Іспит CISSP: що ви повинні знати та підготуватися до 2023 року

Сертифікація CISSP користується великим попитом в ІТ-індустрії. Зазвичай він призначений для ІТ-фахівців, які бажають дізнатися більше про інформаційну безпеку. Ось усе, що вам потрібно знати, щоб підготуватися до іспиту CISSP, включаючи вартість і вимоги, а також практичні запитання.

Вимоги до іспиту CISSP

Кандидати повинні мати принаймні п’ять років прямого досвіду роботи в галузі безпеки на повний робочий день у двох або більше доменах (ISC)2 CISSP CBK, АБО

Чотири роки безпосереднього професійного досвіду роботи з безпеки на повний робочий день у двох або більше з 10 доменів CISSP CBK, а також чотирирічний диплом про вищу освіту або сертифікат із затвердженого списку (ISC)2, АБО

Якщо у вас бракує досвіду, ви все одно можете стати асоційованим спеціалістом (ISC)2, склавши іспит CISSP. У вас буде шість років, щоб отримати необхідний досвід, щоб стати CISSP.

Слід зазначити, що для навчання можливе звільнення лише від одного року досвіду. Крім того, володіння додатковим сертифікатом у списку авторизованих (ISC)2 дає вам право на один рік звільнення від вимог щодо професійного досвіду. Дійсний досвід включає роботу, пов’язану з безпекою інформаційних систем, яка виконується в якості практикуючого спеціаліста, аудитора, консультанта, дослідника або викладача, яка вимагає та передбачає безпосереднє застосування досвіду інформаційної безпеки. П’ятирічний досвід має бути еквівалентним фактичній роботі з інформаційної безпеки на повний робочий день (а не просто обов’язки з інформаційної безпеки протягом п’ятирічного періоду); однак цей критерій є кумулятивним і може накопичуватися протягом значно більш тривалого періоду часу.

Вісім доменів CISSP CBK

CISSP організований у вісім тем або доменів, які називаються «загальним набором знань CBK». Це домени:

• Управління ризиками та безпекою
• Захист активів
• Архітектура та інженерія для безпеки
• Безпека мережі та зв'язку
• Управління ідентифікацією та доступом
• Оцінка та тестування безпеки
• Операції безпеки
• Безпека в розробці програмного забезпечення

Професійний досвід для CISSP включає, але не обмежується:

• Робота, яка потребує певної освіти або інтелектуальних досягнень, як правило, включає вільну освіту або ступінь коледжу.
• Робота, яка потребує звичного пригадування сукупності знань, якими ділиться з іншими, які виконують подібну роботу.
• Управління проектом та/або нагляд за іншим персоналом.
• Нагляд за роботою інших, працюючи з мінімальним наглядом за собою.
• Зайнятість, яка потребує використання суджень, прийняття управлінських рішень і розсудливості.
• Працевлаштування, яке потребує використання етичних суджень (на відміну від етичної поведінки).
• Усне спілкування та творче письмо.
• Наставництво, навчання, інструктування та навчання інших.
• Розробка та дослідження.
• Управління та специфікація та вибір механізму (тобто технології ідентифікації та автентифікації) (не включає просте функціонування цих елементів керування).

Приклади відповідних назв посад: CISO, директор, менеджер, супервайзер, аналітик, криптограф, кіберархітектор, інженер із забезпечення інформації, інструктор, професор, лектор, дослідник, комп’ютерний науковець, менеджер програм, керівник тощо.

Після здачі іспиту CISSP повноваження кандидата повинні бути підтверджені іншим CISSP з хорошою репутацією. Індосант підтверджує твердження кандидата про професійний досвід. Якщо ви не можете знайти особу з повноваженнями, яка виступатиме в якості індосанта, (ISC)2 зробить це від вашого імені.

Чому вам варто здавати іспит CISSP?

Після того, як ви вирішили розпочати сертифікацію CISSP, переконайтеся, що ви досягли успіху. Виконання практичного тесту CISSP кілька разів є одним із перевірених 7 кроків у навчальному посібнику CISSP для повної підготовки до сертифікаційного іспиту CISSP. Складання практичного іспиту CISSP дозволяє виявити свої недоліки та сильні сторони. За допомогою практичного іспиту CISSP ви зможете визначити, на якому предметі CISSP вам потрібно більше зосередитися. Якщо ви не набрали більше 70% результатів практичних іспитів CISSP, ми настійно рекомендуємо вам зареєструватися та пройти комплексну програму сертифікації CISSP.

Запитання до практичного іспиту CISSP

Питання практичного іспиту CISSP у цьому розділі охоплюють основні поняття в кожній із восьми областей, включених до сертифікаційного іспиту CISSP. Питання практичного іспиту CISSP містять відповіді, а також обґрунтування, які допоможуть вам краще зрозуміти тему. Ці зразки запитань CISSP допоможуть вам ознайомитися з питаннями іспиту CISSP. Вони також дозволять вам посилити знання та підготуватися до справжнього іспиту CISSP, який незабаром відбудеться.

Питання #1

Модель безпеки «Модель кінцевого автомата» вимагає, щоб система була захищена в усіх своїх станах (запуск, робота та завершення роботи), інакше система не є безпечною. Ця вимога вимагає реагування на події безпеки, щоб подальші компроміси не були успішними. Цей метод реагування є прикладом якої концепції безпеки?

a. Відкритий дизайн

b. Закритий дизайн

в. Надійне відновлення

d. Найменший привілей

Відповідь: С

Функція Trusted Recovery необхідна для систем із високим рівнем безпеки та дозволяє системі безпечно завершувати свої процеси. Якщо система аварійно завершує роботу, її необхідно перезавантажити в безпечному режимі, у якому неможливе подальше порушення системної політики. Принцип відкритого проектування стверджує, що безпека механізму не повинна залежати від секретності його проекту або реалізації. В об’єктно-орієнтованому програмуванні принцип відкрито-закритості стверджує, що «програмні сутності (класи, модулі, функції тощо) мають бути відкритими для розширення, але закритими для модифікації»; тобто така сутність може дозволити розширювати свою поведінку без зміни вихідного коду. Найменший привілей — це концепція та практика обмеження прав доступу для користувачів, облікових записів і обчислювальних процесів лише до тих ресурсів, які абсолютно необхідні для виконання рутинних законних дій.

Питання #2

Вірус Heartbleed нещодавно скомпрометував OpenSSL, оскільки версії OpenSSL були вразливі до спроб читання вмісту пам’яті, що зрештою призвело до розголошення захищеної інформації, включаючи закриті ключі постачальників послуг. Багато практиків вважають, що відкритий дизайн кращий, ніж закритий. Що зазвичай необхідно врахувати, щоб відкритий дизайн забезпечував більшу безпеку?

a. Експертна оцінка

b. Безпека через невідомість

в. Складність конструкції

d. Довірена ієрархія

Відповідь: A

Відкритий дизайн часто вважають кращим, ніж закритий, оскільки відкритість дозволяє переглядати інші члени спільноти. Ідея полягає в тому, що якщо інші мають доступ до коду, вони допоможуть вивчити та переглянути код і, зрештою, покращити його. На жаль, з OpenSSL це не так. Якщо код не перевірено, це також може бути закритим джерелом. Крім того, зрештою якість коду визначає безпеку, набагато більше, ніж те, відкритий він чи закритий. Безпека через невідомість є протилежністю експертної перевірки та відкритого дизайну, і її також можна назвати складністю дизайну. Ієрархічна модель довіри схожа на перевернуту структуру дерева, корінь є відправною точкою довіри. Усі вузли моделі мають довіряти кореневому ЦС і зберігати сертифікат відкритого ключа кореневого ЦС.

Питання #3

Під час використання приватних ключів проблема безпеки полягає в тому, що приватний ключ користувача може бути втрачений. Щоб зменшити цей ризик, практикуючий спеціаліст може вибрати агент відновлення ключів, який здатний створювати резервні копії та відновлювати його ключі. Надання одній особі можливості відновлювати закриті ключі користувачів збільшує ризик неспростування, оскільки інша сторона має доступ до ключа. Який принциповий вибір можна застосувати для зменшення цього ризику?

a. Розподіл обов'язків

b. Принцип найменших привілеїв

в. Подвійний контроль

d. Необхідно знати

Відповідь: С

Подвійний контроль — це принцип безпеки, який вимагає присутності кількох сторін для виконання завдання, яке може мати серйозні наслідки для безпеки. У цьому випадку, ймовірно, найкраще мати принаймні двох адміністраторів мережі, перш ніж можна буде відновити закритий ключ. Підмножина подвійного керування називається M з N керування. M і N є змінними, але цей контроль вимагає присутності M із загальної кількості N адміністраторів для відновлення ключа. Розподіл обов’язків — це концепція наявності більш ніж однієї особи, яка повинна виконувати делікатне завдання. Принцип найменших привілеїв (PoLP) відноситься до концепції інформаційної безпеки, згідно з якою користувачеві надаються мінімальні рівні доступу або дозволи, необхідні для виконання його робочих функцій. Принцип «необхідності знати» полягає в тому, що доступ до захищених даних має бути необхідним для виконання службових функцій користувачів.

Питання #4

На якому етапі розробки BCP вище керівництво має взяти на себе зобов’язання підтримувати, фінансувати та допомагати у створенні BCP?

a. Ініціювання проекту

b. Планування

в. Реалізація

d. розвиток

Відповідь: A

Ініціювання проекту традиційно є фазою, на якій вище керівництво обіцяє свою підтримку проекту. Часто на цьому етапі керівництво надає статут проекту, який є офіційним письмовим документом, у якому офіційно авторизовано проект, вибрано та призначено керівника проекту, а керівництво бере на себе зобов’язання підтримувати. Підтримка BCP з боку керівництва повинна тривати протягом усього процесу розробки та включати перегляд і відгуки, а також ресурси для успішної BCP.

Питання #5

Який найбільш проактивний (і з мінімальними зусиллями) спосіб зменшити ризик отримання зловмисником доступу до мережі та використання аналізатора протоколів для захоплення та перегляду (нюхання) незашифрованого трафіку?

a. Запровадити політику, яка забороняє використання аналізаторів/аналізаторів пакетів. Часто стежте за мережею.

b. Періодично скануйте мережу, щоб визначити, чи підключені неавторизовані пристрої. У разі виявлення таких пристроїв негайно відключіть їх і надайте керівництву звіт про порушення

в. Забезпечте безпеку, наприклад вимкніть порти та фільтрацію mac на комутаторах підприємства, щоб запобігти підключенню неавторизованого пристрою до мережі. Впроваджуйте політики обмеження програмного забезпечення, щоб запобігти встановленню неавторизованого програмного забезпечення в системах.

d. Встановіть антишпигунське програмне забезпечення на всі системи в мережі.

Відповідь: С

Щоб суттєво зменшити ризики в мережі, ми повинні запровадити безпеку, яка обмежує підключення до нашої мережі зовнішніх пристроїв. Крім того, нас турбує програмне забезпечення для моніторингу, яке встановлюється на наших хостах, тому ми хочемо обмежити можливість встановлення такого програмного забезпечення. Крім того, ми хочемо забезпечити дотримання інших базових вимог безпеки, як-от використання надійних паролів, політики блокування систем, фізична безпека тощо.

Пам’ятайте: профілактичні пристрої ЗАПОБІГЛЯЮТЬ атаці, а не реагують на неї. Сканування мережі часто виявляє ці пристрої, але рідко запобігає їм. Політики описують наміри підприємства високого рівня, які потім можуть бути реалізовані. Встановлення антишпигунського програмного забезпечення є детективним/коригуючим контролем, а не проактивним/профілактичним.

Яка вартість іспиту CISSP?

Плата за сертифікацію CISSP ділиться на три частини, а саме:

Вартість курсу становить від 300 до 3200 доларів США.

Іспит коштує 699 доларів США.

Час, необхідний для підготовки (прихована вартість): 50-70 годин

Сертифікація CISSP є більш технічної та глибокою, ніж деякі інші сертифікації інформаційної безпеки, доступні сьогодні. Згадавши деякі з них, він стосується управління ризиками, управління безпекою активів, керування доступом, інженерії безпеки, тестування безпеки та безпеки мережі.

У результаті ви можете очікувати, що вас візьмуть на роботу в якості консультанта з безпеки, аудитора з безпеки, консультанта з безпеки або системного інженера безпеки після досягнення вашого CISSP. Як CISSP, ви будете створювати політики та процеси для захисту мереж інформаційної безпеки на роботі. Ви будете інтегрувати в ІТ-мережі процеси, необхідні для захисту активів від зовнішніх загроз.

Насправді CISSP є цінною та цікавою сертифікацією для ІТ-фахівців. Отримавши його, ви будете впевнені, що заслужили довіру та схвалення, необхідні для успішного управління інформаційною безпекою. В результаті ви зможете розвиватися у своїй роботі та заробляти більше грошей.

Але сертифікація не безкоштовна. Слово «робочі витрати» може бути не найкращим. Ви будете інвестувати в щось, що забезпечить вам нові та кращі перспективи роботи.

Повний огляд вартості іспиту CISSP

Вартість сертифікації CISSP: Плата за курс

Почнемо з вартості курсу, яка включена у вартість CISSP.

Першим кроком до отримання сертифікації CISSP є запис на курс сертифікації CISSP. Самостійне навчання не є ані рекомендованим, ані ефективним для складання іспиту CISSP, тому ви повинні завершити курс.

Зміст курсу CISSP є унікальним у порівнянні з багатьма іншими ІТ-сертифікаціями. Він охоплює теми, які рідко обговорюються або розглядаються в повсякденних ІТ-операціях.

Як наслідок, ви повинні зареєструватися на курс сертифікації CISSP, який є ретельним. Тобто курс повинен комплексно охоплювати всі зазначені теми. Ви також повинні мати доступ до практичних матеріалів, таких як практичні тести CISSP та іншої корисної інформації, щоб допомогти вам підготуватися до іспиту.

Вартість сертифікаційного курсу CISSP залежить від країни та, у деяких ситуаціях, від міста. Навіть якщо ви шукатимете ціни на курси CISSP у вашому регіоні, ви виявите, що є багато постачальників тренінгів із різними ціновими діапазонами.

Ми дослідили вартість курсу сертифікації CISSP у ряді країн, і результати наведені нижче. У таблиці нижче порівнюється низька та висока вартість курсів CISSP у різних країнах.

Курси CISSP у класі

• Сполучені Штати та Канада: 2000 – 2800 доларів США
• Пакистан / Індія: 300 – 600 доларів США
• ЄС: 2600 – 3200 доларів США
• Саудівська Аравія / Об’єднані Арабські Емірати: 800 – 1300 доларів США
• Австралія та Нова Зеландія: 2000 – 2600 доларів США

Якщо ви хочете навчатися в аудиторії, у вашому регіоні є кілька постачальників навчальних закладів CISSP. Вони можуть регулярно проводити навчання CISSP, а деякі можуть також надавати спеціалізоване навчання один на один.

Ви можете поговорити з ними про свої альтернативи та вибрати найкращий для себе. На жаль, аудиторне навчання CISSP є непомірно дорогим. Ця форма навчання набагато дорожча, ніж онлайн-навчання в прямому ефірі та самостійне онлайн-навчання. У результаті цей тип навчання може збільшити вашу загальну плату за іспит CISSP.

Самостійне навчання онлайн

Окрім навчання в аудиторії, заняття CISSP доступні онлайн для самостійного навчання. Це чудовий вибір для людей, які мають обмежену доступність у денний час і напружений робочий графік. Завдяки самостійному онлайн-навчанню ви можете переглядати відеокурси, коли захочете. Ви також не зобов’язані відвідувати навчальний заклад. Ми пропонуємо сертифікаційне навчання CISSP.

Вартість самостійного онлайн-навчання CISSP суттєво різниться. Курс CISSP коштує 300 доларів, хоча іноді його пропонують за 900 доларів.

Ви помітили зміну ціни? Оскільки онлайн-курси для самостійного вивчення темпу є дешевшими, ніж аудиторні та навіть живі онлайн-навчання, вибір цього варіанту призведе до нижчої загальної вартості сертифікаційного іспиту CISSP. Отже, якщо ви вважаєте, що цей метод навчання ідеальний для вас, він також вартий грошей.

Онлайн-навчання в реальному часі

Багато навчальних закладів також пропонують курси CISSP. Під час живого курсу ви можете бути єдиним у кімнаті або з вами можуть бути інші студенти онлайн. Це буде інтерактивна сесія, де ви зможете поставити запитання та отримати оперативні відповіді.

Вартість живих онлайн-класів також суттєво різниться. Онлайн-навчальний курс CISSP може коштувати від 600 до 1500 доларів США.

Плата за сертифікаційний іспит CISSP

Плата за іспит є другою складовою плати за сертифікацію CISSP. Зараз іспит CISSP коштує 699 доларів США. Ця ціна зміниться 1 травня 2022 року. Нова плата за іспит CISSP зросте з 699 доларів США до 749 доларів США після цієї дати.

Незалежно від того, куди ви подаєте заявку на іспит, плата буде однаковою. PearsonVue, авторизований центр тестування ISC2, надає всі іспити ISC2. Щоб зареєструватися на іспит, ви можете оплатити PearsonVUE онлайн або в одному з їхніх франчайзингових магазинів у вашому регіоні.

Вартість сертифікаційного іспиту CISSP: час на підготовку

Час, витрачений на підготовку до іспиту CISSP, не входить у плату за сертифікацію CISSP. З іншого боку, час, який ви витратите на підготовку до іспиту, коштуватиме вам грошей.

Час – це гроші, і вам може знадобитися до 70 годин, щоб повністю підготуватися до іспиту CISSP. ІТ-спеціалісту може знадобитися від 50 до 60 годин, щоб підготуватися до іспиту, але комусь без великого досвіду в ІТ може знадобитися від 60 до 70 годин.

Скільки часу знадобиться для завершення планування? Це ризик! Усе залежить від того, скільки часу у вас є щодня чи тижня для підготовки до іспиту CISSP. Люди закінчили свою підготовку всього за один місяць і за шість місяців.

Додаткові критерії, такі як попередній досвід роботи, рівень кваліфікації та бажання отримати сертифікат якнайшвидше, визначають, скільки часу потрібно для завершення ваших курсів.

У результаті ви витратите багато часу на підготовку до іспиту CISSP. Вважайте цей час частиною вартості сертифікації CISSP.

Чи є CISSP важким іспитом?

Це складний іспит. Хоча результати проходження CISSP не оприлюднюються, поширена думка, що вони значно нижчі за 50%.

Чи можу я пройти CISSP за 3 місяці?

Якщо ви хочете скласти іспит CISSP за 3 місяці, ви можете вибрати Extended Way (3 місяці або більше, 2 години на день, з упором на вихідні). Не пропускайте жодного матеріалу під час навчання, тому що ви можете пропустити щось, що вам знадобиться знати пізніше.

Чи підходить CISSP для початківців?

CISSP не для початківців. CISSP створений для експертів з безпеки, які деякий час працювали в цій галузі, зараз працюють на посадах, пов’язаних із інформаційною безпекою, і хочуть дізнатися про лідерство та операції в кібербезпеці.

Скільки років дійсний CISSP?

Сертифікат CISSP дійсний протягом трьох років.

На закінчення

CISSP — це всесвітньо визнана сертифікація інформаційної безпеки. У сьогоднішньому сучасному світі професіонали з глибоким і глибоким розумінням того, як захистити ІТ-активи, програми та інформацію від атак, користуються великим попитом. CISSP є найбільш кваліфікованими професіоналами для вирішення проблем інформаційної безпеки.

У цій публікації обговорювалися три компоненти плати за сертифікацію CISSP: плата за курс CISSP, вартість іспиту CISSP і час на підготовку.

Ви матимете чіткий фінансовий план і розклад навчання для вашої майбутньої професії, якщо у вас є передбачувані витрати на отримання сертифіката. Найкращі побажання!

Статті по темі

1. Чи є екзаменаційні дами найкращим інструментом підготовки до Certbolt Cisco 300-420 ENSLD?
2. КОМПАНІЇ МЕРЕЖЕВОГО МАРКЕТИНГУ: Топ найкращих компаній (оновлено)
3. ЯК СТАТИ СЕРТИФІКОВАНИМ УПРАВЛІНСЬКИМ БУХГАЛТЕРОМ: Детальний посібник
4. Контрольний список страхування життя: що вам знадобиться для отримання страхового покриття у 2023 році
5. СЕРТИФІКАЦІЯ GOOGLE ADS: докладний огляд

посилання

• Forbes.com
• Blog.masterofproject.com
• Simplilearn.com
• Passemall.com