CISM: как успешно сдать экзамен?

В декабре 2013 сдал экзамен CISM (Certified Information Security Manager), а на прошлой неделе получил сообщение от департамента сертификации ISACA о том, что теперь являюсь сертифицированным менеджером по ИБ. В этой заметке хочу поделиться своими соображениями относительно целесообразности экзамена и нюансах подготовки к нему.

Зачем нужны сертификаты?

Давайте рассмотрим основные аргументы «за» и «против» прохождения всевозможных сертификаций для конкретного специалиста.

ЗА:

• Понты (будем все называть своими именами): лишний набор непонятных букв на визитке определенно поднимает ваш статус в глазах новых знакомых;
• Демонстрация компетенции руководству: «смотрите, какой я умный, вспомните обо мне, когда будете думать, кого выбрать для повышения». Особенно это эффективно, когда специалист находится на начальных ступенях своей профессиональной карьеры;
• Знания: любая подготовка к экзамену вынуждает обновить и систематизировать свои познания в конкретной области;
• Повышение своей востребованности на рынке труда: HR-менеджеры используют названия сертификатов для поиска кандидатов в социальных сетях. Консалтинговым и компаниям-интеграторам нужны сертифицированные специалисты для участия во всевозможных конкурсах.

ПРОТИВ:

• Затраты: время, деньги, нервы (помните бессонные ночи перед экзаменами в университете?);
• Экзамен проводится в субботу и нужно приехать к 8.00 утра.

На мой взгляд, если вы работаете в области информационной безопасности, и в своей карьере уже сделали (или только собираетесь сделать) переход от технического специалиста к менеджеру, то определенно стоит подтвердить свой опыт и знания, сдав экзамен CISM.

Составляющие успешной подготовки

В первом номере нашего журнала «Вопросы кибербезопасности» уже вышла моя статья, посвященная подготовке к CISSP, многое из того, что там написано, относится и к подготовке к CISM. Здесь я выделю лишь основные моменты:

1. Английский язык. Нужно понимать, что стоит за терминами, приведенными в глоссарии к экзамену: http://www.isaca.org/Pages/Glossary.aspx и знать грамматику на уровне «intermediate» или «upper-intermediate».
2. Знакомство с вопросами в стиле CISM. Стоит купить базу вопросов от ISACA: https://www.isaca.org/bookstore/Pages/CISM-Exam-Resources.aspx
3. Понимание проблематики доменов экзамена: Information Security Governance, Information Risk Management and Compliance, Information Security Program Development and Management, Information Security Incident Management. В этом направлении вам помогут учебники, статьи (выбирайте по ключевым словам или по вкусу) и подготовительные курсы, наподобие тех, что предлагаются нашим учебным центром «Эшелон».

Сколько времени потребуется на подготовку?

Все зависит от вашего уровня по обозначенным выше направлениям. На мой взгляд, если специалист читает техническую литературу на английском языке, и уже в какой-то степени «в теме» (например, примерно представляет, как внедряется система управления ИБ, как можно организовать программу повышения осведомленности в компании и т.п.), то ему потребуется не более 2-3 месяцев неспешной подготовки по 30-60 мин в день.

Экзамен: как это было?

Экзамен CISM сдается в традиционном «бумажном» формате. 200 вопросов, для каждого 4 варианта ответа, из них один правильный. Время: 4 часа. Сначала отвечаете на вопросы в специальном буклете, затем ответы переносите на отдельный лист.

Пользоваться ничем нельзя, телефоны нужно выключать, за помехи, создаваемые забытым телефоном в куртке на задней парте, могут удалить с экзамена.

Как уже отметил выше, на экзамен нужно приехать заранее, к 8.00 утра (в субботу), что создает определенный дискомфорт :))