IT公司当前的就业市场很难被称为有趣且多样化。 但是,即使在其中,您也可以满足员工拥有CISSP证书的要求。 该认证是西方国家事实上的标准认证,但是我们公司的员工谢尔盖·波卢宁(Sergey Polunin)分享了如何在俄罗斯获得此认证。
实际上,获得CISSP的决定是在2017年做出的,当时很明显,大型供应商的专业证书最终不再履行其主要职责-确认专家的知识和经验。 这归因于转储的收集,测试中问题的一般水平,测试中心的不诚实以及许多其他客观因素,而不是非常因素。
我一直将获得证书的过程视为获取有关正确产品或技术知识的机会。 因为没有比在做练习时听老师指导并从头到尾阅读来填补教育空白的更好的方法了。 直到一段时间,官方指南才开始滑入“单击右上角的按钮以使其正常工作”,以及坦率的广告。 大多数培训中心的情况并没有好些,但这是一个完全不同的故事。
怎么办
除了供应商提供的实际证书外,还有其他与供应商无关的认证系统,我建议您寻找没有放弃独立发展和专业成长思想的专家。
实际上,我在2010年通过CompTIA Security +时已经有通过类似考试的经验。 对于初学者来说,这是一个很好的选择,可以评估他们的水平,甚至在某些事情上拓宽视野。 CompTIA Secuity +可以在90分钟之内完成90个问题的快速解答。 顺便说一句,该考试已从2006年开始定期进行更新,到目前为止,它包含了信息安全领域的最新趋势。
所以,您决定成为CISSP
信息系统安全认证专家是独立于供应商的信息安全认证,来自一家名为国际信息系统安全认证联盟(ISC)²的组织。 这是一个非盈利性国际组织,用于测试和认证信息安全领域的专家。
该认证早在1991年就出现了,旨在供信息安全领域的顾问,架构师和分析人员使用。
您可能会猜到,CISSP是信息安全领域的最高认证之一。
另外,顺便说一下,还有CISA(信息系统审核员)和CISM(信息安全经理),但是现在不关他们了。
因此,做出决定后,我们开始寻找准备材料,并且找到了以下几种来源:
首先,官方CISSP(ISC)2认证信息系统安全专业人士官方学习指南,James M. Stewart,Mike Chapple,Darril Gibson:
我用这本书。 除此之外,还有一个针对Android / iOS的应用程序,并进行了实际考试。 这些不是转储,但它们使您可以评估和感受问题的逻辑。
其次,CISSP多合一考试指南Shon Harris:
这是一个非官方的指南,但内容较多,主观上也较难阅读。
第三,有一本小书“《十一小时CISSP:学习指南》”,埃里克·康拉德(Eric Conrad),约书亚·费尔德曼(Joshua Feldman)和塞思·米塞纳(Seth Misenar):
这刚好超过200页,在考试前刷新一下阅读的内容非常好。
除此之外,还有经销商和经销商提供的无穷无尽的思维导图,笔记和幻灯片。
经验丰富的专家可以从这些书中学到的主要内容是加紧术语。 预防和威慑有什么区别? 什么是ALE? 它与ARO和EF有什么关系? 尽职调查和尽职调查有什么区别? 类似的问题应在阅读过程中消失。
现在是时候提醒您了,所有书籍,当然,无论是英语还是普通的考试,都意味着您在两个或多个领域的信息安全领域拥有5年的付费工作经验(下面将详细介绍)。 以此经验的名称,您不太可能无法掌握1000多个英语页面。
顺便说一句,如果您接受过信息安全领域的专门教育或某些相关证书(可以,至少是相同的CompTIA Security +或MCSE。我同时拥有这两种证书,但是可以减少时间,则可以将这五年减少1年)。一年)。
现在介绍域。 所有问题均分为八个领域,即 领域:
1.安全与风险管理
本模块讨论信息安全的基本理论基础:信息安全模型,Biba / Clark-Wilson或Bell-LaPadula,“信息安全三合会”,分析和风险管理,信息安全管理方法。 它涉及职业道德和立法问题。
2.资产安全
在这个领域,我们谈论的是资产,如果您已经问过一个问题-关于数据。 主要主题:数据管理,分类,数据所有者,角色,访问控制,数据存储和销毁。
3.安全架构与工程(工程与架构安全)
显然,这是主题范围最广的领域,因为这里存在物理安全性(警报,障碍,灭火等),加密技术,特定的技术解决方案,甚至是各种访问模型及其实现的体系结构特征。
4.通讯与网络安全
可能是最实用,最易懂的域,您必须在该域中记住SSL,TLS,HMAC,S-RPC,EAP等。 如果数据是通过网络传输的,则在指定域中对此存在疑问。
5.身份和访问管理
这是有关系统用户及其凭据的所有问题。 我们记得授权与身份验证有何不同,而身份与身份验证又有何不同。 然后,我们看一下帐户管理周期的外观以及两因素身份验证如何为我们提供帮助。
6.安全评估与测试
该领域解决了安全测试的实际问题。 为什么选择安全扫描仪? 谁是OWASP? 在没有信息所有者批准的情况下,什么威胁了渗透测试?
7.安全操作
这是调查信息安全部门日常工作的实际方面的所有领域中最无聊的部分-事件调查,应用程序处理,媒体标签,职责分离,变更管理等。
8.软件开发安全
该域看起来有点陌生,因为它考虑了诸如SDLC,PERT,敏捷和其他软件开发模型之类的各种事物。 但是实际上,CISSP应该在信息安全的所有方面都有能力,因此您甚至需要深入研究。 这里不需要特定的编程技能,但是谁知道他们一天将要做什么。
在某种程度上,我很幸运-我对我的职业真的很感兴趣,并且除主题外,大多数主题都没有提出任何其他问题。 它没有什么困难,我只是在实践中没有遇到过。
报名参加考试
考试通过了许多熟悉的Pearson VUE测试系统,他们在同一系统中参加相同的Cisco或Microsoft考试。 但是,诀窍在于并非每个考试中心都参加此考试。 例如,在圣彼得堡,只有一个这样的中心。 事实是,参加CISSP考试的考试中心的要求比平时更为严格。 例如,在测试中心注册时,必须根据手掌静脉的图案进行生物特征识别;因此,测试中心必须具有适当的设备。
除了必要的药物和可能要吃的东西以外,您什么都不能带去考试。 但不要忘记携带身份证件。
在考试中
在指定的日期,我们到达考试中心,办理手续,坐在计算机旁。 测验包含所有领域的250个问题。 给定6个小时,没有休息时间。 此外,关于任何概念,事实或定义的知识几乎没有问题。 大多数问题旨在测试最佳实践,方法和标准的知识。 即 一个问题在逻辑上可以使所有答案正确,但是只有一个符合标准。 例如,如果答案中有关于“确保人身安全”的任何内容,那么该答案总是正确的。
我在3.5个小时内就完成了工作,这非常好,因为经过2个小时的辛苦工作,我的注意力逐渐消失了,逻辑停止了工作。 但是其中包括常识和经验,这使我们能够过滤掉明显的错误答案,并从其余答案中选择最准确的答案。
因此,我们进入最后一个问题,单击“完成”,最后……实际上什么都没有发生。 您需要咨询测试中心的管理员,该中心将发出祝贺的打印输出。 或者,通知您考试未通过,您将需要为新的尝试支付新的699美元。 同时,如果未通过考试,则打印输出将指示得分了多少分,还有多少分还不够。
尽管我花了大约三个月的时间准备,但我还是第一次通过了。 我读了无数关于人们如何参加该考试3-4次并为相同情况做好心理准备的故事。 但是,事实证明一切都比较简单,显然要求并非是真正的工作经验,这并非徒劳。
我对这次考试的“复杂性”感到失望,几位外国同事也对此感到失望。 此外,每个人都有其自身的原因:有人对考试的简单性感到不安(他们花了很多时间来了解国际法,GDPR和美国宪法修正案,但是这个话题只有3个问题),有人与现实生活隔绝了(两者都不一项实验室工作!)。
但这不是考试的重点。 它被认为是“一英里宽,但一英寸深”。 候选人应展示其在该主题上的广阔视野,并了解在Active Directory设置中勾选了哪些业务流程,以及哪些策略实现了路由表。 CISSP应该喜欢流程方法,并开始以良好的眼光思考作为经理。
接下来是什么
这样,考试通过了,您成为了CISSP(哈哈,实际上,不是)。 现在,您的经验应该得到现有CISSP的认可。 可能是同事,朋友,甚至是完全陌生的人-规则中没有任何地方表明您应该与他建立什么样的关系。
接下来,您需要采用《道德守则》(ISC)²(https://www.isc2.org/Ethics),等待另一封确认信,最后获得令人垂涎的地位。 实际上,仅仅一年。 事实是,必须每年确认CISSP的身份。 您无需再次参加考试,而是可以使用CPE(继续职业教育)机制,即 继续专业教育。 为了不失去CISSP的地位,您必须参与IB社区的生活:撰写文章,参加活动,进行讲座,自我教育,或者最糟糕的是收听专题播客。 对于每种类型的活动,都会奖励积分。 您每年必须至少拨打40个电话,只有在这种情况下,状态才会被延长。
怎么了
很快就很清楚,只有您和几个同事知道CISSP的存在。 这些隐秘字母不会出现在职称中,除非它们当然是外国公司,而CISSP通常是邀请参加面试的前提。 这既不是好事也不是坏事;这是俄罗斯信息安全市场的现实。 我们没有自己的此类认证,信息安全领域的高等教育文凭仍然是唯一的相关文件。
但是,该专业的声望正在逐渐降低,申请人更喜欢更高级且具有社会吸引力的专业,并且越来越多的大学毕业生来面试时无法在母校的墙壁上确切地表述过去五年来的工作。
自相矛盾的地方是不同的-俄罗斯联邦认证的CISSP,CISA和CISM的数量正在逐渐增加,这意味着并没有失去一切。
Sergey的英文博客可以在
此处阅读。