Информационная безопасность / [Из песочницы] Опыт сертификации CISM

в 19:42, , рубрики: certification, CISM, information security, метки: , ,

Информационная безопасность / [Из песочницы] Опыт сертификации CISM

Несколько месяцев назад я решился сдавать на CISM. Хотел бы поделиться опытом подготовки, прохождения экзамена.
Что такое CISM?

Certified Information Security Manager. Детальное описание можно найти на isaca.org.
В целом – это один из наиболее почитаемых сертификатов в области информационной безопасности. Вот, например, один известный сайт по ИБ включил CISM в топ сертификаты для 2012г.
Мотивация

Личная мотивация — дело личное. По поводу мотивации со стороны работодателей в СНГ- особо ожидать не приходится, поэтому, как правило, все начинается с собственной инициативы. Лично я просто рассказал своему менеджеру о пользе сертификации — что это структурирует знания, привлечет заказчиков и т.д. И мы включили CISM в мой план по развитию. Благо работаю в большой международной ИТ компании, поэтому особых недопониманий по этому вопросу не было.
Процесс подготовкиобучения.

1) ISACA membership

Первым делом стоит подумать о том, чтобы стать ISACA member.
Это экономия на приобретение самого экзамена и литературы для подготовки к нему. Также, это доступ к обширным материалам, доступ в сообщество.
2) Источники подготовки

Два важнейших: CISM Review Manual и CD with questions. По некоторым вопросам, естественно, помог гугл. Также неплохо всупить в разные группы — я подписался на несколько групп в linkedin. Немного помогают, по крайней мере держат в тонусе.
3) Время и практика

Считаю идеально начать месяца за 4 до экзамена, чтобы:прочитать 2 раза полностью мануал

Мануал достаточно сложен.
В общем, пока я прочитал мануал один раз — уже подзабыл первую главу. Но на второй раз — прочиталось быстрее, и реально отложилось в голове.пройти все вопросы в базе

Вопросы в финальном экзамене будут совершенно другими. Но сдав все вопросы в тестовой базе, вы пропитаетесь исаковским духом и логикой, и это совершенно необходимо для сдачи экзамена.
Рекомендуется достичь во всех 5ти доменах не менее 80%.
У меня в первом раунде почему-то не получалось выбить более 70%. Вероятно, мой «здравый неправильный» смысл сражался с понятийными ловушками исаки.разобраться с новыми областями

Для меня, например, была новой область криптования. Да и вообще, многие технические термины приходилось разбирать в первый раз. Например ДМЗ (ну не знал я что это), виды атак, интернет протоколы.
В группах по подготовке к экзамену люди писали, что они тратят по 4 часа в день на протяжении 2-3 месяцев. Мне кажется это слишком. Жить (и работать) когда?
Итак, хорошо бы выделять по часу времени 2-3 раза в неделю на обучение.
У меня в один момент не получилось поддержать ритм, и за 2 недели до экзамена я понял, что не успеваю. Поэтому взял отпуск. Отправил жену и детей к родственникам и больше недели только и занимался подготовкой. Вот так люди иногда сходят с ума, грань между безумием и разумом иллюзорна.
Еще практика
при чтении мануала стоит обращать самое пристальное внимание на места имеющие в тексте превосходные формы, типа most, least, biggest и тд.

Дело в том, что наверное половина всех вопросов на экзамене содержат в формулировке эти слова. Например – what's the MOST practical approach for information security manager to start with security strategy building. Ну и тд. Поэтому, встретив в мануале most чего-то там — стоит разобраться, что isaca так выделяет.Мануал составлен многими людьми, что объясняет его разноплановость.

Часто, одна и та же вещь объясняется в разных главах по разному. Приходилось читать и перечитывать, подключать гугл. А какова детальная взаимосвязь BIA (Business impact analysis) и Risk management с точки зрения ISACA я до сих пор не могу объяснить. Да потому что задолбали описывать в каждой секции по своему:-CISM – сертификация для менеджеров.

Поэтому все вопросы (ну кроме самых технических) нужно рассматривать с позиции менежмента и бизнеса.
Например:Accountability by business process owners can BEST be obtained through:
A. periodic reminder memorandums.
B. strict enforcement of policies.
C. policies signed by IT management.
D. education and awareness meetings. — правильный этот, п.ч. только так работает здравый бизнес.
Еще пример:An information security program should be sponsored by:
A. infrastructure management.
B. the corporate legal department.
C. key business process owners. — правильный этот, п.ч. кто владеет деньгами, тот и музыку танцует.
D. quality assurance management.
Примеры взяты с официального self-assessment test на isaca.org. Кстати, рекомендую пройти — вопросы типичные для экзамена.конспектирование

Как бы очевидно. Структурирует твой разум.
Я использовал майндмэп тул — freemind.
Экзамен

4 часа, 200 вопросов. Максимально можешь выбить 800 баллов. Проходной порог — 450 баллов. Схему, по которой считают эти баллы — я так и не нашел. Но вроде бы, все вопросы имеют некий вес, суммируя которые можно получить балл по области, а потом аппроксимировать в общую оценку. А еще в экзамене есть пилотные вопросы, ответ на которые не учитывается. Санта барбара короче.
Само прохождение экзамена организованно достаточно четко.
Приходишь, тебя регистрируют, отводят в нужную аудиторию, в которой уже пронумерованы парты. Находишь свое место, достаешь несколько карандашей, стерку, адмишн тикет и ждешь инструкций.
Думаю, списать практически невозможно.
В кратких паузах, что я делал в процессе экзамена, мозг пытался взломать их систему. Но ничего более прикольного, чем установка видеокамеры в лампу над головой (заранее до экзамена), я не придумал ну естесно, никому это и не нужно:)
Имеет смысл заранее продумать период отдыха перед экзаменом, также путь проезда (особенно иногородним). Я ехал в Москву из Минска. Ночь в поезде, с 6 утра на вокзале — все это не придало свежести разуму. В другой раз я бы постарался сделать по-другому. Может приехать за день и переночевать в гостинице.
Хитрый нюанс – на экзамен у тебя 4 часа, но в реальности только 3:30.
Дело в том, что поначалу отвечать нужно в специальном экзаменейшн бук (там же ремарки можно делать, писать что хочешь и тд), а потом перенести ответы в финальный ансвер шит.
Т.е. буквально зарисовать бубочку напротив нужного вопроса.
Так как бубочка диаметром около 4 мм, то чтобы четко зарисовать ее, нужно 2-4 сек, умножаем на 200, получаем около 800 сек или 13 мин только лишь чтобы тупо-лихорадочно перерисовать свои ответы. Ну еще столько же времени нужно добавить на равномерность, чтобы не ошибиться.
Видел, как некоторые в конце бешенно зарисовывали уже после финального свистка, так что инструкторам пришлось пригрозить отчислением.
В целом, времени в обрез. Для себя выбрал тактику ритма — отвечаю на 25 вопросов — пауза несколько минут. Посередине вышел прогуляться — это можно, только по очереди, строго по одному.
Экзамен проходит в один и тот же день, по всему миру, 10 декабря в моем случае.
Эпилог

После написания экзамена, были большие сомнения, наберу ли проходной балл. Чуствовалось, что шансов где-то с 50-60%. Но прошло пару месяцев, и недавно пришел ответ — прошел таки тест. С результатом 552 из 800. Может и не блеск, но порог в 450 пройден.
Теперь мне нужно будет предоставить проверенные данные о своем 5-ти летнем опыте в области ИБ, чтобы официально называться CISM. Но это отдельная песня.
Нужная ли эта штука CISM – пусть каждый сам ответит для себя. Но одно могу сказать, нахаляву получить ее практически невозможно, и значит, люди с лейблой CISM кое-что знают в ИБ.


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js