18 Июля, 2014

Как я сдавал (и сдал) CISM. Часть 1: Третья попытка...

Andrey Prozorov
Вечером четверга 17.07.2014 я наконец-то получил долгожданное электронное письмо о том, что я успешно сдал CISM (Certified Information Security Manager). Сам экзамен проходил 14.06.2014. Получение такого рода сертификата является важным событием в жизни ИБ-специалиста.

В этом посте я расскажу о том, как я трижды сдавал данный экзамен, а в следующем напишу о своих наблюдениях и дам рекомендации по подготовке и сдаче.



Вообще,  CISM я решил сдавать еще в конце 2011 года / начале 2012. Этому желанию сильно поспособствовал мой друг и бывший руководитель  Александр Бондаренко , у которого вся стена была украшена похожими сертификатами  (CISA, CISSP и пр.). У меня же на тот момент из интересных сертификатов были 3 базовых по ISO 27001 (введение, внедрение, внутренний аудит), ITIL Foundation (v2), PME и курсы повышения квалификации по защите ПДн, ну, и прочие по мелочи. Мне захотелось получить что-то чуть более крутое и ценное. Я долго выбирал между CISA и CISM, но остановился на последнем по ряду причин:
  • CISM про то, как планировать защиту и строить комплексные системы ИБ. На тот момент я активно работал на проектах по построению СУИБ по 27001, и мне это было бы актуальнее, чем CISA, который про то, скорее, как проверять уже существующие системы.
  • CISM чуть более редкая (и молодая) сертификация, чем CISA. Это привлекает.
  • Сейчас (скорее и тогда тоже) CISM чаще входит в рейтинги "топовых" сертификаций для ИБ-специалистов, чем CISA. Вот, например, из недавних отчетов .
А вот как нахваливает CISM  сама ISACA:
CISM Certification: 
  • Demonstrates your understanding of the relationship between an information security program and broader business goals and objectives
  • Distinguishes you as having not only information security expertise, but also knowledge and experience in the development and management of an information security program
  • Puts you in an elite peer network
  • Is considered essential to ongoing education, career progression and value delivery to enterprises.
Итак, я выбрал сертификацию, оплатил членство ISACA и экзамен, в июне 2012 попробовал сдать и... с треском провалил его. :((( Набрал 362 балла из необходимых 450. Основная причина моей неудачи, как я полагаю, была в том, что я практически не готовился, надеясь на "авось". Чуда не произошло... Другим моим упущением было то, что я сосредоточился на изучении мануала (теории), а надо было готовиться по примерам вопросов. 

Второй раз я попробовал пересдать экзамен осенью 2012. Я даже немного готовился, но за неделю до экзамена сильно заболел, провалялся дома и экзамен сдавал с температурой. Набрал 444 балла из необходимых 450. Очень опечалился таким небольшим недобором...

Третий и финальный раз я пересдавал экзамен в июне 2014 года (через 1.5 года после второй попытки). Я очень переживал, за третью "несдачу" мне было бы очень стыдно и очень жалко времени и денег (экзамен не дешевый). Я заранее купил мануал и обновленный комплект вопросов за 2014 год, также у меня оставались материалы за 2011 год (они продолжают быть актуальными и сейчас). И начал неторопливо готовиться... К сожалению, мои ленность и распиздяйство высокая загрузка и отсутствие свободного времени привели к тому, что я потратил на подготовку гораздо меньше времени, чем хотел. Это не могло не сказаться на итоговом результате. Экзамен я сдал, что называется, "по нижней границе". Набрал проходные 455 баллов при следующем распределении по доменам CISM:
  • Information Security Governance - 437
  • Information Risk Management and Compliance - 501
  • Information Security Program Development and Management - 445
  • Information Security Incident Management - 410
По сути, "Risk Management and Compliance" меня спас... Возможно, положительную роль еще сыграли мои знания по COBIT5 (в декабре 20143 я успешно сдал экзамен COBIT5 Foundation ). Но, главное, что наконец-то я сдал и могу переходить к процедуре подтверждения опыта , которая необходима для получения сертификата...

Я горд и счастлив... :)))


В следующем посту я напишу рекомендации по подготовке и свои наблюдения об экзамене...