CISSP認定：ハウツー

こんにちは、Khabravchans！



私は最近、情報セキュリティの分野で最高の認定の1つに合格しました。CertifiedInformation Systems Security Professionalまたは簡潔にCISSPです。 準備の過程で、同僚やさまざまなフォーラムやサイト、認定や試験に関する有用な情報から少しずつ収集しました。 「しかし、それは誰かにとって便利です！」私はデスクトップを理解していると思い、Deleteボタンから指を離しました。

カットの下で、トレーニングの経験について話し、自分でテストしたヒントとコツを共有します。 この資料が、CISSPとは何か、それを服用する価値があるかどうかをよりよく理解し、準備プロセスで貴重な時間を節約できることを願っています。

CISSPとは何ですか？

Certified Information Systems Security Professionalは、非営利組織であるInternational Information Systems Security Certifications Consortiumのベンダー非依存の情報セキュリティ認証で、（ISC）²としても知られています。 この認証は1991年に登場し、現在、約70,000人の専門家がCISSPをアクティブにしています。

CISSP認定は、主に情報セキュリティ（IS）の分野のコンサルタント、監査人、建築家、アナリスト、およびマネージャーを対象としています。

CISSPは、情報セキュリティの分野で最高の認証の1つです。 CISSPは、CISA（情報セキュリティ監査員を含む情報システム監査員）、CISM（情報セキュリティ管理者）、CEH（倫理的ハッキングの理論的根拠）とともに、ロシアで最も人気のあるベンダーに依存しない認証の1つです。 私の意見では、最後の2つを渡す方がいくらか簡単です。

認定には10のトピック（ドメイン）が含まれます。



•アクセス制御

•電気通信とネットワークセキュリティ

•情報セキュリティガバナンスとリスク管理

•ソフトウェア開発セキュリティ

•暗号化

•セキュリティのアーキテクチャと設計

•運用セキュリティ

•ビジネス継続性と災害復旧計画

•法律、規制、調査、コンプライアンス

•物理（環境）セキュリティ



CISSP認定は、幅20マイル、深さ1インチと言われています。 これ以上言うことはできません。 各トピックを深く理解する必要はありませんが、知識は10のドメインすべてを、スペースのない均等なレイヤーでカバーする必要があります。

CISSPタイトルを取得するには、10のドメインで250問の6時間の筆記試験に合格し、倫理綱領（ISC）²との契約に署名し、有効なCISSP証明書を持つ専門家の保証を受けて、10ドメインのうち少なくとも2つのドメインで少なくとも5年の経験を確認する必要があります。

なぜそれを取る？

次の主な理由を特定します。

• 知識。 多くの人は、これらすべての認定は誰にも必要ではなく、実際の知識とは関係がないなどの悲しげな理由を聞いたことがあるでしょう。 これは、議論中の認証に合格しなかったか、必要なものに合格しなかった人々の意見であるように思えます。 証明書=知識、または紙で実際の経験を置き換えることができると信じるのは単純です。 ただし、知識を体系化し、認証の準備などのギャップを明らかにするものはありません。 これはベンダー認定に適用され、CISSPのような「概念」認定にも二重に適用されます。 私にとって、この動機は基本的なものであり、結果に満足しています。

• 雇用。 間違いなく、履歴書の由緒ある認定は良さそうに見えますが、ここでは特に励みになりたくありません。 ロシアの雇用主の大部分はCISSPについて聞いたことがないため、この問題について会社が十分成熟している場合、主に認定の背後にある実際の知識と経験に関心があります。 例外は、完了したプロジェクトのリストと従業員のまさにその証明書を提示することにより、常に顧客に自分の経験を証明することを余儀なくされるシステムインテグレーターです。

• プロの誇り。 専門家コミュニティと同僚の認識。 まあ、またはもっと単純に、FAC。 軍隊には命令があり、アスリートは黒い帯とCCMを受け取り、マクドナルドでは彼らはその月の従業員を壁に掛けます 。 健康的な野心には何の問題もないと思います。

giveめない千の理由

インターネットは、CISSP認定の必要性と十分性についての激しい戦いに満ちています。 試験の準備をしている間、彼らはあなたにうんざりする時間があります。 オペレーショナルセキュリティドメインの議論を含むフォーラムスレッドを見つけ、コメントの80％にこのトピックに関する論争が含まれていることがわかります。 外国人が証明書を取得し、燃えている写真を自慢するのが慣習である場合、私たちの同胞はより人気のある立場を持っています：「私は読んでいませんが、非難します」。

決定を下すには、すべての意見を知る必要があります。 いくつかのリンク：

コメントの記事と古典的なハリウッド：

www.infosecisland.com/blogview/22257-Your-CISSP-is-Worthless-So-Now-What.html# ！

国内の「紙」情報セキュリティのアレクセイ・ルカツキーの現在のアイコンからの古代の記事は、まだRunetの検索のトップに残っています。

www.pcweek.ru/infrastructure/article/detail.php?ID=65988

「CISSPを取得すべきではない理由」のプレゼンテーション（ ヒントについてjekapに感謝）：

attrition.org/security/conferences/why_you_should_not_get_a_CISSP-public.pdf# ！

検査と経験の証明

以下に、私が投入した私の経験についてお話しますが、今のところ、乾燥した事実：

試験は、すべてのドメインの250の質問で構成されています。 中断することなく6時間与えられます。 平均1.5分です。 質問に。 休憩に出かけたり、水を飲んだり、時間をかけてのみトイレを使うことができます。 ストレスと緊張の終わりまでに、あなたは完全に疲れ果て、速度は落ちます。 したがって、質問に1分も費やす必要はありません。

すべての質問には4つの回答がありますが、そこから最適なものを選択する必要があります。 この言葉で言えば、CISSP試験のすべての問題と複雑さです。 少なくともいくつかの明白な事実の知識に関する質問。 ほとんどすべての質問にはいくつかの正解があり、コースの一部である方法論とベストプラクティスの観点から最適なものを選択する必要があります（この種類は数百あります）。 まあ、常識はキャンセルされていません。

以前は、彼らは試験を紙で受け、年に2〜3回合格しました。 ただし、昨年は変更がコンピューターで行われ、テストセンターに場所があればいつでも行われます。 古いCISSPは、認証はもはや同じではないと不満を述べています。 はい、特別な厳soleな儀式の感覚はもはやありませんが、使い慣れたコンピューターでそれを取ることははるかに快適であり、これは、私の意見では、試験の時間を本当に節約します。 以前は、ドラフトから回答を転送し、回答の反対側の正方形を注意深くスケッチする必要がありました。 今、これはそこにありません、それは、私には思われるように、ディーラーに40分の余分な時間を与えます。 ただし、質問が簡単になることはなく、毎年新しいトピックがコースに追加されるため、確実なことではありません。

試験に合格するだけでは十分ではありません。10ドメインのうち少なくとも2ドメインで5年の経験を確認する必要があります。 これは、以前は他の分野で働いていた多くの若い専門家や人々を怖がらせます。 ただし、認定をより緊密にするのに役立つ機能がいくつかあります。 情報セキュリティの分野における高等教育は、1年の経験にカウントされます。 そのような教育がない場合は、このリストから 1つの認定を取得することで1年の経験を積むことができます。 ほとんどの場合、それはすべてエキゾチックですが、シスコに関与している場合は、CCSP / CCNPセキュリティを使用できます。 また、CompTIA Security +試験は、CISSPの準備で簡単に合格することができます。これは、ほぼ同じことであり、10倍しか簡単ではないからです。 リストにはCISAを使用したCISMも含まれていますが、経験があれば、おそらくすべてが正常です。

あなたの経験から現在のCISSPを確認する必要があります。 見つからない場合は、それ（ISC）²が見つかります。

準備する

私が教えたように：

CISSPの準備を考えていたとき、 Dmitry Orlovのブログに出会い、そこで彼はSean HarrisのCISSP All-In-One Exam Guideの第5版の（まあ、ほぼ）ロシア語の翻訳を投稿しました。 この作業は本当にタイタニックであり、最高レベルで実行されます。 優れたロシア語、用語とフォーマットへの注意。 読書は楽しみです。 ドミトリーに脱帽。

しかし、私の目標は認定であり、ロシアの教科書を読んで英語試験に合格することはほとんど不可能だと思います。 したがって、準備を始める前にロシア語版をゆっくり読み、一般的な本質を理解しようとします。

CISSPを使用してAmazonで書籍を検索すると、多くのチュートリアル、質問集などが提供されます。 しかし、メインの教科書は（ISC）²の公式ガイドとショーン・ハリスの本です （そう、ショーンは女性です-右の写真を参照）。 2012年末には、これらの書籍の新しい版が発売されました。 私はこの瞬間を待ち、Amazonで注文してから1週間後の2月に、両方の本が私の机の上にありました。 1,500 pの2つの重いレンガ。それぞれ、仕事に取り掛かる時間であることが示唆されました。

そして、私は主な間違いを犯しました。 フォーラムで同僚のアドバイスに注意を払わずに、私はすでにロシア語でショーン・ハリスの前版を読んでおり、公式（ISC）²ガイドが試験のトピックをより完全にカバーしていることを決定しました。 それは多くの愚かさでした。 公式（ISC）²ガイドは、Harrisの本ほど明確に書かれているわけではありません。 ひどく書かれています。 材料は不便で、混乱していて、非論理的です。 章には番号が付けられておらず、見出しのスタイルは本全体でarbitrarily意的に変更されるため、何に投資するのかは明確ではありません。 混乱または重複した段落が発生します。 スペルミスは、チャプター（ドメイン）の名前にもあります！ 何らかの理由で、情報セキュリティに関するすべての書籍のRADIUSプロトコルの説明は非常に曲がっていますが、ここではすべてのレコードが壊れています。 フォーラムは、オフィシャル（ISC）²ガイドの英語と用語が試験に近いことを示唆しましたが、それでも私には疑わしいようです（試験と本を準備している人がいます）。 2番目の情報源であっても、この本にお金をかけないことをお勧めします。

6月4日に試験を注文したので、3か月勉強しました。 その前にロシア語の教科書を読んでいなかったら、時間が足りないでしょう。 事前にトレーニング計画を立てることをお勧めします。 これにより、計画のバックログをはるかに早く追跡できます。 平日は2〜3時間、週末は6〜8時間勉強すると、1週間に1つのドメインを学習できます。 さらに、調査の最後に、すべてを繰り返し、できるだけ多くのテスト問題を解決する必要があります。 仕事で学ぶ機会がなかったので、週末にはやるべきことがいつもあったので、すぐにスケジュールから外れました。 その結果、5月に休暇の間に休暇が取られ、その月の終わりまでに私は世捨て人にならなければなりませんでした。

多くの人がこの試験に初めて合格するのは、最初は教科書を読んで受験できると誤解しているからです。 このアプローチでは、実際に有効になる機会はありません。 本の終わりに向かって、最初のドメインは完全にメモリから蒸発します。 したがって、私は英語で要約を書くことにし、最後にそれを繰り返して質問を解決することにしました。 大要では、彼は知らないか、忘れることを恐れたものだけを書きました。 80枚の1枚半のノートブックがゆるい手書きで出てきました。 ここでのポイントは、材料の詰め込みに関するCISSPの教科書自体が概要に近いということです。 ショーン・ハリスがまだ叙情的な余談と人生の例を時折許す場合、オフィシャル（ISC）²ガイドは、マシンガンのような事実を単純に落書きします。

これらの本に加えて、次の情報源が一般的です。

www.logicalsecurity.com/education/education_cbt.html-Sean Harrisによるビデオコース。 ビデオコースで認定資格を教える方法を理解できませんでした。多くの時間が無駄になりますが、深さはまだ不十分であり、とにかく本を読む必要があります。 ただし、コースは常に人気があります。 おそらく、この形式が適しているでしょう。

www.amazon.com/CISSP-CAP-Prep-Guide-Platinum/dp/0470007923-多くの人がCISSPの準備に関するロナルド・クルツの本を称賛しています。 評価する機会がありませんでした。 この本は、教科書のショーン・ハリスに代わるものとしてしばしば呼ばれます。ショーンは叙情的な余談と子供のユーモアの大恋人であり、それらのいくつかは狂っています。

www.amazon.com/CISSP-Study-Guide-Second-Edition/dp/1597499617-エリックコンラッドの本は短く明確です。 トレーニングを受けた読者は、トレーニングに使用できます。詳細については、他のガイドを参照してください。 bugaga0112358を推奨してくれてありがとう。

問題を解決する

準備において非常に重要なのは、10のドメインすべてにわたって可能な限り多くの質問を解決することです。 これにより、本の最も慎重な研究の後であっても間違いなく、試験の形式に慣れる弱点を識別することができます。

各ドメインの後に教科書に質問があり、さらに1,400の質問を含む本がこの本に含まれています。 認定に関する教科書の質問のマイナス点は、「試験のように」ではなく、読んだ章のテキストの知識についての質問が与えられていることです。 シスコの試験に合格した人は私を理解するでしょう。

だから、 www.cccure.orgからの質問をテストするために6か月のサブスクリプションを40ドルで購入し、その後それを後悔しませんでした。 少し遅いとはいえ、質問のあるエンジンは便利です。 タブレットや携帯電話でうまく機能するので、ソファに横たわっているか、バルコニーで春の日差しを浴びているだけの質問を解決しました。 サイト上の質問の一部は無料であるため、購入する前にすべてを自分で評価できます。 正解は非常に詳細に説明されています。 理論の大部分と外部リンクが提供されています。

試験では、すべてのドメインで1700を少し超える質問を解きました（これはかなりの時間で、それ以上の時間はありませんでした）。 経験豊富な人は、各ドメインで80％に達することをお勧めします。 私を信じて、これは簡単ではありません。 私はよく研究されていると思ったドメインを引き受け、60％とわずかなショックを受けました。 それは本を1回読んだ後、あなたがすべて知っているという幻想を落ち着かせ、破壊します。

インターネットにはすべての質問が良いというメッセージがたくさんありますが、実際の試験の質問はまだ複雑なものと比較することはできません。 そうは思いませんでした 私の意見では、 www.cccure.orgからの質問は試験問題よりもさらに複雑です。 さらに、この試験では、すべてのコレクションで公然とばかげた質問に出くわすことはありません（「1973年のブラジルの分類によると、クラス3の耐火キャビネットの4脚のそれぞれの下で床がどれだけの重量に耐えなければならないか」）。

テストの質問は、試験の形式に慣れるのに役立ち、実際の「戦い」で時間と神経を大幅に節約します。 目は習慣的に質問のテキストを駆け巡り、脳はほとんど自動的に間違った答えを破棄します。彼はすでに数千回やったので、作業気分に合わせて、質問に気を取られることなく質問をクリックします。

テスト用の質問のソースは次のとおりです。

www.isc2.org/studiscope/default.aspx-試験の著者からの質問。 それらは法外に高価であり、問​​題自体はわずかです。 余分なお金がある場合は、購入できます。

booksite.syngress.com/companion/conrad-CISSPの本とポッドキャストの著者であるEric Conradからの無料の質問。

www.amazon.com/CISSP-Practice-Exams-Second-Edition/dp/0071792341-Sean Harrisによる追加のテスト質問付きの本。

インターネット

2013年9月3日の時点で、ロシアでは184人が有効なCISSP証明書を持っています（合計84,730人 ）。 ベラルーシ、ウクライナ、カザフスタンでは、それぞれ1、16、7人が追加されます。 全体としても、たとえば、マレーシア、アイルランド、ポーランド、南アフリカよりもCISSPが少なくなっています。 したがって、ロシア語で賢明な資料や情報を探すのは良い考えではありません。 すぐに英語のリソースにアクセスすることをお勧めします。

材料はあまりエキゾチックではないので、ほとんどすべてがグーグルです。 正しく準備している人の一人が言ったように、「Googleは私の妻であり、Wikipediaは私の愛人です。」 同僚とチャットしたり、質問したり、ccccure.org WebサイトフォーラムまたはLinkedinのテーマグループで試験に合格した経験について読んだりできます（本当に強力なコミュニティがあり、すでに合格して新人を助けている多くの人々がいます。ショーンハリス自身も時々登場します）。

有用なリソース

securhotel.blogspot.ruはAndrey Shishkinのブログで、CISSPドメインにマインドマップをアップロードしています。 近年、すべてがマインドマップに夢中になっていますが、私は個人的に古き良きメモを好みます。

www.securityhelp.ru/cissp/naiz.pdf、www.securityhelp.ru / cissp / Overley_Updated.pdf- 「チートシート」は、たとえば、輸送中の材料を繰り返すのに便利です。

securitycerts.org/review/cissp-acronyms.htm-すべてのドメインの略語のリスト。 素材の繰り返しに便利です。

フルタイムの勉強

ブートキャンプトレーニングは、西洋では非常に人気があります。 私たちもそれほど遅れていません。

CISSPの準備は、モスクワの少なくとも2つのトレーニングセンターで行われます。MicroinformとEchelonです。 Microinformはこの分野で最初で（以前、試験が紙に書かれていたとき、そこで合格しました）、エシェロンはポストワークトレーニングのための興味深いオファーがありました。

広告は、コースが可能な限り最良の方法で試験の準備をすると主張しています。 ただし、フルタイムの学習を過大評価しないでください。 あまりにも多くの資料があるので、コースはあなたにそれを提供しません。 あなたはすでに部分的に質問をして、経験豊富な人々のアドバイスに耳を傾ける準備をしてそこに行く必要があります。

私の個人的な意見：そのようなトレーニングは、あなたの会社があなたをそこに派遣する場合にのみ合理的です。 つまり、オフィスに座っている代わりに、これは効果的ですが、自宅での自習の同じ週に、あなたはさらに10倍を学びます。

試験順序

試験は、 ピアソンVUEシステムを通じて注文されます（私は599ドルで注文しました）。 最初にサイトwww.isc2.orgに登録し、IDを取得する必要があります。

この作業が完了した瞬間を明確に示すために、準備の最初に試験を注文することをお勧めします。 これは、準備を整え、より集中的に準備を開始するのに役立ちます。 そうしないと、準備が永遠に続く場合があります。

モスクワでは、現時点では、2つのテストセンター（南西の国立経済アカデミーとオクチャブリスカヤのACETセンター）を受講できます。また、サンクトペテルブルクとキエフにもセンターがあります。

テストセンターの要件が増加しているため、テストセンターはほとんどありません。 私はこれまでどの試験でもこのようなセキュリティ対策を見たことはありません。



私が試験を受験した方法の説明は、LJのスタイルでは多すぎることが判明しましたが、実際にはHabréでは適切ではないと思います。 魂を破るlyddybrを読むことに興味のない人は、ヒントセクションに直接行くように招待されています。

ヒント...

私の意見では、試験に合格するための役立つヒントを書くことにしました。

1「余裕を持って」学ぶ必要があります。上記のストーリーは、この点を説明するためのものでした。病気になったり、試験に興奮したり、テストセンターにあるもの（ノイズ、人など）に気を取られることがあります。さらに、試験問題は教科書よりも頻繁に更新されます。つまり、教科書ではまったく取り上げられなかった質問の一定の割合があります。

2。質問、特に多くの情報を含む長い質問は、最後から読むのが最適です。最初に質問自体、次にデータ。それ以外の場合は、A4ページのテキストに一連の詳細と数字を入力し、最後に質問は純粋に方法論的であり、上記の情報はすべて不要であることがわかります。そして貴重な時間が無駄になりました。

３ 。疑わしい質問にはフラグを立てて、最後にそれらに戻ることができます。私のアドバイス：最も可能性の高い答えをすぐに書き留めてください。戻る時間がないかもしれません。あなたは6時間目までには賢くなく、直観は多くの方法論的な問題の多くを助けます。

4 。すぐに正しい答えを出せる質問はほとんどありません。 「MD5ハッシュの長さは？」または「スイッチレベルでローカルネットワークをブロードキャストドメインに論理的に分割する技術の名前は？」というスタイルの質問。ほとんどの質問に答える時間をとるために、彼らは5秒を費やす必要があります。正しい答えは4分の2で、最適なものを選ぶ必要があります。ここでは、反対から行動し、すぐに精神的に間違った答えを削除する必要があります。これは明らかなアドバイスのように思えますが、私自身は、3時間後に注意が散り始め、すでに破棄したオプションを何度も読み直していることに気付くでしょう。自分自身を厳しく管理する必要があります。質問を消した-それはもはやあなたのために存在しません。

5 。事前にタイマーを使用してテストの質問を解決し、疑念や長い思考の時間がないことを確認してください。 1つの質問で失速し、その結果、3つの質問をするのに十分な時間がありません。断固として行動しなければなりません。確かにわからない、質問を読み直してください、手がかりがあるかもしれません。とにかく知らない-直観は、2〜3の最も可能性の高い答えから選択するのに役立ちます。長い疑問やノートブックに波線を描く時間はありません。

6。 10のドメインすべてを通る赤い糸のように動作する基本的な概念があります。彼らは常に心に留めておく必要があります。プライマリ：

a。人間の生命と健康は常に最も価値があります。人間の生活（犯罪者の生活さえ）よりも重要なデータやルールはありません。

b。 CISSPは、エンジニア、管理者、またはペンタスターではありません。これは主に、組織のセキュリティに対するガイド付きプロセスアプローチを確立し、所有コスト、リスク、資産価値、法律などの観点から考えるマネージャーです。これを念頭に置いて、多くの質問に答えることははるかに簡単になります。

7。 CISSPの称号の申請者が専門分野で5年間の仕事を必要とすることは無駄ではありません。実際の経験は大いに役立ちます。ただし、注意が必要です。試験に合格するときは、常に本の概念を実際の経験よりも優先してください。コースの比較的単純な質問に関するフォーラムのホリバーから判断すると、実際の経験の曲線は、多くの人が質問に正しく答えることを非常に難しくしています。 CISSPは、知識を合理化し、主要な概念を学習するために合格します。フォーラムの小競り合いでやりを破るのではなく、なぜあなたの経験がコンセプトと違うのか、そしてあなたが仕事で何を改善できるのかを考えましょう。

8。以前、CISSP試験は米国の法律に非常に焦点を合わせていると非難されていました。 「情報セキュリティの観点から憲法の4番目の改正の本質とは何か」のようなものを見たとき、テストの質問で、私は恐怖に陥っていました。私の考えでは、現在、ディーラーの約40％がインド、パキスタンなどの専門家です。 （通常、大きな監査4から）。したがって、試験はアメリカの詳細から十分にきれいにされました。ルールはこれから続きます。質問に対する答えは普遍的でなければなりません。たとえば、ある国に判例法が存在することが示されていない場合、その答えは一般的な法体系に適しているはずです。

9。多くの質問は非常に複雑です（これはCiscoまたはMicrosoft向けではありません）。二重否定（「防止するためにすべきではないこと...」）と不要な情報によって混乱が生じることはありません。質問を簡単に再定式化します（たとえば、no + no = yes）。

10。試験に合格するには、英語に関する十分な知識があり、技術的な知識だけではありません。ただし、CISSPの教科書を読んでテスト問題を解くことにより、言語スキルのギャップを十分に補うことができます。 「キーワード」とアプリケーションの機能の違いを明確に理解することは非常に重要です。must、should、may、most、最小、十分など。

11。質問には、技術者にとって完全に明確ではないかもしれない財政的および経営的条件があります。私は準備段階でこれを理解したので、有形および無形資産の評価、収益、収入、減価償却、株式などに関する問題について、グーグル、および私の母（会計士）および少女（会計監査人）と積極的に相談しました。私は多くを学びました。

12。（ISC）²には倫理綱領（（ISC）²倫理綱領）があります。多くの場合、彼らはそれを無視し、単に別の契約として署名します。これは大きな間違いです。あなたは（非常に短いので）実際に暗記してコードを知って、倫理と意思決定に関連する事項でそれから始める必要があります。

13。すべてのヨーグルトが同じように役立つわけではないのと同様に、すべてのドメインが同じように重要というわけではありません。通常は、情報セキュリティとリスク管理、アクセス制御、セキュリティアーキテクチャ、通信とネットワークセキュリティ、BCPとDRPのドメインに特に注意を払うことをお勧めします。しかし、私の考えでは、すべてのドメインについて十分な質問がありました。

...＆トリック

詐欺師について話しましょう。

伝統的に、ロシアでは多くの試験がダンピング、つまり盗まれた試験問題への回答の暗記を通過します。欧米では、状況はわずかに異なります（個人の専門家としての成長の必要性をよりよく理解しており、詐欺が明らかになった場合は職場から依頼される場合があります）。すべての一般的な認定（同じCisco、Microsoft）は、何も知らなくても合格できます。友人の知り合いの1人は、最初の文字で質問の答えを学んだので、15分で2時間の試験に合格しました-彼は試験でそれらを読む必要さえありませんでした。アメリカ人はトレーニングセンターにビデオを要求しましたが、彼にはベビーベッドがなかったので、私は証明書を与えなければなりませんでした。そのような才能はありますが、平和的な方向に...

同時に、ダンプは購入する必要さえありません。盗まれた質問は売り手から繰り返し盗まれ、インターネットに投稿されます。

CISSPが世界中で同時に紙上に降伏したとき、質問は新しい試験ごとに新たに準備されていたため、事前に質問を盗むことは事実上不可能でした。今、状況は変わりました。試験の主催者は、最も弱い点はトレーニングセンターであることを理解しています。したがって、セキュリティ対策が強化された非常に少数のCAで試験を受けることができます。ただし、とにかくプラムがある可能性があります。これが将来の認証を信用しないことを願っています。

フォーラムによると、夏にはパブリックドメインまたは販売中の実際のダンプはありませんでした。同時に、教科書、古代の試験、その他のゴミからの割り当てから編集された質問の偽のコレクションがたくさんあります。 215の質問のダンプの下で感動的なコメントを見ました。「ありがとうございました。1000のうち1000をパスしました！ダンプは完全に正しいです！」試験には250の質問があり（サイズが不明のデータベースから）、スコアが成功して報告されていないことを考えると、信じがたいです。しかし、世間知らずの人は、お金を無駄にし、降伏しようとすることさえあります。

もちろん、ダンプは、疑わしい品質の試験問題の無料ソースとして使用できますが、これはCISSP倫理規定に完全に反しています。自分で決めてください。

さて、ベビーベッドについて。たぶん、試験にスプリアスをドラッグできますが、それらを使用すると非常に問題が生じます。テストセンターでは、（通常の試験を受けるUCとは異なり）実際にこれを厳密に監視します。はい、十分な時間はありません。同僚の一人が正しく指摘しているように、インターネットに接続されたコンピューターを持っていても、試験に合格するのにまったく役に立ちません。あなたの脳だけが降伏に必要な速度で働くことができます。

上記の内容が、滑りやすい詐欺の道に立ちたいというあなたの欲求を落胆させることを願っています。このレベルの正直な試験では、あなた自身をもう少し尊重することができます。

試験後

合格していない場合

CISSPは多くの場合、初めて合格しません。これについて殺す価値はありません。原則として、試験後、人々自身が合格しなかった理由を理解します。さらに、問題のあるトピックは試験レポートで強調表示されます。

最初の再受験は30日後に可能になり、その後間隔が長くなります。2回目-90日後、3回目-180回後。2回合格しなかった場合、何か間違ったことをしていることになります。もちろん、フォーラムでは、「今日5回目を借りていますが、もしそうでなければ、生活する価値があるかどうかわかりません」という精神で悲しい投稿があります。しかし、落胆してはいけません。通常、失敗後、人は自分が十分に教えていないことに気づき、2倍の力で勉強するために自分自身を利用し、2度目に降伏します。まあ、またはこのことをスローします。

合格した

あなたはまだCISSPではありません。あなたはCISSPアソシエイトです。この段階では、ルールはCISSPを任意の場所に呼び出すことを厳密に禁止しています。罰は、認証の生涯にわたる禁止です。

試験の数日後、テーマパーティや会議への参加、閉鎖された出版物の購読、「クラブ会員」向けのさまざまなサービスなど、あなたに開かれた多くの機会についておめでとうと説明を受け取ります。最後に最も興味深いのは、実際に、待望の証明書を取得する方法です。

試験は最初の段階にすぎず、認定資格自体がさらに開始されるという、軽率なコメントを何度も読みました。一対の紙のデザインにそのような厳soleさが必要だとは思いません。

ドメインごとの経験に関するデータ（これが主なことです-これが重要です）、教育、その他の認定、および出版物を含む英語で履歴書を書く必要があります。2番目の文書は、承認フォームです。履歴書からのデータを確認するだけでなく、一般的にあなたが立派で前向きな人物であることを確認する、現在のCISSPの署名が必要です。

再開データをさらに検証できます。たとえば、卒業証書のスキャンを依頼されました（情報セキュリティの高等教育は、3か月から5年に満たなかったため、1年以上の経験があります）。

必要な経験を積んでいない場合は、不足している1〜2年を取得するまで、CISSPアソシエイトの状態を維持できます。

認定サポート

CISSPステータスを維持するために、試験を再受験する必要はありません。代わりに、年間メンテナンス費用（AMF）を支払い、Continuing Professional Education（CPE）ポイントを獲得する必要があります。AMFは現在85ドルです。CPEは、専門分野でのトレーニング、会議への参加、専門文献の閲覧などのために提供されます。ほとんどのポイントは、情報セキュリティの分野で話すことと教えることに対して与えられます。3年間で少なくとも120 CPEを募集し、毎年少なくとも20 CPEを募集する必要があります。一見、これは多くのことのように思えますが、実際、職業で本当に働いているなら、これらのポイントを獲得することはそれほど難しくないことがわかります。

次は？

多くの人がCISSPに合格した後にこの質問をします。 「上」に直接のパスはありません。 そのクラスでは、この認定は大多数によって最高のものとして認められています。 したがって、あなたに関連する専門分野を開発することは論理的です。

（ISC）²にはCISSPの専門分野がいくつかありますが、私たちにはあまり人気がありません。

あなたが監査人または管理者である場合、ISACAからの認証の方向を見ることができます。 認定CISAとCISMはロシアで人気があり、有名です。 由緒あるCGEIT（エンタープライズITのガバナンス）とCRISC（リスクと情報システムの管理）を引き継ぐ人はいません。

ISO 27000、PCI-DSS、ITIL、COBITなどによる認証は、情報セキュリティの専門家（特に監査人）の間で非常に人気があります。 しかし、もしあなたがこれらの分野に携わっているなら、私のアドバイスは、あなたにとってすでに役に立たないと思います。

侵入テストの分野では、EC-CouncilからのCEH認証が一般的です。 侵入テストの珍しい専門家は、批判のスチームリンクでそれを歩いて自分のエゴを楽しませる誘惑を免れました。 ただし、CEHを一種のベースラインおよび方法論の集合（ジャーナリストがスキャンダラスなハックと0日間を必要とし、企業顧客が主に予測可能で再現可能なテストを必要とする）として認識している場合、それはまったく悪くありません。

ベンダー認定ラインは専門分野によって選択されます。 シスコとマイクロソフトからの情報セキュリティの分野で最も人気のある（偶然ではない）認定。 多かれ少なかれ大規模なベンダーは、独自の認定を持っています。

おわりに

材料は膨大であることが判明しましたが、CISSPの準備という困難な道を歩んだ人はそれを読む時間を見つけ、その結果、多くの時間を節約できると思います。

初めて合格してほしい。 そのためには、間違いからではなく、適切な教科書から学ぶ必要があります。 この記事がこれに少し役立つことを願っています。

私は質問に答えて、あなたの材料で記事を補うことをうれしく思います。



ヤンキンアンドレイ、CISSP