Der aktuelle Arbeitsmarkt für IT-Unternehmen kann kaum als interessant und vielfältig bezeichnet werden. Selbst darin können Sie jedoch die Anforderungen erfüllen, die Mitarbeiter an ein CISSP-Zertifikat stellen müssen. Diese Zertifizierung ist de facto der Standard im Westen, aber Sergey Polunin, ein Mitarbeiter unseres Unternehmens, teilte mit, wie man dieses Zertifikat in Russland erhält.
Tatsächlich fiel die Entscheidung, CISSP zu erhalten, im Jahr 2017, als sich herausstellte, dass professionelle Zertifikate großer Anbieter ihre Hauptfunktion - die Bestätigung des Wissens und der Erfahrung von Spezialisten - endgültig nicht mehr erfüllten. Dies ist auf die Sammlung von Deponien, das allgemeine Niveau der Fragen in den Tests, die Unehrlichkeit der Testzentren und viele andere objektive und nicht sehr Faktoren zurückzuführen.
Ich habe den Prozess der Erlangung von Zertifikaten immer als Gelegenheit gesehen, Kenntnisse über das richtige Produkt oder die richtige Technologie zu erlangen. Weil es keinen besseren Weg gibt, die Lücken in der Bildung zu schließen, als sich vom Guru leiten zu lassen und während der Übungen von vorne bis hinten zu lesen. Und so dauerte es eine Weile, bis die offiziellen Guides anfingen, in „Klicken Sie auf die Schaltfläche in der oberen rechten Ecke, damit es funktioniert“ sowie in offene Werbung zu rutschen. In den meisten Schulungszentren ist die Situation nicht besser, aber das ist eine ganz andere Geschichte.
Was zu tun ist?
Neben den eigentlichen Zertifikaten der Anbieter gibt es auch herstellerunabhängige Zertifizierungssysteme. Ich empfehle, sich an Spezialisten zu wenden, die die Idee der unabhängigen Entwicklung und des beruflichen Wachstums nicht aufgegeben haben.
Tatsächlich hatte ich bereits 2010 die Erfahrung, eine ähnliche Prüfung zu bestehen, als ich CompTIA Security + bestand. Dies ist eine sehr gute Option für einen Anfänger, um sein Niveau zu bewerten und in einigen Angelegenheiten sogar seinen Horizont zu erweitern. CompTIA Secuity + ist ein Blitz von 90 Fragen in 90 Minuten. Die Prüfung wird übrigens bereits ab 2006 regelmäßig aktualisiert und enthält bis heute aktuelle Trends im Bereich der Informationssicherheit.
Sie haben sich also entschieden, CISSP zu werden
Certified Information Systems Security Professional ist eine herstellerunabhängige Zertifizierung für Informationssicherheit von einer Organisation namens International Information Systems Security Certifications Consortium (ISC) ². Dies ist eine gemeinnützige internationale Organisation zum Testen und Zertifizieren von Spezialisten auf dem Gebiet der Informationssicherheit.
Diese Zertifizierung wurde 1991 eingeführt und richtet sich an Berater, Architekten und Analysten im Bereich der Informationssicherheit.
Wie Sie sich vorstellen können, gehört CISSP zu den höchsten Zertifizierungen im Bereich der Informationssicherheit.
Darüber hinaus gibt es übrigens auch CISA (Auditor für Informationssysteme) und CISM (Manager für Informationssicherheit), aber jetzt geht es nicht mehr darum.
Nachdem die Entscheidung getroffen wurde, suchen wir nach Materialien für die Vorbereitung und finden verschiedene Quellen:
Zunächst der offizielle offizielle Studienführer für CISSP (ISC) 2-zertifizierte Sicherheitsexperten für Informationssysteme, James M. Stewart, Mike Chapple und Darril Gibson:
Ich habe dieses spezielle Buch benutzt. Darüber hinaus gibt es eine Anwendung für Android / iOS mit einer praktischen Prüfung. Dies sind keine Dumps, aber Sie können die Logik der Fragen bewerten und fühlen.
Zweitens, der CISSP All-in-One-Prüfungsleitfaden, Shon Harris:
Dies ist eine inoffizielle Anleitung, aber etwas umfangreicher und subjektiv schwieriger zu lesen.
Drittens gibt es ein kleines Buch „Elfte Stunde CISSP: Studienführer“, Eric Conrad, Joshua Feldman, Seth Misenar:
Dies sind etwas mehr als 200 Seiten, die kurz vor der Prüfung gelesen werden sollten, um das Gelesene aufzufrischen.
Außerdem gibt es endlose Mind Maps, Notizen, Folien von Händlern und Händlern.
Das Wichtigste, was ein erfahrener Spezialist aus diesen Büchern lernen kann, ist, die Bedingungen zu verschärfen. Was ist der Unterschied zwischen vorbeugend und abschreckend? Was ist ALE? Wie hängt es mit ARO und EF zusammen? Was ist der Unterschied zwischen Sorgfaltspflicht und Sorgfaltspflicht? Ähnliche Fragen sollten während des Lesevorgangs verschwinden.
Hier ist die Zeit, um Sie daran zu erinnern, dass alle Bücher, natürlich in englischer Sprache und die Prüfung im Allgemeinen, bedeuten, dass Sie 5 Jahre bezahlte Erfahrung im Bereich der Informationssicherheit in zwei oder mehr Bereichen haben (mehr dazu weiter unten). Es ist unwahrscheinlich, dass Sie, der Name einer solchen Erfahrung, nicht in der Lage sind, mehr als 1000 Seiten auf Englisch zu beherrschen.
Diese fünf Jahre können übrigens um ein Jahr verkürzt werden, wenn Sie über eine spezielle Ausbildung auf dem Gebiet der Informationssicherheit oder ein relevantes Zertifikat verfügen (ja, mindestens das gleiche CompTIA Security + oder MCSE. Ich habe beide, aber sie verkürzen nur die Zeit für 1 Jahr).
Nun zu den Domains. Alle Fragen sind in acht Bereiche unterteilt, d.h. Bereiche:
1. Sicherheits- und Risikomanagement
In diesem Modul werden die grundlegenden theoretischen Grundlagen der Informationssicherheit erörtert: Informationssicherheitsmodelle, Biba / Clark-Wilson oder Bell-LaPadula, „Information Security Triad“, Analyse und Risikomanagement, Ansätze für das Informationssicherheitsmanagement. Es berührt Fragen der Berufsethik und Gesetzgebung.
2. Asset-Sicherheit
In diesem Bereich sprechen wir über Assets und wenn Sie bereits eine Frage stellen - über Daten. Hauptthemen: Datenverwaltung, Klassifizierung, Dateneigentümer, Rollen, Zugriffskontrolle, Datenspeicherung und -vernichtung.
3. Sicherheitsarchitektur und -technik (Ingenieurwesen und architektonische Sicherheit)
Dies ist anscheinend die thematisch breiteste Domäne, da hier physische Sicherheit (Alarme, Barrieren, Feuerlöschungen usw.) und Kryptografie sowie spezifische technische Lösungen und sogar architektonische Merkmale verschiedener Zugriffsmodelle und deren Implementierung vorhanden sind .
4. Kommunikation und Netzwerksicherheit
Wahrscheinlich die praktischste und verständlichste Domäne, in der Sie sich an SSL, TLS, HMAC, S-RPC, EAP usw. erinnern müssen. Wenn Daten über Netzwerke übertragen werden, gibt es in der angegebenen Domäne eine Frage dazu.
5. Identitäts- und Zugriffsverwaltung
Hier finden Sie alle Fragen zu Benutzern des Systems und ihren Anmeldeinformationen. Wir erinnern uns, wie sich die Autorisierung von der Authentifizierung unterscheidet und alle zusammen von der Identifizierung. Anschließend schauen wir uns an, wie der Kontoverwaltungszyklus aussieht und wie uns die Zwei-Faktor-Authentifizierung helfen kann.
6. Sicherheitsbewertung und -prüfung
Diese Domäne befasst sich mit den praktischen Fragen der Sicherheitstests. Warum Sicherheitsscanner? Wer ist OWASP? Was bedroht einen Pentest ohne die Zustimmung des Inhabers der Informationen?
7. Sicherheitsmaßnahmen
Dies ist der langweiligste aller Bereiche, in denen die praktischen Aspekte des Tagesablaufs der Abteilung für Informationssicherheit untersucht werden - Untersuchung von Vorfällen, Bearbeitung von Anträgen, Kennzeichnung von Medien, Aufgabentrennung und Befugnisse, Änderungsmanagement usw.
8. Softwareentwicklungssicherheit
Die Domain sieht ein bisschen fremd aus, weil sie alle möglichen Dinge wie SDLC, PERT, Agile und andere Softwareentwicklungsmodelle berücksichtigt. Tatsächlich sollte CISSP jedoch über Kompetenz in allen Aspekten der Informationssicherheit verfügen, sodass Sie sich auch damit befassen müssen. Hier sind keine besonderen Programmierkenntnisse erforderlich, aber wer weiß, was sie eines Tages tun müssen.
Bis zu einem gewissen Grad hatte ich Glück - ich interessiere mich wirklich für meinen Beruf, und die meisten Themen haben keine zusätzlichen Fragen aufgeworfen, außer vielleicht der letzten Domäne. Es ist nichts Schwieriges daran, ich bin in der Praxis einfach nicht darauf gestoßen.
Melden Sie sich für die Prüfung an
Die Prüfung wird in dem bekannten Pearson VUE-Testsystem bestanden, wo sie Prüfungen von Cisco oder Microsoft ablegen. Der Trick ist jedoch, dass nicht jedes Testzentrum diese Prüfung ablegt. In St. Petersburg gibt es zum Beispiel nur ein solches Zentrum. Die Sache ist, dass Testzentren, die die CISSP-Prüfung ablegen, strengere Anforderungen haben als gewöhnlich. Wenn Sie sich beispielsweise bei einem Testzentrum registrieren, ist eine biometrische Identifizierung gemäß dem Muster der Venen der Handfläche erforderlich. Dementsprechend muss das Testzentrum über die entsprechende Ausrüstung verfügen.
Sie können nichts zur Prüfung mitnehmen, außer den notwendigen Medikamenten und vielleicht etwas zu essen. Vergessen Sie jedoch nicht, ein Ausweisdokument mitzubringen.
Auf der Prüfung
Am vereinbarten Tag erreichen wir das Testzentrum, gehen die Formalitäten durch und setzen uns an den Computer. Der Test besteht aus 250 Fragen in allen Bereichen. Es ist 6 Stunden gegeben, es gibt keine Pausen. Darüber hinaus gibt es praktisch keine Fragen zur Kenntnis von Konzepten, Fakten oder Definitionen. Die meisten Fragen zielen darauf ab, das Wissen über Best Practices, Methoden und Standards zu testen. Das heißt, Bei einer Frage können alle Antworten logisch korrekt sein, aber nur eine entspricht dem Standard. Wenn zum Beispiel unter den Antworten etwas zum Thema „Gewährleistung der physischen Sicherheit von Menschen“ steht, ist diese Antwort immer richtig.
Ich habe es in 3,5 Stunden irgendwo geschafft, und das ist sehr gut, denn nach zwei Stunden harter Arbeit löst sich meine Aufmerksamkeit allmählich auf und die Logik funktioniert nicht mehr. Aber gesunder Menschenverstand und Erfahrung sind enthalten, die es uns ermöglichen, offensichtlich falsche Antworten herauszufiltern und die genaueste aus den verbleibenden auszuwählen.
Also, wir kommen zur letzten Frage, klicken auf "Fertig stellen" und schließlich ... passiert tatsächlich nichts. Sie müssen sich an den Administrator des Testcenters wenden, der einen Ausdruck mit Glückwünschen ausgibt. Oder mit einer Benachrichtigung, dass die Prüfung nicht bestanden wurde und Sie für einen weiteren Versuch neue 699 USD bezahlen müssen. Wenn die Prüfung nicht bestanden wird, zeigt der Ausdruck gleichzeitig an, wie viele Punkte erzielt wurden und wie viele nicht ausreichten.
Ich habe das erste Mal bestanden, obwohl die Vorbereitung ungefähr drei Monate gedauert hat. Ich las endlose Geschichten darüber, wie Leute diese Prüfung 3-4 Mal ablegten und mich mental auf dasselbe Szenario vorbereiteten. Es stellte sich jedoch heraus, dass alles einfacher war. Anscheinend ist es nicht umsonst, dass die Anforderungen auf echte Arbeitserfahrung hinweisen.
Meine Enttäuschung über die „Komplexität“ dieser Prüfung wurde von mehreren ausländischen Kollegen geteilt. Darüber hinaus jeder aus seinem eigenen Grund: Jemand war verärgert über die Einfachheit der Prüfung (er verbrachte so viel Zeit damit, das Völkerrecht, die DSGVO und Änderungen der US-Verfassung kennenzulernen, aber es gab nur drei Fragen zu diesem Thema), und jemand war vom wirklichen Leben isoliert (auch nicht) eine Laborarbeit!).
Aber das ist nicht der Punkt der Prüfung. Es soll "eine Meile breit, aber einen Zentimeter tief" sein. Der Kandidat sollte seinen breiten Horizont im Thema zeigen und verstehen, welche Geschäftsprozesse in den Active Directory-Einstellungen aktiviert sind und welche Richtlinien Routing-Tabellen implementieren. CISSP sollte den Prozessansatz lieben und anfangen, als Manager im guten Sinne des Wortes zu denken.
Was weiter
Also, die Prüfung hat bestanden und Sie wurden CISSP (haha, eigentlich nein). Jetzt sollte Ihre Erfahrung von jemandem aus dem bestehenden CISSP bestätigt werden. Es kann ein Kollege, ein Freund oder sogar eine völlig unbekannte Person sein - nirgends in den Regeln wird angegeben, welche Art von Beziehung Sie zu ihm haben sollten.
Als nächstes müssen Sie den Ethikkodex (ISC) ² (https://www.isc2.org/Ethics) verabschieden, auf ein weiteres Bestätigungsschreiben warten und schließlich den begehrten Status erhalten. In der Tat nur für ein Jahr. Tatsache ist, dass der CISSP-Status jedes Jahr bestätigt werden muss. Sie müssen keine erneute Prüfung ablegen, stattdessen funktioniert der CPE-Mechanismus (Continuing Professional Education), d. H. berufliche Weiterbildung. Um den Status von CISSP nicht zu verlieren, müssen Sie am Leben der IB-Community teilnehmen: Artikel schreiben, an Veranstaltungen teilnehmen, Vorträge halten, sich selbst ausbilden oder im schlimmsten Fall thematische Podcasts anhören. Für jede Art von Aktivität werden Punkte vergeben. Sie müssen mindestens 40 pro Jahr wählen. Nur in diesem Fall wird der Status verlängert.
Was ist los
Es wird schnell klar, dass nur Sie und einige Kollegen von der Existenz von CISSP wissen. Diese kryptischen Buchstaben erscheinen nicht in Berufsbezeichnungen, es sei denn, es handelt sich natürlich um ein ausländisches Unternehmen, bei dem CISSPs häufig eine Voraussetzung für eine Einladung zu einem Vorstellungsgespräch sind. Das ist weder gut noch schlecht, das sind die Realitäten des russischen Marktes für Informationssicherheit. Wir haben keine eigenen solchen Zertifizierungen, und das Hochschuldiplom im Bereich der Informationssicherheit bleibt das einzige relevante Dokument.
Das Ansehen des Berufs nimmt jedoch allmählich ab, und Bewerber bevorzugen fortgeschrittenere und sozial attraktivere Fachgebiete, und Hochschulabsolventen, die immer häufiger zu Vorstellungsgesprächen kommen, können nicht genau formulieren, was sie in den letzten 5 Jahren in ihrer Alma Mater getan haben.
Das Paradoxon ist anders - die Zahl der zertifizierten CISSP, CISA und CISM in der Russischen Föderation wächst allmählich, was bedeutet, dass nicht alles verloren geht.
Der englische Blog von Sergey kann hier gelesen
werden .