Год назад я решился сдавать на CISM. Опишу свой опыт подготовки , прохождения экзамена, дам рекомендации.

 

Что такое CISM?

Certified Information Security Manager. Детальное описание можно найти на isaca.org.

В целом – это один из наиболее почитаемых сертификатов в области информационной безопасности. Вот, например, один известный сайт по ИБ включил CISM в топ сертификаты для 2012г.

Мотивация

В СНГ особой мотивации со стороны работодателей ожидать не приходится, поэтому, как правило, все начинается с собственной инициативы. Лично я просто рассказал своему менеджеру о пользе сертификации — что это структурирует знания, привлечет заказчиков и тд. И мы включили CISM в мой план по развитию. Благо работаю в большой международной ИТ компании, поэтому особых недопониманий по этому вопросу не было.

Процесс подготовки\обучения.

1) Первым делом стоит подумать о том, чтобы стать ISACA member.

Это экономия на приобретение самого экзамена и литературы для подготовки к нему. Также, это доступ к обширным материалам, доступ в сообщество.

2) Источники подготовки

Два важнейших:  CISM Review Manual и CD with questions. По некоторым вопросам, естественно, помог гугл. Также неплохо всупить в разные группы — я подписался на несколько групп в linkedin. Немного помогают, по крайней мере держат в тонусе:)

3) Время и практика

Считаю идеально начать месяца за 4 до экзамена, чтобы:

— прочитать 2 раза полностью мануал

Мануал достаточно сложен.
В общем, пока я прочитал мануал один раз — уже подзабыл первую главу. Но на второй раз — прочиталось быстрее, и реально отложилось в голове.

— пройти все вопросы в базе

Вопросы в финальном экзамене будут совершенно другими. Но сдав все вопросы в тестовой базе, вы пропитаетесь исаковским духом и логикой, и это совершенно необходимо для сдачи экзамена.

Рекомендуется достичь во всех 5ти доменах не менее 80%.

У меня в первом раунде почему-то не получалось выбить более 70%. Вероятно, мой «здравый неправильный» смысл сражался с понятийными ловушками исаки.

 — разобраться с новыми областями

Для меня, например, была новой область криптования. Да и вообще, многие технические термины приходилось разбирать в первый раз. Например ДМЗ (ну не знал я что это), виды атак, интернет протоколы

—

В группах по подготовке к экзамену люди писали, что они тратят по 4 часа в день на протяжении 2-3 месяцев. Мне кажется это слишком. Жить (и работать) когда?:)

Итак, хорошо бы выделять по часу времени 2-3 раза в неделю на обучение.

У меня в один момент не получилось поддержать ритм, и за 2 недели до экзамена я понял, что не успеваю. Поэтому взял отпуск. Отправил жену и детей к родственникам и больше недели только и занимался подготовкой. Вот так люди иногда сходят с ума, грань между безумием и разумом иллюзорна :-\

Еще практика

— при чтении мануала стоит обращать самое пристальное внимание на места имеющие в тексте превосходные формы, типа most, least, biggest и тд.

Дело в том, что наверное половина всех вопросов на экзамене содержат в формулировке эти слова. Например – what’s the MOST practical approach for information security manager to start with security strategy building. Ну и тд. Поэтому, встретив в мануале most чего-то там — стоит разобраться, что isaca так выделяет.

Мануал составлен многими людьми, что объясняет его разноплановость. Часто, одна и та же вещь объясняется в разных главах по разному.  Приходилось читать и перечитывать, подключать гугл. А какова детальная взаимосвязь BIA (Business impact analysis) и Risk management с точки зрения ISACA я до сих пор не могу объяснить. Да потому что задолбали описывать в каждой секции по своему:-\

— CISM – сертификация для менеджеров. Поэтому все вопросы (ну кроме самых технических) нужно рассматривать с позиции менежмента и бизнеса.

Например:
Accountability by business process owners can BEST be obtained through:

A. periodic reminder memorandums.
B. strict enforcement of policies.
C. policies signed by IT management.
D. education and awareness meetings.  — правильный этот, п.ч. только так работает здравый бизнес.

Еще пример:

An information security program should be sponsored by:

A. infrastructure management.
B. the corporate legal department.
C. key business process owners. — правильный этот, п.ч. кто владеет деньгами, тот и музыку танцует.
D. quality assurance management.

Примеры взяты с официального self-assessment test на isaca.org. Кстати, рекомендую пройти — вопросы типичные для экзамена.

— конспектирование

Как бы очевидно. Структурирует твой разум.

Я использовал майндмэп тул — freemind.

Экзамен

Ну вот, дошли до самого экзамена.

4 часа, 200 вопросов. Максимально можешь выбить 800 баллов. Проходной порог — 450 баллов. Схему, по которой считают эти баллы — я так до конца и не понял. Вроде бы все вопросы имеют некий вес, суммируя которые можно получить балл по области, а потом аппроксимировать в общую оценку. А еще в экзамене есть пилотные вопросы, ответ на которые не учитывается.

Само прохождение экзамена организованно достаточно четко.

Приходишь, тебя регистрируют, отводят в нужную аудиторию, в которой уже пронумерованы парты. Находишь свое место, достаешь несколько карандашей, стерку, адмишн тикет и ждешь инструкций.

Думаю, списать практически невозможно.

В кратких паузах, что я делал в процессе экзамена, мозг пытался взломать их систему. Но ничего более прикольного, чем установка видеокамеры в лампу над головой (заранее до экзамена), я не придумал:) ну естесно, никому это и не нужно:)

Думаю, имеет смысл заранее продумать период отдыха перед экзаменом, также путь проезда (особенно иногородним) . Я ехал в Москву из Минска. Ночь в поезде, с 6 утра на вокзале — все это не придало свежести разуму:) В другой раз я бы постарался сделать по-другому. Может приехать за день и переночевать в гостинице.

Хитрый нюанс – на экзамен у тебя 4 часа, но в реальности только 3 30.

Дело в том, что поначалу отвечать нужно в специальном экзаменейшн бук (там же ремарки можно делать, писать что хочешь и тд), а потом перенести ответы в финальный ансвер шит.

Т.е. буквально зарисовать бубочку напротив нужного вопроса.

Так как бубочка диаметром около 4 мм, то чтобы четко зарисовать ее, нужно 2-4 сек, умножаем на 200, получаем около 800 сек или 13 мин только лишь чтобы тупо-лихорадочно перерисовать свои ответы. Ну еще столько же времени нужно добавить на равномерность, чтобы не ошибиться.

Видел, как некоторые в конце бешенно зарисовывали уже после финального свистка, так что инструкторам пришлось пригрозить отчислением:)

В целом, времени в обрез. Для себя выбрал тактику ритма — отвечаю на 25 вопросов — пауза несколько минут. Посередине вышел прогуляться — это можно, только по очереди, строго по одному.

Экзамен проходит в один и тот же день, по всему миру, 10 декабря в моем случае.

Сдал!

После написания экзамена, были большие сомнения, наберу ли проходной балл.  Чуствовалось, что шансов где-то с 50-60%. Но прошло пару месяцев, и недавно пришел ответ — прошел таки тест. С результатом  552 из 800. Может и не блеск, но порог в 450 пройден:)

Теперь мне нужно будет предоставить проверенные данные о своем 5-ти летнем опыте в области ИБ, чтобы официально называться CISM. Но это отдельная песня. Ссылка на детальную инструкцию о том, что входит в 5 лет необходимого опыта: Requirements to Become a Certified Information Security Manager

Нужная ли эта штука CISM – пусть каждый сам ответит для себя. Но одно могу сказать, нахаляву получить ее практически невозможно, и значит, люди с лейблой CISM кое-что знают в ИБ.

PS К вопросу о стоимости, во сколько обошелся экзамен:
— членство ISACA 155$
— экзамен 425$ (это минимально возможная цена — за счет ранней регистрации и членства)
— CISM Review Manual 85$ (цена со скидкой)
— CISM Practice Question Database (CD-ROM) 120$ (скидка)
— добраться из Минска в Москву, также мелочи разные — типа доставка литературы 300$
Итого 1085$