Год назад я решился сдавать на CISM. Опишу свой опыт подготовки , прохождения экзамена, дам рекомендации.
Что такое CISM?
Certified Information Security Manager. Детальное описание можно найти на isaca.org.
В целом – это один из наиболее почитаемых сертификатов в области информационной безопасности. Вот, например, один известный сайт по ИБ включил CISM в топ сертификаты для 2012г.
Мотивация
В СНГ особой мотивации со стороны работодателей ожидать не приходится, поэтому, как правило, все начинается с собственной инициативы. Лично я просто рассказал своему менеджеру о пользе сертификации — что это структурирует знания, привлечет заказчиков и тд. И мы включили CISM в мой план по развитию. Благо работаю в большой международной ИТ компании, поэтому особых недопониманий по этому вопросу не было.
Процесс подготовки\обучения.
1) Первым делом стоит подумать о том, чтобы стать ISACA member.
Это экономия на приобретение самого экзамена и литературы для подготовки к нему. Также, это доступ к обширным материалам, доступ в сообщество.
2) Источники подготовки
Два важнейших: CISM Review Manual и CD with questions. По некоторым вопросам, естественно, помог гугл. Также неплохо всупить в разные группы — я подписался на несколько групп в linkedin. Немного помогают, по крайней мере держат в тонусе:)
3) Время и практика
Считаю идеально начать месяца за 4 до экзамена, чтобы:
— прочитать 2 раза полностью мануал
Мануал достаточно сложен.
В общем, пока я прочитал мануал один раз — уже подзабыл первую главу. Но на второй раз — прочиталось быстрее, и реально отложилось в голове.
— пройти все вопросы в базе
Вопросы в финальном экзамене будут совершенно другими. Но сдав все вопросы в тестовой базе, вы пропитаетесь исаковским духом и логикой, и это совершенно необходимо для сдачи экзамена.
Рекомендуется достичь во всех 5ти доменах не менее 80%.
У меня в первом раунде почему-то не получалось выбить более 70%. Вероятно, мой «здравый неправильный» смысл сражался с понятийными ловушками исаки.
— разобраться с новыми областями
Для меня, например, была новой область криптования. Да и вообще, многие технические термины приходилось разбирать в первый раз. Например ДМЗ (ну не знал я что это), виды атак, интернет протоколы
—
В группах по подготовке к экзамену люди писали, что они тратят по 4 часа в день на протяжении 2-3 месяцев. Мне кажется это слишком. Жить (и работать) когда?:)
Итак, хорошо бы выделять по часу времени 2-3 раза в неделю на обучение.
У меня в один момент не получилось поддержать ритм, и за 2 недели до экзамена я понял, что не успеваю. Поэтому взял отпуск. Отправил жену и детей к родственникам и больше недели только и занимался подготовкой. Вот так люди иногда сходят с ума, грань между безумием и разумом иллюзорна :-\
Еще практика
— при чтении мануала стоит обращать самое пристальное внимание на места имеющие в тексте превосходные формы, типа most, least, biggest и тд.
Дело в том, что наверное половина всех вопросов на экзамене содержат в формулировке эти слова. Например – what’s the MOST practical approach for information security manager to start with security strategy building. Ну и тд. Поэтому, встретив в мануале most чего-то там — стоит разобраться, что isaca так выделяет.
Мануал составлен многими людьми, что объясняет его разноплановость. Часто, одна и та же вещь объясняется в разных главах по разному. Приходилось читать и перечитывать, подключать гугл. А какова детальная взаимосвязь BIA (Business impact analysis) и Risk management с точки зрения ISACA я до сих пор не могу объяснить. Да потому что задолбали описывать в каждой секции по своему:-\
— CISM – сертификация для менеджеров. Поэтому все вопросы (ну кроме самых технических) нужно рассматривать с позиции менежмента и бизнеса.
Например:
Accountability by business process owners can BEST be obtained through:
A. periodic reminder memorandums.
B. strict enforcement of policies.
C. policies signed by IT management.
D. education and awareness meetings. — правильный этот, п.ч. только так работает здравый бизнес.
Еще пример:
An information security program should be sponsored by:
A. infrastructure management.
B. the corporate legal department.
C. key business process owners. — правильный этот, п.ч. кто владеет деньгами, тот и музыку танцует.
D. quality assurance management.
Примеры взяты с официального self-assessment test на isaca.org. Кстати, рекомендую пройти — вопросы типичные для экзамена.
— конспектирование
Как бы очевидно. Структурирует твой разум.
Я использовал майндмэп тул — freemind.
Экзамен
Ну вот, дошли до самого экзамена.
4 часа, 200 вопросов. Максимально можешь выбить 800 баллов. Проходной порог — 450 баллов. Схему, по которой считают эти баллы — я так до конца и не понял. Вроде бы все вопросы имеют некий вес, суммируя которые можно получить балл по области, а потом аппроксимировать в общую оценку. А еще в экзамене есть пилотные вопросы, ответ на которые не учитывается.
Само прохождение экзамена организованно достаточно четко.
Приходишь, тебя регистрируют, отводят в нужную аудиторию, в которой уже пронумерованы парты. Находишь свое место, достаешь несколько карандашей, стерку, адмишн тикет и ждешь инструкций.
Думаю, списать практически невозможно.
В кратких паузах, что я делал в процессе экзамена, мозг пытался взломать их систему. Но ничего более прикольного, чем установка видеокамеры в лампу над головой (заранее до экзамена), я не придумал:) ну естесно, никому это и не нужно:)
Думаю, имеет смысл заранее продумать период отдыха перед экзаменом, также путь проезда (особенно иногородним) . Я ехал в Москву из Минска. Ночь в поезде, с 6 утра на вокзале — все это не придало свежести разуму:) В другой раз я бы постарался сделать по-другому. Может приехать за день и переночевать в гостинице.
Хитрый нюанс – на экзамен у тебя 4 часа, но в реальности только 3 30.
Дело в том, что поначалу отвечать нужно в специальном экзаменейшн бук (там же ремарки можно делать, писать что хочешь и тд), а потом перенести ответы в финальный ансвер шит.
Т.е. буквально зарисовать бубочку напротив нужного вопроса.
Так как бубочка диаметром около 4 мм, то чтобы четко зарисовать ее, нужно 2-4 сек, умножаем на 200, получаем около 800 сек или 13 мин только лишь чтобы тупо-лихорадочно перерисовать свои ответы. Ну еще столько же времени нужно добавить на равномерность, чтобы не ошибиться.
Видел, как некоторые в конце бешенно зарисовывали уже после финального свистка, так что инструкторам пришлось пригрозить отчислением:)
В целом, времени в обрез. Для себя выбрал тактику ритма — отвечаю на 25 вопросов — пауза несколько минут. Посередине вышел прогуляться — это можно, только по очереди, строго по одному.
Экзамен проходит в один и тот же день, по всему миру, 10 декабря в моем случае.
Сдал!
После написания экзамена, были большие сомнения, наберу ли проходной балл. Чуствовалось, что шансов где-то с 50-60%. Но прошло пару месяцев, и недавно пришел ответ — прошел таки тест. С результатом 552 из 800. Может и не блеск, но порог в 450 пройден:)
Теперь мне нужно будет предоставить проверенные данные о своем 5-ти летнем опыте в области ИБ, чтобы официально называться CISM. Но это отдельная песня. Ссылка на детальную инструкцию о том, что входит в 5 лет необходимого опыта: Requirements to Become a Certified Information Security Manager
Нужная ли эта штука CISM – пусть каждый сам ответит для себя. Но одно могу сказать, нахаляву получить ее практически невозможно, и значит, люди с лейблой CISM кое-что знают в ИБ.
PS К вопросу о стоимости, во сколько обошелся экзамен:
— членство ISACA 155$
— экзамен 425$ (это минимально возможная цена — за счет ранней регистрации и членства)
— CISM Review Manual 85$ (цена со скидкой)
— CISM Practice Question Database (CD-ROM) 120$ (скидка)
— добраться из Минска в Москву, также мелочи разные — типа доставка литературы 300$
Итого 1085$
Уведомление: Руководство по подготовке к получению экзамена CISM | Блог КБ-Информ - информационная безопасность