Сдача экзамена cissp

Время на прочтение
8 мин

Количество просмотров 33K

Сегодняшний рынок вакансий ИТ-компаний вряд ли можно назвать интересным и разнообразным. Однако даже в нем можно встретить требования к сотрудникам по наличию сертификата CISSP. Эта сертификация является стандартном де-факто на западе, а вот о том, как получить этот сертификат в России поделился сотрудник нашей компании Сергей Полунин.

На самом деле, решение о получении CISSP возникло в 2017 году, когда стало очевидно, что профессиональные сертификаты крупных вендоров окончательно перестали выполнять свою главную функцию – подтверждать знания и опыт специалистов. Виной тому коллекции дампов, общий уровень вопросов в тестах, недобросовестность тестовых центров и множество других объективных и не очень факторов.

Я же всегда рассматривал процесс получения сертификатов как возможность подтянуть знания по нужному продукту или технологии. Потому что нет лучшего способа заполнить пробелы в образовании, чем взять руководство от гуру и прочесть от корки до корки, попутно выполняя упражнения. И так оно и было какое-то время, пока официальные руководства не начали скатываться в “нажмите кнопку в верхнем правом углу, чтобы всё заработало”, а также откровенную рекламу. Не лучше ситуация обстоит и в большинстве учебных центров, но это совсем другая история.

Что делать?

Кроме собственно сертификатов от вендоров, существуют и вендор-независимые системы сертификации, в сторону которых я и рекомендую смотреть специалистам, которые не отказались от идеи самостоятельного развития и профессионального роста.
На самом деле, у меня уже был опыт сдачи подобного экзамена в 2010 году, когда я сдавал CompTIA Security+. Это очень неплохой вариант для начинающего специалиста, чтобы оценить свой уровень и даже расширить кругозор в каких-то вопросах. CompTIA Secuity+ это такой блиц из 90 вопросов за 90 минут. Экзамен, кстати, регулярно обновляется аж с 2006 года и по сей день содержит актуальные тренды в области информационной безопасности.

Итак, Вы решили стать CISSP

Certified Information Systems Security Professional – это вендор-независимая сертификация по информационной безопасности от организации под названием International Information Systems Security Certifications Consortium (ISC)². Это некоммерческая международная организация по тестированию и сертификации специалистов в области информационной безопасности.

Эта сертификация появилась в далеком 1991 году и предназначена для консультантов, архитекторов и аналитиков в сфере информационной безопасности.

CISSP, как можно догадаться, относят к числу высших сертификаций в области ИБ.
Кроме этого, кстати, есть еще CISA (аудитор информационных систем) и CISM (менеджер в области ИБ), но сейчас речь не о них.

Итак, решение принято, начинаем искать материалы для подготовки и обнаруживаем несколько источников:
Во-первых, официальное руководство «CISSP (ISC)2 Certified Information Systems Security Professional Official Study Guide», James M. Stewart, Mike Chapple, Darril Gibson:

Я пользовался именно этой книгой. Дополнительно к этому есть приложение для Android/iOS с практическим экзаменом. Это не дампы, но они позволяют оценить и почувствовать логику вопросов.

Во-вторых, «CISSP All-in-One Exam Guide», Shon Harris:

Это неофициальное руководство, но чуть более объемное, и, субъективно, более тяжелое для прочтения.

В-третьих, есть небольшая книжка «Eleventh Hour CISSP: Study Guide», Eric Conrad, Joshua Feldman, Seth Misenar:

Это чуть более 200 страниц, которые очень неплохо бы прочесть непосредственно перед экзаменом, чтобы освежить в памяти прочитанное.

А кроме этого есть бесконечные майндкарты, конспекты, слайды от сдающих и сдавших.

Основное, что может вынести из этих книг опытный специалист – это подтянуть термины. Чем отличается Preventive от Deterrent? Что такое ALE? Как оно связано с ARO и EF? Какая разница между due care и due diligence? Подобные вопросы должны отпасть в процессе чтения.

Тут самое время напомнить, что все книги, само собой, на английском языке и вообще экзамен подразумевает, что вы имеете 5 лет оплачиваемого опыта в сфере ИБ в двух или более доменах (о них ниже). Вряд ли Вы, имя такой опыт, не сможете осилить 1000+ страниц на английском языке.

Эти пять лет, кстати, можно сократить на 1 год, если у вас есть профильное образование в сфере ИБ, или какой-нибудь релевантный сертификат (да хотя бы те же CompTIA Security+ или MCSE. У меня есть оба, но сокращают срок всё равно только на 1 год).

Теперь о доменах. Все вопросы разбиты на восемь доменов, т.е. областей:

1. Security and Risk Management (Управление рисками информационной безопасности)
В этом модуле рассматриваются основные теоретические основы ИБ: модели информационной безопасности, Биба/Кларк-Уилсон или Белл-ЛаПадула, “Триада ИБ”, анализ и управление рисками, подходы к управлению ИБ. Затрагиваются вопросы профессиональной этики и законодательства.

2. Asset Security (Безопасность активов)
В этом домене речь идет об активах, а если ставить вопрос еще уже – о данных. Основные темы: управление данными, классификация, владельцы данных, роли, управление доступом, хранение и уничтожение данных.

3. Security Architecture and Engineering (Инженерная и архитектурная безопасность)
Это, судя по всему, самый широкий домен в плане тем, потому что здесь и физическая безопасность (сигнализации, шлагбаумы, пожаротушение и т.п.), и криптография, и конкретные технические решения, а даже архитектурные особенности различных моделей доступа и их реализация.

4. Communication and Network Security (Связь и сетевая безопасность)
Наверное, самый практический и понятный домен, где придется вспомнить про SSL, TLS, HMAC, S-RPC, EAP и т.п. Если данные передаются по сетям – об этом есть вопрос в указанном домене.

5. Identity and Access Management (Управление идентификацией и доступом)
Здесь все вопросы про пользователей системы и их учетные данные. Вспоминаем, чем авторизация отличается от аутентификации и все они вместе от идентификации. Затем разбираемся, как выглядит цикл управления учетными записями, и чем нам может помочь двухфакторная аутентификация.

6. Security Assessment and Testing (Оценка безопасности и тестирование)
В этом домене разбираются практические вопросы тестирования безопасности. Зачем нужны сканеры безопасности? Кто такой OWASP? Чем грозит пентест без санкции владельца информации?

7. Security Operations (Операции по обеспечению безопасности)
Это самый скучный из всех доменов, где разбираются практические аспекты ежедневной рутины отдела ИБ – расследование инцидентов, обработка заявок, маркировка носителей, разделение обязанностей и полномочий, управление изменениями и т.п.

8. Software Development Security (Безопасность разработки программного обеспечения)
Домен выглядит несколько чужеродно, потому что рассматривает всякие вещи вроде SDLC, PERT, Agile и прочих моделей разработки ПО. Но на самом деле, CISSP должен обладать компетенцией во всех аспектах ИБ, поэтому потребуется вникнуть даже в это. Каких-то конкретных навыков программирования тут не требуется, но кто знает, чем однажды придется заниматься.

В какой-то степени мне повезло – я действительно интересуюсь своей профессией, и большинство тем не вызвало каких-либо дополнительных вопросов, кроме, пожалуй, последнего домена. В нем нет ничего сложно, просто я не сталкивался с этим на практике.

Регистрируемся на экзамен

Экзамен сдается в знакомой многим тестовой системе Pearson VUE, где принимают экзамены те же Cisco или Microsoft. Однако фокус в том, что далеко не каждый из тестовых центров принимает этот экзамен. В Санкт-Петербурге, например, такой центр всего один. Всё дело в том, что к тестовым центрам, принимающим экзамен CISSP предъявляются более суровые требования, чем обычно. Например, при регистрации в тестовом центре необходима биометрическая идентификация по рисунку вен ладони, соответственно тестовому центру необходимо иметь соответствующее оборудование.

На экзамен брать с собой ничего нельзя, кроме необходимых медикаментов и, пожалуй, чего-нибудь перекусить. А вот не забыть надо с собой документ, удостоверяющий личность.

На экзамене

В назначенный день приезжаем в тестовый центр, проходим формальности и садимся за компьютер. Тест состоит из 250 вопросов по всем доменам. На него дается 6 часов, перерывов нет. Причем, практически нет вопросов на знание какие-то понятий, фактов или определений. В основном вопросы направлены на проверку знания лучших практик, методологий и стандартов. Т.е. у вопроса могут быть все ответы логически правильные, но только один отвечает стандарту. Например, если среди ответов есть что-нибудь про “обеспечить физическую безопасность людей”, то этот ответ всегда правильный.

Я управился где-то за 3,5 часа, и это весьма неплохо, потому что после двух часов напряженной работы внимание потихоньку рассеивается, логика перестает работать. Зато включается здравый смысл и опыт, которые и позволяют отсеивать заведомо ложные ответы, а из оставшихся выбирать наиболее точный.

Итак, добираемся до последнего вопроса, нажимаем “Finish” и наконец … ничего, собственно, не происходит. Нужно подойти к Администратору тестового центра, который и выдаст распечатку с поздравлением. Либо с оповещением, что экзамен не сдан, и придется по новой платить $699 за очередную попытку. При этом, если экзамен не сдан, в распечатке будет указано, сколько баллов набрано и сколько не хватило.

Я сдал с первого раза, притом, что на подготовку ушло около трёх месяцев. Я читал бесконечные истории, о том, как люди сдавали этот экзамен по 3-4 раза, и морально готовился к такому же сценарию. Однако всё оказалось проще, видимо не зря в требованиях указан реальный опыт работы.

Моё разочарование “сложностью” этого экзамена разделили несколько зарубежных коллег. Причем, каждый по своей причине: кого-то расстроила простота экзамена (столько времени потратили на знакомство с международным законодательством, GDPR и поправками к конституции США, а на эту тему было только 3 вопроса), а кого-то оторванность от реальной жизни (ни одной лабораторной работы!).

Но так и суть экзамена не в этом. Он и задуман быть “милей в ширину, но дюймом в глубину”. Кандидат должен показать свой широкий кругозор в теме, а также понимать какие бизнес-процессы стоят за галочками в настройках Active Directory, и какие политики реализуют таблицы маршрутизации. CISSP должен полюбить процессный подход и начать уже мыслить как менеджер в хорошем смысле этого слова.

Что дальше

Итак, экзамен сдан, и Вы стали CISSP (ха-ха, на самом деле, нет). Теперь ваш опыт должен подтвердить кто-то из действующих CISSP. Это может быть коллега, приятель или даже совсем не знакомый человек – нигде в правилах не указано, в каких Вы должны быть с ним отношениях.

Далее необходимо принять этический кодекс (ISC)² (https://www.isc2.org/Ethics), дождаться еще одного письма с подтверждением и наконец-то получить заветный статус. На самом деле, всего на год. Дело в том, что статус CISSP необходимо подтверждать каждый год. Сдавать экзамен повторно не нужно, вместо этого работает механизм CPE (Continuing professional education), т.е. непрерывного профессионального образования. Для того, чтобы не потерять статус CISSP, необходимо участвовать в жизни ИБ-сообщества: писать статьи, участвовать в мероприятиях, читать лекции, самообразовываться, ну или на худой конец слушать тематические подкасты. За каждый тип активности начисляются очки. За год необходимо набрать не менее 40. Только в этом случае статус будет продлен.

Что же не так?

Довольно быстро выясняется, что о существовании CISSP знаете только Вы и пара коллег. Эти загадочные буквы не фигурируют в названиях вакансий, если это, конечно, не иностранная компания, где CISSP зачастую являются обязательным условием приглашения на собеседование. Это не хорошо и не плохо, это реалии российского рынка ИБ. Своих подобных сертификаций у нас нет, и единственным релевантным документом остается диплом о высшем образовании в сфере ИБ.

Однако престиж профессии постепенно падает, и абитуриенты отдают предпочтение более раскрученным и социально привлекательным специальностям, а выпускники ВУЗов, приходящие на собеседования всё чаще, не могут сформулировать, чем же конкретно они занимались последние 5 лет в стенах своей alma mater.

Парадокс в другом – количество сертифицированных CISSP, CISA и CISM в РФ постепенно растет, а значит не всё потеряно.

Блог Сергея на английском языке можно прочитать тут.

Сертификация CISSP пользуется большим спросом в ИТ-индустрии. Обычно он предназначен для ИТ-специалистов, заинтересованных в получении дополнительной информации об информационной безопасности. Вот все, что вам нужно знать для подготовки к экзамену CISSP, включая стоимость и требования, а также практические вопросы.

Кандидаты должны иметь не менее пяти лет прямого профессионального опыта работы в сфере безопасности в двух или более доменах (ISC)2 CISSP CBK, ИЛИ

Четыре года прямого профессионального опыта работы в области безопасности на полную ставку в двух или более из 10 областей CISSP CBK, а также четырехлетнее высшее образование или сертификация из утвержденного списка (ISC)2, ИЛИ

Если вам не хватает опыта, вы все равно можете стать партнером (ISC)2, сдав экзамен CISSP. У вас будет шесть лет, чтобы получить необходимый опыт, чтобы стать CISSP.

Следует отметить, что для образования доступно только однолетнее освобождение от стажа. Кроме того, наличие дополнительного сертификата в авторизованном списке (ISC)2 дает вам право на однолетнее освобождение от требования профессионального опыта. Действительный опыт включает в себя работу, связанную с безопасностью информационных систем, выполняемую в качестве специалиста-практика, аудитора, консультанта, исследователя или преподавателя, которая требует и включает прямое применение знаний в области информационной безопасности. Пятилетний опыт должен быть эквивалентен фактической работе в области информационной безопасности на полный рабочий день (а не просто обязанностям в области информационной безопасности в течение пяти лет); однако этот критерий является кумулятивным и может накапливаться в течение значительно более длительного периода времени.

Восемь доменов CISSP CBK

CISSP состоит из восьми тем или доменов, которые называются «Общим сводом знаний CBK». Это домены:

• Управление рисками и безопасностью
• Защита активов
• Архитектура и инженерия для безопасности
• Безопасность сети и связи
• Управление идентификацией и доступом
• Оценка безопасности и тестирование
• Операции безопасности
• Безопасность в разработке программного обеспечения

Профессиональный опыт CISSP включает, но не ограничивается:

• Работа, требующая особого образования или интеллектуальных достижений, обычно включающая гуманитарное образование или высшее образование.
• Работа, требующая привычного вспоминания набора знаний, которыми делятся с другими, выполняющими аналогичную работу.
• Управление проектом и/или надзор за другим персоналом.
• Наблюдение за работой других при минимальном контроле за собой.
• Занятость, которая требует использования суждений, принятия управленческих решений и осмотрительности.
• Работа, которая требует использования этического суждения (в отличие от этического поведения).
• Устное общение и творческое письмо.
• Наставничество, обучение, инструктирование и обучение других.
• Разработка и исследования.
• Спецификация и выбор контроля и механизма (т. е. технология идентификации и аутентификации) (не включает в себя простое действие этих средств контроля).

Примеры подходящих названий должностей включают в себя директора по информационным технологиям, директора, менеджера, супервайзера, аналитика, криптографа, кибер-архитектора, инженера по обеспечению информации, инструктора, профессора, лектора, исследователя, компьютерного ученого, руководителя программы, руководителя и так далее.

После сдачи экзамена CISSP учетные данные кандидата должны быть подтверждены другим CISSP с хорошей репутацией. Индоссант подтверждает заявления кандидата о профессиональном опыте. Если вы не можете найти уполномоченного лица, которое могло бы выступать в качестве индоссанта, (ISC)2 сделает это от вашего имени.

Почему вы должны сдать экзамен CISSP?

После того, как вы решили начать сертификацию CISSP, убедитесь, что вы добьетесь успеха. Выполнение тренировочного теста CISSP несколько раз является одним из проверенных 7 шагов в учебном пособии CISSP для полной подготовки к сертификационному экзамену CISSP. Сдача практического экзамена CISSP позволяет выявить свои недостатки и сильные стороны. Вы сможете определить, на какой области предмета CISSP вам нужно больше сосредоточиться, с помощью пробного экзамена CISSP. Если вы не набрали более 70% на пробных экзаменах CISSP, мы настоятельно рекомендуем вам записаться и пройти комплексную программу обучения сертификации CISSP.

Вопросы практического экзамена CISSP

Вопросы практического экзамена CISSP в этом разделе охватывают основные понятия в каждой из восьми областей, включенных в сертификационный экзамен CISSP. Вопросы практического экзамена CISSP включают ответы, а также обоснования, которые помогут вам лучше понять предмет. Эти примеры вопросов CISSP помогут вам ознакомиться с экзаменационными вопросами CISSP. Они также позволят вам закрепить свои знания и подготовиться к реальному экзамену CISSP, который скоро состоится.

Вопрос #1

Модель безопасности «Модель конечного автомата» требует, чтобы система была защищена во всех ее состояниях (запуск, работа и завершение работы), иначе система не будет защищена. Это требование требует реагирования на события безопасности, чтобы дальнейшие компрометации не могли быть успешными. Этот метод реагирования является примером какой концепции безопасности?

а. Открытый дизайн

б. Закрытый дизайн

в. Надежное восстановление

д. Наименьшие привилегии

Ответ: C

Trusted Recovery необходим для систем с высоким уровнем безопасности и позволяет системе безопасно завершать свои процессы. В случае сбоя системы она должна быть перезапущена в безопасном режиме, в котором не может произойти дальнейшая компрометация системной политики. Принцип открытой конструкции гласит, что безопасность механизма не должна зависеть от секретности его конструкции или реализации. В объектно-ориентированном программировании принцип открытого-закрытого гласит, что «программные объекты (классы, модули, функции и т. д.) должны быть открыты для расширения, но закрыты для модификации»; то есть такая сущность может разрешить расширение своего поведения без изменения исходного кода. Наименьшие привилегии — это концепция и практика ограничения прав доступа для пользователей, учетных записей и вычислительных процессов только теми ресурсами, которые абсолютно необходимы для выполнения рутинных законных действий.

Вопрос #2

Вирус Heartbleed недавно скомпрометировал OpenSSL, поскольку версии OpenSSL были уязвимы для попыток чтения содержимого памяти, что в конечном итоге привело к раскрытию защищенной информации, включая закрытые ключи поставщика услуг. Многие практики считают, что открытый дизайн лучше закрытого. Какое одно соображение обычно необходимо, чтобы позволить открытой конструкции обеспечить большую безопасность?

а. Экспертная оценка

б. Безопасность через неизвестность

в. Сложность дизайна

д. Надежная иерархия

Ответ: А

Часто считается, что открытый дизайн лучше, чем закрытый, поскольку открытость позволяет другим членам сообщества оценивать его. Идея состоит в том, что если у других есть доступ к коду, они помогут изучить и просмотреть код и, в конечном итоге, улучшить его. К сожалению, с OpenSSL этого не произошло. Если код не рецензируется, он также может быть закрытым исходным кодом. Кроме того, в конечном счете, качество кода определяет безопасность в гораздо большей степени, чем то, является ли он открытым или закрытым. Безопасность через неясность противоположна экспертной оценке и открытому дизайну, и ее также можно назвать сложностью дизайна. Иерархическая модель доверия похожа на перевернутую древовидную структуру, где корень является отправной точкой доверия. Все узлы модели должны доверять корневому ЦС и хранить сертификат открытого ключа корневого ЦС.

Вопрос #3

При использовании закрытых ключей проблема безопасности заключается в том, что закрытый ключ пользователя может быть утерян. Чтобы снизить этот риск, практикующий специалист может выбрать агента по восстановлению ключей, который может создавать резервные копии и восстанавливать свои ключи. Предоставление одному лицу возможности восстанавливать закрытые ключи пользователей увеличивает риск неотказуемости, поскольку другая сторона имеет доступ к ключу. Какой принципиальный выбор может быть реализован для снижения этого риска?

а. Разделение обязанностей

б. Принцип наименьших привилегий

в. Двойное управление

д. Надо знать

Ответ: C

Двойной контроль — это принцип безопасности, который требует присутствия нескольких сторон для выполнения задачи, которая может иметь серьезные последствия для безопасности. В этом случае, вероятно, лучше всего иметь по крайней мере двух сетевых администраторов, прежде чем можно будет восстановить закрытый ключ. Подмножество двойного управления называется M из N управления. M и N являются переменными, но этот элемент управления требует присутствия M из N администраторов для восстановления ключа. Разделение обязанностей — это концепция, при которой для выполнения важной задачи требуется более одного человека. Принцип наименьших привилегий (PoLP) относится к концепции информационной безопасности, согласно которой пользователю предоставляется минимальный уровень доступа или разрешений, необходимых для выполнения его рабочих функций. Принцип «необходимости знать» заключается в том, что доступ к защищенным данным должен быть необходим для выполнения рабочих функций пользователей.

Вопрос #4

На каком этапе разработки BCP высшее руководство должно взять на себя обязательство поддерживать, финансировать и помогать в создании BCP?

а. Инициация проекта

б. Планирование

в. Выполнение

д. Разработка

Ответ: А

Инициация проекта традиционно является фазой, на которой высшее руководство обещает свою поддержку проекту. Часто на этом этапе руководство предоставляет устав проекта, который представляет собой официальный письменный документ, в котором проект официально утверждается, выбирается и назначается руководитель проекта, а руководство берет на себя обязательство оказывать поддержку. Поддержка BCP со стороны руководства должна продолжаться на протяжении всего процесса разработки и включать обзор и обратную связь, а также ресурсы для успеха BCP.

Вопрос #5

Каков наиболее активный (и требующий минимальных усилий) способ снижения риска получения злоумышленником доступа к сети и использования анализатора протоколов для захвата и просмотра (анализа) незашифрованного трафика?

а. Реализуйте политику, запрещающую использование анализаторов/снифферов пакетов. Часто контролируйте сеть.

б. Периодически сканируйте сеть, чтобы определить, подключены ли неавторизованные устройства. Если такие устройства обнаружены, немедленно отключите их и предоставьте руководству отчет о нарушении.

в. Обеспечьте безопасность, например отключите порты и фильтрацию MAC-адресов на корпоративных коммутаторах, чтобы предотвратить подключение неавторизованных устройств к сети. Внедрите политики ограниченного использования программного обеспечения, чтобы предотвратить установку неавторизованного программного обеспечения в системах.

д. Установите антишпионское программное обеспечение на все системы в сети.

Ответ: C

Чтобы значительно снизить риски в сети, мы должны внедрить систему безопасности, которая ограничивает возможность подключения к нашей сети с внешних устройств. Кроме того, нас беспокоит программное обеспечение для мониторинга, устанавливаемое на наших хостах, поэтому мы хотим ограничить возможность установки такого программного обеспечения. Кроме того, мы хотим обеспечить выполнение других основных требований безопасности, таких как использование надежных паролей, политики блокировки в системах, физическая безопасность и т. д.

Помните: проактивные устройства ПРЕДОТВРАЩАЮТ атаку, а не реагируют на нее. Сканирование сети часто обнаруживает эти устройства, но редко предотвращает их. Политики описывают высокоуровневые намерения предприятия, которые затем могут быть реализованы. Установка антишпионского ПО является средством обнаружения/корректировки, а не упреждающим/превентивным.

Какова стоимость экзамена CISSP?

Плата за сертификацию CISSP делится на три части следующим образом:

Стоимость курса варьируется от 300 до 3200 долларов США.

Экзамен стоит 699 долларов США.

Время, необходимое для подготовки (скрытая стоимость): от 50 до 70 часов

Сертификация CISSP является более технической и всесторонней, чем некоторые другие доступные сегодня сертификаты информационной безопасности. Среди прочего, он касается управления рисками, управления безопасностью активов, управления доступом, обеспечения безопасности, тестирования безопасности и сетевой безопасности.

В результате вы можете ожидать, что вас наймут в качестве консультанта по безопасности, аудитора по безопасности, консультанта по безопасности или системного инженера безопасности после получения сертификата CISSP. Как CISSP вы будете создавать политики и процессы для защиты сетей информационной безопасности на работе. Вы будете интегрировать процессы, необходимые для защиты активов от внешних угроз, в ИТ-сети.

На самом деле CISSP — это ценная и захватывающая сертификация для ИТ-специалистов. Получив его, вы будете уверены, что заслужили доверие и одобрение, необходимые для успешного управления информационной безопасностью. В результате вы сможете развиваться в своей работе и зарабатывать больше денег.

Но сертификация не бесплатная. Слово «затраты на работу» может быть не самым подходящим. Вы будете инвестировать во что-то, что предоставит вам новые и улучшенные перспективы работы.

Всесторонний обзор стоимости экзамена CISSP

Стоимость сертификации CISSP: стоимость курса

Начнем со стоимости курса, которая включена в стоимость CISSP.

Первым шагом к получению сертификата CISSP является зачисление на курс сертификации CISSP. Самостоятельное обучение не рекомендуется и не эффективно для сдачи экзамена CISSP, поэтому вы должны пройти курс.

Содержание курса CISSP уникально по сравнению со многими другими ИТ-сертификатами. Он охватывает вопросы, которые редко обсуждаются или рассматриваются в повседневной работе ИТ.

В результате вы должны записаться на полный сертификационный курс CISSP. То есть курс должен комплексно охватывать все указанные темы. У вас также должен быть доступ к практическим материалам, таким как практические тесты CISSP и другая полезная информация, которая поможет вам подготовиться к экзамену.

Стоимость сертификационного курса CISSP зависит от страны и, в некоторых случаях, от города. Даже если вы будете искать цены на курсы CISSP в вашем регионе, вы обнаружите, что существует множество поставщиков услуг по обучению с различными ценовыми диапазонами.

Мы исследовали стоимость сертификационного курса CISSP в ряде стран, и результаты представлены ниже. В приведенной ниже таблице сравниваются низкие и высокие тарифы на курсы CISSP в разных странах.

Классные курсы CISSP

• США и Канада: 2000–2800 долларов США.
• Пакистан/Индия: 300–600 долларов США.
• ЕС: 2600–3200 долларов США.
• Саудовская Аравия/Объединенные Арабские Эмираты: 800–1300 долларов США.
• Австралия и Новая Зеландия: 2000–2600 долларов США.

Если вы хотите учиться в классной комнате, в вашем районе есть несколько учебных заведений CISSP. Они могут регулярно проводить обучение CISSP, а некоторые также могут проводить специализированное индивидуальное обучение.

Вы можете поговорить с ними о ваших альтернативах и выбрать лучший для вас. К сожалению, обучение CISSP в аудиториях непомерно дорого. Эта форма обучения намного дороже, чем онлайн-обучение в режиме реального времени или самостоятельное онлайн-обучение. В результате этот тип обучения может увеличить общую стоимость экзамена CISSP.

Самостоятельное онлайн-обучение

В дополнение к обучению в классе, классы CISSP доступны онлайн для самостоятельного обучения. Это отличный выбор для людей с ограниченной доступностью в дневное время и напряженным графиком работы. Благодаря самостоятельному онлайн-обучению вы можете смотреть видеокурсы в любое время. Вы также не обязаны посещать учебное заведение. Мы предлагаем сертификационное обучение CISSP.

Стоимость самостоятельного онлайн-обучения CISSP существенно различается. Курс CISSP стоит 300 долларов, хотя иногда его предлагают за 900 долларов.

Вы заметили изменение цен? Поскольку онлайн-курсы для самостоятельного обучения дешевле, чем обучение в классе и даже онлайн-обучение в режиме реального времени, выбор этого варианта приведет к снижению общей стоимости сертификационного экзамена CISSP. Следовательно, если вы считаете, что этот метод обучения идеально подходит для вас, он также стоит денег.

Онлайн-обучение в прямом эфире

Многие учебные заведения также предлагают курсы CISSP. На живом курсе вы можете быть единственным в комнате, или с вами могут быть другие студенты онлайн. Это будет интерактивная сессия, где вы сможете задавать вопросы и получать оперативные ответы.

Стоимость живых онлайн-уроков также существенно различается. Онлайн-курс обучения CISSP может стоить от 600 до 1500 долларов США.

Плата за сертификационный экзамен CISSP

Плата за экзамен является вторым компонентом платы за сертификацию CISSP. Экзамен CISSP в настоящее время стоит 699 долларов. Эта цена изменится 1 мая 2022 года. После этой даты плата за новый экзамен CISSP увеличится с 699 до 749 долларов США.

Независимо от того, где вы подаете заявку на экзамен, плата будет одинаковой. PearsonVue, авторизованный центр тестирования ISC2, предоставляет все экзамены ISC2. Чтобы зарегистрироваться на экзамен, вы можете заплатить PearsonVUE через Интернет или в одном из их франчайзинговых магазинов в вашем районе.

Стоимость сертификационного экзамена CISSP: время на подготовку

Время, потраченное на подготовку к экзамену CISSP, не включено в сертификационный сбор CISSP. С другой стороны, время, которое вы тратите на подготовку к экзамену, будет стоить вам денег.

Время — деньги, и вам может потребоваться до 70 часов, чтобы полностью подготовиться к экзамену CISSP. Для подготовки к экзамену ИТ-специалисту может потребоваться от 50 до 60 часов, а человеку без обширного опыта в области ИТ может потребоваться от 60 до 70 часов.

Сколько времени потребуется для завершения планирования? Это риск! Все зависит от того, сколько времени у вас есть каждый день или неделю для подготовки к экзамену CISSP. Люди закончили свою подготовку всего за один месяц и до шести месяцев.

Дополнительные критерии, такие как предыдущий опыт работы, уровень квалификации и желание пройти сертификацию как можно быстрее, определяют, сколько времени потребуется для прохождения ваших курсов.

В результате вы потратите много времени на подготовку к экзамену CISSP. Считайте, что это время входит в стоимость сертификации CISSP.

Является ли CISSP сложным экзаменом?

Это сложный экзамен. Хотя показатели прохождения CISSP не обнародуются, широко распространено мнение, что они значительно ниже 50%.

Могу ли я сдать CISSP за 3 месяца?

Если вы хотите сдать экзамен CISSP за 3 месяца, вы можете выбрать расширенный вариант (3 месяца и более, 2 часа в день, с упором на выходные). Не пропустите ни одного материала во время изучения, потому что вы можете упустить что-то, что вам нужно будет знать позже.

CISSP для начинающих?

CISSP не для новичков. CISSP создан для экспертов по безопасности, которые некоторое время работали в этой области, в настоящее время заняты в роли, связанной с информационной безопасностью, и хотят узнать о лидерстве и операциях в области кибербезопасности.

Сколько лет действует CISSP?

Сертификат CISSP действителен в течение трех лет.

В заключение,

CISSP является всемирно признанной сертификацией в области информационной безопасности. В современном мире большим спросом пользуются профессионалы, хорошо разбирающиеся в том, как защитить ИТ-активы, приложения и информацию от атак. CISSP являются наиболее квалифицированными специалистами для решения проблем информационной безопасности.

В этом посте обсуждались три компонента платы за сертификацию CISSP: плата за курс CISSP, стоимость экзамена CISSP и время подготовки.

У вас будет четкий финансовый план и график обучения для вашей будущей профессии, если у вас есть предполагаемые затраты на получение сертификата. С наилучшими пожеланиями!

Статьи по теме

1. Являются ли экзаменационные дампы лучшим средством подготовки к Certbolt Cisco 300-420 ENSLD?
2. КОМПАНИИ СЕТЕВОГО МАРКЕТИНГА: Топ лучших компаний (обновлено)
3. КАК СТАТЬ СЕРТИФИЦИРОВАННЫМ УПРАВЛЕНЧЕСКИМ БУХГАЛТЕРОМ: Подробное руководство
4. Контрольный список страхования жизни: что вам нужно, чтобы получить страховое покрытие в 2023 году
5. СЕРТИФИКАЦИЯ GOOGLE ADS: подробный обзор

Рекомендации

• Forbes.com
• Блог.masterofproject.com
• Simplilearn.com
• Passemall.com

Автор: Денис Колошко, CEO at dhound.io

 CISSP (Certified Information Security Systems Professional) относится к “золотому стандарту” в индустрии безопасности и входит в топы IT сертификаций. На 1-ое января 2018 года сертифицированы только два человека в Беларуси, одного из которых я знаю — Иван Подобед. 13 февраля 2018 был сертифицирован третий человек — Денис Колошко, автор статьи, которая собственно и расскажет о самом сертификате и процессе сертификации.

Сложность сертификации

Изначальные требования для прохождения сертификации достаточно высоки, возможно, поэтому это отпугивает многих: минимум 5 лет подтвержденного опыта в области безопасности как в минимум в 2 из 8 доменов, которые покрывает CISSP (о доменах ниже).

Экзамен действительно сложный. До этого у меня было 12 Майкрософт сертификаций, которые рядом не стояли по сложности, требованию к уровню знаний. CISSP требует очень широких знаний безопасности, покрывается большой диапазон от физической защиты активов до управления безопасностью на предприятии уровня enterprise.

Все эти сложности определенно сказываются на качестве и ценности самой сертификации.

Что дает сертификат

Из 15 лет опыта в IT, около 7-8 из них тесно связаны с безопасностью (разработка высоко-защищенных архитектур, web security анализ, ручной пенетрейшн тестинг, разработка собственной lightweight intrusion detection system-ы dhound.io, управление безопасностью). И каждый раз, когда дело касается безопасности, продавцы и клиенты задавали один и тот же вопрос “как вы можете подтвердить свой опыт”.

То есть первое, что я получил от сертификации — наличие доказательства экспертизы в области безопасности.

На удивление, отношение к сертификатам в западном мире (в частности, в Англии) совершенно другое. Там верят в их силу, и было удивительно, когда разработчики и  менеджеры начинают задавать точечные вопросы или рассказывать про своё знание этой сертификации. Продавцы теперь при любом случае, удобном или нет, обязательно вспоминают, что у компании есть сертифицированный специалист CISSP. То есть сама сертификация стала и частью маркетинга.

Если говорить в целом о безопасности. Мало знать некие отдельные технические детали —  современные условия требуют знаний управления самой безопасности. Оценка и управление рисками, моделирование угроз, многоуровневая защита, стандарты и фреймворки безопасности, Business Continuity и Disaster Recovery планы, уровни классификации данных, что выливается в многочисленные политики, гайдланы, процедуры и так далее. Согласно тому же GDPR (General Data Protection Regulation), если вы не можете документально показать, что соответствуете этому предписанию, то уже не важно, насколько хорошо ваша система построена — вы не соответствуете. Со всем этим делом был уже знаком, но CISSP помог структурировать информацию относительно тех же стандартов и их требований.

Ещё один немало важный момент — сама подготовка к экзамену позволяет освежить знания, которые не требуются каждый день и подзабываются. Кто сейчас сходу может вспомнить, какой режим симметричного шифрования в каких случаях лучше всего использовать: ECB, CBC, CFB, OFB или CTR? В чём отличия между HMAC, CBC-MAC и СМАС для гарантии целостности сообщения? Вот и я про то. Главное, даже не в том, чтобы это запомнить (для экзамена придётся), а в том, чтобы в дальнейшем знать куда посмотреть, чтобы принять правильное решение. “Припомнить” хорошо забытые знания полезно время от времени.

Домены

Как было сказано выше, CISSP покрывает 8 доменов в области безопасности.

Домен #1. Security and Risk Management — вопросы стандартов и фреймворков безопасности (ISO/IEC 27000, ITIL, SABSA, COBIT, NIST, …), регламентов и актов (GDPR, PCI DSS, HIPAA, Patriot Act, …), конфиденциальность, фреймворки по управлению рисками (ISO 31000, COSO, NIST). Короче, всё, что связано с мировыми практиками и стандартами в области безопасности.

Домен #2. Asset Security — классификация данных, жизненный цикл данных, уровни ответственности в организации, политики хранения данных, стратегии защиты и удаления данных

Домен #3. Security Engineering — криптография, системы управления ключами, защитные механизмы операционных систем, модели доступа к данным, физическая защита зданий

Домен #4. Communication and Network Security — топология и стандарты сетей, сетевая защита, защита каналов, угрозы и сетевые атаки, управление безопасностью коммуникаций

Домен #5. Identity and Access Management — контроль физического и логического доступа, системы доступа и их управление, биометрический доступ, атаки на системы доступа, системы обнаружения и предотвращения проникновений

Домен #6. Security Assessment and Testing — методы проведения анализа безопасности, тестирование на проникновение, уязвимостей, бэкапов данных, восстановление бизнеса в случае непредвиденных обстоятельств, организация отчётности

Домен #7. Security Operations — расследование инцидентов по безопасности, управление физической защитой, системы управления инцидентами, управление изменениями, стратегии восстановления бизнеса в случае происшествий

Домен #8. Software Development Security — практики безопасности, внедренные в процесс разработки, управление изменениями и конфигурацией, защита репозиториев

Как видно, сама сертификация покрывает ОЧЕНЬ большую область безопасности и во многом связана с управлением, калькуляцией, процессами и стандартами безопасности.

Процесс сдачи

Теперь немного о шагах самой сдачи:

• Найти существующего CISSP, который подтвердит опыт и квалификацию

Перед сдачей на сертификат, необходим референс от существующего сертифицированного специалиста CISSP, который готов поручиться за ваш опыт. У меня им выступил Иван. Если проблематично такого найти, можно запросить его у ISC2.

• Купить онлайн экзамен в Pearson VUE

Стоимость 699 USD. В Минске данный экзамен сдать не получится. Ближайшие аккредитованные центры для сдачи CISSP в Москве, Вильнюсе, Киеве. Выбор пал на Москву..

• Подготовка к экзамену

Основным источником выступила книга CISSP® All-in-One Exam Guide, Seventh Edition. Не стоит обольщаться, что, прочитав её, можно сдать экзамен:

• это 1300 страниц забористого текста с кучей аббревиатур
• многие моменты приходилось искать дополнительно на просторах Интернета
• на экзамене помню вопрос, который был упомянут одним коротким предложением в книге

Чем хорош этот источник:

• хорошо структурирована информация и хорошая подача
• действительно ориентирован на экзамен
• в конце каждого домена есть список вопросов для проверки
• до сих пор служит настольной книгой, когда вопросы касаются безопасности

Пару рекомендаций:

• читайте всё изначально в английском варианте
• не пытайтесь найти вопросы, которые будут на экзамене и заучить их — вопросы постоянно тусуют; в конце сдачи список вопросов никто никому не предоставляет
• не забудьте выучить Code of Ethics, часть вопросов будет по нему

• Сдача экзамена

В Москву прибыл за день до сдачи. Гостиница Варшава находится в том же здании, где и экзамен проходит. С приезда до глубокой ночи гонял ещё список вопросов. После — два-три часа бредового сна. Не знаю, советовать выспаться или нет — это сугубо личный момент. Чувствовал на утро себя нормально.

В центре сдачи всё пафосно-серьёзно — снимают отпечатки пальцев, обыскивают карманы, снимают на видео. От берушей лучше не отказываться, рядом будут другие ребята сдавать свои экзамены. На экзамен выделяется 6 часов, 250 вопросов. То есть меньше 2 минут на вопрос. Поэтому без ответов вопросы лучше не оставлять, возможно, вы не успеете к ним вернуться. Полагайтесь на свой опыт и интуицию. Можно помечать себе вопросы, в которых не до конца уверены.

Специфика экзамена: в предложенном списке ответов все ответы могут быть правильными, но нужно выбрать самый подходящий. Поэтому метод “от обратного” не всегда будет работать. Самым главным активом всегда является человеческая жизнь. Поэтому, как только видите её в ответах, выбирайте её.

Справился за пять с половиной часов. Попытался пройти по ответам, в которых не был до конца уверен, но почти ничего не изменил.

Ответ дают сразу — сдал или нет. Ответить нужно правильно минимум на 75% вопросов. Если сдали, то не скажут процент правильно отвеченных вопросов.

Поздравления, что сдал, значили для меня абсолютно ничего — сказывалась эмоциональная и интеллектуальная измотанность. Вроде и хотел порадоваться, и не мог. Первая мысль, с которой вышел, была о поиске ближайшего бара. Там уже немного отпустило.

• Сертификация CISSP

Сдать успешно экзамен ещё только середина пути. Дальше нужно подтвердить свой опыт — минимум пять лет в минимум двух доменах. Причем подтверждать нужно документально: необходимо предоставить копии договоров или трудовой книжки, в которых указана должность.

Последние 7 лет работаю в должности Chief Technical Officer. В отдельном документе расписал детально все 8 доменов, отсортировав их в порядке своей крутости в каждом. Документ добавил вместе с остальными сканами к форме заявления. На форме коротко весь опыт расписал.

Первое подтверждение опыта должен сделать CISSP из пункта #1. Далее комиссия (ISC)² должна ещё раз проверить предоставленную информацию, и сделать заключение — достоин ты носить тайтл CISSP или нет, занимает это до 6 недель. Не забудьте обновить свой LinkedIn, заметил, что на профайл заходили неизвестные люди.

12 декабря 2017 успешно сдал экзамен, и только 13 февраля 2018 комиссия подтвердила сертификацию.

• Поддержка сертификата CISSP в активном состоянии

И снова пройти сертификацию ещё мало: её нужно поддерживать в активном статусе. Каждый год нужно сабмитить определённое количество Continuing Education (CPE) кредитов, и поддержка будет стоить около 85 USD в год.

Заключение

1. “Не так страшен чёрт, как его описывают”. Главное — это желание.
2. Крутая сертификация требует очень хорошей подготовки, проскочить не получится
3. Нельзя ставить точку в экспертизе по безопасности (как и в любой другой), это есть постоянный рост

Автор: сертифицированный эксперт по кибербезопасности Павел Мельников

Мир постоянно меняется и не стоит на месте, однако одна вещь остается без изменений – это нехватка ИТ специалистов в России. Кадровый голод заставляет отечественные компании устраивать «голодные игры» и начинать «охоту за головами ИТ-специалистов». Специалисты по информационной безопасности не являются исключением, а даже наоборот. Например, согласно данным HeadHunter, в России по итогам 2021 года почти на 50% чаще стали искать специалистов по кибербезопасности.

Одна из причин повышения спроса – это национальная цель цифровая трансформация, которую ввели на государственном уровне в 2020 году. Согласно этой цели, к 2030 г. должна быть достигнута «цифровая зрелость» ключевых отраслей экономики, социальной сферы, государственного управления, а доля предоставляемых услуг, оказываемых в электронном виде, должна достичь не менее 95%. Ну и тут выстраивается простая закономерность – чем больше отраслей будут переходить в онлайн – тем больше специалистов по ИБ понадобится.

Также, я считаю, что спрос на ИБ специалистов будет расти и в этом, и в последующих годах. Потому что 01.05.2022 был подписан Указ Президента Российской Федерации № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

Для того, чтобы оставаться востребованным специалистом на рынке, необходимо постоянно развиваться и улучшать свои навыки, а также сертифицировать их. Работодателям нравятся соискатели, опыт и умения которых подтверждены престижными сертификатами. Один из таких сертификатов – это CISSP. В России владельцев CISSP крайне мало и они положительно отличаются от остальных.

Что такое CISSP?

CISSP – это аббревиатура, которая означает – Certified Information Systems Security Professional. На русский язык это переводится как сертифицированный специалист по безопасности информационных систем. На деле, CISSP – это вендоронезависимый сертификат, который подтверждает ваши компетенции и опыт в разработке, внедрении и управлении безопасностью информационных систем организации.

Сертификат выдается от лица International Information Systems Security Certifications Consortium (ISC)². Это международная некоммерческая организация, которая занимается тестированием и сертификацией специалистов в области информационной безопасности. Организация (ISC)²
работает с 1989 и влияние ее сертификатов признается во всех странах.

Почему CISSP так ценится?

На это есть две причины. Во-первых, наличие этого сертификата у специалиста означает, что у последнего имеются широкие, но не всегда глубокие знания в ИБ, а также минимум 5 лет опыта работы. Для организации такие работники в большей степени ценны если они выполняют менеджерские функции, то есть возглавляют направление или подразделение информационной безопасности. Им легче принимать правильные решения, потому что у них есть понимание ИБ в целом. Во-вторых, для работника же этот сертификат открывает новые карьерные возможности. Каким образом? Этот сертификат показывает ваш потенциал. Работодатель понимает, что соискатель может в будущем вырасти в крайне серьезного специалиста.

На момент июля 2022 года по данным (ISC)² в России было 229 владельцев сертификата CISSP, а во всем остальном мире на тот же период времени, общее число таких специалистов доходит до 156 тысяч человек.

Как CISSP помог лично мне?

Для меня этот сертификат открыл новые карьерные возможности и увеличил З/П. Приведу пример. Однажды я устраивался работать в крупный международный банк. Во время собеседования мне сказали – «Другие нам не нужны, нам нужны вы, Павел! У вас восхитительные сертификаты». Я был приятно удивлен и до сих пор вспоминаю тот случай.

Что нужно сделать для получения CISSP?

Для получения CISSP вам нужно пройти 5 шагов! Это не считая знания английского на хорошем техническом уровне. Поверьте, без него вам там делать нечего. Как минимум, потому что экзамен и почти все методические материалы для подготовки будут на английском.

Первый шаг

Совокупно отработайте не менее пяти лет в двух или более доменах, выделенных (ISC)². Высшее образование в одной из этих областей или сертификат из утвержденного списка (ISC)² будет соответствовать одному году требуемого опыта.

Второй шаг

Подготовка и сдача экзамена. Это самый сложный шаг. На экзамен отводится максимум 4 часа, а проходной балл — это 700 баллов из 1000. Всего в экзамене будет от 125 до 175 вопросов, каждый из которых имеет по 4 варианта ответа. Все экзамены CISSP на английском языке используют Computerized Adaptive Testing (CAT). Это алгоритм, который будет регулировать сложность экзамена в реальном времени, в зависимости от ваших результатов. Если совершите ошибку, то следующий вопрос будет легче предыдущего. Будете отвечать правильно много раз подряд – получите возможность сдать тест, не отвечая на оставшиеся вопросы. Именно поэтому в экзамене есть разброс от 125 до 175 вопросов. Если Рассказать про весь экзамен не выйдет, так как материал выйдет слишком объемным. Поэтому, я настоятельно рекомендую вам просмотреть всю оставшуюся информацию об экзамене на сайте (ISC)². Заодно проверите свой уровень английского, если прочитали и ничего не поняли, то вам нужно улучшить знание английского языка.

Третий шаг

Подтвердите свой опыт и репутацию. Для этого, вам нужно найти действующего владельца сертификата CISSP с хорошей репутацией и пройти у него проверку. Проверять вас будут на чистоту репутации и на то, что ваши утверждения об опыте работы соответствуют действительности. После этого, проверявший вас эксперт должен подписать в цифровой форме вашу заявку. Также, в этой заявку должен находиться номер сертификата, проверявшего вас эксперта. Если вы не можете найти эксперта, который за вас поручится, то организация (ISC)² выступит для вас в качестве эксперта.

Четвертый шаг

В (ISC)² считают, что CISSP – это привилегия, которую необходимо не только заслужить но и сохранять. В поддержку этого принципа, все члены (ISC)² обязываются соответствовать кодексу этики, который содержит простые и выполнимые положения, такие как: защищать общество, действовать честно и справедливо, добросовестно выполнять свои обязанности, а также развивать и защищать свою профессию.

Пятый шаг

Продолжайте профессиональное обучение и развитие. Участвуйте в вебинарах, конференциях, читайте профильные журналы, сами проводите обучение и пишите статьи. Все это дает Continuing Professional Education (CPE) баллы, которые необходимо отправлять в (ISC)².

Как готовиться к прохождению экзамена в России? 

Готовиться можно либо самостоятельно, при помощи материалов с официального сайта, либо воспользовавшись обучающими курсами. (ISC)² не поскупилась на гайды и прочую литературу, поэтому недостатка в обучающих материалах вы не ощутите. А вот курсы по подготовке к CISSP бывают самые разные – онлайн и очные, официальные и неофициальные. В России сейчас не проводятся очные курсы по сдаче CISSP, поэтому остается только онлайн вариант. И конечно же, прохождение неофициальных курсов осуществляется только под вашу личную ответственность. Также, можете воспользоваться помощью или советом от уже сдавших товарищей. Найти их не проблема. Но будьте готовы к тому, что они вам не расскажут какие вопросы были на экзаменах. (ISC)² требует от своих членов сохранять конфиденциальность экзаменационных вопросов. При этом в сети много сервисов, которые предоставляют возможность потренироваться в ответах на похожие вопросы из тестов. Проверьте тематические ветки на официальном сайте (ISC)², на Хабре, YouTube или на других ресурсах. В Общем, возможности есть. Выбирайте подходящий для вас вариант и начинайте готовиться.

Получение этого сертификата процесс нелегкий и трудоемкий, но он того стоит. И тут главное определить для себя цель его получения, выделить время на подготовку (не менее 4-6 месяцев), разбить подготовку на этапы и четко следовать своему плану. И результат не заставит себя ждать.

Сертифицированный сертифицированный специалист по безопасности информационных систем (CISSP) может значительно повысить вашу карьеру в области кибербезопасности. Этот сертификат существует уже более двух десятилетий, и его получение является одним из лучших способов доказать свою компетентность в области информационной безопасности..

Тем не менее, сдача CISSP экзамен не означает подвиг. Имея восемь областей для изучения, каждая из которых охватывает множество сложных тем, легко справиться с трудностями даже до того, как вы начнете изучать. Чтобы уменьшить нагрузку и помочь вам максимально эффективно использовать свое время, у нас есть много полезных ресурсов.

Ниже вы найдете ссылки на комплексные «шпаргалки» чтобы убедиться, что вы полностью подготовлены к экзаменационному дню. Мы также предоставляем ссылки на некоторые из лучших учебных пособий CISSP и рекомендуем некоторые лучшие курсы, чтобы рассмотреть возможность принять участие в качестве подготовки. Давайте начнем!

Contents

• 1 Шпаргалки для обучения к экзамену CISSP
• 2 Учебные пособия CISSP и практические тесты, которые помогут вам подготовиться к экзамену
• 3 Лучшие курсы к экзамену CISSP
• 4 1. StationX: полный комплект CISSP
• 5 2. Официальный (ISC) ² CISSP Самостоятельное обучение
• 6 3. Simplilearn: Сертификация CISSP
• 7 4. Кибер-версия: CISSP
• 8 5. SANS: MGT414: Программа обучения SANS для сертификации CISSP®
• 9 6. Глобальные знания: подготовительный курс к сертификации CISSP
• 10 7. Infosec: сертификационный учебный лагерь CISSP
• 11 CISSP экзамен часто задаваемые вопросы
  • 11.1 Каковы предпосылки для сдачи экзамена CISSP?
  • 11.2 Какой формат экзамена CISSP??
  • 11.3 Что такое CPE и как работает система?

Мы создали лучшие шпаргалки, чтобы помочь вам сдать экзамен. Перейдите по ссылкам ниже, чтобы просмотреть подробные и удобные для навигации листы для каждого из восьми доменов CISSP..

• Домен 1: Безопасность и управление рисками
• Домен 2: Безопасность активов
• Область 3: Архитектура безопасности и проектирование
• Домен 4: Связь и сетевая безопасность
• Домен 5: Управление идентификацией и доступом
• Домен 6: Оценка безопасности и тестирование
• Домен 7: Операции безопасности
• Домен 8: Безопасность разработки программного обеспечения

Учебные пособия CISSP и практические тесты, которые помогут вам подготовиться к экзамену

Если у вас есть базовые знания, но вы не совсем на том уровне, где все, что вам нужно, это шпаргалка, есть несколько удобных учебных пособий, которые помогут вам в подготовке.

Для начала, есть официальные учебные материалы из (ISC) 2. К ним относятся Официальное (ISC) ² Учебное пособие CISSP ², Официальные (ISC) ² Практические тесты CISSP, CISSP для чайников, Официальные приложения для изучения и практики CISSP, а также Официальные флэш-карты CISSP.

Однако, если вы ищете альтернативы, есть несколько отличных ресурсов. Обратите внимание, что многие издатели книг, представленных ниже, предоставляют мобильные приложения для учебных пособий, поэтому вы можете подготовиться к экзамену, находясь в пути..

Учебное пособие:

• CISSP All-in-One Руководство по экзаменам, восьмое издание
• CISSP Учебное пособие 3-е издание
• Одиннадцатый час CISSP®: Учебное пособие, 3-е издание
• Справочник по CISSP (3-е издание) (Руководство по сертификации) 3-е издание
• CISSP для чайников (для чайников (компьютерные технологии)) 6-е издание

Многие из приведенных выше учебных пособий и курсов ниже включают практические тесты и вопросы. Однако, если вы хотите немного дополнительного обучения, вот несколько наборов практических тестов, которые вы можете получить в свои руки.

Дополнительные вопросы практики:

• CISSP Официальный (ISC) 2 практических тестов 2-е издание
• CISSP Практические экзамены, пятое издание, 5-е издание
• CISSP Подготовка к экзамену Вопросы, ответы & Пояснения
• CCCure Quiz Engine

Другие ресурсы, которые вы можете найти полезными при подготовке к экзамену, — это Reddit-сообщество CISSP и подкаст CISSP..

Лучшие курсы к экзамену CISSP

Шпаргалки и учебные пособия выше могут помочь вам в подготовке к экзамену. Но вам могут понадобиться более углубленные курсы, которые научат вас всему содержанию сертификации CISSP. В зависимости от того, где вы находитесь, вам может быть доступно обучение в классе. Тем не менее, эти программы не доступны для всех, и часто могут стоить тысячи долларов за место.

Другой вариант — пройти онлайн-курс, и, хотя многие из них также дороги, некоторые вообще не обанкротят банк. С таким количеством доступных может быть трудно выбрать правильный вариант для вас. Вот наши главные рекомендации для курсов, которые имеют полностью онлайн варианты:

1. StationX: полный комплект CISSP
2. Официальный (ISC) ² CISSP Самостоятельное обучение
3. Simplilearn: Сертификация CISSP
4. Кибернетика: CISSP
5. SANS: MGT414: Программа обучения SANS для сертификации CISSP®
6. Global Knowledge: подготовительный курс к сертификации CISSP
7. Infosec: сертификационный учебный лагерь CISSP

Давайте подробнее рассмотрим каждый из них и что они могут предложить.

1. StationX: полный комплект CISSP

Полный комплект CISSP от StationX — наша главная рекомендация. Он предлагает все необходимое для успешной сдачи экзамена, и все это по чрезвычайно низкой цене. Курс был обновлен, чтобы охватить версию сертификации CISSP 2018 года, что означает, что материал актуален до 2021 года (когда должно появиться следующее обновление).

Этот комплект включает в себя:

• Введение в сертификацию CISSP
• Более 17 часов обучения
• Почти 600 загружаемых слайдов
• Учебный план
• 1000 практических вопросов
• Советы о том, где найти тысячи бесплатных CPE

Помимо обучения тому, что вам нужно знать, этот курс содержит бесценные советы о том, как эффективно учиться, и правильный подход к ответам на вопросы. Вы также найдете следующие шаги после сдачи экзамена и советы, которые помогут вам в случае неудачи в первый раз. Этот курс может рассчитывать на CPE, но вам может потребоваться проверить с (ISC) ², чтобы точно узнать, сколько.

ЛУЧШИЙ КУРС ДЛЯ CISSP ЭКЗАМЕН: StationX — наш выбор № 1 Этот курс обычно продается по цене 400 долларов, но вы можете получить его по невероятно низкая цена 52 $.

2. Официальный (ISC) ² CISSP Самостоятельное обучение

Это официальный курс, предлагаемый самой (ISC) 2. Очевидно, что главный бонус этой программы заключается в том, что вы можете быть уверены, что она полностью соответствует обновленному сертификационному экзамену CISSP. У этого нет огромного ценника (по сравнению с другими курсами), но может быть вне бюджета многих экзаменаторов.

Одним из недостатков является то, что материал доступен только в течение ограниченного времени после оплаты, поэтому, несмотря на то, что он называется «тренинг с самостоятельным обучением», вы не можете идти слишком медленными темпами. Если вы планируете потратить более 120 дней (около четырех месяцев) на подготовку к экзамену, вам может потребоваться снова переложить плату..

Вот что вы можете ожидать от этой учебной программы:

• Официальное (ISC) 2 Учебное пособие для студентов
• 30 часов видеоинструкции, включающей более 300 записей
• Заработать 40 CPE
• Интерактивные флеш-карты
• Мероприятия для самостоятельного чтения
• Реальные примеры сценариев и тематические исследования
• Проверяет знания после завершения каждого домена
• Вопросы для оценки, как только вы закончите курс

Цена: Этот курс стоит $ 849, что разумно по сравнению со многими другими в списке.

3. Simplilearn: Сертификация CISSP

Simiplilearn предлагает два варианта своего онлайн-курса, оба из которых являются крупными инвестициями. Одним из них является посещение онлайн-класса Flexi-Pass, в котором вы посещаете онлайн-занятия под руководством инструктора. Эта опция включает 90 дней занятий и пожизненный доступ к учебным материалам. Немного менее дорогой курс самообучения предоставляет вам неограниченный доступ к содержанию курса, но нет классов.

Оба варианта включают в себя:

• 67 часов обучения
• Круглосуточная поддержка
• 30 СРЕ
• 5 практических документов, которые помогут вам подготовиться
• Ваучер на экзамен CISSP

В большинстве регионов Simplilearn предлагает гарантию сдачи экзамена и даст вам дополнительный ваучер, если вы не сдадите экзамен в первый раз..

Цена: Онлайн-класс Flexi-Pass стоит 2899 долларов, в то время как программа самообучения немного дешевле — 2499 долларов. Существует семидневная гарантия возврата денег, которая действует, если вы не получили доступ к более чем 25 процентам содержания курса или посещали более одного онлайн-класса.

4. Кибер-версия: CISSP

Курс Cybrary CISSP включает в себя 19 часов видео-инструкций, охватывающих все домены CISSP. Видеоконтент для этого курса бесплатный (вам необходимо зарегистрировать бесплатный аккаунт), но если вы хотите разблокировать дополнительные функции службы Cybrary, вам необходимо приобрести подписку.

Дополнительные функции, доступные для подписчиков, включают виртуальные лаборатории, которые помогут вам применить полученные знания и получить практический опыт в своей области, а также практические тесты, которые помогут вам подготовиться к экзамену..

Этот курс объявляет, что он стоит! 5 CPE, хотя вы можете проверить с помощью (ISC) 2, чтобы узнать, можете ли вы потребовать 19 CPE (по одному в час). Мы обсудим CPE более подробно ниже.

Цена: Подписка Cybrary дает вам доступ к любому количеству курсов, и вы платите 49 долларов в месяц в месяц или 25 долларов в месяц, когда вы платите ежегодно..

5. SANS: MGT414: Программа обучения SANS для сертификации CISSP®

Институт SANS предлагает курс CISSP в нескольких форматах, в том числе в режиме реального времени в классе или по запросу в режиме онлайн. Это самый дорогой вариант в списке, поэтому он не является хорошим решением, если у вас ограниченный бюджет. Тем не менее, если вы ищете надежный и всеобъемлющий курс и, возможно, у вас есть работодатель, готовый оплатить счет, этот курс вам поможет. Институт SANS известен в отрасли информационной безопасности и предоставляет образовательные и исследовательские программы более тридцати лет..

Курс насчитывает 46 CPE и помимо уроков включает в себя:

• Учебник для каждого домена
• Более 300 вопросов тестирования и подготовки знаний для каждой области
• Аудио файлы с содержанием курса

MGT414 разделяет каждый из восьми доменов CISSP на свои основные компоненты и объясняет, как они связаны друг с другом и другими аспектами кибербезопасности. Если вы обнаружите, что содержание CISSP сухое (что делают многие люди), то это может быть хорошим вариантом для вас. Одна из целей авторов при создании курса состояла в том, чтобы воплотить контент CISSP в жизнь, используя тематические исследования, примеры и истории..

Цена: Это дорогой курс в $ 7,020.

6. Глобальные знания: подготовительный курс к сертификации CISSP

Global Knowledge предоставляет вам два варианта прохождения подготовительного курса к сертификации CISSP: в режиме реального времени в классе или в виртуальном классе. Оба курса длятся пять дней подряд и дают исчерпывающий обзор контента CISSP с акцентом на восемь основных областей..

Этот вариант не подходит, если вы предпочитаете работать в Интернете в своем собственном темпе. Обратите внимание, что на главной странице продукта указано, что доступна версия по запросу, но она недоступна на момент написания статьи..

По словам представителя компании, вы можете претендовать на 40 CPE для этого курса.

Цена: И живые и виртуальные курсы имеют одинаковую цену: $ 3595.

7. Infosec: сертификационный учебный лагерь CISSP

Курсы Infosec приветствуются за их содержание и качество инструкторов. Это еще один курс, который вы можете пройти лично или в виртуальном классе. Опция Flex Classroom включает в себя живое обучение в физическом месте, которое включает в себя материалы курса, готовые обеды и доступ к форуму сообщества..

Flex Pro — это захватывающий курс для онлайн-студентов. К сожалению, невозможно пройти этот курс в своем собственном темпе, хотя материалы предоставляются для ознакомления, если вы решите воспользоваться онлайн-опцией.

Возможно, вам придется подтвердить с помощью (ISC) ² сколько CPE вы можете получить за этот курс, но вы должны иметь возможность подать заявку по одному в час обучения.

Цена: Вам нужно связаться с Infosec для уточнения цены, но мы получили около $ 4500.

CISSP экзамен часто задаваемые вопросы

Вы почти готовы учиться и сдать сертификационный экзамен CISSP. Но сначала, вот ответы на несколько распространенных вопросов:

Каковы предпосылки для сдачи экзамена CISSP?

Чтобы получить сертификат CISSP, кандидаты должны иметь опыт работы не менее пяти лет в нескольких (двух или более) доменах CISSP. Платные и неоплачиваемые стажировки являются приемлемыми формами опыта работы. Соответствующее образование может заменить максимум один год опыта, но есть ограничения. Четырехлетнее высшее образование или эквивалент может считаться одним годом опыта работы. Кроме того, соответствующие (ISC) 2 утвержденные учетные данные, такие как сертифицированный тестер проникновения (GPEN) или сертифицированная Cisco Associate Security (CCNA Security), могут считаться одним годом опыта работы.

Если вам интересно, на какие сертификаты вы должны стремиться до CISSP, на самом деле есть много путей, которые вы можете выбрать. Тем не менее, один популярный маршрут — это получить CompTIA Network + и CompTIA Security +, прежде чем следовать (ISC) 2 SSCP и, наконец, (ISC) 2 CISSP.

Какой формат экзамена CISSP??

В конце 2017 года формат экзамена CISSP был изменен. В последней версии используется компьютеризированное адаптивное тестирование (CAT). С CAT экзамен адаптируется к уровню способностей экзаменуемого во время теста. Каждый последующий вопрос или набор вопросов выбирается в зависимости от того, как вы выполнили предыдущие вопросы..

Бонусом этого стиля тестирования является то, что вы можете доказать свою способность за меньшее время. В то время как экзамен CISSP в старом стиле занял шесть часов и включал 250 вопросов, новая версия длится всего три часа, и вы можете рассчитывать на 100-150 вопросов..

Что такое CPE и как работает система?

Кредиты на непрерывное профессиональное образование, именуемые CPE, присуждаются за обучение и профессиональную подготовку в вашей области. Они необходимы для поддержания вашей сертификации CISSP. Вы должны зарабатывать 40 CPE каждый год в общей сложности 120 в течение вашего трехлетнего цикла сертификации.

Вы можете зарабатывать CPE, готовясь к экзамену CISSP, в том числе, принимая вышеуказанные учебные программы. К сожалению, (ISC) 2 не очень подходит, когда дело доходит до информации об особенностях зарабатывания CPE посредством экзаменационного обучения. Исходя из информации, представленной на официальных (ISC) 2 форумах, общепринято, что вы можете претендовать на максимум 30 CPE для «самообучения» на экзамен CISSP.

Похоже, что вы можете потребовать дополнительные CPE для завершения учебных программ, таких как перечисленные выше в верхней части программы самообучения. Однако это не совсем ясно, поэтому мы предлагаем вам связаться с (ISC) 2 для получения дополнительной информации о вашем конкретном случае. Мы связались с ними по этому вопросу, но не получили ответа на момент написания. Мы будем обновлять эту статью, как мы узнаем больше информации.

После того, как вы сдали экзамен CISSP, чтобы продолжить сертификацию, вам нужно будет постоянно зарабатывать CPE. Они могут быть получены различными способами, такими как посещать тренинги и конференции связанные с вашей областью. Как правило, один CPE начисляется за каждый час данного действия, но есть исключения. Вы можете узнать больше о CPE в справочнике (ISC) 2 CPE.

Сдал CISSP

name=’more’>

Зачем? 

Это самая понтовая международная сертификация по ИБ, непривязанная к какому-то конкретному вендору или отрасли и «одобренная» МО США и АНБ. В России 189 специалистов обладают таким статусом (в США почти 70 тысяч, всего в мире ~105 тысяч).
На западе CISSP делает тебя гораздо привлекательней в глазах потенциальных работодателей. У нас, правда, на него никто не смотрит (поэтому, видимо, и всего 189 спецов).

Как готовился

Начал с ортодоксальной Шон Харис и не осилил. Покойная льёт воду в непереваривавыемых количествах, и её гайд совершенно неадаптирован к метро. Хотя пример с судном, которое скрытно везёт оружие на Украину, в голову мне запал.. видимо, годы работы в МО США не прошли для автора даром..

For example, if a naval base has a cargo shipment of weapons going from Delaware to Ukraine via the ship Oklahoma, this type of information could be classified as top secret. Only the subjects with the security clearance of top secret and above should know this information, so a dummy file is created that states the Oklahoma is carrying a shipment from Delaware to Africa containing food, and it is given a security clearance of unclassified, as shown in {Table 10-2}. It will be obvious that the Oklahoma is gone, but individuals at lower security levels will think the ship is on its way to Africa, instead of Ukraine….

Гораздо веселей пошёл CISSP за 11 часов . Сухо, коротко, по делу. Книжка позволяет нарисовать себе в голове картину разделов экзамена и на 70% наполнить её содержимым всего недельки за две.

Далее я прорешал вопросы из:
1. Shon Harris CISSP Practice Exam 3rd edition . Вопросы сложнее, чем на экзамене + много гадких и подленьких вопросов, чтобы понять что такое CISSP…
«Диск» с вопросами по книге можно скачать тут  по номеру ISBN 0071845402;
2. Приложение на ПК Total Tester с вопросами CISSP. Досталось нахаляву в рамках корпорпоративных программ по обучению сотрудников Accenture;
3. Приложение/сайт SkillSoft с CISSP practice exam. Хуже, чем Total Tester, но пойдёт. Халява от Accenture;
4. VCE дампы с GratisExam . Дампы кривые, совпадений с реальным экзаменом 0, но на телефоне в метро решать удобно (например, с помощью А+ VCE ). Часть вопросов с пояснениями, им можно верить. Остальные вопросы могут быть с ошибками.

После того, как вы будете хорошо представлять себе объем экзамена, рекомендую всё-таки вернуться к CISSP гайду от Шоны Харис. Теперь читать его будет значительно легче, и вы сразу будете подмечать в голове ключевые для понимания вещи.

Экзамен

600$. 250 вопросов за 360 минут в тестовом центре PersonVue. Перерывы делать можно без ограничений, но время при этом не останавливается. С собой к компьютеру нельзя брать ничего: ни воду, ни шоколадку, но можно положить всё в шкафчик, который доступен на перерывах. Часы прийдётся тоже снять, рукова закатать, карманы вывернуть. В носу тоже не поковыряешься — везде камеры и всё пишется.. 

Примечательно, что количество балов, которые ты набрал, тебе сообщают только если экзамен ты не прошёл. Т.е. узнать, ответил ты на 701 балл или на 1000 не суждено :(. 

Если в распечатке тестового центра, которая доступна сразу, есть слово «Congratulations!» — ты прошел. 

Ночью мне пришло письмо от ICS2 со ссылкой на endorsement форму. Если у вас есть знакомый CISSP — то он может поручиться за вас, проверить ваше резюме, прозвонить бывшим работодателям и убедиться, что у вас есть 60 месяцев релевантного опыта. В таком случае верификация вашей анкеты займёт «всего» 6 недель. Если знакомого нет — это сделает ISC2, но сроки в два раза вырастут. Пока вашу анкету не подтвердят — вам нельзя называть себя CISSP… 

За право быть CISSP «in good standing» нужно выкладывать 85$ в год + зарабатывать баллы CPE, на что многие со временем забивают (и правильно делают). 

Однако CISSP — это ИБ каста (над которой, однако, много шутят ). Экзамен серьезно меняет твой взгляд на профессию, и назвать его «бумажным» может только тот, кто про него ничего не знает. 

Ссылки

What is the CISSP?

It is the Certified Information Systems Security Professional certification. It’s generally the most widely-recognized, broad certification within information security. Essentially it’s an inch deep and a mile wide — a HUGE amount of information grouped into 8 domains:

• Domain 1. Security and Risk Management (15%)
• Domain 2. Asset Security (10%)
• Domain 3. Security Architecture and Engineering (13%)
• Domain 4. Communication and Network Security (14%)
• Domain 5. Identity and Access Management (IAM) (13%)
• Domain 6. Security Assessment and Testing (12%)
• Domain 7. Security Operations (13%)
• Domain 8. Software Development Security (10%)

If you’re only going to get one information security certification, this is the one. It’s by far the most widely accepted and recognized.

Should you get it?

….maybe. It depends on what you want. In general, certifications are useful for entry level folks who are looking to get a foot in the door, or to understand the lexicon and framework with which people talk about security.

They can also be helpful at getting your resume past an initial screening, look impressive to future employers, and potentially add credence to your experience (even better if you don’t have much experience!).

It does not mean that you are a ‘cybersecurity’ expert, and most folks won’t see it as that. This particular certification is aimed more at managers than hands-on keyboard folks. This test won’t teach you how to operate as a hands-on keyboard SOC (security operations center) analyst. But it will give you some exposure to a broad list of basic concepts.

Interested in reading more about certifications? Check out these posts.

Let’s talk details.

In order to get the certification, you need at least 5 years of work experience in two or more of the domains. You can substitute a four year college degree or certain certifications from ISC² for one year of work experience (details here).

If you don’t have the required years of work experience, you can still take the test and become an associate of ISC². You then have 6 years to gain the required 5 years of work experience.

The English version of the test is a ‘computer adaptive testing’ exam which means you can receive 100-150 questions during the test based on your performance. Computer adaptive testing (CAT) testing means that the test automatically adjusts the questions based on your performance.

So, for example, if you get a question wrong, the computer will then give you a slightly easier question. If you get a question right, the next question will probably be more difficult. The computer will continue giving you questions until it is able to confidently assess your level of knowledge and terminate the test. This type of testing thus takes fewer questions to confidently assess your level of knowledge.

The non-english version is fixed and has 250 questions. You get a maximum of 3 hours for the english test (and 6 hours for the non-english version).

The test is available in English, French, German, Brazilian Portuguese, Spanish, Japanese, Simplified Chinese, Korean, and Visually impaired. The test is offered by Pearson VUE and is administered by their proctors.

The cost is $699 and you need 700/1000 to pass the exam. You can register for the exam on the Pearson VUE website here.

After you pass the exam, you have 9 months to complete the ‘endorsement process’,  (unless you’re applying for an ‘associate of ISC²) which involves getting someone who is an ISC² certified professional (someone who has an ISC² credential in good standing, and can attest to your professional experience) to certify that your professional experience claims are true.

If you don’t know someone who fits this category, you can ask ISC² to serve as your ‘endorser’. Then, your certification is good for life, as long as you pay an annual maintenance fee (currently set at $125 for certificate holders, and $50 for associates) and complete your required continuing professional education credits (CPE).

CISSP certification holders are required to submit 120 credits, while associates are required to submit 15 each year.

You can get CPE credits for a variety of activities, such as taking an academic course (1 hour of instruction in a domain = 1 CPE, up to 40), reading a book (5 CPEs per book, with a 250 word description), magazine (5 CPEs per magazine issue, with a 250 word description), or whitepaper (1 CPE with a 250 word description), or attending ISC ^2 events and webinars.

You can find more details on the CPE process here.

What was my experience?

The test took me about 80 minutes and I went through 100 questions before I passed.  

In order to prepare, I did the following over a period of roughly 2+ years. I would study for a week or so, then forget about it for a few months, then come back to it as I had time.

I probably only intensely studied for about a month (meaning I was spending a couple hours on weekdays studying and closer to 6 hours on the weekends). I also knew almost nothing (and had no degree or experience) when I started studying. I initially started studying in the hope it would help give me a framework to understand corporate security — which it did (though I’m not sure it was the best option for that).

If you have several years experience working in information security, you could probably just read the 11th hour book a couple weeks before the exam, brush up on unfamiliar topics, try some practice questions, and take the test. I’ve rated the resources I used out of 10 based on their usefulness in preparing.

1. Read the ISC² Official Study Guide (yeah, the entire thing. Probably don’t do that. It’s definitely more information than you actually have to know.) 6/10
2. Kelly Handerhan videos (I watched the old ones, then when she released updated content, I watched the new ones. These are solid, though they’re not as in-depth as the exam can be.) 7/10
3. 11th Hour CISSP guide (like three times).  8/10
4. IT Dojo Daily CISSP Question Videos (I watched all of them. Some of them more than once. The guy who runs the series has a really great way of explaining complicated concepts, but I don’t think the questions were reflective of the exam questions.) 6/10
5. Made a million (probably around 1000) flashcards whenever I got a question wrong or ran into difficult concepts. Studied them. Made more (every time I ran into something I didn’t know). Studied them again. 10/10
6. Used the Shon Harris book to research specific topics I didn’t understand. And  asked other people, googled the topics, read blogs, watched youtube videos, etc. 9/10
7. Watched this video, this video, and this video on testing mindset. Several times. 10/10
8. Took all the practice questions in the ISC² Practice Test book (twice — same link as the study guide). The questions were good, but not necessarily reflective of what the exam questions look like. 7/10
9. Took all the Boson practice Qs. Took them again and read all of the explanations. These were the single most useful resource. The explanations were great, though the questions were more technical than the exam was. 10/10

None of the practice questions were perfect representations of the test, but Boson seemed the closest.

The best piece of advice I received before taking it was to look at the answers, and if any of the answers told me to do something (take a system off a network, change a password, perform an account lockout, etc.), to skip it in favor of an answer which involved documenting, instructing someone else, etc.

Getting in the ‘CISSP’ mindset is key to passing the test. Imagine, for each question, that you’re running the security team while it’s handling the situation described in the question.

What would you do (or what would you tell your team to do)? Turns out I was way, way, way over prepared for the technical concepts (though I was still (mostly) glad I learned the information!).

Eventually, you just need to book the test — I don’t think anyone feels ready when they’re preparing (and definitely not when they’re taking the test!), but at some point you have to accept that you’ve done as much as you can. Happy studying!

---

---

Learn to code for free. freeCodeCamp’s open source curriculum has helped more than 40,000 people get jobs as developers. Get started