Pull to refresh

Comments 33

Многое напоминает сдачу PMP =)
Кстати, сколько стоит сам экзамен?
Думаю, подготовка к CISSP похожа на многие «хардкорные» экзамены: та же CISA, отчасти CCIE и т.п. Наверное, и PMP тоже.

Экзамен я заказывал за $599 через сайт Pearson VUE.
Спасибо за статью, весьма интересно.
Хочу заметить, что CISA — это аудитор информационных систем, а не конкретно информационной безопасности, серьезного погружения в ИБ там нет.
Спасибо!
Вы абсолютно правы насчет CISA. Привык на все смотреть со своей ИБ-колокольни. Действительно, сама сертификация шире и ее получают не только ИБ-аудиторы. Сейчас подправлю формулировки в тексте.
Второй документ — Endorsement form. В нем должна стоять ссылка действующего CISSP, подтверждающего данные из вашего резюме, а также в целом то, что вы человек достойный и положительный.


разъясните, плз, подробнее, что за ссылка
Казалось бы, 20 раз перечитал, а этого не заметил. Описался: требуется подпись.

Форма может быть подписана вручную (отправляется скан) или при помощи ЭЦП. Самый лучший вариант, если CISSP, который за вас ручается, является вашим коллегой. Тогда ему несложно подтвердить данные вашего резюме без лишних телодвижений.
UFO just landed and posted this here
Спасибо!

Когда писал статью, старался вспоминать, какую информацию сам искал при подготовке. Поэтому, надеюсь, она и вам пригодится.
Сертификация толковая, рекомендую:)
OMG, я единственный CISSP из Беларуси. Сдавал ещё на бумаге (:
В принципе сейчас особых проблем не вижу в здаче чего либо. Я против дампов, но в любом случае перед сертификацией можно просто попробовать свои силы на тестах с примерной одинаковой сложностью с реальными и узнать готов ли ты к сертификации. exambraindumps.com/exam-list/Cisco.html тут много тестов для циско, можно треннироваться :)
Спасибо за пост, полезное чтиво, хорошо написано.

Как раз сейчас изучаю литературу и хотелось бы немного дополнить.
Мне не очень нравится, как Харрис растекается мыслью по древу. По ее книге изучил два домена и понял, что такими темпами за год не успею (у меня нет возможности выделять по 6-8 часов на выходных, да и ночью после работы спать хочется). Поэтому первое, куда я посмотрел — CBK. Почти на 500 страниц меньше, практически только факты. Затем наткнулся на книгу автора Eric Conrad. И вот Эрик, с его 600 страницами мне больше всего понравился. Его труд похож на набор лекций преподавателя университета, ничего лишнего. Также можно обратить внимание на книгу CISSP for Dummies. Не стоит плеваться на нее, исходя из серии, в которой она выпущена. Это реальный конспект. Тупо конспект. Для того, чтобы быстро освежить память или найти подзабытую реализацию технологии.

На данный момент я делаю так:
* основной материал — Эрик Конрад; изучаю домен, прохожу тесты, выявляю пробелы, смотрю, действительно ли нет этих данных у Конрада (редко такое бывает)
* литература для внеклассного чтения — Харрис или CBK; если мало знаком с принципами организации чего-либо, то просвещаюсь там, да и просто интересно

Почему так:
1. Реально надоедает читать у Харрис 5 страниц про то, как работает FTP-сервер.
2. У Харрис очень много абстракций, растянутых на большое количество страниц. Обычно главу из книги Харрис я успешно конспектирую на одну-две тетрадных страницы с использованием схем.
3. После перехода на Конрада я не заметил особого снижения качества ответов на пробные тесты, но заметил хороший прирост по производительности.
Спасибо за развернутый комментарий!

Эрика Конрада часто хвалят именно за то, что он пишет «по делу». В противоположность Шон Харрис. Тут дело вкуса. Меня лично не очень напрягали ее лирические отступления, а какие-то главы я просто пробегал наискосок. Шон пытается объяснить подробно все для читателей разного уровня. Вас напрягло объяснение работы FTP-сервера, а для кого-то главы про датчики движения и огнетушители могут показаться очевидными и излишне подробными. Развернутые примеры помогают запоминать сухие концепции и классификации гораздо легче.
В защиту трудов Харрис можно сказать и то, что очень многие с первого раза сдают экзамен, прочитав только ее книгу и ничего более. Это хороший аргумент в ее пользу.

Ваш подход (Конрад + внеклассное чтение) кажется мне удачным. Налегайте на пробные вопросы и оставьте побольше времени на повторение в самом конце — и сертификация ваша.
Приятной подготовки и удачи на экзамене!
Не стоит говорить что-то «в защиту», потому что я ни в коем случае не умаляю заслуг Шон Харрис.

Просто для практиков (к которым я отношусь), большая часть этой книги известна (и с университетской скамьи, в частности), и напрягает впитывать ее слова, так как ты знаешь, что будет дальше. А вот те области, в которых опыта маловато, имхо, следует обязательно прорабатывать через учебник Харрис (правда я все равно читаю Эрика для затравки).

А известность/неизвестность я проверяю так: захожу в блог к Орлову и прохожу тест по домену, который собираюсь изучать. Если ответил правильно хотя бы на половину вопросов, значит все в порядке, можно смело читать Конрада и по возможности разбавлять дополнительной литературой. В противном случае — дополнительная литература обязательна.

Книга Харрис, действительно, рассчитана на широкий круг читателей разного уровня подготовленности. Но в современных условиях обучение по ее книге для меня будет либо слишком долгим, либо я его вообще не закончу.
Справедливо.
Вероятно, меня не напрягала Харрис, потому что ее я читал до подготовки совершенно расслабленно, просто как интересную книжку. Затем использовал ее последние издание для прояснения моментов, которые не до конца понял в официальном гайде.

Вопросы от Шон (в блоге Орлова) неплохие, но не так похожи на настоящие вопросы экзамена, как вопросы от cccure.org. Тем не менее, для того чтобы определить свой уровень подготовки по домену до прочтения, думаю, они вполне подходят.
Вопросы Орлова, скажем так, на уровень ниже, чем cccure, но они еще и на русском, что понижает их сложность еще на уровень =)

Кстати, такой момент интересует.
Вот я часто читаю (и ваша статья не исключение): «времени на подготовку было впритык» / «я еле успел» / «я не успел».

Заказывать дату экзамена следует заранее? И на сколько заранее в таком случае ее следует заказывать? Или это просто у многих так выходит? :)

И еще…

Вы пишете, что нужна оценка опыта действующим CISSP (я, кстати, насчет действующего CISSP ни разу не заметил на оф. сайте, за что вам отдельное спасибо =) ), и если у меня такового нет, то мне его подберет ISC2. Вы не знаете, как происходит процедура оценки подобранным CISSP? =)
Вы просто читаете мои мысли: как раз подумал о том, что надо было в статье это отметить.
Раньше сдача была на бумаге пару раз в год. Записывались заранее на случай нехватки мест. Поэтому тогда не успевать было легко: дата была четко определена.
Сейчас же реально зарегистрироваться в последний момент. Но мое мнение на этот счет следующее: первое, что вы должны сделать при подготовке, это прикинуть план работы и заказать экзамен. Конкретная дата очень бодрит и не дает расслабиться. Иначе подготовка может затянуться навечно. Пока повторяешь один домен, другой уже начинает забываться.

По поводу оценки CISSP:
Я и мои знакомые не пользовались услугами ISC2 по поиску CISSP для поручительства. Да и судя по форумам, большинство находят таких специалистов среди коллеги или знакомых. У вас совсем никого нет?
CISSP должен подтвердить данные, которые вы предоставили. То есть он должен уметь читать на русском, иметь возможность поговорить с вашим прошлым/нынешним работодателем и т.п.
Ага, теперь все ясно ))))

Он говорит с работодателем! А я-то думаю, где я найду CISSP, с которым я 4 года по 2-м доменам проработал. Туман рассеялся.

А насчет конкретной даты… Мне спешить особо некуда: даже с учетом года скидки за диплом, у меня еще одного года не хватает ))))
Да, такого близко знакомства с ручающимся за вас CISSP не требуется:)
Например, мой босс, когда сдавал CISSP, попросил поручиться за него коллегу из Cisco (он как раз незадолго до этого сдавал CCIE Security да и вообще плотно общался с ребятами из этой компании). Это вполне нормальная практика.
>>Раньше сдача была на бумаге пару раз в год. Записывались заранее на случай нехватки мест.

могу предположить, что «раннее бронирование» еще давало возможность получить некоторую скидку при оплате экзамена
Кстати, насчет «другой начинает забываться».

Я делаю так: после прохождения домена и удовлетворительного прохождения тестирования по домену генерирую вопросник на основе всех пройденных доменов и повторяю изученное, благо система тестирования позволяет выбрать не все, а только некоторые домены.
Я тоже делал что-то подобное.
Вы используете cccure.org, диск Харрис или что-то еще?
1) тесты от cccure.org (которые freepracticetests.org)
2) вопросы из книг по доменам (Харрис, CBK)
3) диск Харрис пока не открывал
4) периодически активно гуглю интернет на предмет «cissp test examples», бывает, попадаются интересные материалы, а бывает откровенная лажа =)
5) есть много книг типа «2500 вопросов CISSP», «CISSP Exam Cram», но я пока в них не заходил
6) не заморачиваюсь по поводу «это старые вопросы, лажа», считаю, что нужно иметь прочный фундамент, а фундаментальные знания редко меняются, поэтому, на мой взгляд, материалов более чем достаточно =)

Для вопросов, которые не в интерактивном виде сделал небольшой интерактивчик в экселе (кидаю туда свои ответы, он мне считает балл).
Когда-то в блоге Дмитрия Орлова была возможность скачать перевод 5-го издания книги Шон Харрис «CISSP All-In-One Exam Guide»в PDF-формате.
Спустя некоторое время Дмитрий удалил ссылку на PDF из каких-то соображений.
Но в интернетах ничего не пропадает совсем и навсегда )
Соображения Дмитрия ясны. Однако книгу в PDF найти действительно все еще можно.
По моему мнению, Дмитрию за этот труд надо поставить памятник.
На linkdin развернулась интересная дискуссия, там же в комментариях дали ссылку на презентацию «WHY YOU SHOULD NOT GET A CISSP?», информацию из которой можно применить к системе сертификации в целом.
Андрей, можете прокомментировать?
Спасибо за ссылку на презентацию. Добавлю в статью, как пример критики сертификации.

По сути дискуссии:
В США не случайно такое количество CISSP. Там эта сертификация является обязательной для многих позиций в области ИБ в коммерческом секторе и особенно в государственном. Как наши чиновники не могут занять определенную позицию без корочки о высшем образовании, так и у них с сертификатом CISSP. У меня лично это вызывает уважение к их гос. структурам.
Коллеги обсуждают в начале, что лучше сдать, чтобы иметь успех при поиске работы. Сравнивают Comptia Sec +, CISSP и т.п. Данная дискуссия практически не актуальна для России и СНГ. У нас требование по наличию сертификата CISSP, тем более обязательное, встретить в описании вакансии непросто, тем более для госов.
Графики и цифры анализа рынка труда, которые приводятся в презентации как аргументы против CISSP, — просто мечта для России. Если бы у нас было что-то подобное, то число сертифицированных спецов измерялось бы тысячами.

Все детали холливара в LinkdIn комментировать, думаю, смысла нет. О таких битвах я писал в статье. Их наличие лишний раз доказывает популярность сертификации.

Надеюсь, я ответил на ваш вопрос. Если вы хотите, чтобы я прокомментировал еще какие-то моменты данной дискуссии, — не проблема. Укажите, что именно вам интересно.
Поздравляю, коллега!
Я сдал в июле 2012, номер 182 по РФ.
Готовился по Конраду и Харрис. Подтверждаю, что Конрад более сжат и эффективен, но зато Харрис читается веселее.
Поздравления! Well done, как говорят наши забугорные друзья:)

Если есть какие-то мысли/советы по теме материала, рад буду добавить в статью.
Да, в общем-то, все очень хорошо описано. Мне не хватало такой статьи год назад :)
Спасибо! Та же мысль была, поэтому и решил ее подготовить:)
Как оцениваете этот сертификат через 4 года? Польза осталась?
Интересный вопрос, заставил задуматься. За это время были и другие сертификации, но до сих пор субъективно CISSP кажется самым обстоятельным и объемным. Продолжаю рекомендовать коллегам сдавать его. Недавно смотрели: число действующих CISSP в России перевалило за 200. По мировым меркам не ахти, но тенденция не может не радовать.
Sign up to leave a comment.