Pull to refresh

Сертификация CISSP: Howto

АйТи corporate blog Information Security *
Привет, Хабравчане!

Недавно я сдал одну из топовых сертификаций в области информационной безопасности: Certified Information Systems Security Professional или кратко CISSP. В процессе подготовки я по крупицам собирал от коллег, а также по разным форумам и сайтам полезную информацию о сертификации и экзамене. «А ведь это может кому-то пригодиться!» подумал я, разбираясь на рабочем столе, и убрал палец с кнопки Delete.
Под катом я расскажу о своем опыте подготовки и поделюсь советами и приемами, которые проверил на себе. Надеюсь, этот материал поможет вам лучше понять, что такое CISSP и стоит ли его сдавать, а также сэкономить драгоценное время в процессе подготовки.
Читать дальше →
Total votes 29: ↑27 and ↓2 +25
Views 81K
Comments 33

Сертификации CompTIA для ИТ-специалистов. Часть 5 из 7. CompTIA CASP (Advanced Security Practitioner)

МУК corporate blog Studying in IT Education abroad IT-emigration
Tutorial
Читать дальше →
Total votes 7: ↑6 and ↓1 +5
Views 7.5K
Comments 2

Сертификации CompTIA для ИТ-специалистов. Часть 3 из 7. CompTIA Cloud+

МУК corporate blog Studying in IT Education abroad Reading room
Tutorial
Сертификации CompTIA для ИТ-специалистов. Часть 1 из 7: CompTIA A+
Сертификации CompTIA для ИТ-специалистов. Часть 4 из 7. CompTIA Security+
Сертификации CompTIA для ИТ-специалистов. Часть 5 из 7. CompTIA CASP (Advanced Security Practitioner)
Сертификации CompTIA для ИТ-специалистов. Часть 6 из 7. CompTIA Storage+
Сертификации CompTIA для ИТ-специалистов. Часть 7 из 7. CompTIA CTT+ (Certified Technical Trainer)


1. “Что такое Cloud (облако)?”


В ответ на этот вопрос обычно приводят различные варианты аренды инфраструктуры (Infrastructure-), платформы (Platform-) или приложения (Software-) как услуги (asService) у публичного (Public) или частного (Private) поставщика (Provider), с которыми успели столкнуться. Крайне редко частично воспроизводится замысловатое определение термина Cloud Computing, данное Национальным Институтом стандартизации и Технологий (NIST) США в серии публикаций SP800-145, а именно:
Читать дальше →
Total votes 7: ↑7 and ↓0 +7
Views 4.2K
Comments 0

Сертификаты CISSP, CISA, CISM: как получить и стоит ли овчинка выделки?

Эшелон corporate blog Information Security *
А почему у тебя на визитке написано «КИСА»?
Ты вроде серьезный человек…
(из разговора с приятелем)

Мы все знаем, что нас встречают всегда по одежке, но не всегда задумываемся, а что именно стоит за этим словом «одежка». «Одежкой» являются наши атрибуты, которые позволяют другим людям легко вписать нас в свое представление о мире или, проще говоря, навесить на нас ярлык. Соответственно, управляя своими атрибутами, мы можем управлять тем, как нас воспринимают другие люди. В среде специалистов по информационной безопасности устоявшимися атрибутами, позволяющие другим причислять вас к серьезным ИБ-специалистам, являются такие статусы, как CISSP, CISA, CISM.

В данной статье подробно рассмотрим, что стоит за этими сертификациями, как подготовиться к сдаче соответствующих экзаменов и стоит ли их получать.


Читать дальше →
Total votes 12: ↑11 and ↓1 +10
Views 85K
Comments 28

Как я сдал экзамен на сертификат CISSP

Перспективный мониторинг corporate blog Information Security *
Первый источник информации, из которого я многое узнал о CISSP, это публикация на Хабре. В своем описании постараюсь не дублировать информацию из этого поста.

Я начинал готовиться еще в 2014 году и переход от 10 доменов к 8 еще не состоялся. Мне пришлось готовиться сначала по старым учебникам, а потом переходить на новые. Приведу ниже описание моего собственного опыта, и некоторых выводов, которые могут быть полезны для тех, кто планирует получить сертификат.

Для подготовки я избрал тактику медленного освоения материала — учебник читал по дороге из дома в офис и обратно. Получалось около часа в день. Лучше готовиться по английским учебникам, ибо в переведенных на русский учебниках осталось мало английских терминов, и будет трудно ориентироваться в вопросах на английском.
Читать дальше →
Total votes 11: ↑9 and ↓2 +7
Views 7.4K
Comments 10

Не так страшен чёрт, как его описывают, или как я сдавал экзамен на CISSP

Information Security *IT Standards *IT career
CISSP (Certified Information Security Systems Professional) относится к “золотому стандарту” в индустрии безопасности и давно входит в топы IT сертификаций.

Сложность сертификации


Изначальные требования для прохождения сертификации достаточно высоки, возможно, поэтому это многих отпугивает: минимум 5 лет подтвержденного опыта в области безопасности как минимум в 2 из 8 доменов, которые покрывает CISSP (о доменах ниже).

Экзамен действительно сложный. До этого у меня было 12 Майкрософт сертификаций, которые рядом не стояли по сложности и требованию к уровню знаний. CISSP требует достаточно широких знаний безопасности, от физической защиты активов до управления безопасностью на предприятии уровня enterprise.

Все эти сложности сказываются на качестве и ценности самой сертификации.

У нас всё ещё смотрят «сквозь пальцы» на подобные сертификаты, хотя за рубежом это часто является необходимым условием для высокой технической должности. Возможно, сервисная модель ведения бизнеса подпортила отношение к сертификации, как к постоянному росту — новые функциональные формы часто предпочтительнее нефункциональных атрибутов систем, включая безопасность.
Читать дальше →
Total votes 24: ↑24 and ↓0 +24
Views 10K
Comments 11

Что такое CISSP, как его получить, не потерять и почему он не нужен

Газинформсервис corporate blog Information Security *
Сегодняшний рынок вакансий ИТ-компаний вряд ли можно назвать интересным и разнообразным. Однако даже в нем можно встретить требования к сотрудникам по наличию сертификата CISSP. Эта сертификация является стандартном де-факто на западе, а вот о том, как получить этот сертификат в России поделился сотрудник нашей компании Сергей Полунин.



Читать дальше →
Total votes 10: ↑6 and ↓4 +2
Views 33K
Comments 8

DEFCON 17. Взлом 400 000 паролей, или как объяснить соседу по комнате, почему счёт за электричество увеличился. Часть 1

ua-hosting.company corporate blog Information Security *IT Infrastructure *Conferences
Translation
Приветствую всех и благодарю за то, что вы сделали мою презентацию завершающей конференцию DEFCON в этом году. Я очень ценю это и постараюсь вас не разочаровать. Меня зовут Мэтт Уийр, я аспирант Университета штата Флорида. Прежде чем мы начнём говорить непосредственно о взломе паролей, я хочу сказать о том, что работаю с очень хорошей командой, и назвать её членов прямо сейчас. Это мой руководитель, профессор, доктор Сидир Эггрвол, который приложил свою руку к моей презентации и профессор Брено де Медейрос. Также мне хотелось бы поблагодарить Национальный институт юстиции и Национальный центр криминальных исследований «Белые воротнички» за финансирование моих исследований.



Я действительно ценю это, потому что данная помощь придала моим исследованиям немного легитимности. Потому что когда я пошёл на научный совет, чтобы он одобрил тему моих исследований, то начал разговор с того, что она посвящена взлому паролей. Эти слова вызвали возмущённую реакцию, так что мне пришлось объяснять, что это нужно для того, чтобы, например, поймать и привлечь к ответственности растлителей малолетних и прочих преступников такого рода.
Total votes 26: ↑22 and ↓4 +18
Views 17K
Comments 4

DEFCON 17. Взлом 400 000 паролей, или как объяснить соседу по комнате, почему счёт за электричество увеличился. Часть 2

ua-hosting.company corporate blog Information Security *IT Infrastructure *Conferences
Translation
DEFCON 17. Взлом 400 000 паролей, или как объяснить соседу по комнате, почему счёт за электричество увеличился. Часть 1

Если вы не придерживаетесь никаких правил создания паролей, то пароль может выглядеть как простой список PHP. Люди ненавидят правила, ненавидят словосочетания и не хотят их использовать. Если дать им волю, они напечатают любой пустяковый пароль и будут считать, что дело сделано. В этом случае безопаснее, если они не будут использовать простые базовые слова, поэтому лучше использовать большие входные словари.



Наибольший вклад в создание входных словарей внёс Себастьян Раво – он создал огромные списки слов из каждой статьи, содержащейся в Википедии, а также из аналогичных проектов. Если вы знаете какое-то слово, то вы создаёте для него статью в Википедии. Но то, что хорошо для Википедии, не всегда хорошо для создания безопасных паролей, поэтому если словарь действительно огромный, к нему невозможно применить множество различных правил. Вы можете ознакомиться со списком слов из Википедии в его блоге http://blog.sebastien.raveau.name/.

Если имеется политика создания паролей, то следует руководствоваться такими правилами:
лучше использовать в словарях небольшие тематические, специализированные списки слов,
лучшие словари основаны на ранее взломанных паролях.
Total votes 20: ↑17 and ↓3 +14
Views 9.2K
Comments 5

Сертификация. Стоит ли пользоваться дампами и при чем здесь цепи Маркова?

Mathematics *IT career
Более 20 лет назад я заинтересовался телекомом. Я начал с чтения книжек, одной из которых был курс CCNA. Тогда это была довольно тоненькая книжечка с FDDI, Token Ring, ISDN и подобными вещами, о которых новое поколение сетевиков только слышали. И тогда я впервые прочитал про CCIE сертификацию. У меня осталось впечатление, что обладатели этого статуса являются воистину IT богами. Конечно же, мне захотелось достичь этого сетевого самадхи.

С тех пор прошло много времени. Я получил CCNA потом CCNP, с успехом просрочил все эти сертификаты за ненужностью и лет через 10 стал CCIE. Я по-прежнему занимаюсь сетями, и, надо сказать, похоже, люблю свою работу, но романтизм, конечно, прошел. Двадцать лет назад отношение ко всему этому было совсем другим. Это был драйв, это было настоящее приключение.

Сейчас такого интереса уже нет, и отношение к сертификации у разных инженеров тоже разное, да и сам я отношусь к этому неоднозначно. Я ясно осознаю, что это своеобразная игра, часто не совсем честная игра, и, если вы не знаете правил, то, даже обладая прекрасными знаниями и навыками, у вас достаточно большой шанс проиграть. В этой статье мы с помощью несложной математики рассмотрим эти правила, что позволит вам составить свою по возможности максимально честную и одновременно выигрышную стратегию.
Читать дальше →
Total votes 6: ↑6 and ↓0 +6
Views 3.5K
Comments 5

CISSP: что нового и чем вооружиться?

Rambler&Co corporate blog Information Security *
Совсем недавно в Rambler Group появился сертифицированный специалист CISSP. Он готов поделиться своим опытом и рассказать, что дает этот сертификат, какие изменения произошли в экзамене за последние 2 года и как эффективно к нему подготовиться.



Привет, я Саша, директор по методологии, контролю кибербезопасности и управлению рисками, сертифицированный специалист CISSP. После получения сертификата мне чаще всего задают эти два вопроса:

  1. сложно было сдать экзамен?
  2. сколько ты готовился?

И вот, отвечая в очередной раз, я решил поделиться с вами своим опытом подготовки и сдачи экзамена. Тем более самая свежая статья про CISSP на русском языке датирована далеким 2018 годом, а за это время уже многое успело измениться. В лучших традициях зарубежных коллег в конце поста я оставил список материалов, по которым готовился и получил заветный сертификат, а также блок моих персональных рекомендаций.
Читать дальше →
Total votes 12: ↑11 and ↓1 +10
Views 4.6K
Comments 2