悪魔は彼が説明するほどひどいものではなく、CISSPの試験を受けた方法もありません

CISSP（Certified Information Security Systems Professional）は、セキュリティ業界の「ゴールドスタンダード」に属し、長い間IT認定のトップの1つです。

認証の難しさ

認定の初期要件は非常に高いため、恐らくこれは多くの人を驚かせます：CISSPがカバーする8つのドメインのうち少なくとも2つ（以下のドメインについて）で少なくとも5年の実証済みのセキュリティエクスペリエンス。



試験は本当に難しいです。 それ以前は、12のMicrosoft認定資格を取得していましたが、複雑さや知識レベルの要件という点では近くありませんでした。 CISSPには、資産の物理的な保護からエンタープライズレベルの企業でのセキュリティ管理まで、セキュリティに関するかなり幅広い知識が必要です。



これらの困難はすべて、認証自体の品質と価値に影響します。



海外ではこれがしばしば高い技術的地位の前提条件ですが、私たちはそのような証明書を「指で」見ています。 おそらく、ビジネスを行うというサービスモデルは、一定の成長に関する認証への態度を台無しにしてしまったのです。多くの場合、新しい機能形態は、セキュリティを含むシステムの非機能属性よりも望ましいです。

認定が与えるもの

ITでの15年の経験のうち、そのうちの約7-8はセキュリティ（高度なセキュリティアーキテクチャの開発、Webセキュリティ分析、手動侵入テスト、独自のIDS（侵入検知システム）の開発、ライブシステムセキュリティ管理、コンサルティング）に密接に関連しています。 そして、セキュリティに関しては、売り手と顧客は同じ質問を「あなたはどのようにあなたの経験を確認できますか」と尋ねました。 つまり、認証から最初に受け取ったのは、 セキュリティの分野における専門知識の証拠が利用可能であったことです 。



驚くべきことに、西側諸国（特にイギリス）での証明書に対する態度はまったく異なります。 彼らは自分たちの強さを信じており、開発者と管理者がすぐに先のとがった質問をしたり、この認定に関する知識について話したりするのは驚くべきことでした。 現在、売り手は、いずれにせよ、便利かどうかに関係なく、公認のCISSPスペシャリストがいることを常に覚えています。 つまり、認証自体がマーケティングの一部になりました 。



一般的にセキュリティについて話す。 個々の技術的な詳細を知るだけでは十分ではありません。現代の状況では、セキュリティ自体の管理に関する知識が必要です。 リスク評価と管理、脅威モデリング、マルチレベル保護、セキュリティ標準とフレームワーク、ビジネス継続性と災害復旧計画、多数のポリシー、ガイドライン、手順などに変換されるデータ分類レベル。 同じGDPR（一般データ保護規則）によると、この規則を順守していることを文書化できない場合、システムがどれだけうまく構築されているかは関係ありません。 私はすでにこのすべてのビジネスに精通していましたが、CISSPは標準とその要件に関する情報を構造化するのに役立ちました。



もう一つの重要なポイント-試験自体の準備により、毎日必要ではなく、忘れられている知識を更新することができます。 ECB、CBC、CFB、OFB、CTRのいずれの場合に最適な対称暗号化モードをすぐに思い出せるのは誰ですか？ メッセージの整合性を確保するためのHMAC、CBC-MAC、およびSMACの違いは何ですか？ ここで私はそれについてです。 主なことは、これを覚えさえすることではありません（ただし、試験には必要です）が、正しい決定を下すためにどこを調べるべきかを将来知る必要があります。 よく忘れられた知識を「思い出す」ことは時々役に立ちます。

ドメイン

上記のように、CISSPは8つのセキュリティドメインを対象としています。



ドメイン＃1。 セキュリティとリスク管理-セキュリティ標準とフレームワーク（ISO / IEC 27000、ITIL、SABSA、COBIT、NIST、...）、規制と行為（GDPR、PCI DSS、HIPAA、愛国者法、...）、機密性、リスク管理フレームワーク（ISO 31000、COSO、NIST）。 要するに、世界の慣行と安全基準に関連するすべてのもの。



ドメイン＃2。 資産セキュリティ-データ分類、データライフサイクル、組織の責任レベル、データストレージポリシー、データ保護および削除戦略。



ドメイン＃3。 セキュリティエンジニアリング-暗号化、キー管理システム、オペレーティングシステムの保護メカニズム、データアクセスモデル、建物の物理的保護



ドメイン＃4。 通信とネットワークセキュリティ-ネットワークトポロジと標準、ネットワーク保護、チャネル保護、脅威とネットワーク攻撃、通信セキュリティ管理。



ドメイン＃5。 IDおよびアクセス管理-物理的および論理的アクセス制御、アクセスシステムとその管理、生体認証アクセス、アクセスシステムへの攻撃、侵入検知および防止システム。



ドメイン＃6。 セキュリティ評価とテスト-セキュリティ分析、侵入テスト、脆弱性、データバックアップ、不測の事態が発生した場合のビジネスリカバリ、レポートの編成を実施する方法。



ドメイン＃7。 セキュリティオペレーション-セキュリティインシデントの調査、物理的保護管理、インシデント管理システム、変更管理、インシデント発生時のビジネス回復戦略。



ドメイン＃8。 ソフトウェア開発セキュリティ-開発プロセスに組み込まれたセキュリティ慣行、変更および構成管理、リポジトリ保護。 このドメインでは、私にとって最も簡単でした。かつて、複数の企業のサービスビジネス用に独自のSDLCを開発しました。



ご覧のように、認証自体は非常に広い範囲のセキュリティを対象としており、管理、コスト、プロセス、および安全基準に大きく関係しています。

降伏体験

次に、変更自体の手順について少し説明します。



1.経験と資格を確認する既存のCISSPを見つける

証明書を提出する前に、経験を保証する準備ができている既存の認定CISSPスペシャリストからの参照が必要です。 これに問題がある場合は、ISC2からリクエストできます。



2. Pearson VUEでオンライン試験を購入する

キエフ、ビリニュスのモスクワにあるCISSP配信の最寄りの認定センター。 選択肢はモスクワに落ちました。



3.試験の準備

主な情報源は、CISSPオールインワン試験ガイド、第7版です。 それを読んで、あなたが試験に合格できることを自慢しないでください：

• 1300ページのテキストに多くの略語が含まれています
• インターネット上でさらに多くの瞬間を検索する必要がありました
• 試験では、本の短い文章で言及された質問を覚えています

このソースは何に適していますか：

• 構造化された情報と優れたプレゼンテーション
• 本当に試験志向
• 各ドメインの最後に確認する質問のリストがあります
• セキュリティ上の懸念がある場合でも参考書として機能します

いくつかの推奨事項：

• 最初はすべて英語で読む
• 試験に出題される質問を見つけて暗記しようとしないでください-質問は絶えず混合されています。 締め切りの終わりには、誰も質問のリストを提供しません
• 倫理綱領を学ぶことを忘れないでください、いくつかの質問がそれにあります

4.試験に合格する

変更の前日にモスクワに到着しました。 ホテルワルシャワは試験会場と同じ建物内にあります。 到着から深夜まで、質問のリストを作成しました。 よく眠れるように勧めるかどうかはわかりません-これは純粋に個人的な瞬間です。



チェンジセンターでは、すべてが深刻なものです。指紋を取り、ポケットを検索し、ビデオを撮影します。 耳栓を拒否しない方が良いです;他の人は近くの試験に合格します。 6時間、250の質問が試験に割り当てられます。 それは質問ごとに2分未満です。 したがって、質問を未回答のままにしないことをお勧めします;質問に戻る時間がない場合があります。 あなたの経験と直感に頼ってください。 自信がない場合は、自分で質問にマークを付けることができます。



試験の詳細：提案された回答リストでは、すべての回答が正しい場合がありますが、最も適切なものを選択する必要があります。 したがって、「反対の」方法が常に機能するとは限りません。 最も重要な資産は常に人命です。 したがって、答えで彼女を見たらすぐに、彼女を選択してください。



5時間半で処理されます。 私は完全には定かではないが、ほとんど何も変えなかった答えをたどろうとしました。



答えはすぐに与えられます-合格かどうか。 少なくとも75％の質問に正しく答える必要があります。 合格した場合、正解した質問の割合さえも言われません。



その瞬間、私がパスしたおめでとうございますは、私には全く何の意味もありませんでした-感情的および知的疲労が影響を受けました。 好きで喜んでいたかったし、できなかった。 しかし、時間の経過とともに、意識が高まってきました。



5. CISSP認証

試験に合格すると、旅の途中になります。 次に、経験を確認する必要があります-少なくとも2つのドメインで少なくとも5年。 さらに、文書で確認する必要があります。契約のコピーまたは役職が示されているワークブックを提供する必要があります。



過去7年間、私は最高技術責任者として働いてきました。 別の文書で、彼は8つのドメインすべてを詳細に描き、それぞれのクールさの順に並べました。 残りのスキャンとともにアプリケーションフォームに追加されたドキュメント。 フォームでは、全体の経験を簡単に説明しました。



経験の最初の確認は、ポイント1からCISSPによって行われる必要があります。 さらに、委員会（ISC）²は、提供された情報を再度確認し、CISSPの称号を授与する価値があるかどうかを結論付ける必要があります。最大6週間かかります。



2017年12月12日に彼は試験に合格し、2018年2月13日にのみ委員会が認定を確認しました。



6.アクティブ状態のCISSP証明書をサポートする

また、認証だけでは十分ではありません。アクティブな状態を維持する必要があります。 毎年、一定量の継続教育（CPE）クレジットを提出する必要があり、証明書自体のサポートには年間約85米ドルの費用がかかります。

おわりに

• 必要かどうかはわかりませんが、現代の規制（同じGDPR）では、データを保護するための技術的および組織的な対策が必要であるため、セキュリティ管理の問題はすべての人に影響します。
• 突然の認証には非常に優れた準備が必要です。
• セキュリティの専門知識（他のような）に終止符を打つことはできません。これは絶えず成長しています
• 「悪魔は彼について説明するほどひどいものではありません。」 主なものは欲望です。

デニス・コロシュコ