Pasar kerja saat ini untuk perusahaan IT hampir tidak bisa disebut menarik dan beragam. Namun, bahkan di dalamnya Anda dapat memenuhi persyaratan bagi karyawan untuk memiliki sertifikat CISSP. Sertifikasi ini adalah standar de facto di Barat, tetapi Sergey Polunin, seorang karyawan perusahaan kami, berbagi cara mendapatkan sertifikat ini di Rusia.
Bahkan, keputusan untuk mendapatkan CISSP muncul pada tahun 2017, ketika menjadi jelas bahwa sertifikat profesional vendor besar akhirnya berhenti memenuhi fungsi utama mereka - untuk mengkonfirmasi pengetahuan dan pengalaman para spesialis. Hal ini disebabkan oleh kumpulan kesedihan, tingkat pertanyaan umum dalam tes, ketidakjujuran pusat tes dan banyak tujuan lainnya dan tidak terlalu faktor.
Saya selalu menganggap proses memperoleh sertifikat sebagai peluang untuk memperoleh pengetahuan tentang produk atau teknologi yang tepat. Karena tidak ada cara yang lebih baik untuk mengisi kesenjangan dalam pendidikan selain mengambil bimbingan dari guru dan membaca dari depan ke belakang, saat melakukan latihan. Dan begitulah untuk sementara waktu, sampai panduan resmi mulai meluncur ke "klik tombol di sudut kanan atas untuk membuatnya bekerja," serta iklan yang jujur. Situasinya tidak lebih baik di sebagian besar pusat pelatihan, tetapi ini adalah kisah yang sama sekali berbeda.
Apa yang harus dilakukan
Selain sertifikat aktual dari vendor, ada juga sistem sertifikasi independen vendor, yang saya rekomendasikan untuk mencari spesialis yang belum meninggalkan gagasan pengembangan independen dan pertumbuhan profesional.
Bahkan, saya sudah memiliki pengalaman lulus ujian serupa pada tahun 2010, ketika saya lulus CompTIA Security +. Ini adalah pilihan yang sangat baik bagi spesialis pemula untuk mengevaluasi level mereka dan bahkan memperluas wawasan mereka dalam beberapa hal. CompTIA Secuity + adalah semacam ledakan 90 pertanyaan dalam 90 menit. Omong-omong, ujian secara teratur diperbarui sudah dari tahun 2006 dan hingga hari ini memuat tren terkini di bidang keamanan informasi.
Jadi, Anda memutuskan untuk menjadi CISSP
Keamanan Sistem Informasi Bersertifikat Profesional adalah sertifikasi keamanan informasi independen-vendor dari sebuah organisasi bernama International Information Systems Security Certifications Consortium (ISC) ². Ini adalah organisasi internasional nirlaba untuk pengujian dan sertifikasi spesialis di bidang keamanan informasi.
Sertifikasi ini muncul kembali pada tahun 1991 dan ditujukan untuk konsultan, arsitek dan analis di bidang keamanan informasi.
CISSP, seperti yang Anda duga, adalah salah satu dari sertifikasi tertinggi di bidang keamanan informasi.
Selain itu, ada juga CISA (auditor sistem informasi) dan CISM (manajer keamanan informasi), tetapi sekarang ini bukan tentang mereka.
Jadi, keputusan dibuat, kami mulai mencari bahan untuk persiapan dan kami menemukan beberapa sumber:
Pertama, Panduan Studi Resmi Resmi Profesional Sistem Informasi Profesional Bersertifikat CISSP (ISC) 2, James M. Stewart, Mike Chapple, Darril Gibson:
Saya menggunakan buku khusus ini. Selain itu, ada aplikasi untuk Android / iOS dengan ujian praktis. Ini bukan dump, tetapi mereka memungkinkan Anda untuk mengevaluasi dan merasakan logika pertanyaan.
Kedua, Panduan Ujian CISSP All-in-One, Shon Harris:
Ini adalah panduan tidak resmi, tetapi sedikit lebih banyak, dan, secara subyektif, lebih sulit dibaca.
Ketiga, ada sebuah buku kecil "Jam Kesebelas CISSP: Panduan Studi", Eric Conrad, Joshua Feldman, Seth Misenar:
Ini hanya lebih dari 200 halaman, yang akan menyenangkan untuk dibaca tepat sebelum ujian untuk menyegarkan apa yang Anda baca.
Dan selain itu ada peta pikiran, catatan, slide tak berujung dari dealer dan dealer.
Hal utama yang dapat dipelajari oleh spesialis berpengalaman dari buku-buku ini adalah memperketat ketentuan. Apa perbedaan antara Preventive dan Deterrent? Apa itu ALE? Bagaimana hubungannya dengan ARO dan EF? Apa perbedaan antara perawatan yang wajar dan uji tuntas? Pertanyaan serupa harus hilang selama proses membaca.
Inilah saatnya untuk mengingatkan Anda bahwa semua buku, tentu saja, dalam bahasa Inggris dan ujian pada umumnya, berarti Anda memiliki pengalaman dibayar 5 tahun di bidang keamanan informasi dalam dua atau lebih domain (lebih banyak tentangnya di bawah). Kecil kemungkinan bahwa Anda, nama pengalaman seperti itu, tidak akan mampu menguasai 1000+ halaman dalam bahasa Inggris.
Ngomong-ngomong, lima tahun ini dapat dikurangi 1 tahun jika Anda memiliki pendidikan khusus di bidang keamanan informasi, atau sertifikat yang relevan (ya, setidaknya CompTIA Security + atau MCSE yang sama. Saya memiliki keduanya, tetapi mereka hanya mengurangi waktu selama 1 tahun).
Sekarang tentang domain. Semua pertanyaan dibagi menjadi delapan domain, yaitu area:
1. Keamanan dan Manajemen Risiko
Modul ini membahas dasar-dasar teori dasar keamanan informasi: model keamanan informasi, Biba / Clark-Wilson atau Bell-LaPadula, "Triad Keamanan Informasi", analisis dan manajemen risiko, pendekatan manajemen keamanan informasi. Ini menyentuh masalah etika profesional dan perundang-undangan.
2. Keamanan Aset
Dalam domain ini, kita berbicara tentang aset, dan jika Anda sudah mengajukan pertanyaan - tentang data. Topik utama: manajemen data, klasifikasi, pemilik data, peran, kontrol akses, penyimpanan dan penghancuran data.
3. Arsitektur dan Teknik Keamanan (Teknik dan Keamanan Arsitektur)
Ini, tampaknya, adalah domain terluas dalam hal topik, karena di sini ada keamanan fisik (alarm, hambatan, pemadam kebakaran, dll.), Dan kriptografi, dan solusi teknis khusus, dan bahkan fitur arsitektur berbagai model akses dan implementasinya .
4. Komunikasi dan Keamanan Jaringan
Mungkin domain yang paling praktis dan mudah dipahami di mana Anda harus mengingat SSL, TLS, HMAC, S-RPC, EAP, dll. Jika data ditransmisikan melalui jaringan, ada pertanyaan tentang ini di domain yang ditentukan.
5. Manajemen Identitas dan Akses
Inilah semua pertanyaan tentang pengguna sistem dan kredensial mereka. Kami ingat bagaimana otorisasi berbeda dari otentikasi dan semuanya bersama-sama dari identifikasi. Lalu kami melihat bagaimana siklus manajemen akun terlihat dan bagaimana otentikasi dua faktor dapat membantu kami.
6. Penilaian dan Pengujian Keamanan
Domain ini membahas masalah-masalah praktis pengujian keamanan. Mengapa pemindai keamanan? Siapa OWASP? Apa yang mengancam pentest tanpa sanksi dari pemilik informasi?
7. Operasi Keamanan
Ini adalah yang paling membosankan dari semua domain tempat aspek praktis dari rutinitas harian departemen keamanan informasi diselidiki - investigasi insiden, pemrosesan aplikasi, pelabelan media, pemisahan tugas dan wewenang, manajemen perubahan, dll.
8. Keamanan Pengembangan Perangkat Lunak
Domain terlihat agak asing karena mempertimbangkan segala macam hal seperti SDLC, PERT, Agile dan model pengembangan perangkat lunak lainnya. Tetapi pada kenyataannya, CISSP harus memiliki kompetensi dalam semua aspek keamanan informasi, jadi Anda perlu mempelajari lebih lanjut. Tidak diperlukan keahlian pemrograman khusus di sini, tetapi siapa yang tahu apa yang harus mereka lakukan suatu hari nanti.
Sampai batas tertentu saya beruntung - saya benar-benar tertarik dengan profesi saya, dan sebagian besar topik tidak menimbulkan pertanyaan tambahan, kecuali, mungkin, domain terakhir. Tidak ada yang sulit di dalamnya, saya hanya tidak menemukan ini dalam praktek.
Daftar untuk ujian
Ujian ini lulus dalam sistem tes Pearson VUE yang umum, di mana mereka mengikuti ujian Cisco atau Microsoft yang sama. Namun, masalahnya adalah tidak semua pusat ujian mengambil ujian ini. Di St. Petersburg, misalnya, hanya ada satu pusat semacam itu. Masalahnya adalah bahwa pusat tes yang mengikuti ujian CISSP memiliki persyaratan yang lebih ketat dari biasanya. Misalnya, ketika mendaftar dengan pusat tes, identifikasi biometrik diperlukan sesuai dengan pola pembuluh darah telapak tangan, sehingga pusat tes harus memiliki peralatan yang sesuai.
Anda tidak dapat membawa apa pun dengan Anda ke ujian, kecuali untuk obat-obatan yang diperlukan dan, mungkin, sesuatu untuk dimakan. Tapi jangan lupa membawa dokumen identitas bersama Anda.
Saat ujian
Pada hari yang ditentukan, kami tiba di pusat ujian, melewati formalitas dan duduk di depan komputer. Tes ini terdiri dari 250 pertanyaan di semua domain. Itu diberikan 6 jam, tidak ada istirahat. Selain itu, praktis tidak ada pertanyaan tentang pengetahuan tentang konsep, fakta atau definisi. Sebagian besar pertanyaan ditujukan untuk menguji pengetahuan praktik, metodologi, dan standar terbaik. Yaitu sebuah pertanyaan dapat memiliki semua jawaban secara logis benar, tetapi hanya satu yang memenuhi standar. Misalnya, jika di antara jawaban ada sesuatu tentang "memastikan keselamatan fisik orang", maka jawaban ini selalu benar.
Saya berhasil di suatu tempat dalam 3,5 jam, dan ini sangat bagus, karena setelah dua jam kerja keras, perhatian saya secara bertahap menghilang, logika berhenti bekerja. Tetapi akal sehat dan pengalaman dimasukkan, yang memungkinkan kita untuk menyaring jawaban yang jelas salah, dan memilih yang paling akurat dari yang tersisa.
Jadi, kita sampai pada pertanyaan terakhir, klik "Selesai" dan akhirnya ... tidak ada, pada kenyataannya, terjadi. Anda harus pergi ke administrator pusat ujian, yang akan mengeluarkan hasil cetak dengan selamat. Atau dengan pemberitahuan bahwa ujian belum lulus, dan Anda harus membayar $ 699 baru untuk upaya lain. Pada saat yang sama, jika ujian tidak lulus, hasil cetak akan menunjukkan berapa banyak poin yang dicetak dan berapa banyak yang tidak cukup.
Saya lulus untuk pertama kalinya, meskipun perlu waktu sekitar tiga bulan untuk persiapan. Saya membaca cerita tanpa akhir tentang bagaimana orang mengikuti ujian ini 3-4 kali, dan secara mental siap untuk skenario yang sama. Namun, semuanya ternyata lebih sederhana, ternyata tidak sia-sia bahwa persyaratan menunjukkan pengalaman kerja yang nyata.
Kekecewaan saya dengan "kerumitan" ujian ini dibagikan oleh beberapa rekan asing. Selain itu, masing-masing karena alasannya sendiri: seseorang kesal dengan kesederhanaan ujian (mereka menghabiskan begitu banyak waktu untuk mengenal hukum internasional, GDPR dan amandemen konstitusi AS, tetapi hanya ada 3 pertanyaan tentang topik ini), dan seseorang terisolasi dari kehidupan nyata (tidak ada satu pekerjaan laboratorium!).
Tapi bukan itu ujiannya. Itu dianggap sebagai "satu mil lebar, tetapi satu inci dalam." Kandidat harus menunjukkan wawasannya yang luas dalam subjek, serta memahami proses bisnis mana yang dicentang dalam pengaturan Active Directory, dan kebijakan mana yang menerapkan tabel routing. CISSP harus menyukai pendekatan proses dan mulai berpikir sebagai manajer dalam arti yang baik.
Apa selanjutnya
Jadi, ujian berlalu, dan Anda menjadi CISSP (haha, sebenarnya, tidak). Sekarang pengalaman Anda harus dikonfirmasi oleh seseorang dari CISSP yang ada. Itu bisa berupa kolega, teman atau bahkan orang yang sama sekali tidak dikenal - tidak ada dalam aturan yang mengindikasikan hubungan seperti apa yang harus Anda miliki dengannya.
Selanjutnya, Anda perlu mengadopsi Kode Etik (ISC) ² (https://www.isc2.org/Ethics), menunggu surat konfirmasi lain dan akhirnya mendapatkan status yang didambakan. Padahal, baru satu tahun. Faktanya adalah bahwa status CISSP harus dikonfirmasi setiap tahun. Anda tidak perlu mengikuti ujian lagi, sebagai gantinya mekanisme CPE (Pendidikan profesional berkelanjutan) bekerja, mis. melanjutkan pendidikan profesional. Agar tidak kehilangan status CISSP, Anda harus berpartisipasi dalam kehidupan komunitas IB: menulis artikel, berpartisipasi dalam acara, memberikan kuliah, belajar mandiri, atau paling tidak mendengarkan podcast tematik. Untuk setiap jenis poin aktivitas diberikan. Anda harus menekan setidaknya 40 per tahun. Hanya dalam kasus ini statusnya akan diperpanjang.
Apa yang salah
Dengan cepat menjadi jelas bahwa hanya Anda dan beberapa rekan yang tahu tentang keberadaan CISSP. Surat-surat samar ini tidak muncul dalam jabatan, kecuali, tentu saja, itu adalah perusahaan asing, di mana CISSPs sering merupakan prasyarat untuk undangan wawancara. Ini tidak baik atau buruk, ini adalah realitas pasar keamanan informasi Rusia. Kami tidak memiliki sertifikasi seperti itu sendiri, dan diploma pendidikan tinggi di bidang keamanan informasi tetap menjadi satu-satunya dokumen yang relevan.
Namun, prestise profesi secara bertahap menurun, dan pelamar lebih suka spesialisasi yang lebih maju dan menarik secara sosial, dan lulusan universitas yang datang untuk wawancara semakin sering tidak dapat merumuskan apa yang sebenarnya mereka lakukan selama 5 tahun terakhir dalam dinding almamater mereka.
Paradoksnya berbeda - jumlah CISSP, CISA, dan CISM bersertifikat di Federasi Rusia secara bertahap bertambah, yang berarti bahwa tidak semuanya hilang.
Blog Sergey dalam bahasa Inggris dapat dibaca di
sini .