証明書CISSP、CISA、CISM：入手方法とキャンドルの価値はありますか？

そして、なぜ名刺に「KISA」と言うのですか？
あなたはまじめな人です...
（友人との会話から）

私たちは皆、私たちが常に服に歓迎されていることを知っていますが、この「服」という言葉の背後にあるものを常に考えているわけではありません。 「服」は私たちの属性であり、他の人が私たちを世界のアイデアに簡単に合わせることができます。 したがって、属性を制御することにより、他の人が私たちをどのように認識するかを制御できます。 情報セキュリティの専門家の中で、他の人があなたを深刻な情報セキュリティの専門家にランク付けできるようにする確立された属性は、CISSP、CISA、CISMなどのステータスです。

この記事では、これらの認定の背後にあるもの、関連する試験に合格するための準備方法、取得する価値があるかどうかについて詳しく調べます。

どんな証明書？

最初に、略語を解読して翻訳しますが、逐語的ではなく意味的に翻訳します。

CISSP（Certified Information Security Systems Professional）は、認定された情報セキュリティの専門家です。

CISA（Certified Information Systems Auditor）は、認定IT監査員です。

CISM（認定情報セキュリティマネージャー）は、認定情​​報セキュリティマネージャーです。

検討のために選択された認定のこのような構成は、トピック（ドメイン）に近いことによって説明され、もちろん、著者はこれらの試験の専門家を訓練した経験があります。

次の表に、試験に関する情報をまとめます。

	CISSP	CISA	CISM
ドメイン	1.セキュリティとリスク 運営管理 2.資産のセキュリティ 3.セキュリティ エンジニアリング 4.コミュニケーションと ネットワークセキュリティ 5.アイデンティティと アクセス管理 6.セキュリティ 評価とテスト 7.セキュリティ 運営 8.ソフトウェア 開発セキュリティ	1.のプロセス 監査情報システム 2.ガバナンスと ITの管理 3.情報 システムの取得、開発、実装 4.情報 システム運用、保守、サービス管理 5.情報​​資産の保護	1.情報 セキュリティガバナンス 2.情報リスク 運営管理 3.情報 セキュリティプログラムの開発と管理 4.情報セキュリティ インシデント管理
期間	6時間	4時間	4時間
質問数	250	150	150
合格点	1000ポイント中700ポイント	800ポイントのうち450ポイント	800ポイントのうち450ポイント
経験要件	5年	5年	5年
組織	ISC2	ISACA	ISACA
試験費用	599米ドル	760米ドル 575 USD ISACAメンバー向け	760米ドル ISACAメンバーは575米ドル
更新	85米ドル	85米ドル 45米ドル ISACAメンバー向け	85米ドル ISACAメンバーの場合45米ドル

知って理解する必要があるものは何ですか？

各ドメインの背後にある知識の量を明らかにするために退屈したくはありません（そして試験ガイドで非常によく説明されています）。したがって、3つの証明書のそれぞれの理想的な所有者の肖像を簡単に検討します。

CISSP

CISSPの真の所有者は、情報セキュリティのすべての現代のトレンド、特に情報セキュリティ管理の分野で非常に優れた指向を持つ必要があります。 申請者は、「脆弱性」、「リスク」、「対策」のカテゴリーで考えることができるはずです。 情報セキュリティツールの管理やコンピューターネットワークのハッキング（もちろん、倫理的）の経験は間違いなく役立ちますが、認定はベンダーに依存しないため、試験中にシステムの特定の設定やコマンドを覚えておく必要はありません。 RFID、NIPS、RBAC、DIAMETER、IKE、ESP、LLC、MTPD、IDM、XSS、暗号化、ハッシュなどのアルゴリズムが使用されている略語の背後にあるものを理解する必要があります。

私の意見では、CISSPの知識量は、プロファイル部門で優秀な成績で卒業し、深刻な組織で情報セキュリティの実務経験が数年ある若い専門家の知識量に相当します。

CISA

CISAの所有者は、情報セキュリティの分野に精通しているだけでなく、IT管理、情報システムのライフサイクル、および世界のベストプラクティスへの準拠をすべてチェックする方法にも精通している必要があります。 理想的には、この証明書の申請者は、4大企業（BIG4：EY、PWC、KPMG、デロイト）のいずれかのライフスクール、または本格的なグループまたはIT監査部門を有する大企業を通過する必要があります。

CISM

CISSPの所有者が、ハードウェアおよびソフトウェアを扱う大学の最近の卒業生であり、管理とは何かを表すことができる場合、情報セキュリティ管理に携わる人々にとってCISMは最初の年ではありません。 CISMのドメインはCISSPよりも少なく、すでにCISSPに合格している人に引き渡すのに問題はありません。

どのような困難がありますか？

試験の準備をする際に留意すべきいくつかの落とし穴について説明します。

紙のセキュリティ

多くの技術専門家はテクノロジーに興味がありますが、ビジネスプロセスには興味がありません。それぞれ、企業のポリシー、手順、標準は不必要な紙片と見なされています。 経営者の立場からすると、そのような文書は情報セキュリティの要件を形成するため、非常に重要です。情報セキュリティは、従業員の技術と適格な行動を使用して実装されます。 CISSP、CISA、CISMの申請者は、マネージャーとしての考え方を学び、経営に対するプロセスアプローチを心から愛する必要があります。

火事になったらまず出しましょう！

質問に答えるために、資産を保存するための優先順位を評価する必要があり、リストに人命がある場合、それは常に優先順位が1になります。 お金と書類のある金庫は、安全に要素に翻弄されます。

事業継続性と災害復旧計画（BCP / DRP）

検査されたすべての検査で、BCP / DRPの問題が出てきます。 現在、こうしたプロジェクトはそれぞれかなり大きな組織でのみ実施されており、実際にはこれらの問題に直面している専門家はごく一部です。 これらのトピックを研究するには、専門家の2つの専門コミュニティであるBusiness Continuity InstituteとDisaster Recovery Instituteの出版物をさらに研究することが最善です。

IT監査員の思考

CISA試験に合格するには、IT監査員の考え方を十分に理解する必要があります。 IT監査員は、内部文書と外部文書の要件がどのように満たされているかをチェックし、「すべてを機能させ、残りは重要ではない」ことを目指すITスペシャリストとは異なる考え方をします。

以下の例を説明します。 LLC Romashkaでは、電子メールによるアプリケーションに基づいてシステムへのアクセスが提供され、特定の承認チェーンが実行されます。 管理者にとって、完成したアプリケーションは不要なゴミであり、大Year日に自動的にアーカイブをクリーニングすることで削除できます。IT監査員にとって、このアプリケーションは手順の完了を確認する重要な証拠です。

実際のIT監査員が使用する方法を習得するには、ISACAのメンバーになることは非常に便利です（ちなみに、 モスクワに ISACA支店があります）。これにより、有用な方法論文書のデータベースにアクセスできます 。 すでに表で見たように、ISACAのメンバーシップは、試験自体と更新の両方に大幅な割引を提供します。

不正行為

試験でカンニングをする人たちをむしろ軽con的に扱うのが慣例です。 西洋文化では、不正行為は適切な処罰を必要とする重大な不正行為と見なされます。 ISACAおよびISC2の試験を規則で書き留めることは禁じられており、配信プロセスは管理され、違反者は恥をかき捨てられます。

倫理についてもう少し

ISC2とISACAの両方に職業倫理のコードがあります。倫理に関する質問があり、その知識がいくつかの追加のポイントをもたらすため、それを読んで覚えることをお勧めします。

準備方法

エシェロントレーニングセンターでの試験の準備と準備コースの実施に関する私自身の経験に基づいて、次のアルゴリズムを提案します。

ステップ1.私はどこにいますか？

あなたがよく知っているものとそうでないものを見つけてください。 すべてのドメインの質問を表示するか、テストテストを実施します。 どのドメインが簡単で、どのドメインをポンピングする必要があるかを決定します。

ステップ2.英語はどうですか？

質問と提案された回答を理解するのに十分な英語があるかどうかを評価し、そうでない場合は、トレーニング計画に英語を含めます。

ステップ3.トレーニング資料の抽出と研究

本

数冊の良い本がなければ、準備は不可能でしょう。 プレゼンテーションのスタイルと資料の関連性に基づいて、入手可能なものをすべて調べて、自分に合ったものを選択するのが最善です（過去2〜3年にわたって出版された本を見る方が良いです）。 問題の試験の準備に関する特別なガイドラインのリストは、記事の最後に記載されています。 私はロシアの最初の本が登場したことを発表できてうれしく思います。この本は主な試験領域である「Seven Safe Information Technologies」を調べています。これはエシェロンの企業グループによるロシアの情報セキュリティの発展へのもう一つの貢献です。
ちなみに、Webでは、CISSP ショーン・ハリス（ドミトリー・オルロフが演じる）の準備のための古いバージョンの教科書のロシア語への非公式の翻訳を見つけることができます。 ロシア語の資料を使用して（主題分野に没頭するために）より良い準備を開始し、英語のみで模範的な質問を徹底的に勉強することをお勧めします（以下の質問ベースを参照）。

追加資料

安全でないと感じる知識分野では、追加の資料を読むことをお勧めします。これらの資料は、 通常 、専門のWebサイト（ isaca.org 、 isc2.org 、 thebci.org 、 drii.org ）で見つけることができます。

用語集

ステップ2であなたの英語力が試験の受験に適していると判断したとしても、ISACA用語集を閲覧するのが面倒にならないでください。 試験には、ロシア語への翻訳が必ずしも明確ではない単語が含まれることが多いことに注意してください（たとえば、コントロール-対策、リスク最小化対策、SIS、コントロール）。

質問ベース

ISC2およびISACAの公式、およびサードパーティベンダーの両方の試験準備用の質問ベースを簡単に検索して購入できます。 質問ベースは、テストプログラムの形式、または教科書の形式のいずれかです。 試験の準備状況を継続的に評価できる非常に有用な資料。 試験自体でまったく同じ質問を見ることを期待しないでください。そのため、質問と回答を覚えることは時間の無駄です。

トレーニングコース

専門コースに行くべきですか？ 数日ですぐに試験の主題に飛び込み、全体像を確認したい場合は価値があります。 あなたは、コースが独立して本を読んだり、試用テストの解決策に取って代わることができないことを理解する必要があります。

この準備段階の期間は、そのような試験に合格していない場合、3〜4か月（1日あたり平均1時間）です。成功した経験があり、知識レベルが高い場合、期間は1週間に短縮できます（もちろん、モードでフルイマージョン）。

ステップ4.試験の前週の準備

原則として、試験の準備は長い間続き、最後には最初に勉強したことを少し忘れることができます。 したがって、教材全体を閲覧するために、試験の数日前に休みを取ることをお勧めします。 いずれにせよ、準備の最後に、個々の技術的なパラメーターを詰め込むために数日を費やす必要があります。

ライフハッキングカップル

このセクションでは、試験の準備と合格に役立つアイデアを紹介します。

妄想オプションをすぐに破棄し、ブレーキをかけないでください

考慮されるすべての試験で最も一般的な質問形式は、西側世界に愛されているMCQ（多肢選択問題）です。多肢選択問題（通常4）です。 試験問題でトレーニングを開始する前に、逆問題の解決を試みてください。他に類を見ないトピックについて、このようなMCQを考え出してください。 唯一の適切なオプションに近いまたは近いオプションを考え出すことはそれほど単純ではないことがわかります。また、間違いなく1つのオプションを含めることは間違いありません。 そしてこれは、質問に答えるとき、明らかに間違っているものをすぐに除外し、残りの3つのうちの最良のものを探す必要があり、ほとんどの場合、それがすぐに見えることを意味します。 表示されていない場合は、ランダムに選択して先に進むことをお勧めします。1つの質問に1分以上かかることはありません。

FIRST、LAST、EXCEPT、NOTに注意してください

質問を注意深く読んで、答えの選択に直接影響する言葉に注意を払う必要があります：リストから対策を選択することは、最初に実行する必要があり、最後に別のことを実行する必要があります。

認定スペシャリストになる必要がありますか？

需給

これらの証明書を持っているスペシャリストが何人いるのか、誰がどこで働いているのかを見てみましょう。ソーシャルネットワークと協会のページを見てみましょう。 インターネットインテリジェンスに関する以前の記事では、ユーザーグループ全体を既に「パンチスルー」し 、このために特別なツールを使用しました。今回は、検索結果の表示のみに制限します。

現在かなり制限されているLinkedinネットワークでは、CISA証明書を含む539個のロシア語ユーザーアカウント、CISSPを含む330個、CISMを含む129個のユーザーアカウントを見つけることができます。

これらの証明書を示したユーザーのプロファイルをスクロールすると、その所有者が原則として大企業の上級職を占め、多くがコンサルティングに関与していることがわかります（BIG4、ITインテグレーターなど）。

ISC2およびISACA協会の公式統計によると、現在ロシアにはCISSP証明書の保有者が200人、 CISAとCISMの証明書が 203人、CISMが60 人しかありません （CISAとCISMのこれらの統計には、ISACA協会のメンバーでもある認定スペシャリストのみが含まれます）。

そのような専門家の需要があるかどうかを理解するために、そのような証明書を持っている人々の空室の可用性と雇用者がそれらを提供する準備ができている給与のレベルを見ていきます。 次の表に、 HH Webサイトからのキーワード（証明書名）の発行結果をまとめます。

	CISSP	CISA	CISM
空席数	41	47	26
配布 地域別	ロシア33 モスクワ29 ウクライナ4 キエフ4 ベラルーシ2 ミンスク2 サンクトペテルブルク2 カザフスタン1 アスタナ1 アルタイ共和国1 サマラ地域1 その他の国1 アメリカ1	ロシア34 モスクワ33 ウクライナ8 キエフ8 ベラルーシ3 ミンスク3 カザフスタン2 アスタナ1 アルマトイ1 アルタイ共和国1	ロシア16 モスクワ15 ウクライナ5 キエフ5 ベラルーシ3 ミンスク3 カザフスタン2 アスタナ1 アルマトイ1 アルタイ共和国1
給与レベル	示されている8 195 000こする-3 310 000摩擦から-2 370 000こする-1	指定4 195 000こするから。 -1	指定2 125 000こするから。 1

基本的に、このような専門家が大都市、特に首都で需要があることは明らかです。 給与レベルはまともですが、もちろん、証明書を持っているためではなく、仕事のために給与が支払われます。

このデータを分析する際、大企業の上級職は欠員を出さずに頻繁に入れ替わることも忘れないでください。 したがって、そのような専門家に対する実際の需要はわずかに高くなっています。

認定スペシャリストになる必要性を評価するための質問

質問を1つのリストに入れましょう。質問に対する回答により、情報セキュリティの専門家は、認定が必要な程度を決定できます。

私はそのような「監査」チェックリストを得ました：

1. IT分野でより高度な技術教育を受けており、平均スコアが4以上ですか？
2. 職場でのほとんどの試験トピックに関するプロジェクトに取り組んでいますか？
3. 辞書がなければ、専門的なトピックに関する英語の記事を読んでいますか？
4. キャリアのはしごを上に移動したいですか？
5. 夕方に準備する時間はありますか？試験の数日前に休みを取ることができますか？
6. 本物のマネージャーのように感じますか？
7. 首都に住み、働く準備はできていますか？

ほとんどの質問に肯定的な答えがある場合は、間違いなくこの問題に関与し、準備し、試験に合格し、常に適切なレベルで知識を維持する必要があります。

試験チュートリアル

1. 7つの安全な情報技術/下。 編 A.S.マルコフ。 M .: DMK Press、2017.224秒 予約サイト： http : //security-experts.ru/
2. CISSP（ISC）2認定情報システムセキュリティプロフェッショナル公式学習ガイド、第7版、ジェームズM.スチュワート、マイクチャップル、ダリルギブソン
3. CISSP公式（ISC）2模擬試験、マイクチャップル、デビッドザイドル
4. CISAレビューマニュアル、ISACAによる第26版
5. CISAレビュー質問、回答＆説明マニュアル、ISACAによる第11版
6. CISMレビューマニュアル、ISACAによる第15版
7. CISMレビュー質問、回答＆説明、ISACAによる第9版