Сдал экзамен CISSP

Сдал экзамен CISSP
Сдал CISSP

name='more'>

Зачем? 

Это самая понтовая международная сертификация по ИБ, непривязанная к какому-то конкретному вендору или отрасли и "одобренная" МО США и АНБ. В России 189 специалистов обладают таким статусом (в США почти 70 тысяч, всего в мире ~105 тысяч).
На западе CISSP делает тебя гораздо привлекательней в глазах потенциальных работодателей. У нас, правда, на него никто не смотрит (поэтому, видимо, и всего 189 спецов).

Как готовился

Начал с ортодоксальной Шон Харис и не осилил. Покойная льёт воду в непереваривавыемых количествах, и её гайд совершенно неадаптирован к метро. Хотя пример с судном, которое скрытно везёт оружие на Украину, в голову мне запал.. видимо, годы работы в МО США не прошли для автора даром..

For example, if a naval base has a cargo shipment of weapons going from Delaware to Ukraine via the ship Oklahoma, this type of information could be classified as top secret. Only the subjects with the security clearance of top secret and above should know this information, so a dummy file is created that states the Oklahoma is carrying a shipment from Delaware to Africa containing food, and it is given a security clearance of unclassified, as shown in {Table 10-2}. It will be obvious that the Oklahoma is gone, but individuals at lower security levels will think the ship is on its way to Africa, instead of Ukraine....

Гораздо веселей пошёл CISSP за 11 часов . Сухо, коротко, по делу. Книжка позволяет нарисовать себе в голове картину разделов экзамена и на 70% наполнить её содержимым всего недельки за две.

Далее я прорешал вопросы из:
1. Shon Harris CISSP Practice Exam 3rd edition . Вопросы сложнее, чем на экзамене + много гадких и подленьких вопросов, чтобы понять что такое CISSP...
"Диск" с вопросами по книге можно скачать тут  по номеру ISBN 0071845402;
2. Приложение на ПК Total Tester с вопросами CISSP. Досталось нахаляву в рамках корпорпоративных программ по обучению сотрудников Accenture;
3. Приложение/сайт SkillSoft с CISSP practice exam. Хуже, чем Total Tester, но пойдёт. Халява от Accenture;
4. VCE дампы с GratisExam . Дампы кривые, совпадений с реальным экзаменом 0, но на телефоне в метро решать удобно (например, с помощью А+ VCE ). Часть вопросов с пояснениями, им можно верить. Остальные вопросы могут быть с ошибками.

После того, как вы будете хорошо представлять себе объем экзамена, рекомендую всё-таки вернуться к CISSP гайду от Шоны Харис. Теперь читать его будет значительно легче, и вы сразу будете подмечать в голове ключевые для понимания вещи.

Экзамен

600$. 250 вопросов за 360 минут в тестовом центре PersonVue. Перерывы делать можно без ограничений, но время при этом не останавливается. С собой к компьютеру нельзя брать ничего: ни воду, ни шоколадку, но можно положить всё в шкафчик, который доступен на перерывах. Часы прийдётся тоже снять, рукова закатать, карманы вывернуть. В носу тоже не поковыряешься - везде камеры и всё пишется.. 
Серьезный читкод, о котором почему-то мало где сказано - общий (не специальный!) русско-американский словарик! Правильность некоторых ответов напрямую зависит от того, насколько точно вы знаете перевод таких словечек, как mutual, corroborative, concurrence и т.д. Я вот про словарик не знал и пожалел :(

Рекомендую нарисовать себе на листике такую табличку, т.к. часов нигде нет:
0     -- 360
50   -- 290
100 -- 220
150 -- 150
200 -- 80
250 -- 10
Решил 100 вопросов, посмотрел на часы (257 минут), понял, что идёшь с опережением в 37 минут. Можно пойти, умыть лицо холодной водой, сделать зарядку, закусить шоколадкой и запить холодным кофе.

Примерно 50 вопросов я пометил для себя как спорные и потом к ним вернулся. Времени хватило, делал 3 перерыва по 5-7 минут.

Мне попалось всего пару вопросов про американское ИБ законодательство (общие критерии -оранжевая книга, прородитель ФСТЭКовского РД. Классификация АС), чему нельзя не порадоваться. Видимо, CISSP стремится занять нишу мирового сертификата и "местное" американское законодательство из него почти вычистили. Еще одна вещь порадовала - все акронимы в вопросах расшифровываются. Не нужно больше вспоминать, что такое PIDAS или CSMA/CD, да и подленьких вопросов из-за этого стало намного меньше.

Примерно на 25% вопросов у меня сразу был ответ. Остальные 75 - анализ представленных вариантов ответов и выбор самого правильного. Было ~6 "графических" вопросов вида "сопоставь термин с определением". Были 2 вопроса про SCADA, которых в гайдах нет.

Вопросы сложные, объем материала огромен, не сдать легко, расслабляться нельзя до самого конца. Готовится я начал за 1.5 месяца до экзамена, и примерно недели мне в итоге не хватило. Если б мог перемотать время назад, сказал бы себе относится к экзамену серьезней :)

Что дальше?

Примечательно, что количество балов, которые ты набрал, тебе сообщают только если экзамен ты не прошёл. Т.е. узнать, ответил ты на 701 балл или на 1000 не суждено :(. 
Если в распечатке тестового центра, которая доступна сразу, есть слово "Congratulations!" - ты прошел. 
Ночью мне пришло письмо от ICS2 со ссылкой на endorsement форму. Если у вас есть знакомый CISSP - то он может поручиться за вас, проверить ваше резюме, прозвонить бывшим работодателям и убедиться, что у вас есть 60 месяцев релевантного опыта. В таком случае верификация вашей анкеты займёт "всего" 6 недель. Если знакомого нет - это сделает ISC2, но сроки в два раза вырастут. Пока вашу анкету не подтвердят - вам нельзя называть себя CISSP... 
За право быть CISSP "in good standing" нужно выкладывать 85$ в год + зарабатывать баллы CPE, на что многие со временем забивают (и правильно делают). 

Однако CISSP - это ИБ каста (над которой, однако, много шутят ). Экзамен серьезно меняет твой взгляд на профессию, и назвать его "бумажным" может только тот, кто про него ничего не знает. 

Ссылки

Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

Артем Агеев

root@itsec.pro:~#