Pull to refresh

Опыт сертификации CISM

Information Security *
Sandbox
image

Несколько месяцев назад я решился сдавать на CISM. Хотел бы поделиться опытом подготовки, прохождения экзамена.

Что такое CISM?


Certified Information Security Manager. Детальное описание можно найти на isaca.org.

В целом – это один из наиболее почитаемых сертификатов в области информационной безопасности. Вот, например, один известный сайт по ИБ включил CISM в топ сертификаты для 2012г.

Мотивация


Личная мотивация — дело личное. По поводу мотивации со стороны работодателей в СНГ- особо ожидать не приходится, поэтому, как правило, все начинается с собственной инициативы. Лично я просто рассказал своему менеджеру о пользе сертификации — что это структурирует знания, привлечет заказчиков и т.д. И мы включили CISM в мой план по развитию. Благо работаю в большой международной ИТ компании, поэтому особых недопониманий по этому вопросу не было.

Процесс подготовки\обучения.


1) ISACA membership

Первым делом стоит подумать о том, чтобы стать ISACA member.
Это экономия на приобретение самого экзамена и литературы для подготовки к нему. Также, это доступ к обширным материалам, доступ в сообщество.

2) Источники подготовки

Два важнейших: CISM Review Manual и CD with questions. По некоторым вопросам, естественно, помог гугл. Также неплохо всупить в разные группы — я подписался на несколько групп в linkedin. Немного помогают, по крайней мере держат в тонусе.

3) Время и практика

Считаю идеально начать месяца за 4 до экзамена, чтобы:
  • прочитать 2 раза полностью мануал
Мануал достаточно сложен.
В общем, пока я прочитал мануал один раз — уже подзабыл первую главу. Но на второй раз — прочиталось быстрее, и реально отложилось в голове.
  • пройти все вопросы в базе
Вопросы в финальном экзамене будут совершенно другими. Но сдав все вопросы в тестовой базе, вы пропитаетесь исаковским духом и логикой, и это совершенно необходимо для сдачи экзамена.
Рекомендуется достичь во всех 5ти доменах не менее 80%.
У меня в первом раунде почему-то не получалось выбить более 70%. Вероятно, мой «здравый неправильный» смысл сражался с понятийными ловушками исаки.
  • разобраться с новыми областями
Для меня, например, была новой область криптования. Да и вообще, многие технические термины приходилось разбирать в первый раз. Например ДМЗ (ну не знал я что это), виды атак, интернет протоколы.

В группах по подготовке к экзамену люди писали, что они тратят по 4 часа в день на протяжении 2-3 месяцев. Мне кажется это слишком. Жить (и работать) когда?
Итак, хорошо бы выделять по часу времени 2-3 раза в неделю на обучение.
У меня в один момент не получилось поддержать ритм, и за 2 недели до экзамена я понял, что не успеваю. Поэтому взял отпуск. Отправил жену и детей к родственникам и больше недели только и занимался подготовкой. Вот так люди иногда сходят с ума, грань между безумием и разумом иллюзорна.

Еще практика


  • при чтении мануала стоит обращать самое пристальное внимание на места имеющие в тексте превосходные формы, типа most, least, biggest и тд.
Дело в том, что наверное половина всех вопросов на экзамене содержат в формулировке эти слова. Например – what's the MOST practical approach for information security manager to start with security strategy building. Ну и тд. Поэтому, встретив в мануале most чего-то там — стоит разобраться, что isaca так выделяет.
  • Мануал составлен многими людьми, что объясняет его разноплановость.
Часто, одна и та же вещь объясняется в разных главах по разному. Приходилось читать и перечитывать, подключать гугл. А какова детальная взаимосвязь BIA (Business impact analysis) и Risk management с точки зрения ISACA я до сих пор не могу объяснить. Да потому что задолбали описывать в каждой секции по своему:-\
  • CISM – сертификация для менеджеров.
Поэтому все вопросы (ну кроме самых технических) нужно рассматривать с позиции менежмента и бизнеса.
Например:
Accountability by business process owners can BEST be obtained through:
A. periodic reminder memorandums.
B. strict enforcement of policies.
C. policies signed by IT management.
D. education and awareness meetings. — правильный этот, п.ч. только так работает здравый бизнес.

Еще пример:
An information security program should be sponsored by:
A. infrastructure management.
B. the corporate legal department.
C. key business process owners. — правильный этот, п.ч. кто владеет деньгами, тот и музыку танцует.
D. quality assurance management.
Примеры взяты с официального self-assessment test на isaca.org. Кстати, рекомендую пройти — вопросы типичные для экзамена.
  • конспектирование
Как бы очевидно. Структурирует твой разум.
Я использовал майндмэп тул — freemind.

Экзамен


4 часа, 200 вопросов. Максимально можешь выбить 800 баллов. Проходной порог — 450 баллов. Схему, по которой считают эти баллы — я так и не нашел. Но вроде бы, все вопросы имеют некий вес, суммируя которые можно получить балл по области, а потом аппроксимировать в общую оценку. А еще в экзамене есть пилотные вопросы, ответ на которые не учитывается. Санта барбара короче.

Само прохождение экзамена организованно достаточно четко.
Приходишь, тебя регистрируют, отводят в нужную аудиторию, в которой уже пронумерованы парты. Находишь свое место, достаешь несколько карандашей, стерку, адмишн тикет и ждешь инструкций.

Думаю, списать практически невозможно.

В кратких паузах, что я делал в процессе экзамена, мозг пытался взломать их систему. Но ничего более прикольного, чем установка видеокамеры в лампу над головой (заранее до экзамена), я не придумал ну естесно, никому это и не нужно:)

Имеет смысл заранее продумать период отдыха перед экзаменом, также путь проезда (особенно иногородним). Я ехал в Москву из Минска. Ночь в поезде, с 6 утра на вокзале — все это не придало свежести разуму. В другой раз я бы постарался сделать по-другому. Может приехать за день и переночевать в гостинице.

Хитрый нюанс – на экзамен у тебя 4 часа, но в реальности только 3:30.
Дело в том, что поначалу отвечать нужно в специальном экзаменейшн бук (там же ремарки можно делать, писать что хочешь и тд), а потом перенести ответы в финальный ансвер шит.
Т.е. буквально зарисовать бубочку напротив нужного вопроса.
Так как бубочка диаметром около 4 мм, то чтобы четко зарисовать ее, нужно 2-4 сек, умножаем на 200, получаем около 800 сек или 13 мин только лишь чтобы тупо-лихорадочно перерисовать свои ответы. Ну еще столько же времени нужно добавить на равномерность, чтобы не ошибиться.
Видел, как некоторые в конце бешенно зарисовывали уже после финального свистка, так что инструкторам пришлось пригрозить отчислением.

В целом, времени в обрез. Для себя выбрал тактику ритма — отвечаю на 25 вопросов — пауза несколько минут. Посередине вышел прогуляться — это можно, только по очереди, строго по одному.

Экзамен проходит в один и тот же день, по всему миру, 10 декабря в моем случае.

Эпилог


После написания экзамена, были большие сомнения, наберу ли проходной балл. Чуствовалось, что шансов где-то с 50-60%. Но прошло пару месяцев, и недавно пришел ответ — прошел таки тест. С результатом 552 из 800. Может и не блеск, но порог в 450 пройден.

Теперь мне нужно будет предоставить проверенные данные о своем 5-ти летнем опыте в области ИБ, чтобы официально называться CISM. Но это отдельная песня.

Нужная ли эта штука CISM – пусть каждый сам ответит для себя. Но одно могу сказать, нахаляву получить ее практически невозможно, и значит, люди с лейблой CISM кое-что знают в ИБ.

upd:
К вопросу о стоимости:
— членство ISACA 155$
— экзамен 425$ (это минимально возможная цена — за счет ранней регистрации и членства)
— CISM Review Manual 85$ (цена со скидкой)
— CISM Practice Question Database (CD-ROM) 120$ (скидка)
— добраться из Минска в Москву, также мелочи разные — типа доставка литературы 300$
Итого 1085$

Ссылка на детальную инструкцию о том, что входит в 5 лет необходимого опыта: Requirements to Become a Certified Information Security Manager

upd2: продолжение про то, как апплаился: CISM application
Tags:
Hubs:
Total votes 27: ↑26 and ↓1 +25
Views 24K
Comments Comments 21