fbpx

הדרך הארוכה להסמכת ה-CISSP – חלק א' (התארגנות)







    מהי הסמכת ה-CISSP? למה צריך אותה?

    פירושם של ראשי התיבות : Certified Information Systems Security Professional. מדובר בהסמכה בתחום אבטחת המידע הידועה ביותר בעולם (וגם בארץ).

    כאן תמצאו את המאמר של Wikipedia על ההסמכה.

    מכיוון שמדובר בהסמכה נייטרלית (לא קשורה לאף יצרן) ושהיא קשה להשגה, אין ספק שלהחזיק אותה מהווה סוג של תעודת ביטוח עבור העולם (לבעל ההסמכה יש ניסיון וידע בתחום).

    כל מי שרוצה להתקדם בתחום אבטחת המידע חייב לפחות לשקול לגשת למבחן בשלב כזה או אחר (הרבה מומחים בתחום מחזיקים בהסמכה).

    אישית קיבלתי את החלטה בגלל האתגר, רציתי לדעת האם אני יכול לעבור את המבחן דרך לימוד עצמאי (ללא קורס), רק על בסיס ידע, ניסיון והכנה רצינית.

    מטרת הכתבה היא לא להסביר מהי ההסמכה, לכן אני מעדיף להפנות אותכם למאמרים שמסבירים בצורה טובה מהי ההסמכה ומשמעותה : כאן דף ההסכמה של מכללת See-Security (חומר פרסומי אבל מידע מעניין).

    שימו לב: באפריל 2015 ארגון ISC2 ביצע עדכון כללי לתכני המבחן. לא מדובר בשינויים גדולים אך יש להתייחס בהתאם. לדוגמא: תחומי הלימוד (Domains) צומצמו מ-10 ל-8.

    בדצמבר 2017 בוצע שינוי שיטת המבחן (מעבר למבחן אדפטיבי "CAT") – המבחן יצטמצם ל-100 עד 150 שאלות ולשלוש שעות.

    במאי 2021 מתוכנן עדכון קליל לתכנים. השינויים יפורטו בחודשים הקרובים.

    מהן דרישות ההסמכה?

    צריך להבחין בין ההסמכה לבין המבחן. הצלחה במבחן היא רק חלק מדרישות קבלת ההסמכה.

    כדי לקבל את ההסמכה, יש לעמוד בכל תנאי הסף שהוגדרו על ידי ארגון ISC2.

    ניסיון : נדרשות חמש שנות עבודה מלאות בשניים משמונת תחומי המבחן. ניתן לגשת למבחן בלי לעמוד בתנאי זה אבל במקרה של הצלחה, המועמד יאלץ להמתין עד לצבירת הניסיון הנדרש (סטטוס של "ISC2 Associate"). מחזיקי הסמכות מוכרות בתחום יכולים לקבל הקלה של שנה בדרישת הניסיון אם ההסמכה שלהם מוכרת ע"י ISC2 (קישור לרשימה של ההסמכות המוכרות).

    מבחן : קשה,קשה ויקר (ראו תמחור מדויק בסוף הכתבה). המבחן ללא ספק הקשה ביותר שעברתי בחיים. שלוש שעות, בין 100 ל-150 שאלות אמריקאיות (מבחן אדפטיבי) … כמעט כולן מבלבלות. הדרישה היא לענות לכל שאלה עם התשובה הנכונה ביותר (יתכנו כמה תשובות נכונות … יש רק אחת שהיא הנכונה ביותר). חייבים לקבל 700 נקודות מתוך 1000 כדי לעבור (יש רמת קושי שונה לשאלות מכוון שהמבחן אדפטיבי).

    שימו לב: בדצמבר 2017, המבחן עבר שינוי והפך להיות אדפטיבי. המאמר מתייחס לשינוי אך יתכן וחלק מהקישורים מתייחסים "למבחן של פעם" – ראו את הקישור לאתר של ISC2 לקבלת פרטים על הנושא.

    Endorsement : לאחר הצלחה במבחן, נדרש המועמד לבצע תהליך ממוכן ולהחתים Endorser – מישהו בעל ההסמכה בתוקף ("in good standing").  ה-Endorser מהווה אישור על נכונות דיווחי המועמד, בעיקר לגבי ההצהרות הקשורות לניסיון המקצועי (ה-Endorser שלי יצר קשר עם הבוס כדי לאמת את הנתונים). עדיף לבחור במישהו שמכיר את המועמד.

    למועמד שלא מכיר אף מוסמך ניתנת האפשרות לבצע את התהליך ישירות מול ארגון ISC2 (הסבר כאן). התהליך יכול לקחת עד שישה שבועות.

    חתימה על הקוד האתי של ISC2 : נדרשת הסכמה של המועמד לעמוד בקוד האתי של הארגון (פירוט באתר של ISC2).

    טיפ קטן: כדאי להכיר אותו טוב מכיוון שחלק קטן מהשאלות במבחן מתייחסות ישירות לקוד האתי.

    Audit (בחירה אקראית של חלק מהמועדמים) : לא מתקיים תמיד אבל יתכן והמועמד ייבחר לבדיקה נוספת של נתוני הרקע שלו, כגון ניסיון והצהרות אחרות (בדומה ל-Endorsement).

    איך מתכוננים למבחן?

    פשוט מאוד, יש שתי דרכים להתכונן למבחן.

    להרשם לקורס או לסדנת הכנה :

    בארץ ישנן מספר מכללות שמתמחות בהכנה למבחן ה-CISSP. אישית אני ממליץ על מכללת SEE-SECURITY, הנציגה הרשמית של ISC2 בישראל (בעבר ניהלתי את הקורס וכיום אני עדיין מרצה אורח במסלול).

    קיימות מכללות נוספות שמכינות מועמדים למבחן. בין השאר חשוב להזכיר את מכללת Titans ואת המרכז ללימודי חוץ של הטכניון. שתי מכללות שעוסקות בהסמכה שנים רבות.

    חשוב לציין שניתן ללמוד בקורסים ברשת (יקר מאוד יחסית ורק באנגלית כמובן) : אזכיר את הקורסים של SANS ושל ISC2.

    ללמוד לבד :

    כן, כן … יש משוגעים כמוני שעושים את ההכנה לבד, על בסיס ספרים, גלישה ברשת (Google הוא חבר) ופגישות לימוד (אם אתם מכירים עוד משוגעים). זאת הדרך הקשה אבל אם עוברים, התענוג והשמחה גדולים בהרבה מאשר מי שלמד בקורס 🙂

    נדרשת משמעת עצמית ברמה גבוהה מכוון שההכנה פרוסה על גבי חודשים (במקרה הטוב).

    המטרה הראשית של סדרת המאמרים היא לספק את הכלים הבסיסיים למועמד שיחליט להתכונן לבד.

    איפה מוצאים חומר לימוד?

    הו הבסיס. לא ניתן לתכנן את המבחן בלי ספר אחד לפחות שמרכז את עשרת תחומי הלימוד, טיפים והסברים.

    בזמנו, גלשתי ברשת ומצאתי שלושה ספרים שמוכרים כמצטיינים בנושא.

    "התנ"ך" הרשמי של ISC2 – "ה-CBK" – מאוד מקיף אבל לא נוח לקריאה . הגרסה החמישית פורסמה ב-2018/19 גם בגרסת ספר קשיחה וגם בגרסאות דיגיטאליות (כ-40$/70$).

    CISSP AIO של הגורו האמריקאי Shon Harris  (ז"ל) – תענוג! (כ-30$ יד שניה) שון האריס הדהימה בכתיבה שלה. אפשר ללמוד בצורה כיפית אך לצערינו שון נפתרה ב-2014 אבל פורסמה גרסה עדכנית גם מבחינת התכנים וגם מבחינת המבחן האדפטיבי (מהדורה 8). מאוד מומלץ.

    Eleventh Hour CISSP, Third Edition: Study Guide של דוקטור Eric Conrad – ספר מעולה. פחות "עמוק" מ-AIO אבל בצד שני יותר ממוקד. מומלץ.

    CISSP For Dummies – מעניין וקל לקריאה יחסית (כ-40$/50$) אבל פחות נוח מ-AIO. הגרסה העדכנית הינה השישית (מ-2018)

    טיפ קטן : לא לרכוש את הספרים בחנות הרשמית, גשו ל-Ebay, Amazon  ותחסכו עד עשרות דולארים.

    אוסף של שאלות לתירגול :

    אחת המשימות המרכזיות בהכנה היא ללמוד להתמודד עם אופי השאלות של ISC2.

    אין דרך להתחמק מזה, תשכחו מכל רעיון "יצירתי" כמו למצוא Braindumps ברשת (זה לא מבחן של מייקרוסופט !) ברשת – הם לא קיימים.

    Boson ExSim-Max (אתר מסחרי המתמחה בסימולציות למבחנים) – מערכות נהדרת של כ-1000 שאלות. השאלות עדכניות ובעיקר יש פירוט והסבר התשובות (כ-100$). אחת ההשקעות השוות.

    CCCure Quizzer (של Сlaude Dupuis) – אתר נהדר עם מאות ואולי אלפי שאלות. חלקן בחינם, חלקן בתשלום (כ-100$ ל-3 חודשים). חלק מהשאלות לא עדכניות אך זהו מקור טוב ללימוד בשל המאגר העצום כמותית.

    Skillset.com – אלפי שאלות, שירות בסיסי חינמי. ניתן לבנות מבחנים לפי Domains ורמת קושי. קיימת גרסה מסחרית עם הסברים מפורטים יותר (כ-80$/100$ לחודש לפי סוג מנוי).

    Practice Tests App (של ISC2) – גרסה קשיחה או אפליקציה למכשירי IOS ו-Android. הורדת אוסף של שאלות שנכתבו ע"י ISC2. נוח, כולל הסברים, לא יקר (כ-20$ לגרסת Android). מאגר מכובד מאוד (כ-1300 שאלות). מומלץ אם יש תקציב אך לא חובה.

    McGraw-Hill Education Practice Exams – חינם, ללא רישום. אפשרות להיבחן לפי Domains, איכותי וקל לשימוש. מספק קבצע MP3 ללימוד נוח בדרכים. מומלץ מאוד.

    כמה זה עולה?

    קודם כל, המבחן : עלות הרישום הינה גבוהה מאוד. כל רישום עולה 699$ (פעם הייתה הנחה ברישום מוקדם, כבר לא קיימת מאז סוף 2012) – ראו פרסום מאתר ISC2. אם בטעות לא עברתם בפעם הראשונה … יש לשלם שוב  …

    קורסים במכללות עולים יקר אבל הם עושים את העבודה ומרכזים את החומר בצורה טובה (חיסכון בשעות חיפוש חומר, לא בשעות לימוד בבית). תתקשרו למכללות כדי לברר את המחיר ואת החומר שהן מספקות לסטודנט. חשוב לציין שקורס מסודר נותן גישה למרצה שתמיד יידע לספק טיפים והסברים מקצועים, ערך מוסף חשוב.

    ספרים עולים בין 30$ ל-70$, אישית אני ממליץ שוב לרכוש את AIO של Shon Harris. יש בו כל מה שמועמד צריך לדעת ויותר.

    יש מאגרי שאלות בחינם ויש מאגרים שעולים כסף. ממליץ להשקיע בגרסה בתשלום של CCCure Quizzer (כ-100$ ל-3 חודשים). הרבה מאוד שאלות ומעקב צמוד לאורך הלימוד (הצגת אחוזי הצלחה לפי מבחן וסה"כ).

    אפשר לרכוש חומרי לימוד בסביבות ה-800$ בסה"כ (כולל הרישום למבחן). זול יחסית …

    איך לומדים מאחרים טיפים להצלחה?

    כשהחלטתי לגשת למבחן, התחלתי לחפש ברשת מאמרים, טיפים וסיפורי הצלחה כדי ללמוד איך להתכונן למבחן.

    אני משתף אותכם בקישורים שעזרו לי גם מבחינת החומר וגם פסיכולוגית.

    Clement's presentation (של Clement Dupuis) – עודכן ינואר 2015, חובה לעבור על ההרצאה. הסבר יפה מאוד על החומר באופן כללי ועל תהליך ההסמכה. שווה גם אם התכנים לא הכי עדכנים.

    ריכוז השינויים של המבחן 2015 (של Clement Dupuis) – מידע על השינויים בתחומי הלימוד ומידע על השינויים בתכני הלימוד

    טיפים של Kelly Handerhan למבחן – 7 טיפים מעולים כדי להבין מה מצפים מכם בבחינה

    25 Questions Answered about the new CISSP CAT Exam Update – שאלות ותשובות על גרסת CAT של המבחן ממכללת Infosec Institute – חובה לקרוא.

    Is CISSP Right For Me? (של BrightTalk) – למה בכלל להיבחן ולקבל את ההסמכה

    InfosecSpot (של מיטל ברוקס-קמפלר) – בעברית – הרבה טיפים של מיטל. חובה לקרוא.

    Shon Harris's presentation – (של שון הריס ז"ל) מ-2014 (לא מעודכן), כ-27 דקות של הסבר כללי על ההסמכה (סרט פרסומי אך סקירה כללית מעניינת של ההסמכה ושל ההכנה אם כי לא עדכני).

    Simplilearn presentation – של מכללה בעלת קורס הכנה. קצת משעמם (קול מעצבן) אבל חינם

    הצגת השינויים של 2015 (של מכללת INFOSEC INSTITUTE) – מידע מעניין על השינויים של תכומי הלימוד – קריאה חובה

    How I prepared my CISSP exam (של Didier Stevens) – מעבר לבלוג הנחמד, סיפור המבחן של Didier Stevens – ישן אבל מעניין.

    I passed. Such a relief! (של Roman Zeltser) – מזדהה עם Roman במילה ומילה

    CISSP Study Notes (של Andreas Athanasoulias) – קישור למסמכי עזר שכתב Andreas (סגנון CRAMS)

    Taking the CISSP Exam – הניסיונות של מועמד (ניסיון כושל וניסיון מוצלח)

    Finally.. I passed the CISSP exam. Take2/ – עוד חוויה של מועמד (שעבר בפעם השניה)

    CISSP The Easy Way: A 30 Day Plan – הצעה ללו"ז הכנה ב-30 יום

    A CISSP study and exam guide – הצעות וקישורים מעניינים. מאתר Peerlyst

    קבוצת Facebook של Derek A. Smith – פורום ייעודי בפייסבוק.

    וכמובן, חייבים ללמוד מהניסיון של האחרים דרך הפורומים : גשו גם לפורומי CISSP של cccure.org (נדרש רישום חינם), גשו גם לפורום הפעיל מאוד של Techexams.

    לסיכום

    בכתבה זו הסברתי איך כדאי להכין את "הקרקע" ללימודים מוצלחים. אני מקווה שעזרתי קצת …

    בכתבה הבאה, נדבר על לוחות הזמנים. איך מתכננים נכון את הלימוד.

    ולמי שטרם הבין למה הוא צריך את ההסמכה… יש סרטון הסברה… 🙂

    להמשך הבנתך המלאה, עבור לפרק

    תכנון לוח זמנים

    היה סבלני וקרא עד הסוף. הקריאה תשפר את יכולתך לקבל החלטה כה חשובה ותחסוך לך טעויות אפשריות.