По мере изучения материалов из учебника сделал для себя следующие заметки, которыми делюсь с коллегами через блогосферу:
- Всегда нужно правильно перевести вопрос. Это иногда может быть проблемой в виду недостаточного знания английского языка и частого использования в вопросах синонимов.
- Далее часто можно исключить явно неправильные ответы. Потом уже выбрать ответ, как 1 из 2, что повысит вероятность правильного ответа в 2 раза.
- Отвечать на вопросы нужно с точки зрения бизнеса. Если есть 2 правильных ответа, правильный будет тот, который про бизнес.
- Если в ответах говорится о безопасности человека, это будет правильным ответом.
- Если в ответах говорится про культуру страны, то это часто будет правильным ответом.
- Так называемые «лучшие практики» - последнее, на что нужно обращать внимание при ответе. Как и фразы про привлечение внешних консультантов к решению ИБ задач.
- Если в ответах есть выбор между соответствием требованиям регуляторов и бизнес требованиям – более важны последние.
- Если говорится, что нужно разорвать бизнес-контракт – это всегда будет неправильным ответом.
Для себя отдельно проработал следующие темы, которые до изучения материалов знал слабовато. Вот они:
- Balanced scorecard
- Chain_of_custody
- KRI
- Outcomes IS governance
- Согласование IS governance и enterprise governance
- Post incident review
- Custodian and Owner
- Типы диаграмм для визуализации
- Централизация и децентрализация ИБ
Учебник Gregory прочитал от корки до корки, заодно немного улучшив знания языка.
