Главная » Хабрахабр » Не так страшен чёрт, как его описывают, или как я сдавал экзамен на CISSP

Не так страшен чёрт, как его описывают, или как я сдавал экзамен на CISSP

CISSP (Certified Information Security Systems Professional) относится к “золотому стандарту” в индустрии безопасности и давно входит в топы IT сертификаций.

Сложность сертификации

Изначальные требования для прохождения сертификации достаточно высоки, возможно, поэтому это многих отпугивает: минимум 5 лет подтвержденного опыта в области безопасности как минимум в 2 из 8 доменов, которые покрывает CISSP (о доменах ниже).

До этого у меня было 12 Майкрософт сертификаций, которые рядом не стояли по сложности и требованию к уровню знаний. Экзамен действительно сложный. CISSP требует достаточно широких знаний безопасности, от физической защиты активов до управления безопасностью на предприятии уровня enterprise.

Все эти сложности сказываются на качестве и ценности самой сертификации.

Возможно, сервисная модель ведения бизнеса подпортила отношение к сертификации, как к постоянному росту — новые функциональные формы часто предпочтительнее нефункциональных атрибутов систем, включая безопасность.
У нас всё ещё смотрят «сквозь пальцы» на подобные сертификаты, хотя за рубежом это часто является необходимым условием для высокой технической должности.

Что дает сертификация

Из 15 лет опыта в IT около 7-8 из них тесно связаны с безопасностью (разработка высоко-защищенных архитектур, web security анализ, ручной penetration testing, разработка собственной IDS (intrusion detection system), управление безопасностью лайв систем, консалтинг). И каждый раз, когда дело касается безопасности, продавцы и клиенты задавали один и тот же вопрос “как вы можете подтвердить свой опыт”. То есть первое, что получил от сертификации — наличие доказательства экспертизы в области безопасности.

Там верят в их силу, и было удивительно, когда разработчики и менеджеры сходу начинают задавать точечные вопросы или рассказывать про своё знание этой сертификации. На удивление, отношение к сертификатам в западном мире (в частности, в Англии) совершенно другое. То есть сама сертификация стала и частью маркетинга. Продавцы теперь при любом случае, удобном или нет, обязательно вспоминают, что у компании есть сертифицированный специалист CISSP.

Мало знать некие отдельные технические детали — современные условия требуют знаний управления самой безопасностью. Если говорить в целом о безопасности. Согласно тому же GDPR (General Data Protection Regulation), если вы не можете документально показать, что соответствуете этому предписанию, то уже не важно, насколько хорошо ваша система построена — вы не соответствуете. Оценка и управление рисками, моделирование угроз, многоуровневая защита, стандарты и фреймворки безопасности, Business Continuity и Disaster Recovery планы, уровни классификации данных, что выливается в многочисленные политики, гайдлайны, процедуры и так далее. Со всем этим делом был уже знаком, но CISSP помог структурировать информацию относительно стандартов и их требований.

Кто сейчас сходу может вспомнить, какой режим симметричного шифрования в каких случаях лучше всего использовать: ECB, CBC, CFB, OFB или CTR? Ещё один немало важный момент — сама подготовка к экзамену позволяет освежить знания, которые не требуются каждый день и подзабываются. Вот и я про то. В чём отличия между HMAC, CBC-MAC и СМАС для гарантии целостности сообщения? “Припомнить” хорошо забытые знания полезно время от времени. Главное, даже не в том, чтобы это запомнить (хотя для экзамена придётся), а в том, чтобы в дальнейшем знать куда посмотреть, чтобы принять правильное решение.

Домены

Как было сказано выше, CISSP покрывает 8 доменов в области безопасности.

Security and Risk Management — вопросы стандартов и фреймворков безопасности (ISO/IEC 27000, ITIL, SABSA, COBIT, NIST, ...), регламентов и актов (GDPR, PCI DSS, HIPAA, Patriot Act, ...), конфиденциальность, фреймворки по управлению рисками (ISO 31000, COSO, NIST). Домен #1. Короче, всё, что связано с мировыми практиками и стандартами в области безопасности.

Asset Security — классификация данных, жизненный цикл данных, уровни ответственности в организации, политики хранения данных, стратегии защиты и удаления данных. Домен #2.

Security Engineering — криптография, системы управления ключами, защитные механизмы операционных систем, модели доступа к данным, физическая защита зданий Домен #3.

Communication and Network Security — топология и стандарты сетей, сетевая защита, защита каналов, угрозы и сетевые атаки, управление безопасностью коммуникаций. Домен #4.

Identity and Access Management — контроль физического и логического доступа, системы доступа и их управление, биометрический доступ, атаки на системы доступа, системы обнаружения и предотвращения проникновений. Домен #5.

Security Assessment and Testing — методы проведения анализа безопасности, тестирование на проникновение, уязвимостей, бэкапов данных, восстановление бизнеса в случае непредвиденных обстоятельств, организация отчётности. Домен #6.

Security Operations — расследование инцидентов по безопасности, управление физической защитой, системы управления инцидентами, управление изменениями, стратегии восстановления бизнеса в случае происшествий. Домен #7.

Software Development Security — практики безопасности, внедренные в процесс разработки, управление изменениями и конфигурацией, защита репозиториев. Домен #8. С этим доменом у меня было проще всего, в своё время разработал свой SDLC для сервисного бизнеса для нескольких компаний.

Как видно, сама сертификация покрывает очень широкую область безопасности и во многом связана с управлением, калькуляцией, процессами и стандартами безопасности.

Опыт сдачи

Теперь немного о шагах самой сдачи:

Найти существующего CISSP, который подтвердит опыт и квалификацию
Перед сдачей на сертификат, необходим референс от существующего сертифицированного специалиста CISSP, который готов поручиться за ваш опыт. 1. Если проблематично такого найти, можно запросить его у ISC2.

Купить онлайн экзамен в Pearson VUE
Ближайшие аккредитованные центры для сдачи CISSP в Москве, Вильнюсе, Киеве. 2. Выбор пал на Москву.

Подготовка к экзамену
Основным источником выступила книга CISSP All-in-One Exam Guide, Seventh Edition. 3. Не стоит обольщаться, что, прочитав её, можно сдать экзамен:

  • это 1300 страниц забористого текста с кучей аббревиатур
  • многие моменты приходилось искать дополнительно на просторах Интернета
  • на экзамене помню вопрос, который был упомянут одним коротеньким предложением в книге

Чем хорош этот источник:

  • хорошо структурированная информация и хорошая подача
  • действительно ориентирован на экзамен
  • в конце каждого домена есть список вопросов для проверки
  • до сих пор служит настольной книгой, когда вопросы касаются безопасности

Пару рекомендаций:

  • читайте всё изначально в английском варианте
  • не пытайтесь найти вопросы, которые будут на экзамене и заучить их — вопросы постоянно перемешивают; в конце сдачи список вопросов никто никому не предоставляет
  • не забудьте выучить Code of Ethics, часть вопросов будет по нему

4. Сдача экзамена
В Москву прибыл за день до сдачи. Гостиница Варшава находится в том же здании, где и проходит экзамен. С приезда до глубокой ночи гонял список вопросов. Не знаю, советовать выспаться или нет — это сугубо личный момент.

От берушей лучше не отказываться, рядом будут другие ребята сдавать свои экзамены. В центре сдачи всё пафосно-серьёзно — снимают отпечатки пальцев, обыскивают карманы, снимают на видео. То есть меньше 2 минут на вопрос. На экзамен выделяется 6 часов, 250 вопросов. Полагайтесь на свой опыт и интуицию. Поэтому без ответов вопросы лучше не оставлять, возможно, вы не успеете к ним вернуться. Можно помечать себе вопросы, в которых не до конца уверены.

Поэтому метод “от обратного” не всегда будет работать. Специфика экзамена: в предложенном списке ответов все ответы могут быть правильными, но нужно выбрать самый подходящий. Поэтому, как только видите её в ответах, выбирайте её. Самым главным активом всегда является человеческая жизнь.

Попытался пройти по ответам, в которых не был до конца уверен, но почти ничего не изменил. Справился за пять с половиной часов.

Ответить нужно правильно минимум на 75% вопросов. Ответ дают сразу — сдал или нет. Если сдали, то не скажут даже процент правильно отвеченных вопросов.

Вроде и хотел порадоваться, и не мог. В тот момент поздравления, что сдал, значили для меня абсолютно ничего — сказывалась эмоциональная и интеллектуальная измотанность. Но со временем осознание пришло.

Сертификация CISSP
Сдать успешно экзамен ещё только середина пути. 5. Причем подтверждать нужно документально: необходимо предоставить копии договоров или трудовой книжки, в которых указана должность. Дальше нужно подтвердить свой опыт — минимум пять лет в минимум двух доменах.

В отдельном документе расписал детально все 8 доменов, отсортировав их в порядке своей крутости в каждом. Последние 7 лет работаю в должности Chief Technical Officer. На форме коротко весь опыт расписал. Документ добавил вместе с остальными сканами к форме заявления.

Далее комиссия (ISC)² должна ещё раз проверить предоставленную информацию, и сделать заключение — достоин ты носить тайтл CISSP или нет, занимает это до 6 недель. Первое подтверждение опыта должен сделать CISSP из пункта #1.

12 декабря 2017 успешно сдал экзамен, и только 13 февраля 2018 комиссия подтвердила сертификацию.

Поддержка сертификата CISSP в активном состоянии
И снова пройти сертификацию ещё мало: её нужно поддерживать в активном статусе. 6. Каждый год нужно сабмитить определённое количество Continuing Education (CPE) кредитов, и поддержка самого сертификата будет стоить около 85 USD в год.

Заключение

  • Хотите вы этого или нет, но современные регламенты (тот же GDPR) требует технических и организационных мер по защите данных, поэтому вопросы управления безопасности затронут всех.
  • Крутая сертификация требует очень хорошей подготовки, проскочить не получится
  • Нельзя ставить точку в экспертизе по безопасности (как и в любой другой), это есть постоянный рост
  • “Не так страшен чёрт, как его описывают”. Главное — желание.

Денис Колошко


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Глава Роскомнадзора считает, что вокруг ситуации с Telegram «много пены»

На днях глава Роскомнадзора Александр Жаров дал развернутое интервью ТАСС. Беседа с руководителем ведомства проходила во время Петербургского международного экономического форума. Жаров дал ответы не только в отношении ситуации с Telegram, но и относительно того, что может грозить Facebook, WhatsApp ...

[Перевод] Google Cloud: новая платформа и возможности машинного обучения

Здравствуйте, коллеги. Одним из наиболее масштабных решений, которые определяют перспективы этой отрасли, несомненно, является платформа Google Cloud, как нельзя лучше адаптированная для машинного обучения. В последнее время мы вынашиваем планы издать книгу по обработке естественного языка. Просим высказываться о востребованности ...