Как подготовиться и сдать экзамен CIPP/E

Как подготовиться и сдать экзамен CIPP/E
Вчера я успешно сдал экзамен CIPP/E (Certified Information Privacy Professional/Europe) и сегодня, по горячим следам, хочу поделиться с вами своими впечатлениями и рекомендациями по подготовке.
Что это и зачем это надо
Это сертификация практикующих специалистов по Privacy, которая подтверждает понимание положений GDPR и других европейских требований по обработке и защите ПДн:
  • Introduction to European Data Protection 
  • European Regulatory Institutions 
  • Legislative Framework 
  • Compliance with European Data Protection Law and Regulation
  • International Data Transfers
Это очень уважаемая сертификация в Европе, а для России она актуальна только для специалистов, работающих с GDPR (например, в международных компаниях). Ну, а я занимаюсь защитой ПДн уже более 10 лет и с GDPR работаю уже 3 года, поэтому мне было полезно упорядочить свои знания и подготовиться к экзамену.

Из чего состоит сертификация
Экзамен стоит 550$ (повторная сдача экзамена - 375$), состоит из 90 вопросов (тест, выбор 1 из 4 вариантов), рассчитанных на 2,5 часа. Тест сдается на компьютере в специализированных центрах по предварительной записи.

Вот так количество вопросов распределяется по темам:
  • I. Introduction to European Data Protection (4-10 вопросов)
  • II. European Data Protection Law and Regulation (40-66 вопросов)
  • III. Compliance with European Data Protection Law and Regulation (12-25 вопросов)
Большинство вопросов именно про положения GDPR, важно понимать суть и позицию надзорных органов, уметь реализовывать (или хотя бы планировать реализацию) требования на практике.

Тестирование проходит на английском языке, хотя, вроде как, можно выбрать еще немецкий или французский.

Для успешной сдачи экзамена надо набрать более 300 баллов, всего за экзамен можно получить от 100 до 500. Но, как и во многих других, системах сертификации, подсчет баллов не является очевидным: в итоге количество правильных ответов не показывают, некоторые вопросы (порядка 20) вообще не зачитывают. В целом, надо ориентироваться на 65-80% правильных ответов.

Сертификат выдается на 2 года, за которые для автоматического его продления необходимо подать 20 часов CPE (Continuing Privacy Education) и заплатить все членские взносы IAPP (275$ в год). 

Как подготовиться к экзамену 
IAPP рекомендует выделить на подготовку 30-40 часов, но мне кажется, что для "не европейцев" стоит ориентироваться на 60-80 часов подготовки минимум, придется изучить и понять уж очень много материалов по теме. Я готовился самостоятельно по тексту GDPR, материалам надзорных органов и IAPP, и разрабатывал свои чек-листы и майндкарты, получилось очень эффективно, общий список материалов для подготовки тут -  https://www.patreon.com/posts/cipp-e-resource-32970555 .

Из материалов WP29 и EDPB стоит очень внимательно изучить рекомендации про суть терминов GDPR, scope, Lead SA, DPIA и data breach notification.

Из материалов, доступных для моих подписчиков Патреон, очень полезными оказались следующие:
Ну, и, вообще, на моем Патероне уже очень много полезных материалов и шаблонов по GDPR -  https://www.patreon.com/AndreyProzorov  . Подписывайтесь! 

В первое время я изучал большие гайды и книги, а в последние дни перед экзаменом повторял исключительно по своим подготовленным материалам, которые заблаговременно распечатал и многие даже заламинировал. Получилось очень удобно.
Самое печальное, что примеры вопросов теста не найти в Интернете даже за деньги, придется готовиться, изучая теорию и примеры из практики. 

Тестирование
Тестирование проводится в специальных аккредитованных центрах, записаться туда стоит заранее, я рекомендую уже за 1-1.5 месяца... 

Обратите внимание, что для допуска на экзамен необходимо предъявить 2 ID (ну, или паспорт и банковские карты с аналогичным именем). Все из карманов, сумки/рюкзаки и даже часы необходимо оставить в камере хранения. Меня даже попросили снять очки и проверили их. Воду и еду с собой проносить запрещено, но выйти на перерыв можно.

Программа для тестирования удобная, можно помечать отдельные вопросы и возвращаться к ним потом. Нареканий по работе и удобству у меня нет.

Самыми сложными для меня оказались вопросы про историю развития privacy в ЕС, особенно про отдельные положения старых конвенций, а также про институты ЕС. Хорошо, что вопросов таких мало... 

Чуть больше трети вопросов составляют кейсы, описание которых может быть очень большим. Просят определить нарушения в обработке, роли (C, JC, P), порядок реагирования на инциденты, первоочередные действия по защите и многое другое. Кейсы интересные, проверяют понимание GDPR на конкретных примерах. 

Для меня очень полезным оказалось то, что я хорошо проработал темы мониторинга сотрудников и внедрения CCTV, по ним было много вопросов. Рекомендую ознакомиться с моими прошлыми заметками по этим темам: 
2,5 часа на тест более чем достаточно, я закончил за 1,5 потом еще минут 20 проверял и думал над отмеченными мной сложными вопросами.

Ну, вот как-то так, надеюсь, что мой опыт и материалы будут полезны для вас.
Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!

Andrey Prozorov

Информационная безопасность в России и мире