Время на прочтение
13 мин
Количество просмотров 39K
Эта история о том, как я получал сертификат CISA, чтобы стать сертифицированным аудитором информационных систем и присоединиться к армии из более чем 100.000 профессионалов (по утверждению самой ISACA). Думаю в общем виде аналогия может быть расширена на CISM, CGEIT и CRISC.
Сертификация довольно популярная, в России, судя по явке на экзамен,
сдают
пытаются сдать многие, но не так много материалов о том, как готовиться и просто личного опыта на эту тему. Я решил исправить эту ситуацию.
Под спойлерами скрыл свои индивидуальные изыскания относительно этой сертификации, чтобы большой объём текста не пугал случайно заглянувших и желающих быстро окинуть взглядом всю статью. Любители подробностей будут удовлетворены моими красочными душеизлияними, раскрыв спойлеры.
А вот и первый. О себе
Обладаю высшим профессиональным образованием по информационной безопасности. Опыт работы в гос. структуре, опыт работы в службе ИБ одного из операторов Большой Тройки. Нынче работаю аудитором ИТ и ИБ и планирую развиваться в этом направлении дальше.
Почему именно CISA?
Сертификация CISA достаточно высоко ценится во всём мире и потихоньку приходит и в Россию. Является хорошим подспорьем для трудоустройства в международные компании (однако опыт не заменит). Также в линейке сертификации ISACA аудитор является первой ступенькой на пути к CISM, который уже является признанным требованием для серьёзных руководителей IT или ИБ подразделений. Также особенностью CISA является разносторонность изучаемого материала, что будет полезно в любом случае.
Как я до этого докатился…
Прежде чем дойди до решения о получении сертификации я освоил большое количество различных материалов по смежным областям. Среди самых интересных, попадавшихся на мои глаза за последний год (а по сути полгода, так как потом началась подготовка) были: ISO 27001 (не мог не указать, хотя не сказать, что это самый интересный документ, но маст рид безусловно), NIST Special Publication 800 (серия документов американского института, посвященная информационной безопасности), COBIT 5 (это больше про IT, но очень полезно), ISAF 2 (это уже чисто для аудиторов).
Цена вопроса
Прежде всего встаёт вопрос — а сколько это будет стоить? Здесь разумнее всего указывать цену в долларах, так она будет более актуальной и объективной. Мне повезло, и я успел оплатить большую часть в январе, когда
Крым ещё не был наш
доллар ещё не скакнул до нынешних 36 с копейками (когда начинал писать статью ещё был 35…).
1. New Member Fee Online + 10.00
2. Russia Chapter (на 2014 год) + 10.00
3. Basic Membership Dues (на 2014 год) + 135.00
4. Bookstore Purchase (книги) + 171.00
5. 2014 June CISA Exam + 495.00 – 75.00 – 50.00 = 370.00
6. CISA Practice Question Database v14 + 185.00
7. CISA Application Processing Fee + 50.00
Итого = 931.00
Из подготовительных материалов я купил всё, что только можно (на английском языке, есть ещё версии на японском, французском и т.д… Русский отсутствует и это хорошо). Полный учебный набор, предлагаемый ISACA, включает:
1. Официальный мануал к экзамену (книга).
2. Свежий вопросник на 2014 год (книга).
3. База вопросов на 2014 год (ПО).
Подробнее о них ниже.
Рекомендации:
1. Получайте скидки, став членом организации ISACA (опция платная). К тому же без членства к экзамену всё равно не допустят.
2. Покупайте материалы и всё остальное как можно раньше – больше сэкономите.
3. Если работодатель оплатит вашу сертификацию, то это будет приятной мелочью.
4. Достаточно только официальных материалов.
История со скидкой
Здесь стоит упомянуть также об одном небольшом случае со скидкой, который подарил мне 50 $ и большую порцию уважения к организации ISACA. А дело было в том, что стоило мне заплатить за экзамен 420$ (со скидкой в 75$ за раннюю регистрацию), как вечером мне приходит письмо от ISACA, в котором мне бодрым тоном сообщается о предоставлении персональной скидки на экзамен в 50$. Получается почти 1700 рублей — тоже деньги, да и обидно немного, чуть-чуть опоздали. Потратив пол часа на обдумывание варианта с отменой транзакции и повторной оплатой уже со скидкой я пришел к выводу, что это неверная линия поведения. И тогда я просто написал в поддержку, что оплатил экзамен забыв использовать персональный скидочный код и указал его в письме. Сделал я это скорее от безысходности, чем в надежде получить реальное решение. Каково же было моё удивление, когда поддержка без всяких дополнительные расспросов уведомил меня, что упущенная скидка будет перечислена мне на карточку. Что и произошло несколькими днями спустя. Мне было по-человечески приятно.
Теория и практика: картинка про крутое шифрование и криптоанализ с паяльником.
О теории
Экзамен сдаётся после самоподготовки. В интернете также предлагают курсы, естественно, довольно дорогостоящие. За пять дней обещают осветить материал всего экзамена. Не буду следовать принципу «не читал, но осуждаю», но для себя подобный вариант отмёл сразу. Поэтому подготовка исключительно своими силами.
Теория представлена пятью доменами, описание которых есть на официально сайте. В каком-то смысле мне повезло, потому что моё профессиональное образование и основной практический опыт попадали в тематику домена Информационная безопасность, удельный вес которого в экзамене составляет почти треть. А это значит, что вопросы из этого домена встречаются чаще и мне было легче, так как с это темой я знаком более чем близко.
Теперь об официальном мануале. Теории много, книга больше 300 страниц мелким шрифтом. Текст довольно живой и отличается в лучшую сторону от сухих стандартов. В начале каждого домена описаны те компетенции, которые в нём освещаются и те практические задачи, для которых эти компетенции необходимы. В конце каждого домена есть проверочные кейсы, чтобы можно было себя оценить, ответив на несколько вопросов.
Информация в мануале очень подробная и полезная. Позволяет взглянуть инженеру на вопросы управления проектами, а управленцам, например, на проблемы управления изменениями. Естественно глубина материала далека от профессиональной литературы, поэтому раздел, посвящённый вашей специализации, будет прочитываться раза в два быстрее.
Как я готовился
Выбрав летний экзамен, который должен состоятся в июне, я принял решение начать готовиться за 5 месяцев. Как выяснилось позже – это намного больше чем советуют на форумах. Однако этот подход дал свои результаты, сертификат получен, так что считаю, что выбрал правильный путь.
В большинстве обзоров по подготовке к CISA вы встретите утверждение, что официальных материалов достаточно. Теперь я могу со всей уверенностью подтвердить это заявление, особенно если у вас хороший технический бекграунд.
Однако я не просто решил готовиться за 5 месяцев, но и делал это успешно и почти ежедневно. Стабильность, регулярность, постоянство — это всё залог хорошего результата (как и в любом обучении). В середине января я оплатил книги, и чтобы без дела не ждать, пока они придут (в моем случае это ожидание длилось более месяца) стал читать мануал 2013 года, найденный на просторах интернета. По уверениям бывалых, большая часть материала за год не изменилась (да и за два, и за три, по сути, тоже).
Ниже пример графика, в соответствии с которым я готовился и мотивировал себя (в колонках диапазон страниц, пустые и вступительные страницы пропускал). В среднем получалось прочитать порядка 4 страниц официального мануала в день, что для иностранного текста мелким шрифтом было достаточно, особенно если не просто читать, а пытаться ещё понять и запомнить. В результате из-за хорошего качества текста и его «живости» мой словарный запас заметно расширился.
Я просчитал, что примерно к маю закончу всю теорию и после этого смогу посвятить полтора месяца изучению базы вопросов.
Примерно так и получилось, однако майские праздники, как водится и как я и подозревал, напрочь выбивают из колеи подготовки, несмотря ни на какую сверх мотивацию.
Рекомендации:
1. Регулярность – обязательное условие успеха.
2. Рассчитайте время с запасом, за пару месяцев полноценно подготовится сложно. Читая каждый день по 4 страницы на книгу у вас уйдёт больше 3 месяцев – и это без выходных.
3. Найдите так много мотивации, как только сможете. Тут всё индивидуально. Я строил график, и много как ещё себя подбадривал и контролировал.
4. Оградите себя от всего, что вас отвлекает. Я, например, наконец-то бросил
жену
WoT.
5. Постарайтесь не перегореть. Берите перерыв раз – два в неделю, но не забывайте, что придётся увеличивать нагрузку в последующие дни.
Подготовка по вопросам
База вопросов состоит из двух частей. Первая — это книга с 100 свежими вопросами (обновляются каждый год), в которой есть подробные пояснения ответов и пара ответных листов как на экзамене, чтобы можно было устроить hardware симуляцию экзамена. Вопросы, как и в экзамене, перемешаны по темам, сложность варьируются от очевидных до сложных.
Вторая — база вопросов, предоставляемая на диске или просто скачиваемая в виде установочного файла размером 76 мегабайт. В случае если вы
живёте в России
не доверяете почте, устали ждать или у вас ультрабук без привода — выбирайте второй вариант. В базе порядка 1100 вопросов, включая те, что есть в бумажном обновлении за год. Если есть желание, то можно на этом сэкономить, не заказывая книжную версию. В базе к
каждому
большинству вопросов есть довольно подробные пояснения по ответам. Присутствуют различные режимы обучения, включая интеллектуальную систему Профессор, которая сама выбирает нужные для обучения вопросы (об этом подробнее в моём опыте под спойлером). Также есть режимы выбора вопросов по доменам и различным признакам (не просмотренные, с ошибками и т.д.).
Главная возможность — software симуляция экзамена — 4 часа с обратным отсчётом, 200 вопросов и никаких пояснений по выбору ответа.
Diablo 3 hardcore mode
Как я работал с вопросником
Базу вопросов я купил ещё в марте, как только она стала доступна (продавать её начали позже чем основные материалы).
Однако я бережно хранил дистрибутив вплоть до майских праздников, считая, что лучше вначале прочитать весь мануал, а потом прогонять сразу все вопросы. Уже после окончания подготовки я подумал, что может быть и стоило отвечать по 50-100 вопросов из базы по каждому домену после того, как прочитал материал из мануала. Возможно это позволило бы чётче усвоить и запомнить основные принципы. Однако не уверен, что это всё не стерлось бы последующими доменами.
База вопросов представляет собой специальную программу, позволяющую отслеживать успехи по ответам на вопросы, выборы режимов тренировок и т.д. Отличный вариант, без него мне кажется нереальным успешно подготовится к экзамену.
База даёт понять основные принципы формирования вопросов, поскольку зачастую вопросы звучат немного не обычно. Как всем известно вопросы в абсолютном большинстве случаев требуют выбрать
неправильный
не правильный, а наиболее подходящий или, например, наименее сложный вариант. Также по этим вопросам вы поймете основные идеи, вроде: человеческая жизнь превыше всех остальных ценностей и целей (в случае проверки наличия систем безопасности при катастрофах, например), свидетельства аудита должны быть достоверными и надёжными (прежде чем докладывать о каком-либо нарушении необходимо собрать достаточные, достоверные и веские доказательства) и т.д. Эти концепции позволят легче ориентироваться в вопросах, когда возникают сомнения.
Общая концепция тренировки позволяет проходить адаптивный курс Personal Professor, в течении которого программа сама подбирает вам вопросы и домены, смешивая их в пропорции примерно соответствующей экзамену. Также есть возможность отвечать на вопросы отдельного домена и т.д.
Вначале я проходил вопросы по 30-50 штук в режиме Personal Professor каждый день. После ответа программа предоставляет пояснение по правильным и неправильным ответам. Это позволяет усвоить не только принципы «как надо», но и «как не надо», что, безусловно, тоже полезно. таким образом тестирование позволяет изучать материал даже в процессе ответов на вопросы. Однако программа Профессора периодически подсовывает старые вопросы, для закрепления. Повторы составляют порядка 10-20% и это с одной стороны полезно, ведь «повторение — мать ученья». Однако с другой стороны вопросы примелькиваются и после этого голова уже выбирает ответ не на основе размышлений, а вспоминая вопрос.
Я думаю, что в чистом виде запомнить 1100 вопросов с ответами нереально, однако по самому различному набору ассоциаций (длинна вопроса, ключевые слова) перед самым экзаменом (через месяц ежедневных занятий) я отвечал более чем на 50% вопросов на автомате, почти не думая и не читая ответы, а как бы «воспринимая» их (глядя рассеянным взглядом на весь текст на мониторе, как бойцы на ринге, чтобы уловить все движения соперника). Поэтому ближе к концу пришлось немного менять тактику обучения. За неделю до экзамена у меня оставалось порядка 300 вопросов, на которые я ни разу не ответил правильно в течении обучения (либо ошибался, либо программа даже не предлагала мне эти вопросы). Поэтому в последнюю неделю я тренировался отвечая только на те вопросы, которые были не отвечены, программа предполагает и такой режим. Я ставил себе целью ответь правильно хотя бы 1 раз на абсолютно все вопросы.
Были вопросы, на которые я отвечал неправильно раз за разом. Моя логика рассуждений расходилась с мнением специалистов ISACA. Может быть ввиду отсутствия опыта, тонкостей перевода и чего-то ещё. Я честно старался долбить эти вопросы вновь и вновь, пока не пойму и запомню суть правильного ответа.
Также в программе есть возможность симуляции экзамена – 200 вопросов за 4 часа. Я проходил такое тестирование 4 или 5 раз, чтобы потренироваться усидчивости и примерно смоделировать нагрузку. Однако, конечно, такая тренировка даёт лишь примерное представление об экзамене. Обычно я справлялся от 2 с четвертью до 3 часов из положенных 4.
Рекомендации:
1. Вначале можно пользоваться режимом Personal Professor, однако им одним «сыт не будешь».
2. Пройдитесь хотя бы раз по всей базе вопросов обязательно изучая пояснения к вопросам – это залог закрепления изученного.
3. Постарайтесь не просто интуитивно выбирать ответ исходя из своего опыта и знаний, но мысленно для себя озвучивать логику выбора. Это позволит лучше закрепить материал в тех вопросах, которые вызывают особые сложности.
4. Обязательно пройти хотя бы пару раз именно четырёхчасовою симуляцию экзамена.
5. Полезно для самооценки пройти книжную симуляцию экзамена до изучения теории. Потом после изучения теории. И можно после изучения большей части базы вопросов. Это поможет понять динамику обучения.
Экзамен
Экзамен проводят в 3 раза в год. В 2014 это июнь, август и декабрь. Подробности о сроках закрытия регистрации на экзамен и скидках за раннюю регистрацию можно найти на официальном сайте.
Дело проходит в Москве. Сюда же, судя по всему, приезжают жители стран СНГ, где экзамены не проводят. Своей площадки у российского подразделения ISACA нет, поэтому проводится мероприятие на площадках университетов или других организаций. Июньский экзамен проходил в институте рядом с Белорусской.
Приглашение на экзамен — это документ, без которого к сдаче не допускают. Его высылают почтой и электронным письмом, чтобы можно было распечатать самому. В приглашении подробно описаны строгие правила проведения экзамена, условия
предания анафеме
изгнания с экзамена за нарушения и прочая важная информация. Пить и есть во время экзамена нельзя, да и времени не хватит.
Структура экзамена также подробно расписана на официальном сайте. Вначале устные инструкция, коллективное заполнение экзаменационных анкет и ответы на вопросы. затем все скрывают запечатанные вопросники (которые можно использовать как черновик) и приступают к экзамену.
Как всё прошло
Приглашения на экзамен, отправленного по почте, я не дождался до сих пор. Наверное, таможенники подумали, что в письме из Америки лежит iPhone. Однако приглашение легко распечатывается с сайта ISACA из личного кабинета.
Из тонкостей: пишите своё имя на сайте на английском языке. То, что в документе, удостоверяющем вашу личность на экзамене (паспорт), написано по-русски – не проблема. Достоверная информация от технической поддержки.
На экзамене всё далеко не так строго, как было написано в приглашении. Сотрудники обучающего центра, проводившие экзамен, – милые люди, разговаривающие на русском. Отвечают на любые вопросы. Активно помогают. В итоге можно было брать с собой вещи и мобильные устройства (что категорически было запрещено в документе), при условии, что их аккуратно положить рядом со стулом. Я же оставил всё в машине, взяв с собой лишь паспорт, карандаши, приглашение, да ключи от авто. Кому-то даже удалось немножко перекусить. Одного опоздавшего запустили уже после начала oral instruction, хотя второго исключения, думаю, уже не допустили бы. Желающим раздавали беруши и карандаши, если кто забыл.
Старт немножко задержался и экзамен начался минут на 40 позже запланированного времени. 4 часа пролетели почти незаметно и их едва хватило.
Всё что я в итоге успел – это ответить на три четверти вопросов сразу на чистовик. А оставшиеся 50 вопросов с черновика перечитать снова и ещё раз обдумав ответ занести в answer sheet. Всё что у меня осталось – 20 минут. Судя по паре соседей я был не самым медленным, так что времени на самом деле меньше, чем я рассчитывал.
Вопросы на экзамене совершенно другие чем в базе. Не стоит надеяться найти похожие или переиначенные вопросы. Вопросы кажутся сложнее чем в подготовительной базе. Возможно это стресс и условия экзамена. От некоторых вопросов создавалось ощущение, что их тематика даже не освещалась в мануале, хотя уверен, то это не так. А это значит, что 1100 вопросов даже в общих чертах не покрыли весь материал.
В целом на экзамене меньше лёгких вопросов вроде выбора хэш-функции среди алгоритмов шифрования, выбора правильного типа резервного ЦОДа и т.д.
Однако есть небольшая часть вопросов (может 10%-15%), на которые получится ответить руководствуясь теми самыми общими принципами, о которых было сказано выше.
По выходу с экзамена у меня не было абсолютно никакого понимания своих результатов. Я чувствовал, что с совершенно одинаковой вероятность мог, как и сдать, так и не сдать экзамен. Очень необычное ощущение, ставшее следствием сложных вопросов.
Некоторые сдавшие советуют напиться и забыть об экзамене, пока не получите результаты. А если не получается забыть – напиться ещё раз. Мне же удалось просто оградить себя от мутных мыслей и погрузившись работу отстранится от этого, несмотря на регулярные расспросы окружающих о результате.
Рекомендации:
1. Очень важно найти свой ритм, понимать сколько времени допустимо на лёгкий/средний/сложный вопрос. С этим помогают симуляция экзамена во время подготовки.
2. Естественно, отвлечься, расслабиться, очистить разум и так далее. Скорее всего не получится, если вы не владеете йогой.
3. Нащупайте грань между вопросами на которые необходимо отвечать сразу и теми, которые следует обдуманы повторно. Пройтись дважды по всем почти нереально.
4. Оставляя вопрос на потом выберите хоть какой-то вариант. Возможно интуиция, подсказавшая первый ответ, будет единственным ориентиром.
Подготовка документов
Результаты экзамена оглашаются по истечении 5 недель. Это довольно быстро, ведь раньше было целых 8. После этого на электронную почту приходит уведомление и дальнейшие инструкции. ISACA честно предупреждает, что ещё рано хвалится всем о том, что вы стали CISA, однако даёт ссылки на соц. сети, чтобы каждый мог поделиться новостью об успешно сданном экзамене.
Теперь начинается этап подготовки CISA Application. Необходимо от руки или через форму в браузере заполнить 6 листов А4 следующей информацией:
1. Опыт работы
2. Опыт преподавания
3. Образование
4. Информация о доставке сертификата
5. Подтверждение от 2 человек
В соответствии с требованиями к сертификации необходимо подтвердить 5 лет опыта работы. Часть можно засчитать за опыт преподавания, а часть за высшее образование. Мне засчитали 2 года за высшее образование по информационной безопасности, остальные 4 года – за реальный опыт работы.
Для подтверждения образования можно направить в ISACA специальное письмо от учебного заведения, однако для упрощения процедура предусматривает подтверждение от 2 рекомендующих.
Каждому из обоих подтверждающих (verifier) необходимо заполнить форму на двух листах, где указано, что они подтверждают образование, предыдущий опыт работы, настоящий опыт работы и перечисляют навыки (из доменов, как в мануале), которыми вы обладаете.
После этого сканы можно отправить на электронную почту ISACA, вам назначать Certification Assistant’а, который будет производить проверку и оформление сертификата, которая занимает до 8 недель.
Одновременно с подачей документов на сертификацию необходимо оплатить ещё одну пошлину.
Сам сертификат будет бумажным и отправлен обычной почтой, поэтому скорого получения в России ожидать не приходится. Надеюсь получить его в течении пары месяцев.
Реальные сроки
Спустя всего на 2 дня меньше чем обещанные пять недель я наконец получил результат от ISACA.
Я откладывать не стал и уже на следующее утро заполнил документы на сертификацию, отсканил и отправил, попутно оплатив ещё 50 долларов.
Спустя всего 10 дней после отправки документов на электронную почту пришло уведомление о присвоении сертификации и получении официального звания CISA. Самое время звонить всем и хвастаться новым достижением. Спустя несколько дней пришло письмо с ссылкой на электронный бейдж, который можно предоставлять всем сомневающимся и интересующимся вашим сертификатом. Электронный бейдж предоставлен в соответствии со стандартом Mozilla Open Badges сайтом youracclaim.com. На сайте необходимо создать профиль, в котором можно агрегировать подобные электронные бейджы из других мест. Этот бейдж уже можно присоединить к профилю в Linkedin или HH.ru.
Так выглядит кусок моего бейджа:
Хронология событий
В целом задача оказалась вполне по силам, если подойти к ней ответственно. Как и большинство задач по жизни, впрочем…
Получение сертификации проходило следующим образом:
Декабрь 2013 – принятие решения
Январь 2014 – покупка материалов
Январь – май 2014 – изучение теоретических материалов
Май- июнь 2014 – практика по базе вопросов
14 июня 2014 – экзамен
17 июля 2014 – получение результатов
18 июля 2014 – отправка документов на сертификацию
28 июля 2014 – получение подтверждения сертификации
2 августа 2014 – получение электронного бейджа, подтверждающего сертификацию
Ориентировочно сентябрь 2014 – получение бумажного сертификата
P.s. В следующий раз поведаю о том, как получать CPE, так необходимые для поддержания статуса. Как только наберусь достаточно опыта, конечно.
Московское отделение ISACA предлагает 5-дневный подготовительный курс к сертификационному экзамену CISA: Certified Information Systems Auditor.
Это независимая и самая престижная сертификация ИТ-аудиторов. Программа курса CISA аккредитована ANSI и признана на государственном уровне во многих странах.
Тренинг CISA разработан по официальной программе сертификации, утвержден и согласован глобальной ISACA.
В последний день обучения будет проведен пробный экзамен CISA и выдан сертификат Московского отделения ISACA о прохождении тренинга с зачислением 40 CPE.
Стоимость тренинга — 140 000р.
Стоимость индивидуального обучения — 200 000р.
Количество квалификационных часов — 40 CPE.
В стоимость курса входит обучение, официальное учебное пособие (CISA Review Manual), пробный экзамен.
Описание тренинга
Курс CISA: Certified Information Systems Auditor представляет теоретические знания и практические навыки в области ИТ-аудита, демонстрирует его местонахождение в системе внутреннего контроля организации, а также связь с процессами информационной безопасности; содержит практические рекомендации по успешной реализации ИТ-аудита; практические навыки по реализации ИТ-контролей и мер реагирования на риски, связанные с информационными активами организации.
Цели курса – подготовка к сдаче сертификационного экзамена CISA.
- Понять цели и задачи ИТ-аудита, его место в системе внутреннего контроля;
- Изучить техники планирования и проведения аудита, сбора информации и аудиторских доказательств;
- Научиться управлять информационными рисками и проводить аудит информационной безопасности.
- Выработать подход по оценке результативности и эффективности контрольной среды в операционной деятельности ИТ/ИБ;
На кого рассчитан тренинг?
Руководители и специалисты в области ИТ, специалисты в области информационных и операционных рисков, безопасности информационных систем, специалисты в области внутреннего контроля и ИТ-аудита.
Продолжительность курса – 5 дней
Программа курса
День 1
| Время | Тема |
| 10:00 | Приветствие. |
| Структура и цели курса. | |
| Стандарты и методологии в ИТ. Роль ИТ аудита в организации. | |
| Домен 1 — Процесс аудита информационных систем. | |
| Планирование процесса ИТ аудита. Обеспечение ценности ИТ аудита, через повышение контроля и степени защищенности информационных систем. | |
| Проведение ИТ аудита на основе риск-ориентированного подхода, в соответствии со стандартами ISACA. | |
| Использование утилит в процессе ИТ аудита. | |
| Оценка текущего состояния. Доведение до заинтересованных сторон выявленных несоответствий в ходе аудита. | |
| 17:00 | Составление плана корректирующих действий, с целью обработки выявленных на аудите рисков и несоответствий. |
День 2
| Время | Тема |
| 10:00 | Оценка контрольной среды. Процесс непрерывного мониторинга. |
| Определение областей для улучшения качества и контроля информационных систем. | |
| Построение процесса непрерывного совершенствования. Закрепление руководящих принципов в политиках и процедурах организации. | |
| Домен 2 – Руководство и управление ИТ. | |
| Приведение в соответствие стратегии ИТ и бизнес стратегии организации. | |
| Оценка результативности организационной структуры ИТ и штатного расписания. | |
| Оценка политик и практик по управлению ИТ. | |
| Оценка политик и практик на соответствие законодательным и регуляторным требованиям. | |
| Оценка текущих ИТ ресурсов. Формирование портфеля трансформационных проектов для достижения целей и задач организации. | |
| Политики и практики по управлению ИТ рисками. | |
| Мониторинг контрольной среды. | |
| Оценка KPIs и формирование отчетности. | |
| 17:00 | Процесс управления ИТ поставщиками. Выбор ИТ решений, в соответствии с текущими бизнес требованиями. |
День 3
| Время | Тема |
| 10:00 | Оценка ИТ сервисов на основе бизнес требований. |
| Периодический анализ информационных систем и архитектуры предприятия. | |
| Управление данными. Оценка политик и процедур. | |
| Анализ рисков и возможностей при изменении контекста организации. | |
| Домен 3 – Закупка, разработка и внедрение информационных систем. | |
| Оценка техникоэкономического обоснования, при внедрении новых информационных систем, на соответствие бизнес требованиям. | |
| Оценка проектной деятельности в ИТ. | |
| Оценка контролей на всех стадиях жизненного цикла разработки информационных систем. | |
| Оценка готовности ИС к внедрению и миграции в производственную среду. | |
| Анализ ИС после внедрения. Оценка результатов проектов, контролей и выполнения требований бизнеса. | |
| 17:00 | Оценка процессов управления изменениями, конфигурациями, релизами и патчами. |
День 4
| Время | Тема |
| 10:00 | Домен 4 – Операционная деятельность ИТ и устойчивость бизнеса. |
| Оценка способности организации продолжать бизнес деятельность в случае сбоев. | |
| Оценка практик по управлению ИТ сервисами на основе бизнес требований. | |
| Оценка результативности контрольной среды в операционной деятельности ИТ. | |
| Регулярное техническое обслуживание ИТ активов. Предотвращение сбоев в работе ИТ. | |
| Оценка работы систем управления базами данных. | |
| Оценка политик и практик по управлению данными. | |
| Оценка политик и практик по управлению инцидентами и проблемами. | |
| Оценка политик и практик по управлению изменениями, конфигурациями, релизами и патчами. | |
| 17:00 | Оценка контролей на рабочих станциях пользователей. |
День 5
| Время | Тема |
| 10:00 | Домен 5 – Защита информационных активов. |
| Проведение аудита, в соответствии со стандартами ИБ, на основе риск-ориентированного подхода. | |
| Оценка политик и практик по управлению персональными данными. | |
| Оценка результативности контролей окружающей среды и физической защиты. | |
| Политики и практики классификации информационных активов. | |
| Политики и практики по управлению жизненным циклом информационных активов. | |
| Оценка результативности логических контролей для верификации конфиденциальности, целостности и доступности информационных активов. | |
| Оценка программы ИБ на соответствие целям и задачам организации. | |
| Проведение технического тестирования для идентификации потенциальных уязвимостей в информационных системах. | |
| 17:00 | Пробный экзамен CISA (75 вопросов на 2 часа). |
Возможна адаптация содержания и продолжительности курса, в соответствии с приоритетами и потребностями заказчика
25 ноября 2021 г.
Для тех, кто заинтересован в карьере в области информационных технологий (ИТ), есть несколько вариантов сертификации, которые могут улучшить ваши знания и навыки. Вы можете использовать свою текущую карьеру, будущие карьерные цели, общие требования к рабочему месту или другие подобные критерии, чтобы выбрать лучший вариант сертификации для вас. Сертификация CISA, например, может подойти тем, кто интересуется ИТ-аудитом и безопасностью. В этой статье мы даем определение сертификации CISA и объясняем, как получить сертификацию CISA за пять шагов.
Сертификат сертифицированного аудитора информационных систем (CISA) — это свидетельство, подтверждающее наличие у его владельца опыта в области аудита информационных технологий. Этот сертификат может быть полезен для лиц, заинтересованных в работе в сфере ИТ в качестве аудиторов, менеджеров, консультантов или специалистов по безопасности. Вы можете получить сертификат CISA через Ассоциацию аудита и контроля информационных систем (ISACA), международную организацию, занимающуюся образованием в области информационных технологий и стандартизацией практики.
Получение этого сертификата может помочь вам улучшить свои знания об ИТ-системах и аудите. Это также полезный способ убедиться, что ваша подготовка соответствует международным стандартам для этой профессии. Добавление сертификата в ваше резюме может показать потенциальным работодателям, что вы, вероятно, будете высококвалифицированным и ценным дополнением к их ИТ-команде. Некоторые вакансии даже требуют сертификации CISA от своих кандидатов.
Как получить сертификат CISA
Шаги для получения сертификата CISA относительно просты. Вместо того, чтобы проходить обязательный курс, вы можете просто выполнить шаги, описанные ниже. Вот как получить сертификат CISA за пять шагов:
1. Зарегистрируйтесь и подготовьтесь к экзамену CISA
Вы можете зарегистрироваться на экзамен CISA онлайн на веб-сайте ISACA. При регистрации вы можете сдать экзамен лично в одном из доступных мест тестирования или онлайн с удаленным проктором. Плата за экзамен составляет 595 долларов США для не членов ISACA и 465 долларов США для членов ISACA, которые вы платите при регистрации. Если вам нужны специальные условия для тестирования, вы можете запросить их прямо сейчас.
После регистрации на экзамен вы можете подготовиться к нему, как пожелаете. Некоторые могут подготовиться самостоятельно, создав учебное пособие или следуя утвержденному ISACA обзорному пособию. ISACA также предлагает курсы с обучением в режиме реального времени, чтобы помочь людям подготовиться, и вы можете приобрести подписку на базу данных ISACA, которая содержит обзорные вопросы, ответы и пояснения.
2. Сдать и сдать экзамен CISA
Экзамен CISA длится четыре часа и содержит 150 вопросов с несколькими вариантами ответов. Тестировщики могут выбрать один из 10 языков для сдачи экзамена. Результаты теста колеблются между 200 и 800 баллами, и вы должны получить не менее 450 баллов, чтобы пройти тест. Экзамен CISA можно пересдать, если вы наберете менее 450 баллов при первой сдаче.
Экзамен CISA состоит из пяти разделов или доменов, каждый из которых содержит равную часть тестовых вопросов. Вот пять разделов экзамена:
-
Процесс аудита информационных систем: в этом разделе рассматриваются основы предоставления аудиторских услуг, включая стандарты аудита, методы контроля информации, стратегию, основанную на оценке рисков, и аудиторскую отчетность.
-
Руководство и управление ИТ: в этом разделе рассматриваются управление ИТ, организационные структуры и их связь с управлением персоналом, политикой компании и бизнес-стратегией.
-
Приобретение, разработка и внедрение информационных систем. В этом разделе рассказывается, как аудиторы могут обеспечить соответствие приобретения, разработки и внедрения своих информационных систем целям и стратегиям компании.
-
Эксплуатация информационных систем и устойчивость бизнеса. В этом разделе рассказывается, как аудиторы могут определить, что эксплуатация и обслуживание информационных систем компании благоприятны для общей структуры и стратегии компании.
-
Защита информационных активов: в этом разделе рассказывается, как аудиторы могут тестировать и контролировать текущие протоколы информационной безопасности компании.
3. Получите необходимый опыт работы
Чтобы получить сертификат CISA, вы должны иметь не менее пяти лет опыта работы в сфере ИТ-аудита, контроля или безопасности. Вы можете выполнить это рабочее требование до или после экзамена. Вы также можете сдать экзамен во время прохождения стажировки. Если вы сначала выполняете рабочее требование, вы должны сдать экзамен в течение 10 лет после первого года работы. Если вы сначала сдаете экзамен, вы должны пройти стажировку в течение пяти лет после сдачи теста.
Также можно заменить некоторый опыт работы образовательным опытом. Аудит, университетские кредиты, степень магистра или опыт преподавания могут сократить время по сравнению с пятилетним требованием. Если вы выберете один из этих вариантов, ISACA по-прежнему требует не менее двух лет опыта работы, чтобы претендовать на сертификацию CISA.
4. Подать заявку на сертификацию
После того, как вы сдали экзамен и получили необходимый опыт работы, вы можете подать заявку на сертификацию CISA онлайн. Это влечет за собой единовременную невозмещаемую плату за обработку заявки в размере 50 долларов США. Приложение также включает соглашение о соблюдении Кодекса профессиональной этики ISACA, который определяет профессиональное и личное поведение сертифицированных CISA специалистов. Вы также можете подтвердить свое знание Политики непрерывного профессионального образования (CPE) ISACA, которая обеспечивает непрерывное развитие знаний и навыков обладателей сертификатов CISA.
5. Поддерживайте свою сертификацию
ISACA требует, чтобы все лица, сдавшие экзамен CISA и получившие сертификат, обновляли свою кандидатуру каждые три года в рамках политики непрерывного профессионального образования (CPE). В частности, кандидаты должны проходить и сообщать о не менее 20 часов опыта CPE каждый год и 120 часов в течение трехлетнего периода. Вы также должны платить ежегодный взнос за обслуживание, который составляет 85 долларов США для лиц, не являющихся членами ISACA, и 45 долларов США для членов ISACA. ISACA также ожидает, что все обладатели сертификатов будут практиковать свое мастерство в соответствии с руководящими принципами ISACA и, если они будут отобраны, представить случайный аудит.
Обратите внимание, что компания, упомянутая в этой статье, не связана с компанией Indeed.
Как я сдавал (и сдал) CISM. Часть 2: Подготовка и экзамен
21 июля, 2014
Общее про экзамен
- Допуск до экзамена CISM стоит $650. Однако если вы являетесь членом ISACA (годовое членство стоит порядка 150$), то вы получаете скидку, и экзамен будет для вас стоить $470. А если вы еще и рано зарегистрируетесь (примерно месяца за 4+), то будет еще дешевле — $420. Однако я ни разу не успевал оплатить «раннюю регистрацию» и сдавал всегда за 470$.
- Я зарегистрировался на экзамен за 3,5 месяца до него.
- Экзамен можно сдать в России (Москва) 3 раза в год (июнь, сентябрь, декабрь). Обратите внимание, что в сентябре можно сдавать не во всех странах (в России можно).
- Ближайший экзамен будет 06.09.2014, «ранняя регистрация» уже закончилась, «финальная регистрация» до 23.07.2014
- Следующий экзамен будет 13.12.2014. Завершение «ранеей регистрации» — 20.08.2014, заверешение «финальной регистрации» — 24.10.2014. Я подумаю, может решу в декабре экзамен CGEIT сдать…
- CISM можно сдавать на одном из 4х языков (English, Japanese, Korean, Spanish). Очевидно, что в России все выбирают английский… Кстати, CGEIT и CRISC сдается только на английском, а CISA можно сдать на одном из 10 языков. Словарем пользоваться во время экзамена нельзя.
- Экзамен длиться 4 часа, за это время надо успеть ответить (выбрать 1 ответ из 4) на 200 вопросов. Вопросы очень не просты, обычно просят выбрать «лучший ответ», или «самое главное», или «самое первое». Т.е. часто такое бывает, что из 4х ответов вроде как подходят все 4…
- Все вопросы сгруппированы по 4 доменам:
- Domain 1—Information Security Governance (24%)
- Domain 2—Information Risk Management and Compliance (33%)
- Domain 3—Information Security Program Development and Management (25%)
- Domain 4—Information Security Incident Management (18%)
- Для успешной сдачи экзамена надо набрать 450 баллов, как они точно определяются я понять не могу, но это не важно… Баллы считаются по каждому домену, а потом берется некое среднее (с учетом % доменов). По сути, можно набрать меньше 450 в некоторых доменах, а потом «вытянуть» весь экзамен за счет высоких баллов в других. Поэтому особо обратите внимание при подготовке на домен «Information Risk Management and Compliance», он самый «ценный».
Материалы для подготовки
- В начале рекомендую изучить « ISACA Exam Candidate Information Guide 2014 «.
- Затем попробовать решить официальные примеры вопросов к экзаменам CISM и CISA .
- Для подготовки я рекомендую не пожалеть денег и купить что-то из официальных материалов :
- CISM Review Manual 2014 — 85$
- CISM Review Questions, Answers & Explanations Manual 2014 — 70$
- CISM Review Questions, Answers and Explanations Manual 2014 Supplement — 40$
- CISM Practice Question Database v14 (CD-ROM) — 120$
- Я готовился по мануалу 2014 года и по коротким вопросам 2014 (supplement), также у меня были вопросы и мануал 2011 года. Еще я погулил и нашел в интернете несколько сотен примеров вопросов CISM.
- Все купленный материалы от ISACA присылают обычной почтой, книги печатные. В электронном виде их скачать не дают.
- На мой взгляд, мануал не самый полезный материал для подготовки к экзамену, без него можно вполне обойтись. В нем довольно много теории, но скорее «по верхам». А вот примеры вопросов заказывать однозначно надо!!!
- Мои знакомы готовились по Question Database, по сути, это база вопросов и удобное ПО для их прорешивания на ПК. Обратите внимание, что программу можно установить/активировать всего 2 или 3 раза, правильным решением будет ее установка на виртуальную машину…
- Многие рекомендуют общаться и обсуждать вопросы CISM в специальных группах и на форумах, например, на ISACA и в Linkedin . Но я так не делал…
Подготовка к экзамену
- Главное правило: «Вопросы первичны, теория вторична!». Уделите максимально много времени прорешиванию примеров вопросов и чтению пояснений к ним. Составление майндкарт по теории мне успеха не принесло…
- Обратите внимание на английский язык, а точнее незнакомые слова. Сначала я их выписывал отдельно, но потом понял, что без контекста они запоминаются плохо, и стал делать пометки-переводы прямо в тексте вопросов, а потом возвращался к ним.
- Я старался брать с собой примеры вопросов (распечатывал или копировал несколько страниц А4) и прорешивал их в метро. При этом я отмечал незнакомые мне слова и/или вопросы на «подумать» (когда ответ и объяснение были не очевидными). Позднее я возвращался к ним.
- Дома я прорешивал тесты, но не часто. Системы и планов типа «100 вопросов в день» у меня не было.
- За пару дней до экзамена я пролистал мануал, особо обращая внимание на части про риски и про управление непрерывностью.
Экзамен
- В 2014 году было удобно: экзамен, как обычно, был в субботу, но до этого было 2 дня выходных (День России). Но готовился не очень сильно, скорее больше отдыхал и перечитывал свои пометки.
- Для допуска к экзамену необходимо предъявить «ISACA Exam Admission eTicket» (он приходит и по обычной почте и по электронной, во втором случае его надо распечатать) и документ. удостоверяющий личность (паспорт).
- На месте надо заполнить согласие на обработку ПДн. Оно составлено на 2х языках, но можно заполнить только на одном.
- Экзамен сдается очень рано, регистрация с 8 утра, инструктаж запланирован на 8.30, а старт экзамена на 9.00. Обычно старт экзамена сдвигается (опаздывает) минут на 30-40. Но все равно не опаздывайте!
- Перед экзаменом я спал очень плохо, часто просыпался, думал, что опаздываю. Чтобы успеть собраться и доехать до места экзамена (International University of Moscow, Leningradsky Prospect, 17) я завел будильник на 06.20, а спать лег где-то в 01.00 (раньше не получилось ни лечь, ни заснуть).
- Экзамены ISACA сдавали 83 человека (CISM 12, CISA 61, CRISC + CGEIT еще 10). В основном мужчины, но были и 6 девушек.
- ISACA регулярно пересматривает и обновляет свои вопросы, в моем экзамене было много современных технологий и СЗИ: SIEM, DLP, cloud, mobile security и BYOD, было пару вопросов про APT.
- Есть в вопросах 1 кейс (описание ситуации), по которому потом задают 3 вопроса. В прошлый раз было про сетевую безопасность, в этот раз про планирование системы ИБ и обоснование для руководства.
- Знакомых вопросов (те, что были в примерах, по которым я готовился) я встретил не более 5-10%.
- С собой на экзамен необходимо принести 2 простых карандаша и ластик, некоторые забывают, но им выдают на месте.
- На партах во время экзамена можно держать лишь книжку с вопросами, форму для ответов, паспорт и билет. Телефоны, воду, еду, листы бумаги (даже пустые) и прочее нельзя. Телефоны вообще просят оставить в верхней одежде, сумках, которые убираются на дальнюю парту/шкаф.
- Во время экзамена можно выходит в коридор (там стоит вода) и/или туалет только по одному. Все свои документы (вопросы, лист с ответами и паспорт) на это время сдаются.
- Рекомендую взять с собой наручные часы и очень аккуратно следить за временем, 4 часа экзамена пролетят очень быстро. Если часы не взяли, то не беда, на доске будут каждые пол часа отмечать оставшееся время.
- !!! Обратите внимание, что довольно много времени уходит на вписывание (штриховку) ответов в специальные кружочки. Не рекомендую оставлять оформление ответов на самый конец экзамена, можете не успеть. Рекомендую поступить следующим образом: прорешиваете 50 вопросов (можно делать пометки прямо в книге с вопросами, других черновиков нет), потом перепроверяете и вносите ответы в поле для ответов. Потом решаете еще 50 и так далее… После 100 вопросов я сделал паузу, вышел попить водичку и размять ноги. Ориентируйтесь на то, что на 50 вопросов с оформлением ответов у вас должно уходить не более 1 часа.
- По моим наблюдениям 1 человек ушел через 3 часа, еще несколько после 3.5 часов, большинство сидят практически до самого конца.
- Результаты экзаменов CISM и CISA приходят примерно через 5+ недель, CGEIT и CRISC через 8+.
Вот как-то так, вроде рассказал про все… Если у вас есть еще вопросы, то спрашивайте в комментариях.
Никогда не сдавайтесь цифровому миру — подписывайтесь на наш канал и будьте на шаг впереди тотального контроля!
Сегодня я наконец получил электронное письмо с результатами от isaca, и тест cisa, наконец, завершен. Последняя цель в первом полугодии также была успешно выполнена. В июне этого года закончился исключительно загруженный курс аспирантуры на рабочем месте. Это была моя первая поездка в Таиланд. Я уволился из компании, в которой проработал три года, и готовился к экзаменам CISA один за другим.
Моя биография: три года опыта работы в службе безопасности партии Б и никакого опыта работы в сфере аудита. Тест Cisa — это желание и цель по окончании колледжа — найти чем заняться в своей скучной жизни.
Покажи оценку, 501 балл занимаюсь ИТ в течение трех лет, смущает, что оценка его части невысока в аудите, с которым не связались ни дня.
Давайте рассмотрим весь процесс.
Два официальных учебника, приобретенных Taobao в середине марта, также являются 26-м изданием руководства по обзору экзамена CISA, рекомендованным владельцем магазина Taobao, и одиннадцатым изданием руководства по упражнениям и ответам CISA. Это также необходимые учебники для людей. Я не отчитывалась перед учебным классом, поэтому я действительно не могу позволить себе платить .// (ㄒ o ㄒ) / ~~.
После покупки книги https://item.taobao.com/item.htm?spm=a1z09.2.0.0.1f30a53fGNOP1J&id=546609591237&_u=4kaqris6be0 я назначил встречу в этом месте на время экзамена, продавец Taobao очень хороший и цена стоит на 100 долларов дешевле Рекомендую.
Чтобы оказать некоторое давление, чтобы сразу записаться на экзамен 6.24 через три месяца, я сейчас думаю об этом. Я действительно не знал, что я думал в то время. Именно Лян Цзинжу придал мне смелости. (⊙o⊙) ….
Учебники куплены, время экзамена записано, и теперь нужно начинать следующий шаг.
В основном я просматриваю два часа в день в будние дни. По выходным я также читаю материалы Cisa, потому что мне нужно проходить исследовательские курсы на рабочем месте. Я предлагаю шесть часов в день по выходным.
Сначала я просмотрел учебник, который в основном представлял собой аудиторскую часть первых нескольких глав, и не стал внимательно изучать последнюю, что также привело к более низкой оценке ИТ по сравнению с предыдущей. Если вы считаете, что учебник очень неясен, я предлагаю вам просто перейти к теме, просмотреть упражнения, а затем найти точки знаний в учебнике, чтобы прояснить весь контекст, мне действительно не стыдно за то, сколько времени я потратил вот, потому что по учебнику я с середины марта наблюдаю окончание Первомайского праздника. В течение этого периода я задавал только один ежедневный вопрос на http://www.cncisa.com Guomeng. С 1 мая по 6.13 я выполнял официальные упражнения по обзору cisa и руководства по решениям, а также отвечал на 700 вопросов в 2008 году. Поскольку я медленно отвечал на вопросы, я сделал это снова и понял это. Почему мое время 6,13, потому что я был в Таиланде днем позже. Перед поездкой я поставил несколько упражнений на свой телефон, когда приехал в Таиланд, и не заботился ни слова. Затем в день экзамена я перевернул не те вопросы в руководстве по обзору. Черт, я действительно думаю, что воодушевлен. В ночь перед экзаменом я пошел пить и пить, пока не заснул. О (∩_∩ ) О ха-ха ~.
Последнее фото Паттайи
Напоследок скажем что-нибудь реальное.
1. Необходимо понимать, что спрашивающий действительно не может ответить с помощью рабочего мышления. Я думаю, что цель вопроса состоит в том, чтобы научить вас думать задающего вопрос, чтобы можно было выбрать правильный ответ. Вопросы Cisa обычно являются Самое главное, выбрать наиболее подходящий из лучших труднее, чем домашний экзамен.
2. Короче говоря, ответ касается человеческой жизни, поэтому выберите его.
3. Я думаю, что 300 часов обзора достаточно, если вы хорошо просматриваете.
4. Хорошо просмотрите и верьте, что усилия окупятся.
Если вы хотите узнать подробности, вы можете добавить свой WeChat
