Экзамен cism стоимость

Московское отделение ISACA предлагает 5-дневный подготовительный курс к сертификационному экзамену CISM: Certified Information Security Manager.

Это независимая и самая престижная сертификация менеджеров Информационной Безопасности. Программа CISM аккредитована ANSI и признана на государственном уровне во многих странах.

Стоимость тренинга — 140 000р.

Стоимость индивидуального обучения — 200 000р.

Количество квалификационных часов — 40 CPE. 

В стоимость курса входит обучение, официальное учебное пособие (CISM Review Manual), пробный экзамен.

Описание тренинга

Курс CISM: Certified Information Security Manager представляет основы для технических специалистов и менеджеров с разным уровнем опыта, которые поддерживают или используют элементы процесса управления информационными рисками, разработан по официальной программе сертификации CISM, утвержден и согласован глобальной ISACA.

В последний день обучения будет проведен тестовый экзамен CISM и выдан сертификат Московского отделения ISACA о прохождении тренинга с зачислением 40 CPE.

Цели курса – подготовка к сдаче сертификационного экзамена CISM.

• Понять цели и задачи подразделения информационной безопасности, его место в организационной структуре;
• Изучить подходы к формированию стратегии ИБ, в соответствии с целями и задачами бизнеса;
• Научиться управлять информационными рисками и проводить аудит информационной безопасности.
• Выработать подход по оценке результативности и эффективности контрольной среды в операционной деятельности ИТ/ИБ;

На кого рассчитан тренинг?

Высшее руководство, ИТ/ИБ менеджеры, специалисты по информационной безопасности, разработчики ИТ систем и программного обеспечения, ИТ аудиторы.

Продолжительность курса – 5 дней.

Программа курса

День 1

Время	Тема
10:00	Приветствие
	Структура и цели курса
	Описание общего подхода к подготовке и сдаче экзаменов ISACA
	Введение в международные стандарты и практики. Общие принципы
	Домен 1. Необходимость Корпоративного управления ИБ
17:00	Технологии Информационной Безопасности

День 2

Время	Тема
10:00	Сфера применения и устав Корпоративного управления ИБ
	Метрики Корпоративного управления ИБ
	Разработка, внедрение и управление стратегией ИБ
	Домен 2. Основные понятия Управления рисками.
17:00	Внедрение процесса Управления рисками

День 3

Время	Тема
10:00	Оценка информационных активов компании
	Метрики RTO, RPO, SDO
	Мониторинг результативности ИТ
	Мониторинг рисков
	Домен 3. Обзор процесса создания и управления Программой ИБ
17:00	Создание программы ИБ

День 4

Время	Тема
10:00	Управление Программой ИБ
	Метрики Программы ИБ и Мониторинг
	Домен 4. Основные понятия Управления инцидентами
	Ресурсы, цели и метрики управления инцидентами
	Создание процесса Управления инцидентами
	Создание Плана реагирования на инциденты
17:00	Тестирование планов

День 5

Время	Тема
10:00	Правила проведения тестового экзамена
13:00	Тестовый экзамен

Возможна адаптация содержания и продолжительности курса, в соответствии с приоритетами и потребностями заказчика

Время на прочтение
10 мин

Количество просмотров 86K

А почему у тебя на визитке написано «КИСА»?
Ты вроде серьезный человек…
(из разговора с приятелем)

Мы все знаем, что нас встречают всегда по одежке, но не всегда задумываемся, а что именно стоит за этим словом «одежка». «Одежкой» являются наши атрибуты, которые позволяют другим людям легко вписать нас в свое представление о мире или, проще говоря, навесить на нас ярлык. Соответственно, управляя своими атрибутами, мы можем управлять тем, как нас воспринимают другие люди. В среде специалистов по информационной безопасности устоявшимися атрибутами, позволяющие другим причислять вас к серьезным ИБ-специалистам, являются такие статусы, как CISSP, CISA, CISM.

В данной статье подробно рассмотрим, что стоит за этими сертификациями, как подготовиться к сдаче соответствующих экзаменов и стоит ли их получать.

Что за сертификаты?

Сначала расшифруем аббревиатуры и переведем, но не дословно, а по смыслу.

CISSP (Certified Information Security Systems Professional) – сертифицированный специалист по информационной безопасности.

CISA (Certified Information Systems Auditor) – сертифицированный ИТ-аудитор.

CISM (Certified Information Security Manager) – сертифицированный менеджер по информационной безопасности.

Именно такой состав выбранных для рассмотрения сертификаций объясняется их близостью по темам (доменам), ну и, конечно, наличию у автора статьи опыта проведения подготовки специалистов к данным экзаменам.

Сведем информацию об экзаменах в следующую таблицу:

	CISSP	CISA	CISM
Домены	1. Security and Risk Management 2. Asset Security 3. Security Engineering 4. Communication and Network Security 5. Identity and Access Management 6. Security Assessment and Testing 7. Security Operations 8. Software Development Security	1. The Process of Auditing Information Systems 2. Governance and Management of IT 3. Information Systems Acquisition, Development and Implementation 4. Information Systems Operations, Maintenance and Service Management 5. Protection of Information Assets	1. Information Security Governance 2. Information Risk Management 3. Information Security Program Development and Management 4. Information Security Incident Management
Длительность	6 часов	4 часа	4 часа
Количество вопросов	250	150	150
Проходной балл	700 из 1000 баллов	450 из 800 баллов	450 из 800 баллов
Требования к опыту	5 лет	5 лет	5 лет
Организация	ISC2	ISACA	ISACA
Стоимость экзамена	599 USD	760 USD 575 USD для членов ISACA	760 USD 575 USD для членов ISACA
Продление	85 USD	85 USD 45 USD для членов ISACA	85 USD 45 USD для членов ISACA

Что нужно знать и понимать?

Очень не хочется занудно раскрывать объем знаний, который стоит за каждым из доменов (и очень хорошо описан в руководствах по экзаменам), поэтому кратко рассмотрим портрет идеального обладателя каждого из трех сертификатов.

CISSP

Истинный обладатель CISSP должен очень хорошо ориентироваться во всех современных течениях информационной безопасности и в первую очередь в области менеджмента ИБ. Соискатель должен уметь мыслить в категориях «уязвимость», «риск», «контрмера». Опыт администрирования средств защиты информации или взлома компьютерных сетей (этичного, конечно) будет бесспорно полезен, но на экзамене никто не будет требовать вспомнить какую-то определенную настройку или команду какой-либо системы, так как сертификация не зависит от какого-либо вендора. Нужно понимать, что стоит за аббревиатурами RFID, NIPS, RBAC, DIAMETER, IKE, ESP, LLC, MTPD, IDM, XSS, какие используются алгоритмы шифрования, хэширования и т.п.

На мой взгляд, объем знаний CISSP соответствует объему знаний молодого специалиста, окончившего с хорошими отметками профильную кафедру и имеющему пару лет реального опыта в информационной безопасности в серьезной организации.

CISA

Обладатель CISA должен не только хорошо ориентироваться в области информационной безопасности, но и в ИТ-менеджменте, жизненном цикле информационных систем, и в том, как это все проверять на соответствие лучшим мировым практикам. В идеале соискателю данного сертификата надо пройти жизненную школу в одной из компаний большой четверки (BIG4: EY, PWC, KPMG, Deloitte) или в крупной компании, в которой есть полноценная группа или отдел ИТ-аудита.

CISM

Если обладателем CISSP может быть недавний выпускник вуза, работающий с железом и софтом, и лишь представляющем, что такое менеджмент, то CISM уже для людей, занимающихся менеджментом в области ИБ не первый год. Доменов в CISM меньше, чем в CISSP и сдать его человеку, уже сдавшему CISSP, проблем не составит.

Какие могут быть сложности?

Обсудим некоторые подводные камни, о которых нужно помнить при подготовке к экзаменам.

«Бумажная» безопасность

Многие технические специалисты увлекаются технологиями, а вот бизнес-процессы им совершенно не интересны, соответственно корпоративные политики, процедуры, стандарты воспринимаются как ненужные бумажки. С позиций менеджмента подобные документы являются очень важными, так как формируют требования информационной безопасности, которые в свою очередь реализуются с помощью технологий и грамотных действий сотрудников. Соискателю CISSP, СISA, CISM нужно научиться мыслить как управленцу и полюбить процессный подход к менеджменту всей душой.

При пожаре выносить первым!

Если для ответа на вопрос необходимо оценить приоритеты для спасения активов и в списке есть человеческая жизнь, то у нее всегда будет приоритет номер один. Сейфы с деньгами и документами можно смело оставить на милость стихии.

Планирование непрерывности бизнеса и восстановления после сбоев (BCP/DRP)

Во всех рассматриваемых экзаменах попадаются вопросы на тему BCP/DRP. В настоящее время подобные проекты реализуются только в довольно крупных организациях, соответственно лишь небольшой процент специалистов сталкивается с данными вопросами на практике. Для проработки этих тем лучше всего дополнительно изучить публикации двух профильных сообществ специалистов: The Business Continuity Institute и Disaster Recovery Institute.

Мышление ИТ-аудитора

Для успешной сдачи экзамена CISA нужно хорошо представлять, как мыслит ИТ-аудитор. ИТ-аудиторы проверяют, как выполняются требования внутренних и внешних документов и мыслят совершенно иначе, нежели ИТ-специалисты, нацеленные на то, «чтобы все работало, а остальное – не важно».

Поясню на следующем примере. В ООО «Ромашка» доступ к системам предоставляется на основе заявок по электронной почте и выполняется определенная цепочка согласований. Для администратора отработанная заявка – ненужный мусор, который можно удалить в новогоднюю ночь, автоматически очищая архивы, а для ИТ-аудитора, эта заявка представляет собой важное свидетельство, подтверждающее выполнение процедуры, которую нужно хранить, как золото.

Для освоения методик, применяемых реальными ИТ-аудиторами, очень полезно стать членом ISACA (кстати, отделение ISACA есть в Москве ) и тем самым получить доступ к базе полезных методологических документов. Как уже видели в таблице, членство в ISACA дает существенные скидки как на сами экзамены, так и на продление.

Списывание

У нас зачастую принято довольно снисходительно относиться к тем, кто списывает на экзаменах. В западной культуре списывание считается серьезным проступком, требующем соответствующего наказания. Правилами запрещается списывать на экзаменах ISACA и ISC2, процесс сдачи контролируется, нарушителей изгоняют с позором.

Еще немного об этике

И у ISC2, и у ISACA есть кодекс профессиональной этики – его лучше прочитать и запомнить, так как вопросы по этике обязательно будут и хорошее ее знание принесет несколько дополнительных баллов.

Как подготовиться?

Исходя из собственного опыта подготовки к экзаменам и проведения подготовительных курсов в учебном центре «Эшелон» предлагаю следующий алгоритм.

Шаг 1. Где я?

Выяснить в чем хорошо разбираетесь, а в чем не очень. Просмотреть вопросы по всем доменам или пройти пробные тесты. Определить какие домены для вас легкие, а по каким нужно «прокачаться».

Шаг 2. Что с английским?

Оцените, хватает ли ваших знаний английского для понимания вопросов и предлагаемых ответов, если нет, включите в свой план подготовки английский язык.

Шаг 3. Добывание и изучение учебных материалов

Книги

Без пары хороших книг подготовка будет просто невозможной. Лучше всего полистать все, какие сможете получить, и подобрать подходящие именно вам, исходя из стиля изложения и актуальности материала (лучше смотреть книги, изданные за последние 2-3 года). Список специализированных руководств по подготовке к рассматриваемым экзаменам приведен в конце статьи. Рад сообщить, что совсем недавно появилась первая российская книга, в которой рассматриваются основные домены экзаменов: «Семь безопасных информационных технологий», и это очередной вклад в развитие информационной безопасности в России от группы компаний «Эшелон».
Кстати, в Сети можно найти неформальный перевод на русский язык устаревшей версии учебника для подготовки к CISSP Шон Харрис (выполнил Дмитрий Орлов) – пробежаться по вопросам тоже не помешает (на самом старте изучения). Начать готовиться лучше, используя литературу именно на русском языке (для погружения в предметную область), а заканчивать – массированным штудированием примерных вопросов исключительно на английском языке (см. базы вопросов ниже).

Дополнительные материалы

По тем областям знаний, где вы себя чувствуете неуверенно, лучше читать дополнительные материалы, которые, как правило можно найти на профильных сайтах (isaca.org, isc2.org, thebci.org, drii.org).

Глоссарий терминов

Даже если на Шаге 2 вы оценили, что ваш уровень владения английским языком подходит для сдачи экзамена, не поленитесь и пролистайте глоссарий от ISACA. Обратите внимание, что в вопросах экзаменов зачастую фигурируют слова, перевод которых на русский язык не всегда однозначен (например, control — контрмера, мера минимизации риска, СЗИ, контроль).

Базы вопросов

Можно легко найти и приобрести базы вопросов для подготовки к экзаменам, как официальные от ISC2 и ISACA, так и от сторонних вендоров. Базы вопросов могут быть как в виде программ для тестирования, так в виде учебников. Очень полезный материал, позволяющий постоянно оценивать свою готовность к экзамену. Только не рассчитывайте увидеть точно такие же вопросы на самих экзаменах, поэтому заучивать вопросы и ответы наизусть – бесполезная трата времени.

Курсы подготовки

Стоит ли идти на специализированные курсы? Стоит, если хотите сразу за пару дней погрузиться в тематику экзамена и увидеть всю картину в целом. Нужно понимать, что никакой курс не заменит самостоятельное чтение книг и решение пробных тестов.

Длительность этой фазы подготовки, если ни одного подобного экзамена ранее не сдавали, 3-4 месяца (в среднем по часу в день), если опыт успешной сдачи есть и уровень знаний высок, то срок может быть сокращен и до недели (разумеется, в режиме полного погружения).

Шаг 4. Подготовка в последнюю неделю перед экзаменом

Как правило, подготовка к экзамену растягивается на длительный срок и в конце можно немножко подзабыть, что изучали вначале. Поэтому целесообразно взять несколько дней отгула перед экзаменом, чтобы пролистать целиком свои материалы. В любом случае, в конце подготовки придется уделить пару дней для зубрежки отдельных технических параметров.

Пара лайфхаков

В этом разделе хочется привести несколько идей, которые могут облегчить подготовку и сдачу экзаменов.

Отбросить бредовый вариант сразу и не тормозить

Самый распространенный формат вопросов на всех рассматриваемых экзаменах так любимый западным миром MCQ (multiple choice question) – вопрос с несколькими вариантами ответов (как правило, 4). Прежде чем взяться за тренировку с вопросами экзаменов, попробуйте решить обратную задачу – придумать такой MCQ на тему, в которой вы разбираетесь, как никто другой. Вы увидите, что придумать более-менее близкие варианты к единственному правильному не так уж и просто, и вы обязательно включите один вариант, который будет по сути совершенно бредовый. А это значит, что при ответе на вопросы нужно сразу же исключать явно неправильный и искать лучший из оставшихся трех, и в большинстве случаев он виден сразу. Если же не виден, то лучше выбирать наугад и двигаться дальше, и ни в коем случае не зависать на одном вопросе дольше минуты.

Обращайте внимание на FIRST, LAST, EXCEPT, NOT

Необходимо внимательно читать вопросы и обращать внимания на слова, влияющие на выбор ответа напрямую: одно дело выбрать из списка контрмеру, которую надо внедрить в первую очередь, и другое дело – в последнюю.

Стоит ли становиться сертифицированным специалистом?

Предложение/спрос

Давайте посмотрим, сколько всего специалистов, обладающих данными сертификатами, кем и где они работают – заглянем в социальные сети и на страницы ассоциаций. В прошлой статье, посвященной интернет-разведке мы уже «пробивали» целую группу пользователей и использовали для этого специальный инструментарий, в этот раз ограничимся простым просмотром результатов поиска.

В сети Linkedin, к которой сейчас довольно ограниченный доступ, можно найти 539 аккаунтов российских пользователей с сертификатами CISA, 330 — c CISSP и 129 — c CISM.

Пролистывая профили пользователей, указавших данные сертификаты, можно увидеть, что их обладатели, как правило, занимают руководящие должности в крупных компаниях, многие задействованы в консалтинговой сфере (BIG4, ИТ-интеграторы и т.п.)

По официальной статистике ассоциаций ISC2 и ISACA сейчас в России всего 200 обладателей сертификатов CISSP, 203 CISA и 60 CISM (данная статистика по CISA и CISM включает только сертифицированных специалистов, являющихся также членами ассоциации ISACA).

Чтобы понять, а есть ли спрос на подобных специалистов, посмотрим наличие вакансий для людей, обладающих такими сертификатами и уровень зарплат, который им готовы предложить работодатели. Сведем результаты выдачи с сайта HH по нашим ключевым словам (названия сертификатов) в следующую таблицу:

	CISSP	CISA	CISM
Количество открытых вакансий	41	47	26
Распределение по регионам	Россия 33 Москва 29 Украина 4 Киев 4 Беларусь 2 Минск 2 Санкт-Петербург 2 Казахстан 1 Астана 1 Республика Алтай 1 Самарская область 1 Другие страны 1 США 1	Россия 34 Москва 33 Украина 8 Киев 8 Беларусь 3 Минск 3 Казахстан 2 Астана 1 Алматы 1 Республика Алтай 1	Россия 16 Москва 15 Украина 5 Киев 5 Беларусь 3 Минск 3 Казахстан 2 Астана 1 Алматы 1 Республика Алтай 1
Уровни заработной платы	Указана 8 от 195 000 руб — 3 от 310 000 руб.- 2 от 370 000 руб.- 1	Указана 4 от 195 000 руб. – 1	Указана 2 от 125 000 руб. 1

Очевидно, что в основном такие специалисты востребованы в крупных городах и в особенности в столицах. Уровень зарплат достойный, но, конечно, же зарплату платят не за наличие сертификата, а за работу.

Анализируя эти данные нужно также помнить, что руководящие должности в крупных организациях часто замещаются без публикации вакансий. Поэтому реальный спрос на таких специалистов несколько выше.

Вопросы для оценки необходимости стать сертифицированным специалистом

Давайте сведем в один список вопросы, ответы на которые позволят специалистам в области ИБ решить насколько им необходима сертификация.

У меня получился такой «аудиторский» чеклист:

1. Обладаете высшим техническим образованием в ИТ-сфере и средний балл не ниже 4?
2. На работе занимаетесь проектами по большинству тем экзамена?
3. Без словаря читаете английские статьи на профессиональные темы?
4. Есть желание двигаться по карьерной лестнице вверх?
5. Будет время готовиться вечерами и сможете взять несколько дней отгула перед экзаменом?
6. Хоть немного ощущаете себя настоящим менеджером?
7. Готовы к тому, чтобы жить и работать в столице?

Если на большинство вопросов у вас положительный ответ, то определенно стоит ввязаться в это дело, подготовиться, сдать экзамен(ы), а затем постоянно поддерживать свои знания на достойном уровне.

Учебники для подготовки к экзаменам

1. Семь безопасных информационных технологий / Под. ред. А.С.Маркова. М.: ДМК Пресс, 2017. 224 с. Сайт книги:http://security-experts.ru/
2. CISSP (ISC)2 Certified Information Systems Security Professional Official Study Guide, 7th Edition by James M. Stewart, Mike Chapple, Darril Gibson
3. CISSP Official (ISC)2 Practice Tests, Mike Chapple, David Seidl
4. CISA Review Manual, 26th Edition by ISACA
5. CISA Review Questions, Answers & Explanations Manual, 11th Edition by ISACA
6. CISM Review Manual, 15th Edition by ISACA
7. CISM Review Questions, Answers & Explanations, 9th Edition by ISACA

Что такое CISM?

CISM – Certified Information Security Manager. Более детальное описание – isaca.org.

Мотивация

Наиболее популярная причина сертификации – личная мотивация. Уровень зрелости наших отечественных компаний, еще далек уровня зарубежных, где подтверждение уровня знаний в области ИБ – дело практически обязательное.

Процесс подготовки/обучения

1. ISACA membership

Первым делом стоит подумать о том, чтобы стать ISACA member. Это экономия на приобретение самого экзамена и литературы для подготовки к нему. Также, это доступ к обширным материалам, доступ в сообщество.

2. Источники подготовки

Два важнейших: CISM Review Manual и CD with questions. По некоторым вопросам, могут помочь поисковые системы. Также неплохо всупить в разные группы в linkedin.Помощь невелика, но помогает держат в тонусе.

3. Время и практика

Идеально начинать за 4 месяца  до экзамена, чтобы:

• прочитать 2 раза полностью руководство

• пройти все вопросы в базе

• разобраться с новыми областями

• при чтении руководства стоит обращать самое пристальное внимание на места имеющие в текстепревосходные формы, типа most, least, biggest и т. д.

Дело в том, что наверное половина всех вопросов на экзамене содержат в формулировке эти слова. Например – what’s the MOST practical approach for information security manager to start with security strategy building. Ну и тд. Поэтому, встретив в руководстве most чего-то там — стоит разобраться, что isaca так выделяет.

• Руководство составлено многими людьми, что объясняет его разноплановость.

Часто, одна и та же вещь объясняется в разных главах по разному. Приходится читать и перечитывать, подключать поиск.

• CISM – сертификация для менеджеров.

Поэтому все вопросы (ну кроме самых технических) нужно рассматривать с позиции менежмента и бизнеса.

Например:

Accountability by business process owners can BEST be obtained through:

A. periodic reminder memorandums.
B. strict enforcement of policies.
C. policies signed by IT management.
D. education and awareness meetings. — правильный этот, т.к. только так работает здравый бизнес.

Еще пример:

An information security program should be sponsored by:
A. infrastructure management.
B. the corporate legal department.
C. key business process owners. — правильный этот, п.ч. кто владеет деньгами, тот и музыку танцует.
D. quality assurance management.

Примеры взяты с официального self-assessment test на isaca.org. Кстати, рекомендую пройти — вопросы типичные для экзамена.

• конспектирование

Для структурирования знаний возможно использовать — майндмэп тул freemind.

Экзамен

4 часа, 200 вопросов. Максимально можно выбить 800 баллов. Проходной порог — 450 баллов.

Само прохождение экзамена организованно достаточно четко. Списать практически невозможно.

Хитрый нюанс – на экзамен дается 4 часа, но в реальности только 3:30. Дело в том, что поначалу отвечать нужно в специальном examination book (там же ремарки можно делать, писать что хочешь и т.д.), а потом перенести ответы в финальный answer sheet.

В целом, времени впритык. Экзамен проходит в один и тот же день, по всему миру.

Эпилог

После сдачи экзамена нужно будет предоставить проверенные данные о своем 5-ти летнем опыте в области ИБ, чтобы официально называться CISM.

Стоимость

— членство ISACA 155$

— экзамен 425$ (это минимально возможная цена — за счет ранней регистрации и членства)
— CISM Review Manual 85$ (цена со скидкой)
— CISM Practice Question Database (CD-ROM) 120$ (скидка)

Ссылка на детальную инструкцию о том, что входит в 5 лет необходимого опыта: Requirements to Become a Certified Information Security Manager

Источник

Источник: http://feedproxy.google.com/~r/kbinform/gbRY/~3/o-okE mYDFs/

Как я сдавал (и сдал) CISM. Часть 2: Подготовка и экзамен

21 июля, 2014

---

✔Никогда не забывайте о цифровой безопасности — подписывайтесь на наш канал и получайте необходимые знания!

---

Стоимость: 30 000 рублей

Ближайший курс: с 7 февраля по 25 апреля 2023

Подготовка к сертификационным экзаменам CISSP и CISM/

Информационная безопасность: ключевые концепции.

Расписание: по вторникам с 18.00 до 19.00 (МСК)

Обучение оффлайн/онлайн.

Результат обучения: система знаний, необходимая для успешной сдачи экзамена

Программа:

Раздел 1 — Введение и управление доступом

• зачем нужен CISSP?
• как лучше всего подготовиться?
• термины и определения;
• виды контроля доступа;
• способы аутентификации и идентификации: пароли, биометрия, токены, тикеты;
• виды управления доступом: избирательное (discretionary), неизбирательное (non-discretionary), мандатное, ролевое, на основе решетки (lattice-based);
• методы управления доступом: централизованное и децентрализованное;
• протоколы RADIUS и TACACS;
• свойство «осведомленности»;
• принцип «наименьших привилегий»;
• принцип «need-to-know»;
• принцип разделения полномочий;
• аудит механизмов/процессов управления доступом;
• атаки на систему управления доступом.

Раздел 2 —Телекоммуникации и безопасность (часть 1)

• концепция межсетевого взаимодействия: модель OSI;
• инкапсуляция и деинкапсуляция;
• модель TCP/IP;
• технологии LAN;
• топология сети;
• компоненты сети: коммутаторы, маршрутизаторы, межсетевые экраны и др;
• виртуальные частные сети: как они работают;
• трансляция сетевых адресов (NAT);
• технологии коммутации, сегментирование сетей;
• WAN-сети;
• безопасность беспроводных сетей;
• обеспечение безопасности электронной почты.

Раздел 3 —Телекоммуникации и безопасность (часть 2)

• атаки методом перебора паролей и подбора по словарю;
• атаки «отказ в обслуживании»;
• spoofing-атаки, ARP-spoofing;
• перехват трафика;
• атаки «человек посередине»;
• социальная инженерия;
• фишинг-атаки;
• DNS-атаки.

Раздел 4 — Тестирование защищенности

• структура кибератаки;
• cyber kill chain, MitreAtt@ck;
• методологии взлома;
• инструментарий хакеров;
• методологии тестирования защищенности;
• тестирование на проникновение, redteaming;
• ручной поиск уязвимостей;
• анализ конфигурации;
• применение сканеров уязвимостей;
• разработка отчета по тестированию защищенности;

Раздел 5 —Менеджмент информационной безопасности. Риск-менеджмент.

• система менеджмента информационной безопасности;
• управление рисками информационной безопасности;
• методики оценки рисков информационной безопасности: количественные и качественные;
• внутренний аудит;
• вопросы информационной безопасности, связанные с персоналом;
• управление активами;
• обучение по информационной безопасности и повышение осведомленности;
• внутренние документы по информационной безопасности: политики, процедуры, инструкции, руководства, стандарты и др;

Раздел 6 — Менеджмент информационной безопасности. Безопасность операций

• классификация информации;
• контрактные обязательства;
• управление антивирусной защитой;
• управление патчами и уязвимостями;
• управление резервным копированием и восстановлением данных;
• реагирование на инциденты;
• мониторинг информационной безопасности.

Раздел 7 — Обеспечение непрерывности бизнеса и восстановление после сбоев

• оценка влияния сбоев на бизнес (BIA);
• планирование непрерывности бизнеса;
• планирование восстановления;
• стратегии и средства;
• тестирование планов и обучение персонала.

Раздел 8 — Криптография

• основы криптографии;
• алгоритмы симметричного шифрования;
• алгоритмы асимметричного шифрования;
• алгоритмы хеширования;
• цифровые подписи;
• инфраструктура открытых ключей (PKI);
• криптоанализ;
• альтернативы по скрытию информации.

Раздел 9 — Архитектура безопасности

• фундаментальные концепции моделей безопасности;
• модели подсистем управления доступом;
• стандарты и критерии безопасности;
• принципы контрмер;
• уязвимости и угрозы.

Раздел 10 — Безопасность разработки программного обеспечения

• жизненный цикл разработки программного обеспечения (SDLC);
• дефекты, уязвимости и угрозы;
• модели разработки и тестирования;
• безопасность СУБД и информационных хранилищ;
• меры безопасности в приложениях;
• эффективность безопасности на уровне приложений;
• атаки на приложения.

Раздел 11 — Выполнение требований законодательства

• вопросы законодательства в области информационной безопасности;
• компьютерные преступления;
• интеллектуальная собственность;
• лицензирование;
• расследования;
• процедуры расследования;
• нормативные требования;
• этика.

Раздел 12 —Физическая безопасность

• угрозы физической безопасности;
• защита периметра;
• виды механизмов защиты;
• защита серверных помещений;
• безопасность снабжения.

---

Request More Information

Год назад я решился сдавать на CISM. Опишу свой опыт подготовки , прохождения экзамена, дам рекомендации.

Что такое CISM?

Certified Information Security Manager. Детальное описание можно найти на isaca.org.

В целом – это один из наиболее почитаемых сертификатов в области информационной безопасности. Вот, например, один известный сайт по ИБ включил CISM в топ сертификаты для 2012г.

Мотивация

В СНГ особой мотивации со стороны работодателей ожидать не приходится, поэтому, как правило, все начинается с собственной инициативы. Лично я просто рассказал своему менеджеру о пользе сертификации — что это структурирует знания, привлечет заказчиков и тд. И мы включили CISM в мой план по развитию. Благо работаю в большой международной ИТ компании, поэтому особых недопониманий по этому вопросу не было.

Процесс подготовкиобучения.

1) Первым делом стоит подумать о том, чтобы стать ISACA member.

Это экономия на приобретение самого экзамена и литературы для подготовки к нему. Также, это доступ к обширным материалам, доступ в сообщество.

2) Источники подготовки

Два важнейших:  CISM Review Manual и CD with questions. По некоторым вопросам, естественно, помог гугл. Также неплохо всупить в разные группы — я подписался на несколько групп в linkedin. Немного помогают, по крайней мере держат в тонусе:)

3) Время и практика

Считаю идеально начать месяца за 4 до экзамена, чтобы:

— прочитать 2 раза полностью мануал

Мануал достаточно сложен.
В общем, пока я прочитал мануал один раз — уже подзабыл первую главу. Но на второй раз — прочиталось быстрее, и реально отложилось в голове.

— пройти все вопросы в базе

Вопросы в финальном экзамене будут совершенно другими. Но сдав все вопросы в тестовой базе, вы пропитаетесь исаковским духом и логикой, и это совершенно необходимо для сдачи экзамена.

Рекомендуется достичь во всех 5ти доменах не менее 80%.

У меня в первом раунде почему-то не получалось выбить более 70%. Вероятно, мой «здравый неправильный» смысл сражался с понятийными ловушками исаки.

 — разобраться с новыми областями

Для меня, например, была новой область криптования. Да и вообще, многие технические термины приходилось разбирать в первый раз. Например ДМЗ (ну не знал я что это), виды атак, интернет протоколы

—

В группах по подготовке к экзамену люди писали, что они тратят по 4 часа в день на протяжении 2-3 месяцев. Мне кажется это слишком. Жить (и работать) когда?:)

Итак, хорошо бы выделять по часу времени 2-3 раза в неделю на обучение.

У меня в один момент не получилось поддержать ритм, и за 2 недели до экзамена я понял, что не успеваю. Поэтому взял отпуск. Отправил жену и детей к родственникам и больше недели только и занимался подготовкой. Вот так люди иногда сходят с ума, грань между безумием и разумом иллюзорна :-

Еще практика

— при чтении мануала стоит обращать самое пристальное внимание на места имеющие в тексте превосходные формы, типа most, least, biggest и тд.

Дело в том, что наверное половина всех вопросов на экзамене содержат в формулировке эти слова. Например – what’s the MOST practical approach for information security manager to start with security strategy building. Ну и тд. Поэтому, встретив в мануале most чего-то там — стоит разобраться, что isaca так выделяет.

Мануал составлен многими людьми, что объясняет его разноплановость. Часто, одна и та же вещь объясняется в разных главах по разному.  Приходилось читать и перечитывать, подключать гугл. А какова детальная взаимосвязь BIA (Business impact analysis) и Risk management с точки зрения ISACA я до сих пор не могу объяснить. Да потому что задолбали описывать в каждой секции по своему:-

— CISM – сертификация для менеджеров. Поэтому все вопросы (ну кроме самых технических) нужно рассматривать с позиции менежмента и бизнеса.

Например:
Accountability by business process owners can BEST be obtained through:

A. periodic reminder memorandums.
B. strict enforcement of policies.
C. policies signed by IT management.
D. education and awareness meetings.  — правильный этот, п.ч. только так работает здравый бизнес.

Еще пример:

An information security program should be sponsored by:

A. infrastructure management.
B. the corporate legal department.
C. key business process owners. — правильный этот, п.ч. кто владеет деньгами, тот и музыку танцует.
D. quality assurance management.

Примеры взяты с официального self-assessment test на isaca.org. Кстати, рекомендую пройти — вопросы типичные для экзамена.

— конспектирование

Как бы очевидно. Структурирует твой разум.

Я использовал майндмэп тул — freemind.

Экзамен

Ну вот, дошли до самого экзамена.

4 часа, 200 вопросов. Максимально можешь выбить 800 баллов. Проходной порог — 450 баллов. Схему, по которой считают эти баллы — я так до конца и не понял. Вроде бы все вопросы имеют некий вес, суммируя которые можно получить балл по области, а потом аппроксимировать в общую оценку. А еще в экзамене есть пилотные вопросы, ответ на которые не учитывается.

Само прохождение экзамена организованно достаточно четко.

Приходишь, тебя регистрируют, отводят в нужную аудиторию, в которой уже пронумерованы парты. Находишь свое место, достаешь несколько карандашей, стерку, адмишн тикет и ждешь инструкций.

Думаю, списать практически невозможно.

В кратких паузах, что я делал в процессе экзамена, мозг пытался взломать их систему. Но ничего более прикольного, чем установка видеокамеры в лампу над головой (заранее до экзамена), я не придумал:) ну естесно, никому это и не нужно:)

Думаю, имеет смысл заранее продумать период отдыха перед экзаменом, также путь проезда (особенно иногородним) . Я ехал в Москву из Минска. Ночь в поезде, с 6 утра на вокзале — все это не придало свежести разуму:) В другой раз я бы постарался сделать по-другому. Может приехать за день и переночевать в гостинице.

Хитрый нюанс – на экзамен у тебя 4 часа, но в реальности только 3 30.

Дело в том, что поначалу отвечать нужно в специальном экзаменейшн бук (там же ремарки можно делать, писать что хочешь и тд), а потом перенести ответы в финальный ансвер шит.

Т.е. буквально зарисовать бубочку напротив нужного вопроса.

Так как бубочка диаметром около 4 мм, то чтобы четко зарисовать ее, нужно 2-4 сек, умножаем на 200, получаем около 800 сек или 13 мин только лишь чтобы тупо-лихорадочно перерисовать свои ответы. Ну еще столько же времени нужно добавить на равномерность, чтобы не ошибиться.

Видел, как некоторые в конце бешенно зарисовывали уже после финального свистка, так что инструкторам пришлось пригрозить отчислением:)

В целом, времени в обрез. Для себя выбрал тактику ритма — отвечаю на 25 вопросов — пауза несколько минут. Посередине вышел прогуляться — это можно, только по очереди, строго по одному.

Экзамен проходит в один и тот же день, по всему миру, 10 декабря в моем случае.

Сдал!

После написания экзамена, были большие сомнения, наберу ли проходной балл.  Чуствовалось, что шансов где-то с 50-60%. Но прошло пару месяцев, и недавно пришел ответ — прошел таки тест. С результатом  552 из 800. Может и не блеск, но порог в 450 пройден:)

Теперь мне нужно будет предоставить проверенные данные о своем 5-ти летнем опыте в области ИБ, чтобы официально называться CISM. Но это отдельная песня. Ссылка на детальную инструкцию о том, что входит в 5 лет необходимого опыта: Requirements to Become a Certified Information Security Manager

Нужная ли эта штука CISM – пусть каждый сам ответит для себя. Но одно могу сказать, нахаляву получить ее практически невозможно, и значит, люди с лейблой CISM кое-что знают в ИБ.

PS К вопросу о стоимости, во сколько обошелся экзамен:
— членство ISACA 155$
— экзамен 425$ (это минимально возможная цена — за счет ранней регистрации и членства)
— CISM Review Manual 85$ (цена со скидкой)
— CISM Practice Question Database (CD-ROM) 120$ (скидка)
— добраться из Минска в Москву, также мелочи разные — типа доставка литературы 300$
Итого 1085$