Опыт сертификации CISM

image

Несколько месяцев назад я решился сдавать на CISM. Хотел бы поделиться опытом подготовки, прохождения экзамена.

Что такое CISM?


Certified Information Security Manager. Детальное описание можно найти на isaca.org.

В целом – это один из наиболее почитаемых сертификатов в области информационной безопасности. Вот, например, один известный сайт по ИБ включил CISM в топ сертификаты для 2012г.

Мотивация


Личная мотивация — дело личное. По поводу мотивации со стороны работодателей в СНГ- особо ожидать не приходится, поэтому, как правило, все начинается с собственной инициативы. Лично я просто рассказал своему менеджеру о пользе сертификации — что это структурирует знания, привлечет заказчиков и т.д. И мы включили CISM в мой план по развитию. Благо работаю в большой международной ИТ компании, поэтому особых недопониманий по этому вопросу не было.

Процесс подготовки\обучения.


1) ISACA membership

Первым делом стоит подумать о том, чтобы стать ISACA member.
Это экономия на приобретение самого экзамена и литературы для подготовки к нему. Также, это доступ к обширным материалам, доступ в сообщество.

2) Источники подготовки

Два важнейших: CISM Review Manual и CD with questions. По некоторым вопросам, естественно, помог гугл. Также неплохо всупить в разные группы — я подписался на несколько групп в linkedin. Немного помогают, по крайней мере держат в тонусе.

3) Время и практика

Считаю идеально начать месяца за 4 до экзамена, чтобы:
  • прочитать 2 раза полностью мануал
Мануал достаточно сложен.
В общем, пока я прочитал мануал один раз — уже подзабыл первую главу. Но на второй раз — прочиталось быстрее, и реально отложилось в голове.
  • пройти все вопросы в базе
Вопросы в финальном экзамене будут совершенно другими. Но сдав все вопросы в тестовой базе, вы пропитаетесь исаковским духом и логикой, и это совершенно необходимо для сдачи экзамена.
Рекомендуется достичь во всех 5ти доменах не менее 80%.
У меня в первом раунде почему-то не получалось выбить более 70%. Вероятно, мой «здравый неправильный» смысл сражался с понятийными ловушками исаки.
  • разобраться с новыми областями
Для меня, например, была новой область криптования. Да и вообще, многие технические термины приходилось разбирать в первый раз. Например ДМЗ (ну не знал я что это), виды атак, интернет протоколы.

В группах по подготовке к экзамену люди писали, что они тратят по 4 часа в день на протяжении 2-3 месяцев. Мне кажется это слишком. Жить (и работать) когда?
Итак, хорошо бы выделять по часу времени 2-3 раза в неделю на обучение.
У меня в один момент не получилось поддержать ритм, и за 2 недели до экзамена я понял, что не успеваю. Поэтому взял отпуск. Отправил жену и детей к родственникам и больше недели только и занимался подготовкой. Вот так люди иногда сходят с ума, грань между безумием и разумом иллюзорна.

Еще практика


  • при чтении мануала стоит обращать самое пристальное внимание на места имеющие в тексте превосходные формы, типа most, least, biggest и тд.
Дело в том, что наверное половина всех вопросов на экзамене содержат в формулировке эти слова. Например – what's the MOST practical approach for information security manager to start with security strategy building. Ну и тд. Поэтому, встретив в мануале most чего-то там — стоит разобраться, что isaca так выделяет.
  • Мануал составлен многими людьми, что объясняет его разноплановость.
Часто, одна и та же вещь объясняется в разных главах по разному. Приходилось читать и перечитывать, подключать гугл. А какова детальная взаимосвязь BIA (Business impact analysis) и Risk management с точки зрения ISACA я до сих пор не могу объяснить. Да потому что задолбали описывать в каждой секции по своему:-\
  • CISM – сертификация для менеджеров.
Поэтому все вопросы (ну кроме самых технических) нужно рассматривать с позиции менежмента и бизнеса.
Например:
Accountability by business process owners can BEST be obtained through:
A. periodic reminder memorandums.
B. strict enforcement of policies.
C. policies signed by IT management.
D. education and awareness meetings. — правильный этот, п.ч. только так работает здравый бизнес.

Еще пример:
An information security program should be sponsored by:
A. infrastructure management.
B. the corporate legal department.
C. key business process owners. — правильный этот, п.ч. кто владеет деньгами, тот и музыку танцует.
D. quality assurance management.
Примеры взяты с официального self-assessment test на isaca.org. Кстати, рекомендую пройти — вопросы типичные для экзамена.
  • конспектирование
Как бы очевидно. Структурирует твой разум.
Я использовал майндмэп тул — freemind.

Экзамен


4 часа, 200 вопросов. Максимально можешь выбить 800 баллов. Проходной порог — 450 баллов. Схему, по которой считают эти баллы — я так и не нашел. Но вроде бы, все вопросы имеют некий вес, суммируя которые можно получить балл по области, а потом аппроксимировать в общую оценку. А еще в экзамене есть пилотные вопросы, ответ на которые не учитывается. Санта барбара короче.

Само прохождение экзамена организованно достаточно четко.
Приходишь, тебя регистрируют, отводят в нужную аудиторию, в которой уже пронумерованы парты. Находишь свое место, достаешь несколько карандашей, стерку, адмишн тикет и ждешь инструкций.

Думаю, списать практически невозможно.

В кратких паузах, что я делал в процессе экзамена, мозг пытался взломать их систему. Но ничего более прикольного, чем установка видеокамеры в лампу над головой (заранее до экзамена), я не придумал ну естесно, никому это и не нужно:)

Имеет смысл заранее продумать период отдыха перед экзаменом, также путь проезда (особенно иногородним). Я ехал в Москву из Минска. Ночь в поезде, с 6 утра на вокзале — все это не придало свежести разуму. В другой раз я бы постарался сделать по-другому. Может приехать за день и переночевать в гостинице.

Хитрый нюанс – на экзамен у тебя 4 часа, но в реальности только 3:30.
Дело в том, что поначалу отвечать нужно в специальном экзаменейшн бук (там же ремарки можно делать, писать что хочешь и тд), а потом перенести ответы в финальный ансвер шит.
Т.е. буквально зарисовать бубочку напротив нужного вопроса.
Так как бубочка диаметром около 4 мм, то чтобы четко зарисовать ее, нужно 2-4 сек, умножаем на 200, получаем около 800 сек или 13 мин только лишь чтобы тупо-лихорадочно перерисовать свои ответы. Ну еще столько же времени нужно добавить на равномерность, чтобы не ошибиться.
Видел, как некоторые в конце бешенно зарисовывали уже после финального свистка, так что инструкторам пришлось пригрозить отчислением.

В целом, времени в обрез. Для себя выбрал тактику ритма — отвечаю на 25 вопросов — пауза несколько минут. Посередине вышел прогуляться — это можно, только по очереди, строго по одному.

Экзамен проходит в один и тот же день, по всему миру, 10 декабря в моем случае.

Эпилог


После написания экзамена, были большие сомнения, наберу ли проходной балл. Чуствовалось, что шансов где-то с 50-60%. Но прошло пару месяцев, и недавно пришел ответ — прошел таки тест. С результатом 552 из 800. Может и не блеск, но порог в 450 пройден.

Теперь мне нужно будет предоставить проверенные данные о своем 5-ти летнем опыте в области ИБ, чтобы официально называться CISM. Но это отдельная песня.

Нужная ли эта штука CISM – пусть каждый сам ответит для себя. Но одно могу сказать, нахаляву получить ее практически невозможно, и значит, люди с лейблой CISM кое-что знают в ИБ.

upd:
К вопросу о стоимости:
— членство ISACA 155$
— экзамен 425$ (это минимально возможная цена — за счет ранней регистрации и членства)
— CISM Review Manual 85$ (цена со скидкой)
— CISM Practice Question Database (CD-ROM) 120$ (скидка)
— добраться из Минска в Москву, также мелочи разные — типа доставка литературы 300$
Итого 1085$

Ссылка на детальную инструкцию о том, что входит в 5 лет необходимого опыта: Requirements to Become a Certified Information Security Manager

upd2: продолжение про то, как апплаился: CISM application

Similar posts

Ads
AdBlock has stolen the banner, but banners are not teeth — they will be back

More

Comments 21

    0
    А какая практическая польза лично вам и вашему работодателю от того, что у вас теперь есть этот сертификат, интересно конкретно, а не просто мол похвастаться перед клиентами.
    Интересно также сколько ушло на это в денежном эквиваленте, оплачивал работодатель?
      +3
      Мой личный интерес — в дальнейшем развитии в области ИБ. Все таки структура и контент CISM считается одной из самых продвинутых на данный момент. Еще одна очевидная польза — с этой лейблой можно дерзать и пробиваться в более серьезные проекты, и тебе доверят их. Все таки в некоторых случаях у заказчика нет времени проверять что ты за чел, и он доверится твоему сертификату.

      Хвастаться перед работодателем как то не думал. Честно говоря, мой манагер с трудом вспомнит (и уж точно не повторит название) про мой CISM:)

      В деньгах ушло:
      — членство ISACA 155$
      — экзамен 425$ (это минимально возможная цена — за счет ранней регистрации и членства)
      — CISM Review Manual 85$
      — CISM Practice Question Database (CD-ROM) 120$
      — добраться из Минска в Москву, также мелочи разные 300$
      Итого 1085$

      Все покрыл работодатель.
      Если бы я не сдал с первого раза — то точно пытался бы второй раз. Тогда бы платил все сам.

        +1
        У меня и некоторых знакомых, сдававших на разные сертификаты, работодатель всё оплачивает только при условии, что ты будешь работать на фирму 1-2-3 года. Если же уходишь с работы раньше оговоренного срока, то должен оплатить стоимость курсов и/или сертификации.

        Как в вашей фирме обстоят дела с этим?
          0
          У нас нет такой политики. И оплачивать сертификацию при уходе тоже не потребуют.
          Но не думаю, что менеджер будет разрешать новичкам без разбора сертифицироваться.

          PS Работаю уже больше 4-х лет на этой фирме
            0
            Понятно, спасибо.
      +1
      Полезно, спасибо.
      Как раз летом планирую сдавать CISSP.
        +1
        Насколько я знаю, CISSP имеет свою специфику.
        CISSP — это сертификат от ISC2. А CISM (также CISA, CGEIT, CRISC) — от ISACA.
        У каждой конторы свои заморочки по поводу экзаменов.
        +1
        А с чем связан выбор именно CISM?
        Почему, например, не более технический CISSP, в котором все же есть домены по управлению ИБ?
          +1
          Потому что я больше менеджер и процессник чем технарь. Занимаюсь внедрением ISMS, сертификацией ISO27001. CISSP (как и CISA) все же больше для технических аудиторов.
          0
          Теперь мне нужно будет предоставить проверенные данные о своем 5-ти летнем опыте в области ИБ, чтобы официально называться CISM. Но это отдельная песня.

          То есть для получения статуса еще и нужен подтвержденный пятилетний опыт в ИБ?
            0
            Формально — нет, но чтобы успешно сдать он таки понадобится.
              0
              А как тогда понимать вышеприведенную фразу?
                0
                Нет, это я наврал. Да, статус надо подтверждать (и не один раз, а постоянно), работая в отрасли. Перестанешь работать в отрасли — потеряешь статус.
            0
            За статью спасибо.

            А можно песню про проверку 5-летнего опыта в ИБ? Все время интересовало, как они это делают…

            И еще — слышал, что можно год скастить за счет обучения (например, за счет сертификата CompTIA Security+) — нет такой информации?
              0
              Есть детальнейшая инструкция что как и куда: Requirements to Become a Certified Information Security Manager

              Выдержка:
              Submit verified evidence of five (5) years of work experience in the field of information security. Three (3) of the five (5) years of work experience must be gained performing the role of an information security manager. In addition, this work experience must be broad and gained in three of the five job practice areas (see reverse side of Verification of Work Experience form).

              Дальше, по поводу «скастить за счет обучения»:
              Two years of general work experience may be substituted for currently holding one of the following broad security-related certifications or a post-graduate degree:
              – Certified Information Systems Auditor (CISA) in good standing or
              – Certified Information Systems Security Professional (CISSP) in good standing or
              – Post-graduate degree in information security or a related field (for example: business administration, information systems, information assurance)


              И еще:
              A maximum of one year of general information security work experience may be substituted for one of the following:
              – One full year of information systems management experience or
              – One full year of general security management experience
              – Currently holding a skill-based or general security certification [(e.g., SANS Global Information Assurance Certification (GIAC), Microsoft Certified Systems Engineer (MCSE), CompTIA Security+, CompTIA Security+ CE, Disaster Recovery Institute Certified Business Continuity Professional (CBCP), ESL IT Security Manager].


              т.е. в вашем случае, за счет CompTIA Security+ можно год зааплаить.
                0
                Угу, спасибо… Но вот что из себя представляют пресловутые «verified evidences» — неясно. Скан трудовой (сомнительно), контакты работодателей (затруднительно) или честное слово (наивно)

                Два года за счет CISSP или CISA — как-то забавно. Там, если мне не изменяет память — те же 5 лет нужны.
                0
                Как пройду все это дело — постараюсь отписать про практику.
                0
                Стоит добавить, что CISM является минимально необходимым сертификатом для пачки других сертификаций, некоторые из которых ведук к весьма хорошооплачиваемым работам. Например PCI DSS аудитор.
                • UFO just landed and posted this here
                    +1
                    Спорить о ценности чего-либо — неблагодарное дело. Слишком много мотивов у нас, и приоритеты в жизни у всех разные.

                    «Немного времени и денег» — маловато для получения CISM. Ну разве что вы вундеркинд:)

                    По поводу работодателей ищущих работников — есть отличные спецы, которые не выступают, не публикуют и не пишут.
                    Что-то мне подсказывает, что при приеме на реальную работу самым важным для работодателя окажется ни наличие CISM, ни конференции, а что-то другое:)
                    +2
                    Думаю ценность в структурировании знаний, победа над собой и повышения статуса

                    Only users with full accounts can post comments. Log in, please.