بالكاد يمكن وصف سوق العمل الحالي لشركات تكنولوجيا المعلومات بأنه مثير للاهتمام ومتنوع. ومع ذلك ، حتى في ذلك يمكنك تلبية متطلبات الموظفين للحصول على شهادة CISSP. هذه الشهادة هي المعيار الفعلي في الغرب ، لكن سيرجي بولونين ، موظف في شركتنا ، شارك في كيفية الحصول على هذه الشهادة في روسيا.
في الواقع ، نشأ قرار الحصول على CISSP في عام 2017 ، عندما أصبح من الواضح أن الشهادات المهنية لكبار البائعين توقفت أخيرًا عن أداء وظيفتهم الرئيسية - لتأكيد معرفة وخبرة المتخصصين. ويرجع ذلك إلى جمع المقالب ، والمستوى العام للأسئلة في الاختبارات ، وخيانة مراكز الاختبار والعديد من العوامل الموضوعية الأخرى وليس العوامل ذاتها.
كنت أفكر دائمًا في عملية الحصول على الشهادات كفرصة لاكتساب المعرفة بالمنتج أو التكنولوجيا الصحيحة. لأنه لا توجد طريقة أفضل لملء الفجوات في التعليم من أخذ التوجيه من المعلم وقراءة من الغلاف إلى الغلاف ، أثناء القيام بالتمارين. وهكذا كان الأمر لفترة من الوقت ، حتى بدأت الأدلة الرسمية تنزلق إلى "النقر على الزر في الزاوية العلوية اليمنى لجعلها تعمل" ، بالإضافة إلى الإعلان الصريح. الوضع ليس أفضل في معظم مراكز التدريب ، لكن هذه قصة مختلفة تمامًا.
ماذا تفعل
بالإضافة إلى الشهادات الفعلية من البائعين ، هناك أيضًا أنظمة اعتماد مستقلة عن البائعين ، والتي أوصي بالنظر إليها إلى المتخصصين الذين لم يتخلوا عن فكرة التطوير المستقل والنمو المهني.
في الواقع ، كان لدي بالفعل تجربة اجتياز اختبار مماثل في عام 2010 ، عندما اجتزت CompTIA Security +. هذا خيار جيد جدًا للمتخصص المبتدئ لتقييم مستواه وحتى توسيع آفاقه في بعض الأمور. CompTIA Secuity + عبارة عن 90 سؤالاً في 90 دقيقة. بالمناسبة ، يتم تحديث الامتحان بانتظام بالفعل من عام 2006 وحتى يومنا هذا يحتوي على الاتجاهات الحالية في مجال أمن المعلومات.
لذا ، قررت أن تصبح CISSP
يعد محترف أمان نظم المعلومات المعتمد شهادة أمان معلومات مستقلة عن البائع من منظمة تسمى اتحاد شهادات أمن نظم المعلومات الدولية (ISC) ². هذه منظمة دولية غير ربحية لاختبار وتصديق المتخصصين في مجال أمن المعلومات.
ظهرت هذه الشهادة في عام 1991 وهي مخصصة للاستشاريين والمعماريين والمحللين في مجال أمن المعلومات.
CISSP ، كما قد تعتقد ، هي من بين أعلى الشهادات في مجال أمن المعلومات.
بالإضافة إلى ذلك ، هناك أيضًا CISA (مدقق نظم المعلومات) و CISM (مدير أمن المعلومات) ، ولكن الآن لا يتعلق الأمر بهم.
لذلك ، تم اتخاذ القرار ، نبدأ في البحث عن مواد للتحضير ونجد عدة مصادر:
أولاً ، دليل الدراسة الرسمي الرسمي لأمن نظم المعلومات المعتمد (ISC) المعتمد CISSP (ISC) ، جيمس م. ستيوارت ، مايك تشابل ، داريل جيبسون:
لقد استخدمت هذا الكتاب بالذات. بالإضافة إلى ذلك ، هناك تطبيق لنظام Android / iOS مع امتحان عملي. هذه ليست مقالب ، لكنها تسمح لك بتقييم منطق الأسئلة والشعور بها.
ثانيًا ، دليل اختبار CISSP الشامل ، شون هاريس:
هذا دليل غير رسمي ، ولكنه أكبر قليلاً ، وأكثر صعوبة في القراءة الذاتية.
ثالثا ، هناك كتاب صغير "الساعة الحادية عشرة CISSP: دليل الدراسة" ، إريك كونراد ، جوشوا فيلدمان ، سيث ميسنار:
هذه أكثر من 200 صفحة بقليل ، وسيكون من الرائع قراءتها قبل الاختبار مباشرة لتحديث ما تقرأه.
وإلى جانب ذلك ، هناك خرائط ذهنية لا نهاية لها وملاحظات وشرائح من التجار والتجار.
الشيء الرئيسي الذي يمكن أن يتعلمه أخصائي متمرس من هذه الكتب هو تشديد المصطلحات. ما الفرق بين الوقائي والرادع؟ ما هو ALE؟ كيف ترتبط ARO و EF؟ ما الفرق بين العناية الواجبة والعناية الواجبة؟ يجب أن تختفي أسئلة مماثلة أثناء عملية القراءة.
حان الوقت لتذكيرك بأن جميع الكتب ، بالطبع ، باللغة الإنجليزية والامتحان بشكل عام ، تعني أن لديك 5 سنوات من الخبرة المدفوعة في مجال أمن المعلومات في مجالين أو أكثر (المزيد عنهم أدناه). من غير المحتمل أنك ، اسم هذه التجربة ، لن تتمكن من إتقان أكثر من 1000 صفحة باللغة الإنجليزية.
بالمناسبة ، يمكن تخفيض هذه السنوات الخمس بمقدار عام واحد إذا كان لديك تعليم متخصص في مجال أمن المعلومات ، أو بعض الشهادات ذات الصلة (نعم ، على الأقل نفس CompTIA Security + أو MCSE. لدي كلاهما ، لكنهما يقللان الوقت فقط لمدة عام واحد).
الآن حول المجالات. تنقسم جميع الأسئلة إلى ثمانية مجالات ، أي المناطق:
1. الأمن وإدارة المخاطر
تناقش هذه الوحدة الأسس النظرية الأساسية لأمن المعلومات: نماذج أمن المعلومات ، Biba / Clark-Wilson أو Bell-LaPadula ، "Information Security Triad" ، التحليل وإدارة المخاطر ، طرق إدارة أمن المعلومات. ويتطرق إلى قضايا الأخلاق والتشريعات المهنية.
2. أمن الأصول
في هذا المجال ، نحن نتحدث عن الأصول ، وإذا قمت بطرح سؤال بالفعل - حول البيانات. الموضوعات الرئيسية: إدارة البيانات ، التصنيف ، أصحاب البيانات ، الأدوار ، التحكم في الوصول ، تخزين البيانات وتدميرها.
3. الأمن والهندسة المعمارية (الهندسة والأمن المعماري)
هذا ، على ما يبدو ، هو النطاق الأوسع من حيث الموضوعات ، لأنه هنا يوجد الأمان المادي (الإنذارات والحواجز وإطفاء الحرائق ، وما إلى ذلك) ، والتشفير ، والحلول التقنية المحددة ، وحتى الميزات المعمارية لنماذج الوصول المختلفة وتنفيذها .
4. الاتصالات وأمن الشبكات
ربما يكون المجال الأكثر عملية ومفهومة حيث يجب عليك تذكر SSL ، TLS ، HMAC ، S-RPC ، EAP ، إلخ. إذا تم إرسال البيانات عبر الشبكات ، فهناك سؤال حول هذا في المجال المحدد.
5. إدارة الهوية والوصول
فيما يلي جميع الأسئلة حول مستخدمي النظام وبيانات اعتمادهم. نتذكر كيف يختلف التفويض عن المصادقة وجميعهم معًا من التعريف. ثم ننظر إلى كيف تبدو دورة إدارة الحساب وكيف يمكن أن تساعدنا المصادقة الثنائية.
6. تقييم واختبار الأمن
يعالج هذا المجال القضايا العملية لاختبار الأمان. لماذا الماسحات الضوئية؟ من هو OWASP؟ ما الذي يهدد المكبوت دون موافقة صاحب المعلومات؟
7. العمليات الأمنية
هذا هو أكثر المجالات مملة حيث يتم التحقيق في الجوانب العملية للروتين اليومي لقسم أمن المعلومات - التحقيق في الحوادث ، ومعالجة التطبيقات ، وتوسيم الوسائط ، وفصل الواجبات والسلطات ، وإدارة التغيير ، إلخ.
8. أمن تطوير البرمجيات
يبدو المجال غريبًا بعض الشيء لأنه يأخذ في الاعتبار جميع أنواع الأشياء مثل SDLC و PERT و Agile ونماذج تطوير البرامج الأخرى. ولكن في الواقع ، يجب أن يكون CISSP لديه الكفاءة في جميع جوانب أمن المعلومات ، لذلك تحتاج إلى الخوض في هذا الأمر. لا توجد مهارات برمجة محددة مطلوبة هنا ، ولكن من يدري ما يجب عليهم القيام به في يوم من الأيام.
لقد كنت محظوظًا إلى حد ما - أنا مهتم حقًا بمهنتي ، ومعظم الموضوعات لم تثر أي أسئلة إضافية ، ربما باستثناء المجال الأخير. لا يوجد شيء صعب في ذلك ، أنا فقط لم أجد هذا في الممارسة العملية.
سجل للامتحان
يتم اجتياز الاختبار بشكل مألوف لكثير من نظام اختبار Pearson VUE ، حيث يخضعون للاختبارات بنفس Cisco أو Microsoft. ومع ذلك ، فإن الحيلة هي أنه ليس كل مركز اختبار يأخذ هذا الامتحان. في سانت بطرسبرغ ، على سبيل المثال ، يوجد مركز واحد فقط. الشيء هو أن مراكز الاختبار التي تخضع لاختبار CISSP لديها متطلبات أكثر صرامة من المعتاد. على سبيل المثال ، عند التسجيل في مركز اختبار ، يلزم تحديد الهوية البيومترية وفقًا لنمط عروق راحة اليد ؛ وبالتالي ، يجب أن يكون لدى مركز الاختبار المعدات المناسبة.
لا يمكنك اصطحاب أي شيء معك إلى الامتحان ، باستثناء الأدوية اللازمة ، وربما شيء لتناول الطعام. ولكن لا تنسى إحضار وثيقة هوية معك.
في الامتحان
في اليوم المحدد ، نصل إلى مركز الاختبار ، ونتحقق من الإجراءات الشكلية ونجلس على الكمبيوتر. يتكون الاختبار من 250 سؤال عبر جميع المجالات. يعطى 6 ساعات ، لا توجد استراحات. علاوة على ذلك ، لا توجد أسئلة عمليًا حول معرفة أي مفاهيم أو حقائق أو تعريفات. تهدف معظم الأسئلة إلى اختبار المعرفة بأفضل الممارسات والمنهجيات والمعايير. على سبيل المثال يمكن أن يكون للسؤال جميع الإجابات بشكل منطقي ، ولكن واحدًا فقط يفي بالمعيار. على سبيل المثال ، إذا كان من بين الإجابات أي شيء حول "ضمان السلامة الجسدية للناس" ، فإن هذه الإجابة صحيحة دائمًا.
تمكنت في مكان ما في 3.5 ساعة ، وهذا جيد جدًا ، لأنه بعد ساعتين من العمل الشاق ، فإن انتباهي يتبدد تدريجيًا ، ويتوقف المنطق عن العمل. ولكن يتم تضمين الفطرة السليمة والتجربة ، مما يسمح لنا بتصفية الإجابات الواضحة بشكل واضح ، واختيار أكثرها دقة من الإجابات المتبقية.
لذا ، نصل إلى السؤال الأخير ، انقر فوق "إنهاء" وأخيرًا ... لا شيء يحدث في الواقع. تحتاج إلى الذهاب إلى مسؤول مركز الاختبار ، الذي سيصدر نسخة مطبوعة مع التهاني. أو مع إخطار بعدم اجتياز الاختبار ، وسيتعين عليك دفع مبلغ 699 دولارًا جديدًا لمحاولة أخرى. في نفس الوقت ، إذا لم يتم اجتياز الاختبار ، فستشير النسخة المطبوعة إلى عدد النقاط التي تم تسجيلها وعدد النقاط التي لم تكن كافية.
لقد مررت في المرة الأولى ، على الرغم من أن الأمر استغرق حوالي ثلاثة أشهر للتحضير. قرأت قصصًا لا نهاية لها حول كيفية إجراء الأشخاص لهذا الاختبار 3-4 مرات ، والاستعداد الذهني لنفس السيناريو. ومع ذلك ، اتضح أن كل شيء أبسط ، على ما يبدو ليس من عبثًا أن المتطلبات تشير إلى تجربة عمل حقيقية.
شارك العديد من زملائي الأجانب في خيبة أملي من "تعقيد" هذا الامتحان. علاوة على ذلك ، لكل منها لسببها الخاص: انزعاج شخص من بساطة الامتحان (أمضوا الكثير من الوقت في التعرف على القانون الدولي ، واللائحة العامة لحماية البيانات وتعديلات على دستور الولايات المتحدة ، ولكن لم يكن هناك سوى 3 أسئلة حول هذا الموضوع) ، وتم عزل شخص عن الحياة الواقعية ( مختبر واحد!).
لكن هذه ليست نقطة الامتحان. تم تصميمها لتكون "بعرض ميل ، ولكن بعمق بوصة". يجب على المرشح إظهار آفاقه الواسعة في الموضوع ، وكذلك فهم العمليات التجارية التي يتم تحديدها في إعدادات Active Directory ، والسياسات التي تطبق جداول التوجيه. يجب أن يحب CISSP نهج العملية ويبدأ في التفكير كمدير بالمعنى الجيد للكلمة.
ما هي الخطوة التالية
لذا ، اجتاز الاختبار ، وأصبحت CISSP (هاها ، في الواقع ، لا). الآن يجب تأكيد تجربتك من قبل شخص من CISSP الحالي. يمكن أن يكون زميلًا أو صديقًا أو حتى شخصًا غير مألوف تمامًا - في أي مكان في القواعد لا يشير إلى نوع العلاقة التي يجب أن تكون معه.
بعد ذلك ، تحتاج إلى اعتماد مدونة الأخلاقيات (ISC) ² (https://www.isc2.org/Ethics) ، وانتظر رسالة تأكيد أخرى واحصل في النهاية على الحالة المرغوبة. في الواقع ، لمدة عام فقط. والحقيقة هي أنه يجب تأكيد حالة CISSP كل عام. لا تحتاج إلى إجراء اختبار مرة أخرى ، بدلاً من ذلك تعمل آلية CPE (التعليم المهني المستمر) ، أي التعليم المهني المستمر. لكي لا تفقد حالة CISSP ، من الضروري المشاركة في حياة مجتمع البكالوريا الدولية: كتابة المقالات ، والمشاركة في الأحداث ، وإلقاء المحاضرات ، والتعلم الذاتي ، أو ، في أسوأ الأحوال ، الاستماع إلى ملفات بودكاست مواضيعية. لكل نوع من نقاط النشاط يتم منحها. يجب أن تطلب 40 على الأقل في السنة ، وفي هذه الحالة فقط سيتم تمديد الحالة.
ما الخطب؟
يصبح من الواضح بسرعة أنه أنت وزملائك وحدك على علم بوجود CISSP. لا تظهر هذه الرسائل المشفرة في المسميات الوظيفية ، ما لم تكن بالطبع شركة أجنبية ، حيث غالبًا ما تكون CISSPs شرطًا أساسيًا لدعوة لإجراء مقابلة. هذا ليس جيدًا ولا سيئًا ؛ هذه هي حقائق سوق أمن المعلومات الروسي. ليس لدينا مثل هذه الشهادات الخاصة بنا ، ويظل دبلوم التعليم العالي في مجال أمن المعلومات هو الوثيقة الوحيدة ذات الصلة.
ومع ذلك ، فإن مكانة المهنة تتناقص تدريجيًا ، ويفضل المتقدمون تخصصات أكثر تقدمًا وجاذبية اجتماعيًا ، ولا يمكن لخريجي الجامعات القادمين إلى المقابلات أكثر وأكثر في كثير من الأحيان صياغة ما كانوا يفعلونه بالضبط خلال السنوات الخمس الماضية داخل جدران علمهم.
المفارقة مختلفة - عدد CISSP المعتمد ، CISA و CISM في الاتحاد الروسي ينمو تدريجياً ، مما يعني أنه لم يتم فقدان كل شيء.
يمكن قراءة مدونة سيرجي باللغة الإنجليزية
هنا .