А почему у тебя на визитке написано «КИСА»?
Ты вроде серьезный человек…
(из разговора с приятелем)

Мы все знаем, что нас встречают всегда по одежке, но не всегда задумываемся, а что именно стоит за этим словом «одежка». «Одежкой» являются наши атрибуты, которые позволяют другим людям легко вписать нас в свое представление о мире или, проще говоря, навесить на нас ярлык. Соответственно, управляя своими атрибутами, мы можем управлять тем, как нас воспринимают другие люди. В среде специалистов по информационной безопасности устоявшимися атрибутами, позволяющие другим причислять вас к серьезным ИБ-специалистам, являются такие статусы, как CISSP, CISA, CISM.

В данной статье подробно рассмотрим, что стоит за этими сертификациями, как подготовиться к сдаче соответствующих экзаменов и стоит ли их получать.




Что за сертификаты?


Сначала расшифруем аббревиатуры и переведем, но не дословно, а по смыслу.

CISSP (Certified Information Security Systems Professional) – сертифицированный специалист по информационной безопасности.

CISA (Certified Information Systems Auditor) – сертифицированный ИТ-аудитор.

CISM (Certified Information Security Manager) – сертифицированный менеджер по информационной безопасности.

Именно такой состав выбранных для рассмотрения сертификаций объясняется их близостью по темам (доменам), ну и, конечно, наличию у автора статьи опыта проведения подготовки специалистов к данным экзаменам.

Сведем информацию об экзаменах в следующую таблицу:

 


CISSP


CISA


CISM


Домены


1. Security and Risk
Management


2. Asset Security


3. Security
Engineering


4. Communication and
Network Security


5. Identity and
Access Management


6. Security
Assessment and Testing


7. Security
Operations


8. Software
Development Security


 


1. The Process of
Auditing Information Systems


2. Governance and
Management of IT


3. Information
Systems Acquisition, Development and Implementation


4. Information
Systems Operations, Maintenance and Service Management


5. Protection of Information Assets


1. Information
Security Governance


2. Information Risk
Management


3. Information
Security Program Development and Management


4. Information Security
Incident Management


Длительность


6 часов


4 часа


4 часа


Количество вопросов


250


150


150


Проходной балл


700 из 1000 баллов


450 из 800 баллов


450 из 800 баллов


Требования к опыту


5 лет


5 лет


5 лет


Организация


ISC2


ISACA


ISACA


Стоимость экзамена


599 USD


760 USD


575 USD
для членов ISACA


 


760 USD


575 USD для членов ISACA


Продление


85 USD


85 USD


45 USD
для членов ISACA


 


85 USD


45 USD для членов ISACA



Что нужно знать и понимать?


Очень не хочется занудно раскрывать объем знаний, который стоит за каждым из доменов (и очень хорошо описан в руководствах по экзаменам), поэтому кратко рассмотрим портрет идеального обладателя каждого из трех сертификатов.

CISSP


Истинный обладатель CISSP должен очень хорошо ориентироваться во всех современных течениях информационной безопасности и в первую очередь в области менеджмента ИБ. Соискатель должен уметь мыслить в категориях «уязвимость», «риск», «контрмера». Опыт администрирования средств защиты информации или взлома компьютерных сетей (этичного, конечно) будет бесспорно полезен, но на экзамене никто не будет требовать вспомнить какую-то определенную настройку или команду какой-либо системы, так как сертификация не зависит от какого-либо вендора. Нужно понимать, что стоит за аббревиатурами RFID, NIPS, RBAC, DIAMETER, IKE, ESP, LLC, MTPD, IDM, XSS, какие используются алгоритмы шифрования, хэширования и т.п.

На мой взгляд, объем знаний CISSP соответствует объему знаний молодого специалиста, окончившего с хорошими отметками профильную кафедру и имеющему пару лет реального опыта в информационной безопасности в серьезной организации.

CISA


Обладатель CISA должен не только хорошо ориентироваться в области информационной безопасности, но и в ИТ-менеджменте, жизненном цикле информационных систем, и в том, как это все проверять на соответствие лучшим мировым практикам. В идеале соискателю данного сертификата надо пройти жизненную школу в одной из компаний большой четверки (BIG4: EY, PWC, KPMG, Deloitte) или в крупной компании, в которой есть полноценная группа или отдел ИТ-аудита.

CISM


Если обладателем CISSP может быть недавний выпускник вуза, работающий с железом и софтом, и лишь представляющем, что такое менеджмент, то CISM уже для людей, занимающихся менеджментом в области ИБ не первый год. Доменов в CISM меньше, чем в CISSP и сдать его человеку, уже сдавшему CISSP, проблем не составит.

Какие могут быть сложности?


Обсудим некоторые подводные камни, о которых нужно помнить при подготовке к экзаменам.

«Бумажная» безопасность


Многие технические специалисты увлекаются технологиями, а вот бизнес-процессы им совершенно не интересны, соответственно корпоративные политики, процедуры, стандарты воспринимаются как ненужные бумажки. С позиций менеджмента подобные документы являются очень важными, так как формируют требования информационной безопасности, которые в свою очередь реализуются с помощью технологий и грамотных действий сотрудников. Соискателю CISSP, СISA, CISM нужно научиться мыслить как управленцу и полюбить процессный подход к менеджменту всей душой.

При пожаре выносить первым!


Если для ответа на вопрос необходимо оценить приоритеты для спасения активов и в списке есть человеческая жизнь, то у нее всегда будет приоритет номер один. Сейфы с деньгами и документами можно смело оставить на милость стихии.

Планирование непрерывности бизнеса и восстановления после сбоев (BCP/DRP)


Во всех рассматриваемых экзаменах попадаются вопросы на тему BCP/DRP. В настоящее время подобные проекты реализуются только в довольно крупных организациях, соответственно лишь небольшой процент специалистов сталкивается с данными вопросами на практике. Для проработки этих тем лучше всего дополнительно изучить публикации двух профильных сообществ специалистов: The Business Continuity Institute и Disaster Recovery Institute.

Мышление ИТ-аудитора


Для успешной сдачи экзамена CISA нужно хорошо представлять, как мыслит ИТ-аудитор. ИТ-аудиторы проверяют, как выполняются требования внутренних и внешних документов и мыслят совершенно иначе, нежели ИТ-специалисты, нацеленные на то, «чтобы все работало, а остальное – не важно».

Поясню на следующем примере. В ООО «Ромашка» доступ к системам предоставляется на основе заявок по электронной почте и выполняется определенная цепочка согласований. Для администратора отработанная заявка – ненужный мусор, который можно удалить в новогоднюю ночь, автоматически очищая архивы, а для ИТ-аудитора, эта заявка представляет собой важное свидетельство, подтверждающее выполнение процедуры, которую нужно хранить, как золото.

Для освоения методик, применяемых реальными ИТ-аудиторами, очень полезно стать членом ISACA (кстати, отделение ISACA есть в Москве ) и тем самым получить доступ к базе полезных методологических документов. Как уже видели в таблице, членство в ISACA дает существенные скидки как на сами экзамены, так и на продление.

Списывание


У нас зачастую принято довольно снисходительно относиться к тем, кто списывает на экзаменах. В западной культуре списывание считается серьезным проступком, требующем соответствующего наказания. Правилами запрещается списывать на экзаменах ISACA и ISC2, процесс сдачи контролируется, нарушителей изгоняют с позором.

Еще немного об этике


И у ISC2, и у ISACA есть кодекс профессиональной этики – его лучше прочитать и запомнить, так как вопросы по этике обязательно будут и хорошее ее знание принесет несколько дополнительных баллов.

Как подготовиться?


Исходя из собственного опыта подготовки к экзаменам и проведения подготовительных курсов в учебном центре «Эшелон» предлагаю следующий алгоритм.

Шаг 1. Где я?


Выяснить в чем хорошо разбираетесь, а в чем не очень. Просмотреть вопросы по всем доменам или пройти пробные тесты. Определить какие домены для вас легкие, а по каким нужно «прокачаться».

Шаг 2. Что с английским?


Оцените, хватает ли ваших знаний английского для понимания вопросов и предлагаемых ответов, если нет, включите в свой план подготовки английский язык.

Шаг 3. Добывание и изучение учебных материалов


Книги


Без пары хороших книг подготовка будет просто невозможной. Лучше всего полистать все, какие сможете получить, и подобрать подходящие именно вам, исходя из стиля изложения и актуальности материала (лучше смотреть книги, изданные за последние 2-3 года). Список специализированных руководств по подготовке к рассматриваемым экзаменам приведен в конце статьи. Рад сообщить, что совсем недавно появилась первая российская книга, в которой рассматриваются основные домены экзаменов: «Семь безопасных информационных технологий», и это очередной вклад в развитие информационной безопасности в России от группы компаний «Эшелон».
Кстати, в Сети можно найти неформальный перевод на русский язык устаревшей версии учебника для подготовки к CISSP Шон Харрис (выполнил Дмитрий Орлов) – пробежаться по вопросам тоже не помешает (на самом старте изучения). Начать готовиться лучше, используя литературу именно на русском языке (для погружения в предметную область), а заканчивать – массированным штудированием примерных вопросов исключительно на английском языке (см. базы вопросов ниже).

Дополнительные материалы


По тем областям знаний, где вы себя чувствуете неуверенно, лучше читать дополнительные материалы, которые, как правило можно найти на профильных сайтах (isaca.org, isc2.org, thebci.org, drii.org).

Глоссарий терминов


Даже если на Шаге 2 вы оценили, что ваш уровень владения английским языком подходит для сдачи экзамена, не поленитесь и пролистайте глоссарий от ISACA. Обратите внимание, что в вопросах экзаменов зачастую фигурируют слова, перевод которых на русский язык не всегда однозначен (например, control — контрмера, мера минимизации риска, СЗИ, контроль).

Базы вопросов


Можно легко найти и приобрести базы вопросов для подготовки к экзаменам, как официальные от ISC2 и ISACA, так и от сторонних вендоров. Базы вопросов могут быть как в виде программ для тестирования, так в виде учебников. Очень полезный материал, позволяющий постоянно оценивать свою готовность к экзамену. Только не рассчитывайте увидеть точно такие же вопросы на самих экзаменах, поэтому заучивать вопросы и ответы наизусть – бесполезная трата времени.

Курсы подготовки


Стоит ли идти на специализированные курсы? Стоит, если хотите сразу за пару дней погрузиться в тематику экзамена и увидеть всю картину в целом. Нужно понимать, что никакой курс не заменит самостоятельное чтение книг и решение пробных тестов.

Длительность этой фазы подготовки, если ни одного подобного экзамена ранее не сдавали, 3-4 месяца (в среднем по часу в день), если опыт успешной сдачи есть и уровень знаний высок, то срок может быть сокращен и до недели (разумеется, в режиме полного погружения).

Шаг 4. Подготовка в последнюю неделю перед экзаменом


Как правило, подготовка к экзамену растягивается на длительный срок и в конце можно немножко подзабыть, что изучали вначале. Поэтому целесообразно взять несколько дней отгула перед экзаменом, чтобы пролистать целиком свои материалы. В любом случае, в конце подготовки придется уделить пару дней для зубрежки отдельных технических параметров.

Пара лайфхаков


В этом разделе хочется привести несколько идей, которые могут облегчить подготовку и сдачу экзаменов.

Отбросить бредовый вариант сразу и не тормозить


Самый распространенный формат вопросов на всех рассматриваемых экзаменах так любимый западным миром MCQ (multiple choice question) – вопрос с несколькими вариантами ответов (как правило, 4). Прежде чем взяться за тренировку с вопросами экзаменов, попробуйте решить обратную задачу – придумать такой MCQ на тему, в которой вы разбираетесь, как никто другой. Вы увидите, что придумать более-менее близкие варианты к единственному правильному не так уж и просто, и вы обязательно включите один вариант, который будет по сути совершенно бредовый. А это значит, что при ответе на вопросы нужно сразу же исключать явно неправильный и искать лучший из оставшихся трех, и в большинстве случаев он виден сразу. Если же не виден, то лучше выбирать наугад и двигаться дальше, и ни в коем случае не зависать на одном вопросе дольше минуты.

Обращайте внимание на FIRST, LAST, EXCEPT, NOT


Необходимо внимательно читать вопросы и обращать внимания на слова, влияющие на выбор ответа напрямую: одно дело выбрать из списка контрмеру, которую надо внедрить в первую очередь, и другое дело – в последнюю.

Стоит ли становиться сертифицированным специалистом?



Предложение/спрос


Давайте посмотрим, сколько всего специалистов, обладающих данными сертификатами, кем и где они работают – заглянем в социальные сети и на страницы ассоциаций. В прошлой статье, посвященной интернет-разведке мы уже «пробивали» целую группу пользователей и использовали для этого специальный инструментарий, в этот раз ограничимся простым просмотром результатов поиска.

В сети Linkedin, к которой сейчас довольно ограниченный доступ, можно найти 539 аккаунтов российских пользователей с сертификатами CISA, 330 — c CISSP и 129 — c CISM.

Пролистывая профили пользователей, указавших данные сертификаты, можно увидеть, что их обладатели, как правило, занимают руководящие должности в крупных компаниях, многие задействованы в консалтинговой сфере (BIG4, ИТ-интеграторы и т.п.)

По официальной статистике ассоциаций ISC2 и ISACA сейчас в России всего 200 обладателей сертификатов CISSP, 203 CISA и 60 CISM (данная статистика по CISA и CISM включает только сертифицированных специалистов, являющихся также членами ассоциации ISACA).

Чтобы понять, а есть ли спрос на подобных специалистов, посмотрим наличие вакансий для людей, обладающих такими сертификатами и уровень зарплат, который им готовы предложить работодатели. Сведем результаты выдачи с сайта HH по нашим ключевым словам (названия сертификатов) в следующую таблицу:


CISSP


CISA


CISM


Количество открытых вакансий


41


47


26


Распределение


по регионам


Россия 33


Москва 29


Украина 4


Киев 4


Беларусь 2


Минск 2


Санкт-Петербург 2


Казахстан 1


Астана 1


Республика Алтай 1


Самарская область 1


Другие страны 1


США 1


Россия 34


Москва 33


Украина 8


Киев 8


Беларусь 3


Минск 3


Казахстан 2


Астана 1


Алматы 1


Республика Алтай 1


Россия 16


Москва 15


Украина 5


Киев 5


Беларусь 3


Минск 3


Казахстан 2


Астана 1


Алматы 1


Республика Алтай 1


Уровни заработной платы


Указана 8


от 195 000 руб — 3


от 310 000 руб.- 2


от 370 000 руб.- 1


Указана 4


от 195 000 руб. – 1


Указана 2


от 125 000 руб. 1



Очевидно, что в основном такие специалисты востребованы в крупных городах и в особенности в столицах. Уровень зарплат достойный, но, конечно, же зарплату платят не за наличие сертификата, а за работу.

Анализируя эти данные нужно также помнить, что руководящие должности в крупных организациях часто замещаются без публикации вакансий. Поэтому реальный спрос на таких специалистов несколько выше.

Вопросы для оценки необходимости стать сертифицированным специалистом


Давайте сведем в один список вопросы, ответы на которые позволят специалистам в области ИБ решить насколько им необходима сертификация.

У меня получился такой «аудиторский» чеклист:

  1. Обладаете высшим техническим образованием в ИТ-сфере и средний балл не ниже 4?
  2. На работе занимаетесь проектами по большинству тем экзамена?
  3. Без словаря читаете английские статьи на профессиональные темы?
  4. Есть желание двигаться по карьерной лестнице вверх?
  5. Будет время готовиться вечерами и сможете взять несколько дней отгула перед экзаменом?
  6. Хоть немного ощущаете себя настоящим менеджером?
  7. Готовы к тому, чтобы жить и работать в столице?

Если на большинство вопросов у вас положительный ответ, то определенно стоит ввязаться в это дело, подготовиться, сдать экзамен(ы), а затем постоянно поддерживать свои знания на достойном уровне.

Учебники для подготовки к экзаменам


  1. Семь безопасных информационных технологий / Под. ред. А.С.Маркова. М.: ДМК Пресс, 2017. 224 с. Сайт книги:http://security-experts.ru/
  2. CISSP (ISC)2 Certified Information Systems Security Professional Official Study Guide, 7th Edition by James M. Stewart, Mike Chapple, Darril Gibson
  3. CISSP Official (ISC)2 Practice Tests, Mike Chapple, David Seidl
  4. CISA Review Manual, 26th Edition by ISACA
  5. CISA Review Questions, Answers & Explanations Manual, 11th Edition by ISACA
  6. CISM Review Manual, 15th Edition by ISACA
  7. CISM Review Questions, Answers & Explanations, 9th Edition by ISACA
Поделиться с друзьями
-->

Комментарии (25)


  1. Razaz
    30.01.2017 11:55

    А причем высшее техническое и оценка? Сейчас это ни о чем не говорит.
    Главное что бы человек разбирался в предметной области и умел самостоятельно обучаться и исследовать новые области.
    И конечно же самое главное — опыт :)


    1. alexdorofeeff
      30.01.2017 12:02
      +1

      Высшее техническое — потому что не каждому человеку с гуманитарным образованием получится легко вникнуть в нашу ИБ-шную тематику, ну и у тех, кто умеет самостоятельно обучаться — оценки, как правило, очень хорошие)


      1. Razaz
        30.01.2017 12:24
        +1

        Это не результат образования, а склад ума ;)
        Ох очень спорный тезис :) В моей группе(Специальность — Прикладная математика) хорошие оценки были у пары человек, кто привык зубрить и не отступать от линии партии(препода) ни на шаг. А если вы бюджетник, то готовьтесь, что вас будут выдавливать на платное отделение.

        Думаю для того, что бы вникнуть надо обладать желанием учиться и исследовать, плюс багаж технических знаний и опыт разработки.


  1. SurfCalavera
    30.01.2017 13:12
    +1

    в великобритании (да и в США впрочем тоже) без сертификата CISSP, CISA или CISM практически нереально получить работу в инфобезопасности.
    разве только через личные контакты, да и то чаще всего потебуют получить сертификат при первой же возможности.

    эти сертификации указываются работадателями как необходимое требование, потому рекрутеры просто не будут даже рассматривать резюме без буковок.


    1. disakov
      30.01.2017 22:21

      Если быть более точным, то для работы, связанной с менеджментом ИБ. Для технических специалистов другие сертификаты востребованы.


      1. SurfCalavera
        31.01.2017 00:31
        +1

        Ну да, конечно есть специализированные технические сертификации (по penetration testing, или для работы в гос структурах, или по продуктам), но наиболее универсальная это все ж CISSP.


  1. Razaz
    30.01.2017 14:09
    +1

    Может подскажите кто в СПб этими курсами занимается?


    1. alexdorofeeff
      30.01.2017 14:44
      +1

      У нас в Санкт-Петербурге есть представительство «Эшелон – Северо-Запад», на базе которого мы начинаем весной вести ряд наших курсов, если будет интерес к подготовке к CISSP, CISM — проведем и его в прекрасном городе на Неве))


      1. Razaz
        30.01.2017 15:24
        +1

        Походу прилег сайт слегка :) Если не затруднит, напишите плиз в личку порядок цен и предполагаемые даты.


      1. segment
        30.01.2017 16:20

        Тоже интересует программа, предварительные даты и стоимость обучения.


        1. alexdorofeeff
          30.01.2017 23:59

          Программа и стоимость: http://uc-echelon.ru/courses/026-podgotovka-k-cissp-i-cism-kurs-ot-professionalov-praktikov, по датам — скорее всего июнь.


  1. ov7a
    30.01.2017 14:44

    Выборка из linkedIn мне кажется не очень показательной. Не думаю, что большинство людей, получившие сертификаты, там регистрируются.


    1. alexdorofeeff
      30.01.2017 14:49
      +1

      Альтернативы Linkedin пока нет, к сожалению. Насчет представительности — как сказать, всего 200 CISA и 200 CISSP, при этом есть серьезное пересечение и в Linkedin 50 CISA (25%) и 31 CISSP (15%).


      1. ov7a
        30.01.2017 15:16

        1. Что мешает наврать в LinkedIn?
        2. Цитирую вас: «данная статистика по CISA и CISM включает только сертифицированных специалистов, являющихся также членами ассоциации ISACA» — а если не члены, то их количество неизвестно.


        1. alexdorofeeff
          30.01.2017 15:23
          +1

          ov7a, а какой Вы предложите вариант для определения того, где работают и чем занимаются обладатели данных сертификатов?


          1. ov7a
            30.01.2017 15:31
            +1

            Не думаю, что вообще есть хороший способ.


          1. SurfCalavera
            30.01.2017 16:40
            +1

            у вас правильный метод для западных данных. (не знаю как для РФ)
            LinkedIn — это пожалуй лучший источник, все там есть и по где работают и чем занимаются и чем занимались


          1. olku
            30.01.2017 22:16

            Поставить опросник на Хабре же


        1. SurfCalavera
          30.01.2017 16:37
          +1

          наврать в LinkedIn мешает открытость записи,
          в приницпе любое вранье очень быстро выцепляется либо коллегами, либо рекрутерами.
          CISSP еще к тому же номерной и проверить по базе ISC2 легко. (и регулярно проверяется)

          указывать в профиле сертификацию очень важно — просто не будут даже разговаривать по позициям если нет сертификации. (например на эти позиции:

          ссылка на поиск LinkedIn)

          поэтому все стараются указать, причем даже не в разделе «сертификации», а в заголовке профиля, для облегчения поиска.


  1. cepxeo
    30.01.2017 16:07
    +2

    Готовился по книге Eric Conrad CISSP Study Guide, без курсов. ИТ шный опыт очень помог, сдал с первого раза. Хорошее знание английского в этой области просто необходимо, в вопросах много труднопереводимых слов, хотя можно пользоваться бумажным словарем.
    В целом сертификация помогает попасть в список приглашенных на собеседование, дальше уже зависит от опыта.


  1. Man1ak
    30.01.2017 18:42

    В сети Linkedin, к которой сейчас довольно ограниченный доступ, можно найти 50 аккаунтов российских пользователей с сертификатами CISA, 31 — c CISSP и 9 — c CISM.


    вот 50 циса это крайне странно — тупо в большой четверке в сумме больше сертифицированных человек работает.
    в поиске вот так выдало — 539 results for CISA


    1. alexdorofeeff
      31.01.2017 00:11
      +1

      Man1ak вы оказались абсолютно правы, видимо вчера, когда я делал эти запросы, был какой-то сбой или у меня кривые руки))) Обновил данные, но теперь стало еще интереснее: по Linkedin у нас сертифицированных специалистов в 1,5-2 раза больше, чем на самом деле (по данным от ISACA и ISC2). Видимо, кто-то забывает убрать сертификат, когда уже «забивает» на его продление, ну а кто-то, возможно, жульничает.


  1. Zwerg
    31.01.2017 03:10

    Если вы хотите технических знаний — CISSP практически бесполезен. Его называют the widest shallow certification. Грубо говоря область охвата знаний огромна, но по каждой теме едва касается поверхности. Я до сих пор помню что самое интересное для меня при подготовке к CISSP оказалась тема «физическая безопасность» по которой я не знал вообще ничего. CISSP имеет смысл получить только если вы планируете искать работу за рубежом, в РФ о нем мало кто слышал, хотя судя по hh знание начало просачиваться. Еще в статье ничего не упомянуто о адском выматывающем 6ти часовом экзамене состоящем из 250 вопросов — очень тяжело чисто физически, внимание к концу экзамена уже очень сложно сосредоточить, в туалет выходить не рекомендуется, т.к. практически каждая минута на счету. Свой CISSP я получил в далеком 2007м году и входил в первую сотню CISSP в РФ.


  1. Botrops
    31.01.2017 06:55

    CISA полезна, так как является на практике пререквизитом к нормальной вакансии ИТ аудитора.
    Однако, после пары лет опыта, понимаешь, что она наиболее ценна именно в начале профессионального пути.
    Выборка с ХХ.ру ни о чём, лучше убрать этот недоанализ, чтобы не вводить людей в заблуждение. А то подумают, что CISA получили и можно 200к просить. К нам такие иногда приходят.


    1. SurfCalavera
      01.02.2017 13:24
      +1

      Мне кажется вообще неправильное представление о сертификациях у многих (даже из комментариев к этой статье). Почему-то считают, что сертификация это получение новых знаний, хотя на самом деле это лишь подтверждение уже существуюших.
      Именно так сертификации и рассматриваются рекрутерами и работадателями, просто как индикатор уровня профпригодности.