Совсем недавно в Rambler Group появился сертифицированный специалист CISSP. Он готов поделиться своим опытом и рассказать, что дает этот сертификат, какие изменения произошли в экзамене за последние 2 года и как эффективно к нему подготовиться.



Привет, я Саша, директор по методологии, контролю кибербезопасности и управлению рисками, сертифицированный специалист CISSP. После получения сертификата мне чаще всего задают эти два вопроса:

  1. сложно было сдать экзамен?
  2. сколько ты готовился?

И вот, отвечая в очередной раз, я решил поделиться с вами своим опытом подготовки и сдачи экзамена. Тем более самая свежая статья про CISSP на русском языке датирована далеким 2018 годом, а за это время уже многое успело измениться. В лучших традициях зарубежных коллег в конце поста я оставил список материалов, по которым готовился и получил заветный сертификат, а также блок моих персональных рекомендаций.

Зачем получать сертификат CISSP?


Долго рассказывать, что такое CISSP и зачем он нужен, я не буду. Раз вы это читаете, значит, вы в теме. Но если вдруг еще сомневаетесь, стоит ли вам вообще ввязываться в это дело, скажу — точно стоит! Уже сама подготовка к экзамену отлично расширяет кругозор и прокачивает скилы, особенно в тех направлениях ИБ, в которых вам, возможно, еще не приходилось работать.

Помимо успешной сдачи экзамена и получения сертификата, вы можете стать юбилейным мембером! В июле 2020 года в России насчитывалось 230 специалиста со CISSP, в то время как в 2006 их было всего 78. Ну и просто для сравнения: в США в июле 2020 было зарегистрировано 89 880 человек, владеющих CISSP…

Приятный бонус, о котором я узнал только после сдачи экзамена. Вместе с сертификатом вы еще получаете возможность создать электронный бейдж. Его можно расшарить по ссылке, добавить в профили социальных сетей и в подпись электронной почты.

Выглядит он вот так

А ссылка при клике на него ведет на сайт с подтверждением:


Что нового в подготовке и сдаче?


Изменился формат экзамена, но как по мне, стало только лучше. Раньше он длился 6 часов и состоял из 250 вопросов. Сейчас сократили как время сдачи, так и объем – за 3 часа надо успеть ответить на 150 вопросов.

Еще одно новшество: теперь экзамен представляет собой компьютеризированное адаптивное тестирование, то есть следующий вопрос зависит от ваших ответов на предыдущие. Такой механизм позволяет завершить экзамен и с сотней правильных ответов.

Если вы только планируете получать сертификат, то важно учесть, что с 1 мая 2021 год меняется вес некоторых доменов. Для наглядности я сделал сравнительную таблицу:



Удобный портал Ассоциации ISC2 и простая верификация


Когда я только собрался сдавать экзамен, меня очень волновали некоторые обязательные требования. В голове крутились разные вопросы:

  • как я буду подтверждать опыт – кому мне писать или звонить?
  • если первый вариант, то можно ли просто отправить e-mail или нужно писать письмо от руки и отправлять обычной почтой?
  • где мне найти действующего мембера CISSP для подтверждения моего опыта?
  • если мне ассоциация сама выдаст эксперта, например, из Азии, то как я вообще найду общий язык с ним?
  • как действующий CISSP убедится в правдивости моих слов, с кем из моих коллег или руководителей он захочет пообщаться?

Но я собрался с мыслями и просто решил действовать в два этапа:

этап 1. Нормально подготовиться и сдать экзамен.
этап 2. Вздохнуть спокойно после сдачи и разобраться в оставшихся вопросах. Ведь они будут уже не такими значимыми, если первый этап завершится успешно!

Тем, кто все же решится получать CISSP, предлагаю поступить так же: в начале не забивать голову всем подряд, а сконцентрироваться на самом экзамене. Но, забегая вперед, скажу, что второй этап оказался не таким уж и сложным.

На официальном сайте isc2.org можно в свободном формате описать свой опыт работы (конечно, на английском). Затем система предложит ввести фамилию и ID номер действующего члена, который верифицирует вашу анкету. После этого организация в течение 4-6 недель проверяет полноту и соответствие указанного опыта работы с требуемым. Вот и все! Я был очень рад такой простой процедуре! И даже не пришлось искать общий язык с экспертом из Азии.

Самое ценное: источники


Я начал готовиться к экзамену в апреле 2018-го. В общей сложности с момента старта подготовки до сдачи экзамена у меня ушло 2 года. Почему так долго, спросите вы? Ответ прост: я делал перерывы, ездил в длительные отпуска, отвлекался на семейные дела, неотложные рабочие вопросы… ну и, конечно же, бывало, я ленился. Но в итоге взял себя в руки и закончил начатое.

Ниже – все источники, которые я использовал, пока готовился к экзамену. Для удобства расположил их по значимости и начал с самого полезного.

Официальное учебное пособие «(ISC)2. Certified Information Systems Security Professional» (авторы – Mike Chapple, James Michael Stewart, Darril Gibson)

Книга объемная, в электронном формате почти 1500 страниц на английском. Информация в главах (а их в книге аж 21!) может иметь отношение сразу к нескольким доменам. Поэтому чтобы читатели не путались, в начале каждой главы сразу указано, о чем в ней пойдет речь.

Так, например, глава 6 «Cryptography and Symmetric Key Algorithms» содержит информацию по второму и третьему домену – «Asset Security» и «Security Architecture and Engineering». По своему опыту могу сказать, что используя только это пособие, к экзамену можно подготовиться примерно на 65%.

Сразу сниму важный вопрос: нет, я не читал книгу Шоны Харрис (Shon Harris), которая часто упоминается в постах других сертифицированных экспертов. Практика показывает, что можно качественно подготовиться к экзамену и с помощью официального пособия от консорциума:)


Конспект учебного пособия

Я не просто изучил книгу от корки до корки, но и сделал конспект на 140 листов А4. Это не обязательно, у меня просто так лучше усваивался материал.

В течение тех двух лет, которые я посвятил подготовке к экзамену, я полностью перечитывал свой конспект 4-5 раз. Я всегда мог оперативно обновить в голове информацию по методике количественного расчета риска (ARO, SLE, EV и т.д.) или последовательности уровней в модели зрелости процессов разработки SW-CMM. Не надо было каждый раз лезть в саму методичку, искать нужный раздел и снова его перечитывать. Советую!

Официальное пособие с тестами «(ISC)2. Certified Information Systems Security Professional. Official practice tests» (авторы – Mike Chapple и David Seidl)

В нем порядка 1300 вопросов, разделенных по доменам. Огромный плюс в том, что в нем есть 4 полноценных теста, максимально приближенных к реальному экзамену. А еще в конце книги есть ответы на все вопросы с подробными разъяснениями. Это помогает закрепить в голове основные тезисы книги.


Другие тесты из интернета по теме

Я самостоятельно нашел еще порядка 1000 вопросов. Их в разные годы выкладывали в сеть компании, которые занимаются подготовкой специалистов к сдаче экзамена CISSP. С помощью этих тестов я узнал, какие задания были на испытаниях прошлых лет, и решил их. Так у меня получилась дополнительная факультативная нагрузка, которая пошла мне на пользу.

«The Memory Palace – A Quick Refresher For Your CISSP Exam!» (автор – Prashant Mohan)

Небольшой (всего-то 125 страниц!), но информативный конспект, с помощью которого можно быстро освежить в памяти основное содержание доменов. Главное преимущество: структурированная подача материала. Вся информация соответствует последовательности доменов, поэтому нет такой неразберихи, как в официальном пособии.


Книга «Eleventh Hour CISSP» (авторы – Eric Conrad, Seth Misenar, Joshua Feldman)

Эту книгу я читал уже в последние недели перед экзаменом, когда устал повторять предыдущие материалы. Плюс книги, как и в прошлом источнике, – главы соответствуют номерам доменов и изложены по порядку.


Брошюра «CISSP summary» (автор – Maarten de Frankrijker)

В этой брошюре собрано все самое важное из официального учебного пособия. Главные достоинства – в ней всего 36 листов, а весь материал собран в виде карточек. Эта маленькая, но удобная книжка поможет в короткие сроки освежить знания и закрепить основные понятия. Отличный вариант для повторения материала накануне экзамена.



Специализированный форум на reddit.com

Когда мне требовалась дополнительная мотивация, я начинал читать записи, опубликованные на этом форуме, в частности, тут: www.reddit.com/r/cissp. Пользователи рассказывают там истории своего успеха, советуют, на что обратить внимание, рекомендуют источники для подготовки. Каждый раз я вдохновлялся и снова шел штудировать книги.

YouTube

Самым полезным оказался канал ITDojo. В коротких роликах по 6-10 минут разбираются два случайных вопроса из разных доменов и дается детальное пояснение, почему из четырех верных ответов лишь один является правильным для того или иного случая. Признаюсь честно, на слух не всегда получалось воспринимать речь автора, поэтому я включал субтитры.

Персональные рекомендации


Если считаете, что недостаточно сильны в английском, – не переживайте. Это было главным препятствием, мешающим мне начать подготовку к экзамену: в то время я мог легко перепутать значение слов deterrent и detection… Вам поможет регулярное чтение на английском языке. Например, я начинал ежедневно читать по 7 страниц и в течение трех месяцев увеличил их число до 12.

Обязательно решайте тесты. И чем больше их будет, тем лучше. Так вы убьете сразу трех зайцев:

  • перестанете путать понятия decrease и increase, а также most и least;
  • повысите скорость ответа на вопросы. Я уже говорил, что тест адаптивный и вы можете решить его, ответив на первые 100 заданий. Но если не получится, придется отвечать на всё, при этом время, отведенное на экзамен, останется прежним. Моей целью были 1,5 минуты на один вопрос;
  • выработайте свою методику. Например, моя – такая: я очень быстро изучал вопрос, потом внимательно читал ответы и сразу пытался определить, какой из них больше подходит. Затем еще раз перечитывал сам вопрос и делал окончательный выбор. Для некоторых заданий метод исключения работает прекрасно, но явно не сработает там, где надо выбрать один верный ответ из всех правильных.

Заучите понятия, с которыми вы раньше не работали, либо не знали, либо привыкли использовать их по-другому. Например, порядок действий при возникновении инцидента в разных компаниях может отличаться, но на экзамене необходимо ответить именно в той последовательности, которая указана в их методологической базе: detection, response, mitigation, reporting, recovery, remediation, lessons learned. Но спешу вас успокоить – таких моментов немного.

На этом всё. Если у вас возникнут вопросы по этой статье или при подготовке к сдаче экзамена, буду рад помочь! Удачи!

Александр Ларичев, , директор по методологии и контролю кибербезопасности и управлению рисками Rambler Group