Экзамен CISSP: что нужно знать и подготовиться в 2023 году

Сертификация CISSP пользуется большим спросом в ИТ-индустрии. Обычно он предназначен для ИТ-специалистов, заинтересованных в получении дополнительной информации об информационной безопасности. Вот все, что вам нужно знать для подготовки к экзамену CISSP, включая стоимость и требования, а также практические вопросы.

Требования к экзамену CISSP

Кандидаты должны иметь не менее пяти лет прямого профессионального опыта работы в сфере безопасности в двух или более доменах (ISC)2 CISSP CBK, ИЛИ

Четыре года прямого профессионального опыта работы в области безопасности на полную ставку в двух или более из 10 областей CISSP CBK, а также четырехлетнее высшее образование или сертификация из утвержденного списка (ISC)2, ИЛИ

Если вам не хватает опыта, вы все равно можете стать партнером (ISC)2, сдав экзамен CISSP. У вас будет шесть лет, чтобы получить необходимый опыт, чтобы стать CISSP.

Следует отметить, что для образования доступно только однолетнее освобождение от стажа. Кроме того, наличие дополнительного сертификата в авторизованном списке (ISC)2 дает вам право на однолетнее освобождение от требования профессионального опыта. Действительный опыт включает в себя работу, связанную с безопасностью информационных систем, выполняемую в качестве специалиста-практика, аудитора, консультанта, исследователя или преподавателя, которая требует и включает прямое применение знаний в области информационной безопасности. Пятилетний опыт должен быть эквивалентен фактической работе в области информационной безопасности на полный рабочий день (а не просто обязанностям в области информационной безопасности в течение пяти лет); однако этот критерий является кумулятивным и может накапливаться в течение значительно более длительного периода времени.

Восемь доменов CISSP CBK

CISSP состоит из восьми тем или доменов, которые называются «Общим сводом знаний CBK». Это домены:

• Управление рисками и безопасностью
• Защита активов
• Архитектура и инженерия для безопасности
• Безопасность сети и связи
• Управление идентификацией и доступом
• Оценка безопасности и тестирование
• Операции безопасности
• Безопасность в разработке программного обеспечения

Профессиональный опыт CISSP включает, но не ограничивается:

• Работа, требующая особого образования или интеллектуальных достижений, обычно включающая гуманитарное образование или высшее образование.
• Работа, требующая привычного вспоминания набора знаний, которыми делятся с другими, выполняющими аналогичную работу.
• Управление проектом и/или надзор за другим персоналом.
• Наблюдение за работой других при минимальном контроле за собой.
• Занятость, которая требует использования суждений, принятия управленческих решений и осмотрительности.
• Работа, которая требует использования этического суждения (в отличие от этического поведения).
• Устное общение и творческое письмо.
• Наставничество, обучение, инструктирование и обучение других.
• Разработка и исследования.
• Спецификация и выбор контроля и механизма (т. е. технология идентификации и аутентификации) (не включает в себя простое действие этих средств контроля).

Примеры подходящих названий должностей включают в себя директора по информационным технологиям, директора, менеджера, супервайзера, аналитика, криптографа, кибер-архитектора, инженера по обеспечению информации, инструктора, профессора, лектора, исследователя, компьютерного ученого, руководителя программы, руководителя и так далее.

После сдачи экзамена CISSP учетные данные кандидата должны быть подтверждены другим CISSP с хорошей репутацией. Индоссант подтверждает заявления кандидата о профессиональном опыте. Если вы не можете найти уполномоченного лица, которое могло бы выступать в качестве индоссанта, (ISC)2 сделает это от вашего имени.

Почему вы должны сдать экзамен CISSP?

После того, как вы решили начать сертификацию CISSP, убедитесь, что вы добьетесь успеха. Выполнение тренировочного теста CISSP несколько раз является одним из проверенных 7 шагов в учебном пособии CISSP для полной подготовки к сертификационному экзамену CISSP. Сдача практического экзамена CISSP позволяет выявить свои недостатки и сильные стороны. Вы сможете определить, на какой области предмета CISSP вам нужно больше сосредоточиться, с помощью пробного экзамена CISSP. Если вы не набрали более 70% на пробных экзаменах CISSP, мы настоятельно рекомендуем вам записаться и пройти комплексную программу обучения сертификации CISSP.

Вопросы практического экзамена CISSP

Вопросы практического экзамена CISSP в этом разделе охватывают основные понятия в каждой из восьми областей, включенных в сертификационный экзамен CISSP. Вопросы практического экзамена CISSP включают ответы, а также обоснования, которые помогут вам лучше понять предмет. Эти примеры вопросов CISSP помогут вам ознакомиться с экзаменационными вопросами CISSP. Они также позволят вам закрепить свои знания и подготовиться к реальному экзамену CISSP, который скоро состоится.

Вопрос #1

Модель безопасности «Модель конечного автомата» требует, чтобы система была защищена во всех ее состояниях (запуск, работа и завершение работы), иначе система не будет защищена. Это требование требует реагирования на события безопасности, чтобы дальнейшие компрометации не могли быть успешными. Этот метод реагирования является примером какой концепции безопасности?

а. Открытый дизайн

б. Закрытый дизайн

в. Надежное восстановление

д. Наименьшие привилегии

Ответ: C

Trusted Recovery необходим для систем с высоким уровнем безопасности и позволяет системе безопасно завершать свои процессы. В случае сбоя системы она должна быть перезапущена в безопасном режиме, в котором не может произойти дальнейшая компрометация системной политики. Принцип открытой конструкции гласит, что безопасность механизма не должна зависеть от секретности его конструкции или реализации. В объектно-ориентированном программировании принцип открытого-закрытого гласит, что «программные объекты (классы, модули, функции и т. д.) должны быть открыты для расширения, но закрыты для модификации»; то есть такая сущность может разрешить расширение своего поведения без изменения исходного кода. Наименьшие привилегии — это концепция и практика ограничения прав доступа для пользователей, учетных записей и вычислительных процессов только теми ресурсами, которые абсолютно необходимы для выполнения рутинных законных действий.

Вопрос #2

Вирус Heartbleed недавно скомпрометировал OpenSSL, поскольку версии OpenSSL были уязвимы для попыток чтения содержимого памяти, что в конечном итоге привело к раскрытию защищенной информации, включая закрытые ключи поставщика услуг. Многие практики считают, что открытый дизайн лучше закрытого. Какое одно соображение обычно необходимо, чтобы позволить открытой конструкции обеспечить большую безопасность?

а. Экспертная оценка

б. Безопасность через неизвестность

в. Сложность дизайна

д. Надежная иерархия

Ответ: А

Часто считается, что открытый дизайн лучше, чем закрытый, поскольку открытость позволяет другим членам сообщества оценивать его. Идея состоит в том, что если у других есть доступ к коду, они помогут изучить и просмотреть код и, в конечном итоге, улучшить его. К сожалению, с OpenSSL этого не произошло. Если код не рецензируется, он также может быть закрытым исходным кодом. Кроме того, в конечном счете, качество кода определяет безопасность в гораздо большей степени, чем то, является ли он открытым или закрытым. Безопасность через неясность противоположна экспертной оценке и открытому дизайну, и ее также можно назвать сложностью дизайна. Иерархическая модель доверия похожа на перевернутую древовидную структуру, где корень является отправной точкой доверия. Все узлы модели должны доверять корневому ЦС и хранить сертификат открытого ключа корневого ЦС.

Вопрос #3

При использовании закрытых ключей проблема безопасности заключается в том, что закрытый ключ пользователя может быть утерян. Чтобы снизить этот риск, практикующий специалист может выбрать агента по восстановлению ключей, который может создавать резервные копии и восстанавливать свои ключи. Предоставление одному лицу возможности восстанавливать закрытые ключи пользователей увеличивает риск неотказуемости, поскольку другая сторона имеет доступ к ключу. Какой принципиальный выбор может быть реализован для снижения этого риска?

а. Разделение обязанностей

б. Принцип наименьших привилегий

в. Двойное управление

д. Надо знать

Ответ: C

Двойной контроль — это принцип безопасности, который требует присутствия нескольких сторон для выполнения задачи, которая может иметь серьезные последствия для безопасности. В этом случае, вероятно, лучше всего иметь по крайней мере двух сетевых администраторов, прежде чем можно будет восстановить закрытый ключ. Подмножество двойного управления называется M из N управления. M и N являются переменными, но этот элемент управления требует присутствия M из N администраторов для восстановления ключа. Разделение обязанностей — это концепция, при которой для выполнения важной задачи требуется более одного человека. Принцип наименьших привилегий (PoLP) относится к концепции информационной безопасности, согласно которой пользователю предоставляется минимальный уровень доступа или разрешений, необходимых для выполнения его рабочих функций. Принцип «необходимости знать» заключается в том, что доступ к защищенным данным должен быть необходим для выполнения рабочих функций пользователей.

Вопрос #4

На каком этапе разработки BCP высшее руководство должно взять на себя обязательство поддерживать, финансировать и помогать в создании BCP?

а. Инициация проекта

б. Планирование

в. Выполнение

д. Разработка

Ответ: А

Инициация проекта традиционно является фазой, на которой высшее руководство обещает свою поддержку проекту. Часто на этом этапе руководство предоставляет устав проекта, который представляет собой официальный письменный документ, в котором проект официально утверждается, выбирается и назначается руководитель проекта, а руководство берет на себя обязательство оказывать поддержку. Поддержка BCP со стороны руководства должна продолжаться на протяжении всего процесса разработки и включать обзор и обратную связь, а также ресурсы для успеха BCP.

Вопрос #5

Каков наиболее активный (и требующий минимальных усилий) способ снижения риска получения злоумышленником доступа к сети и использования анализатора протоколов для захвата и просмотра (анализа) незашифрованного трафика?

а. Реализуйте политику, запрещающую использование анализаторов/снифферов пакетов. Часто контролируйте сеть.

б. Периодически сканируйте сеть, чтобы определить, подключены ли неавторизованные устройства. Если такие устройства обнаружены, немедленно отключите их и предоставьте руководству отчет о нарушении.

в. Обеспечьте безопасность, например отключите порты и фильтрацию MAC-адресов на корпоративных коммутаторах, чтобы предотвратить подключение неавторизованных устройств к сети. Внедрите политики ограниченного использования программного обеспечения, чтобы предотвратить установку неавторизованного программного обеспечения в системах.

д. Установите антишпионское программное обеспечение на все системы в сети.

Ответ: C

Чтобы значительно снизить риски в сети, мы должны внедрить систему безопасности, которая ограничивает возможность подключения к нашей сети с внешних устройств. Кроме того, нас беспокоит программное обеспечение для мониторинга, устанавливаемое на наших хостах, поэтому мы хотим ограничить возможность установки такого программного обеспечения. Кроме того, мы хотим обеспечить выполнение других основных требований безопасности, таких как использование надежных паролей, политики блокировки в системах, физическая безопасность и т. д.

Помните: проактивные устройства ПРЕДОТВРАЩАЮТ атаку, а не реагируют на нее. Сканирование сети часто обнаруживает эти устройства, но редко предотвращает их. Политики описывают высокоуровневые намерения предприятия, которые затем могут быть реализованы. Установка антишпионского ПО является средством обнаружения/корректировки, а не упреждающим/превентивным.

Какова стоимость экзамена CISSP?

Плата за сертификацию CISSP делится на три части следующим образом:

Стоимость курса варьируется от 300 до 3200 долларов США.

Экзамен стоит 699 долларов США.

Время, необходимое для подготовки (скрытая стоимость): от 50 до 70 часов

Сертификация CISSP является более технической и всесторонней, чем некоторые другие доступные сегодня сертификаты информационной безопасности. Среди прочего, он касается управления рисками, управления безопасностью активов, управления доступом, обеспечения безопасности, тестирования безопасности и сетевой безопасности.

В результате вы можете ожидать, что вас наймут в качестве консультанта по безопасности, аудитора по безопасности, консультанта по безопасности или системного инженера безопасности после получения сертификата CISSP. Как CISSP вы будете создавать политики и процессы для защиты сетей информационной безопасности на работе. Вы будете интегрировать процессы, необходимые для защиты активов от внешних угроз, в ИТ-сети.

На самом деле CISSP — это ценная и захватывающая сертификация для ИТ-специалистов. Получив его, вы будете уверены, что заслужили доверие и одобрение, необходимые для успешного управления информационной безопасностью. В результате вы сможете развиваться в своей работе и зарабатывать больше денег.

Но сертификация не бесплатная. Слово «затраты на работу» может быть не самым подходящим. Вы будете инвестировать во что-то, что предоставит вам новые и улучшенные перспективы работы.

Всесторонний обзор стоимости экзамена CISSP

Стоимость сертификации CISSP: стоимость курса

Начнем со стоимости курса, которая включена в стоимость CISSP.

Первым шагом к получению сертификата CISSP является зачисление на курс сертификации CISSP. Самостоятельное обучение не рекомендуется и не эффективно для сдачи экзамена CISSP, поэтому вы должны пройти курс.

Содержание курса CISSP уникально по сравнению со многими другими ИТ-сертификатами. Он охватывает вопросы, которые редко обсуждаются или рассматриваются в повседневной работе ИТ.

В результате вы должны записаться на полный сертификационный курс CISSP. То есть курс должен комплексно охватывать все указанные темы. У вас также должен быть доступ к практическим материалам, таким как практические тесты CISSP и другая полезная информация, которая поможет вам подготовиться к экзамену.

Стоимость сертификационного курса CISSP зависит от страны и, в некоторых случаях, от города. Даже если вы будете искать цены на курсы CISSP в вашем регионе, вы обнаружите, что существует множество поставщиков услуг по обучению с различными ценовыми диапазонами.

Мы исследовали стоимость сертификационного курса CISSP в ряде стран, и результаты представлены ниже. В приведенной ниже таблице сравниваются низкие и высокие тарифы на курсы CISSP в разных странах.

Классные курсы CISSP

• США и Канада: 2000–2800 долларов США.
• Пакистан/Индия: 300–600 долларов США.
• ЕС: 2600–3200 долларов США.
• Саудовская Аравия/Объединенные Арабские Эмираты: 800–1300 долларов США.
• Австралия и Новая Зеландия: 2000–2600 долларов США.

Если вы хотите учиться в классной комнате, в вашем районе есть несколько учебных заведений CISSP. Они могут регулярно проводить обучение CISSP, а некоторые также могут проводить специализированное индивидуальное обучение.

Вы можете поговорить с ними о ваших альтернативах и выбрать лучший для вас. К сожалению, обучение CISSP в аудиториях непомерно дорого. Эта форма обучения намного дороже, чем онлайн-обучение в режиме реального времени или самостоятельное онлайн-обучение. В результате этот тип обучения может увеличить общую стоимость экзамена CISSP.

Самостоятельное онлайн-обучение

В дополнение к обучению в классе, классы CISSP доступны онлайн для самостоятельного обучения. Это отличный выбор для людей с ограниченной доступностью в дневное время и напряженным графиком работы. Благодаря самостоятельному онлайн-обучению вы можете смотреть видеокурсы в любое время. Вы также не обязаны посещать учебное заведение. Мы предлагаем сертификационное обучение CISSP.

Стоимость самостоятельного онлайн-обучения CISSP существенно различается. Курс CISSP стоит 300 долларов, хотя иногда его предлагают за 900 долларов.

Вы заметили изменение цен? Поскольку онлайн-курсы для самостоятельного обучения дешевле, чем обучение в классе и даже онлайн-обучение в режиме реального времени, выбор этого варианта приведет к снижению общей стоимости сертификационного экзамена CISSP. Следовательно, если вы считаете, что этот метод обучения идеально подходит для вас, он также стоит денег.

Онлайн-обучение в прямом эфире

Многие учебные заведения также предлагают курсы CISSP. На живом курсе вы можете быть единственным в комнате, или с вами могут быть другие студенты онлайн. Это будет интерактивная сессия, где вы сможете задавать вопросы и получать оперативные ответы.

Стоимость живых онлайн-уроков также существенно различается. Онлайн-курс обучения CISSP может стоить от 600 до 1500 долларов США.

Плата за сертификационный экзамен CISSP

Плата за экзамен является вторым компонентом платы за сертификацию CISSP. Экзамен CISSP в настоящее время стоит 699 долларов. Эта цена изменится 1 мая 2022 года. После этой даты плата за новый экзамен CISSP увеличится с 699 до 749 долларов США.

Независимо от того, где вы подаете заявку на экзамен, плата будет одинаковой. PearsonVue, авторизованный центр тестирования ISC2, предоставляет все экзамены ISC2. Чтобы зарегистрироваться на экзамен, вы можете заплатить PearsonVUE через Интернет или в одном из их франчайзинговых магазинов в вашем районе.

Стоимость сертификационного экзамена CISSP: время на подготовку

Время, потраченное на подготовку к экзамену CISSP, не включено в сертификационный сбор CISSP. С другой стороны, время, которое вы тратите на подготовку к экзамену, будет стоить вам денег.

Время — деньги, и вам может потребоваться до 70 часов, чтобы полностью подготовиться к экзамену CISSP. Для подготовки к экзамену ИТ-специалисту может потребоваться от 50 до 60 часов, а человеку без обширного опыта в области ИТ может потребоваться от 60 до 70 часов.

Сколько времени потребуется для завершения планирования? Это риск! Все зависит от того, сколько времени у вас есть каждый день или неделю для подготовки к экзамену CISSP. Люди закончили свою подготовку всего за один месяц и до шести месяцев.

Дополнительные критерии, такие как предыдущий опыт работы, уровень квалификации и желание пройти сертификацию как можно быстрее, определяют, сколько времени потребуется для прохождения ваших курсов.

В результате вы потратите много времени на подготовку к экзамену CISSP. Считайте, что это время входит в стоимость сертификации CISSP.

Является ли CISSP сложным экзаменом?

Это сложный экзамен. Хотя показатели прохождения CISSP не обнародуются, широко распространено мнение, что они значительно ниже 50%.

Могу ли я сдать CISSP за 3 месяца?

Если вы хотите сдать экзамен CISSP за 3 месяца, вы можете выбрать расширенный вариант (3 месяца и более, 2 часа в день, с упором на выходные). Не пропустите ни одного материала во время изучения, потому что вы можете упустить что-то, что вам нужно будет знать позже.

CISSP для начинающих?

CISSP не для новичков. CISSP создан для экспертов по безопасности, которые некоторое время работали в этой области, в настоящее время заняты в роли, связанной с информационной безопасностью, и хотят узнать о лидерстве и операциях в области кибербезопасности.

Сколько лет действует CISSP?

Сертификат CISSP действителен в течение трех лет.

В заключение,

CISSP является всемирно признанной сертификацией в области информационной безопасности. В современном мире большим спросом пользуются профессионалы, хорошо разбирающиеся в том, как защитить ИТ-активы, приложения и информацию от атак. CISSP являются наиболее квалифицированными специалистами для решения проблем информационной безопасности.

В этом посте обсуждались три компонента платы за сертификацию CISSP: плата за курс CISSP, стоимость экзамена CISSP и время подготовки.

У вас будет четкий финансовый план и график обучения для вашей будущей профессии, если у вас есть предполагаемые затраты на получение сертификата. С наилучшими пожеланиями!

Статьи по теме

1. Являются ли экзаменационные дампы лучшим средством подготовки к Certbolt Cisco 300-420 ENSLD?
2. КОМПАНИИ СЕТЕВОГО МАРКЕТИНГА: Топ лучших компаний (обновлено)
3. КАК СТАТЬ СЕРТИФИЦИРОВАННЫМ УПРАВЛЕНЧЕСКИМ БУХГАЛТЕРОМ: Подробное руководство
4. Контрольный список страхования жизни: что вам нужно, чтобы получить страховое покрытие в 2023 году
5. СЕРТИФИКАЦИЯ GOOGLE ADS: подробный обзор

Рекомендации

• Forbes.com
• Блог.masterofproject.com
• Simplelearn.com
• Passemall.com