Certified Information Systems Security Professional (CISSP) — признанный во всем мире vendor‑free‑сертификат, подтверждающий технические навыки и практический опыт специалиста по информационной безопасности. Сертификация разработана Международным консорциумом по сертификации в области безопасности информационных систем, также известным как (ISC)².
CISSP особенно востребован среди зарубежных ИТ‑специалистов, но и в нашей стране наличие этого сертификата является знаком качества специалиста. Меня зовут Александр Бакин, я работаю в «Инфосистемы Джет», и в этой статье расскажу о своем опыте подготовки и сдачи этого экзамена.
Как готовиться?
Моя подготовка к экзамену была достаточно экстремальной, так как осуществлялась в очень сжатые сроки. Такое легкомыслие было связано с тем, что я являюсь действующим консультантом по ИБ и этим самым ИБ целыми днями и занимаюсь. Я наивно полагал, что обучение мне особо и не потребуется, достаточно просто освежить в памяти.
Этот непростой опыт позволил мне структурировать перечень материалов, необходимых к изучению в процессе подготовки, в зависимости от количества времени, которое у вас есть.
№ | Часов на подго-товку | Опыт и знания | Материал, рекомендуемый к изучению | Шансы на успех |
1 | 30–40 | Английский: B2 и выше ИБ: От семи лет с глубоким пониманием в пяти доменах и поверхностным в трех оставшихся | - Видео Destination Certification по доменам; - Практические вопросы из CISSP All-in-One Exam Guide восьмое или девятое издание (здесь есть перевод пятого издания, но тесты лучше решать в веб-тренажерах по восьмому или девятому изданию) с обязательным чтением объяснений правильных ответов — не менее 400 задач |
⭐ |
2 | 40–60 | Английский: B2–/B1+ и выше ИБ: От шести лет с глубоким пониманием в четырех доменах и поверхностным в двух, один оставшийся подтяните в процессе подготовки | - CISSP Exam Study Guide от Netwrix; - Видео Destination Certification по доменам, c разборами задач и советами по сдаче экзамена; - Практические вопросы из CISSP All-in-One Exam Guide восьмое или девятое издание (здесь есть перевод пятого издания, но тесты лучше решать в веб-тренажерах по восьмому или девятому изданию) с обязательным чтением объяснений правильных ответов — не менее 600 задач; - Если встречаете неизвестные технологии в задачах, а объяснение поверхностное, следует более детально изучить такие технологии |
⭐⭐ |
3 | 60–90 | Английский: B1 и выше ИБ: От пяти лет с глубоким пониманием в трех доменах и поверхностным в трех, два оставшихся подтяните в процессе подготовки | - CISSP Exam Study Guide от netwrix; - Sunflower CISSP — Crash Cram; - Видео Destination Certification по доменам, с разборами задач и советами по сдаче экзамена; - Практические вопросы из CISSP All-in-One Exam Guide восьмое или девятое издание (здесь есть перевод пятого издания, но тесты лучше решать в веб-тренажерах по восьмому или девятому изданию) с обязательным чтением объяснений правильных ответов — не менее 1000 задач; - Если встречаете неизвестные технологии в задачах, а объяснение поверхностное, следует более детально изучить такие технологии; - Если встречаете незнакомые темы в шпаргалках (CISSP Cheat Sheet и Sunflower CISSP — Crash Cram), следует более детально изучить такие темы |
⭐⭐⭐ |
4 | 90–130 | Английский: B1– и выше ИБ: От пяти лет с глубоким пониманием в двух доменах и поверхностным в четырех, два оставшихся подтяните в процессе подготовки | - CISSP All-in-One Exam Guide восьмое или девятое издание (здесь есть перевод пятого издания, но тесты лучше решать в веб-тренажерах по восьмому или девятому изданию); - Sunflower CISSP — Crash Cram; - Видео Destination Certification по доменам, с разборами задач и советами по сдаче экзамена; - Если встречаете неизвестные технологии в задачах, а объяснение поверхностное, следует более детально изучить такие технологии; - Если встречаете незнакомые темы в шпаргалках (CISSP Cheat Sheet и Sunflower CISSP — Crash Cram), следует более детально изучить такие темы |
⭐⭐ ⭐⭐ |
5 | 130–200 | Английский: A2+ и выше ИБ: От пяти лет с глубоким пониманием в двух доменах и поверхностным в двух, четыре оставшихся подтяните в процессе подготовки | - (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide; - (ISC)2 CISSP Certified Information Systems Security Professional Official Practice Tests ИЛИ Решение всех вопросов из CISSP All-in-One Exam Guide восьмое или девятое издание (здесь есть перевод пятого издания, но тесты лучше решать в веб-тренажерах по восьмому или девятому изданию); - Sunflower CISSP – Crash Cram; - Видео Destination Certification; - Изучить репозиторий CISSP на Reddit, там делятся актуальным опытом и материалами; - CISSPrep.net Memorization Sheet; - BCP/DRP By Larry Greenblatt; - Если встречаете неизвестные технологии в задачах, а объяснение поверхностное, следует более детально изучить такие технологии |
⭐⭐⭐ ⭐⭐
|
Мой опыт. Начало истории
В апреле 2023-го компания оплатила мне сертификацию CISSP. Запись была на самый конец декабря 2023-го в Алматы — решил положить сертификат себе под елочку.
В октябре я попросил у коллег материалы для подготовки, прошел пару коротких тестов (по 20 вопросов). Показав результат 70%, я, радостный, полагая, что полдела сделано, положил материалы в папочку, где они и ждали своего часа, «пока есть более горящие задачи», хотя отзывы в интернете и говорили о том, что успешно сдавшие готовятся по три‑четыре месяца.
Работа и другие околорабочие активности так забрали, что уже в ноябре я понимал, что дело пахнет керосином. В итоге в середине декабря я перенес сертификацию на максимально дальний срок — 17 апреля ((ISC)2 позволяет сдавать экзамен в течение 365 дней после покупки).
Срок приближался, а подготовка никак не двигалась. Когда идешь по жизни с девизом «Всегда говори „да“!» всем новым интересным инициативам и штукам, а работаешь ты в компании, где таких штук много, — это неудивительно!
Мой опыт. Подготовка
В итоге в пятницу, 12 апреля, после работы я наконец-то смог сесть готовиться. Я думал, что моего опыта хватит, но объем материала с самого начала поверг меня в ужас. Но где наша не пропадала!
Если в самом начале я планировал изучить все имеющиеся у меня материалы (а это тысячи страниц на английском языке и часы видео), то есть пойти по пути 4 или 5 (из таблицы), то в ситуации ограниченного времени пришлось оптимизироваться — так родился путь 2.
Я разработал два плана — максимальный и минимальный, в рамках которых я определил, к какому сроку где я должен быть.
Я готовился следующим образом, шел по доменам:
читал главу по домену CISSP Exam Study Guide от Netwrix (краткий гайд на 94 страницы);
смотрел видео по домену Destination Certification;
решал задачки из CISSP All-in-One Exam Guide по домену (после первого домена только первый домен, после второго — 1+2 и т.д.) по 20 задач за подход столько раз, пока не показывал 70%+.
Шел медленно, пытаясь углубиться в те темы, с которыми был знаком поверхностно. В итоге за вечер пятницы успел пройти домен 1. За субботу удалось пройти домен 2 и домен 3, за воскресенье — домены 4 и 5. Звучит просто, но, чтобы придерживаться хотя бы минимального плана, пришлось пожертвовать сном, который сначала сократился до шести часов, потом до четырех часов, а потом вообще до двух — и то в самолете.
В понедельник пришлось отложить рабочие задачи и уделить весь день подготовке, чтобы закончить домены 7 и 8. К 19 часам я начал решать тесты (эмуляции по 40 вопросов за один час), и результаты мне не очень нравились. Я показывал примерно 70–75% при минимально необходимых 70%+, но для надежности целевой показатель был 80–85%.
Я понял, что спать не вариант. Всю ночь с понедельника на вторник я решал тестовые задачи несмотря на то, что за последние три ночи спал суммарно всего 14 часов. В аэропорту смотрел видео от Destination Certification с советами, как правильно читать вопросы. В самолете опять решал тестовые задачи, пока не уснул с ноутбуком в обнимку. Когда приехал в номер гостиницы в Алматы, со мной поделились другими тестовыми вопросами, которые оказались гораздо сложнее. Решал их еще восемь часов, до полуночи. Результаты были печальные — 50–60%.
План был выспаться, но восьми с половиной часов после такого марафона мне, конечно, не хватило. Помогли 10 минут утреннего максимально контрастного душа и чашечка двойного ристретто.
За завтраком я прошел еще один сокращенный тестовый прогон по новым вопросам, получил 63% и грустный выдвинулся на экзамен.
Мой опыт. Экзамен
В тестовом центре были стандартные процедуры — проверка документов, фотография, чуть менее стандартное — снятие венозного рисунка ладоней. Мне повезло, что в тестовом центре было всего одно место для сдачи — в тихой комнате под камерами. Когда на экране появились Terms and Conditions, я разметил план сдачи: на сколько вопросов я должен ответить к какой минуте, разбив на отрезки по полчаса. Это отличный момент для подготовительных процедур, так как время еще не идет, а весь инвентарь уже выдан. В дальнейшем практически не тратишь CPU на «успеваю — не успеваю». Также это отличный момент отобразить на бумаге то, что перед самим экзаменом вы положили в краткосрочную память, но мне этого не потребовалось.
Сдавал я, как писал выше, 17 апреля, а 15-го поменялся формат — сократили время с четырех до трех часов и немного ‑количество вопросов: с 125–175 до 100–150, но времени на вопрос при этом стало меньше. Я шел, совсем немного отставая от графика. Некоторые вопросы были сложные с точки зрения английского языка (у меня всего лишь B1+). Но в целом по сложности вопросы были примерно как в CISSP All‑in‑One Exam Guide и проще, чем вопросы во втором источнике, которые заставили меня грустить в последний день перед экзаменом.
Забегу немного вперед. Из всех вопросов, что я прорешал (а это примерно 500 вопросов), на экзамене мне попался… 1. Но все равно это было очень полезно, так как настроили mindset. На экзамене очень много вопросов, на которых из четырех вариантов дают три хороших ответа, но надо выбрать самый лучший или приоритетный. Мой совет — думайте больше как CISO, а не как технарь. Если вариант ответа касается заботы о здоровье и жизни людей, это почти наверняка правильный ответ. Если вопрос касается того, на что надо опираться при выборе решения, часто это риски для бизнеса организации. Было немало и технических вопросов. Тут мне помог второй набор практических вопросов, которые заставили углубляться в некоторые технологии, уточняя, например, куда там именно в пакете добавляется GRE‑заголовок при построении туннеля с помощью данного протокола. Сетевики на этом месте улыбнутся, но зря! Если с такой глубиной пообщаться за всю ИБ, улыбка уйдет.
В какой-то момент у меня на экране появилось окно с бегущим status bar — предполагаю, что в тестовом центре «покашлял» VPN до головного центра в Лондоне. Это было буквально в течение нескольких секунд, но я физически почувствовал, как душа провалилась в пятки, выбив меня из состояния «потока» (напомню, что у меня был последний возможный день сдачи, до которого я сам дотянул, и я уже был в тестовом центре). Но соединение быстро восстановилось.
Примерно в середине экзамена я ускорился, потому что уже начинал заметно отставать от графика. В итоге за 10 минут до конца я ответил на 120 вопросов. «Конец близко!» — думал я. Последние вопросы были несложными для меня. В итоге за 30 секунд до конца я перешел на 128-й вопрос. Он оказался одним из самых сложных к пониманию для меня с точки зрения английского языка. Тыкать наугад я не хотел, поэтому решил не отвечать. Время закончилось, но вопрос не пропал, и кнопка Next не принимала пустой ответ. Я судорожно вчитывался в вопрос и варианты ответа. Пытался разобрать семантику непонятных слов и искать ассоциации в голове. В итоге я примерно понял вопрос, ответы тоже. Но так как это было примерно, я смог отсеять два неправильных ответа, а из двух оставшихся пришлось выбирать. Время уже минуты три‑пять как вышло. «Не жили богато, нечего и начинать!» — подумал я и первый раз за весь экзамен ткнул наугад.
Мой опыт. Результаты
Коллеги меня предупреждали, что результаты сдачи экзамена будут не сразу на экране, а на распечатке у администратора. Я поднял руку, дождался его, и мы пошли смотреть. Я морально был готов, что не сдам: все было против меня — и как проходила подготовка, и нервотрепка на экзамене. Мне дали листочек, а там куча мелкого текста. На моих предыдущих экзаменах всегда были крупные надписи: Passed (чаще), Failed (было и такое разок). А тут просто простыня текста. Голова не варит, администратор, видя мои стеклянные глаза, поздравляет меня и пальцем показывает, куда смотреть.
И вот сижу я сейчас в великолепном индийском ресторане в центре Алматы, потягиваю сингапурский Tiger с индийским блюдом муттон масала, счастливый, как слон, и пишу эти строки.
В итоге на подготовку я потратил примерно 50 часов. Это была славная охота! Но никому не советую повторять мой опыт! В интернете правильно пишут про три‑четыре месяца, в зависимости от вашего опыта и того, сколько реального времени вы готовы уделять подготовке.
Сдать успешно экзамен — еще только часть пути. Дальше нужно подтвердить свой опыт — минимум пять лет минимум в двух доменах. Причем подтверждать нужно документально. Но особой подготовки тут не требуется, разве что договориться со своими руководителями на предыдущих местах работы за последние пять лет, что им могут позвонить. Проверка меня заняла шесть недель, и сейчас я являюсь полноправным обладателем сертификата CISSP.
Хочется пожелать всем планирующим сдавать CISSP удачи! Не так страшен черт, как его малюют! Но чтобы без стресса уверенно подготовиться к экзамену, все же рекомендую закладывать больше времени на подготовку, чем это сделал я.