всегда является человеческая жизнь. Поэтому, как только видите её в ответах, выбирайте её.

Справился за пять с половиной часов. Попытался пройти по ответам, в которых не был до конца уверен, но почти ничего не изменил.

Ответ дают сразу — сдал или нет. Ответить нужно правильно минимум на 75% вопросов. Если сдали, то не скажут даже процент правильно отвеченных вопросов.

В тот момент поздравления, что сдал, значили для меня абсолютно ничего — сказывалась эмоциональная и интеллектуальная измотанность. Вроде и хотел порадоваться, и не мог. Но со временем осознание пришло.

5. Сертификация CISSP
Сдать успешно экзамен ещё только середина пути. Дальше нужно подтвердить свой опыт — минимум пять лет в минимум двух доменах. Причем подтверждать нужно документально: необходимо предоставить копии договоров или трудовой книжки, в которых указана должность.

Последние 7 лет работаю в должности Chief Technical Officer. В отдельном документе расписал детально все 8 доменов, отсортировав их в порядке своей крутости в каждом. Документ добавил вместе с остальными сканами к форме заявления. На форме коротко весь опыт расписал.

Первое подтверждение опыта должен сделать CISSP из пункта #1. Далее комиссия (ISC)? должна ещё раз проверить предоставленную информацию, и сделать заключение — достоин ты носить тайтл CISSP или нет, занимает это до 6 недель.

12 декабря 2017 успешно сдал экзамен, и только 13 февраля 2018 комиссия подтвердила сертификацию.

6. Поддержка сертификата CISSP в активном состоянии
И снова пройти сертификацию ещё мало: её нужно поддерживать в активном статусе. Каждый год нужно сабмитить определённое количество Continuing Education (CPE) кредитов, и поддержка самого сертификата будет стоить около 85 USD в год.

Заключение


  • Хотите вы этого или нет, но современные регламенты (тот же GDPR) требует технических и организационных мер по защите данных, поэтому вопросы управления безопасности затронут всех.
  • Крутая сертификация требует очень хорошей подготовки, проскочить не получится
  • Нельзя ставить точку в экспертизе по безопасности (как и в любой другой), это есть постоянный рост
  • “Не так страшен чёрт, как его описывают”. Главное — желание.

Денис Колошко

Комментарии (9)


  1. uncle_goga
    17.05.2018 09:26

    Захватывающая история, интересно было бы узнать, что это был за вопрос, указанный кратким предложением в CISSP All-in-One Exam Guide


  1. mdonskoi
    17.05.2018 09:35
    +1

    Сильно. Такие статьи придают уверенности. Спасибо.


  1. MrAlone
    17.05.2018 09:49
    +1

    Мои поздравления, сам получил на год раньше.
    1) Нужно набрать не 75%, а 700 баллов из 1000, при этом разные вопросы по разному оцениваются.
    2) С этого года экзамен идёт 3 часа, нужно ответить на 150 вопрос.


    1. FurryCat
      17.05.2018 10:50

      Как все изменилось!

      Сдавал в 2005 году. Экзамен был не на компьютере, а письменный, 6 часов. Вопросов сколько, точно не помню, но кажется, что 300.

      Правда, доказывать свою квалификацию было несколько проще: достаточно было, чтобы было подтверждение от одного человека (CISSP или руководства компании в которой работаешь)


  1. dhound Автор
    17.05.2018 09:50

    Спасибо. Полезный комментарий!


  1. Tasslehoff
    17.05.2018 10:35

    Насколько полезны ресурсы с возможностью прорешивания тестов по каждому домену? Или может актуально приобрести Official (ISC)? CISSP Practice Tests?


    1. MrAlone
      17.05.2018 10:56

      ИМХО, ресурсы бесполезны. Проблема в том, что лично у меня во время экзамена не встретилось ни одного вопроса, хоть как-то напоминающего вопрос из тех ресурсов, что обычно гуглятся первыми по запросам вида «cissp exam questions» и т.д. Без чёткого понимая предмета сдать, наверное, будет очень сложно.


    1. Svbakulin
      17.05.2018 16:55

      Хоть вопросы и не повторяются, тестовые экзамены дают возможность прочувствовать логику и суть экзамена, так что стоит их делать столько сколько возможно.
      В этом и фишки CISSP — надо хорошо понимать суть, тогда проблем не будет.

      Стоит сделать все примеры из 2-3 книг (и стоит прочитать 2-3 кники разных авторов), и не повредит посмотреть все до чего могут руки дотянуться.


  1. Svbakulin
    17.05.2018 16:52

    CISSP — пожалуй лучший тест что я сдавал, с большим отрывом. Сложный, но разумный, и без косяков и идиотски сформулированных вопросов. Для карьеры в информационной безопасности пожалуй наиболее продуктивное вложение времени.