כפתור הקפץ למעלה
PREPARATION CISSP

01 / חלק א' (התארגנות)

הדרך הארוכה להסמכת CISSP

  • מהי הסמכת CISSP? למה צריך אותה?

  • מאת: דודו ברודה

פירושם של ראשי התיבות: Certified Information Systems Security Professional. מדובר בהסמכה בתחום אבטחת המידע הידועה ביותר בארץ ובעולם.

כאן תמצאו את המאמר של Wikipedia על ההסמכה.

מכיוון שמדובר בהסמכה נייטרלית שאינה קשורה לאף יצרן והיא קשה להשגה, אין ספק שלהחזיק אותה מהווה סוג של תעודת ביטוח עבור העולם (לבעל ההסמכה יש ניסיון וידע בתחום).

כל מי שרוצה להתקדם בתחום אבטחת המידע חייב לפחות לשקול לגשת למבחן בשלב כזה או אחר (הרבה מומחים בתחום מחזיקים בהסמכה).

אישית קיבלתי את החלטה בגלל האתגר, רציתי לדעת האם אני יכול לעבור את המבחן דרך לימוד עצמאי, ללא קורס, רק על בסיס ידע, ניסיון והכנה רצינית.

מטרת הכתבה אינה להסביר מהי ההסמכה עצמה, טלה מופיעים בפרק "חטיבות הלימוד" בעמוד זה.

שימו לב: באפריל 2015 ארגון ISC2 ביצע עדכון כללי לתכני המבחן. לא מדובר בשינויים גדולים אך יש להתייחס בהתאם. לדוגמא: תחומי הלימוד (Domains) צומצמו מ-10 ל-8.

בדצמבר 2017 בוצע שינוי שיטת המבחן (מעבר למבחן אדפטיבי "CAT") – המבחן יצטמצם ל-100 עד 150 שאלות ולשלוש שעות.

במאי 2021 התכנים עברו עדכון קל.

 

  • מהן דרישות ההסמכה?

צריך להבחין בין ההסמכה לבין המבחן. הצלחה במבחן היא רק חלק מדרישות קבלת ההסמכה.

כדי לקבל את ההסמכה, יש לעמוד בכל תנאי הסף שהוגדרו על ידי ארגון ISC2.

ניסיון: נדרשות חמש שנות עבודה מלאות בשניים משמונת תחומי המבחן. ניתן לגשת למבחן בלי לעמוד בתנאי זה אבל במקרה של הצלחה, המועמד יאלץ להמתין עד לצבירת הניסיון הנדרש (סטטוס של "ISC2 Associate"). מחזיקי הסמכות מוכרות בתחום יכולים לקבל הקלה של שנה בדרישת הניסיון, אם ההסמכה שלהם מוכרת על ידי ISC2 (קישור לרשימה של ההסמכות המוכרות).

מבחן: קשה, קשה ויקר (ראו תמחור מדויק בסעיף האחרון). ללא ספק, המבחן הקשה ביותר שעברתי בחיים. שלוש שעות, בין 100 ל-150 שאלות אמריקאיות (מבחן אדפטיבי), כמעט כולן מבלבלות. הדרישה היא לענות את התשובה הנכונה ביותר על כל שאלה. יתכנו כמה תשובות נכונות, אך יש רק אחת שהיא הנכונה ביותר. חייבים לקבל 700 נקודות מתוך 1000 כדי לעבור (יש רמת קושי שונה לשאלות מכוון שהמבחן אדפטיבי).

שימו לב: בדצמבר 2017, המבחן עבר שינוי והפך להיות אדפטיבי. המאמר מתייחס לשינוי אך יתכן וחלק מהקישורים מתייחסים "למבחן של פעם" – ראו בקישור לאתר של ISC2 לקבלת פרטים על הנושא.

Endorsement: לאחר הצלחה במבחן, המועמד נדרש לבצע תהליך ממוכן ולהחתים Endorser – מישהו בעל ההסמכה בתוקף ("in good standing"). ה-Endorser מהווה אישור על נכונות דיווחי המועמד, בעיקר לגבי ההצהרות הקשורות לניסיון המקצועי (ה-Endorser שלי יצר קשר עם הבוס כדי לאמת את הנתונים). עדיף לבחור במישהו שמכיר את המועמד.

למועמד שלא מכיר אף מוסמך ניתנת האפשרות לבצע את התהליך ישירות מול ארגון ISC2 (הסבר כאן). התהליך יכול לקחת עד שישה שבועות.

חתימה על הקוד האתי של ISC2: נדרשת הסכמה של המועמד לעמוד בקוד האתי של הארגון.

טיפ קטן: כדאי להכיר ת הקוד היטב, מכיוון שחלק קטן מהשאלות במבחן מתייחסות ישירות לקוד האתי.

Audit - בחירה אקראית של חלק מהמועמדים: לא מתקיים תמיד אבל יתכן והמועמד ייבחר לבדיקה נוספת של נתוני הרקע שלו, כגון ניסיון והצהרות אחרות (בדומה ל-Endorsement).

 

  • איך מתכוננים למבחן?

פשוט מאוד, ישנן שתי דרכים להתכונן למבחן:

1. להרשם לקורס או לסדנת הכנה

מכללת SEE SECURITY, הנציגה הבלעדית של ISC2 בישראל, מספקת מרתון הכנה רשמי למבחן ההסמכה, כיחידת לימוד עצמאית או כחלק מסכם של תוכנית CISO מלאה. גילוי נאות: בעבר ניהלתי את הקורס וכיום אני מרצה במסלול.

2. ללמוד לבד

כן, כן… יש משוגעים כמוני שעושים את ההכנה לבד, על בסיס ספרים, גלישה ברשת (Google הוא חבר) ופגישות לימוד (אם אתם מכירים עוד משוגעים). זאת דרך קשה יותר אבל אם עוברים, התענוג והשמחה גדולים מאוד 🙂. כדאי לזכור שנדרשת משמעת עצמית ברמה גבוהה מאוד, מכיוון שההכנה תימשך כמה חודשים (במקרה הטוב).

 

  • איפה מוצאים חומר לימוד?

לא ניתן לתכנן את המבחן בלי ספר אחד לפחות שמרכז את שמונת תחומי הלימוד, טיפים והסברים.

בזמנו, גלשתי ברשת ומצאתי ארבעה ספרים שמוכרים כמצטיינים בנושא.

"התנ"ך" הרשמי של ISC2 – ה-CBK – מאוד מקיף אבל לא נוח לקריאה . קיים גם בגרסת ספר קשיחה וגם בגרסאות דיגיטאליות (כ-40$/70$).

CISSP AIO של הגורו האמריקאי Shon Harris (ז"ל) – תענוג! כ-30$ יד שניה. שון האריס הדהימה בכתיבה שלה. אפשר ללמוד בצורה כיפית אך לצערינו שון נפטרה ב-2014 אבל פורסמה גרסה עדכנית גם מבחינת התכנים וגם מבחינת המבחן האדפטיבי (מהדורה 8). מאוד מומלץ.

Eleventh Hour CISSP, Third Edition: Study Guide של דוקטור Eric Conrad – ספר מעולה. פחות "עמוק" מ-AIO אבל בצד שני יותר ממוקד. מומלץ.

CISSP For Dummies – מעניין וקל לקריאה יחסית (כ-40$/50$) אבל פחות נוח מ-AIO.

טיפ קטן: לא לרכוש את הספרים בחנות הרשמית, גשו ל-Ebay, Amazon ותחסכו עד עשרות דולרים.

אוסף של שאלות לתירגול:

אחת המשימות המרכזיות בהכנה היא ללמוד להתמודד עם אופי השאלות של ISC2.

אין דרך להתחמק מזה, תשכחו מכל רעיון "יצירתי" כמו למצוא Braindumps ברשת (זה לא מבחן של מיקרוסופט !) – הם לא קיימים.

Boson ExSim-Max (אתר מסחרי המתמחה בסימולציות למבחנים) – מערכות נהדרת של כ-1000 שאלות. השאלות עדכניות ובעיקר יש פירוט והסבר התשובות (כ-100$). אחת ההשקעות השוות.

CCCure Quizzer (של Сlaude Dupuis) – אתר נהדר עם מאות ואולי אלפי שאלות. חלקן בחינם, חלקן בתשלום (כ-100$ ל-3 חודשים). חלק מהשאלות לא עדכניות אך זהו מקור טוב ללימוד בשל המאגר העצום כמותית.

Skillset.com – אלפי שאלות, שירות בסיסי חינמי. ניתן לבנות מבחנים לפי Domains ורמת קושי. קיימת גרסה מסחרית עם הסברים מפורטים יותר (כ-80$/100$ לחודש לפי סוג מנוי).

Practice Tests App (של ISC2) – גרסה קשיחה או אפליקציה למכשירי IOS ו-Android. הורדת אוסף של שאלות שנכתבו על ידי ISC2. נוח, כולל הסברים, לא יקר (כ-20$ לגרסת Android). מאגר מכובד מאוד (כ-1300 שאלות). מומלץ אם יש תקציב אך לא חובה.

McGraw-Hill Education Practice Exams – חינם, ללא רישום. אפשרות להיבחן לפי Domains, איכותי וקל לשימוש. מספק קבצי MP3 ללימוד נוח בדרכים. מומלץ מאוד.

 

  • כמה זה עולה?

קודם כל, המבחן: עלות הרישום הינה גבוהה מאוד. כל רישום עולה 665EURO – ראו בטבלת המחירים באתר ISC2. אם לא עברתם בפעם הראשונה, יש לשלם שוב.

קורס במכללה אינו זול לכאורה, אבל הוא עושה את העבודה ביחידות זמן מוגדרות, מרכז את החומר בצורה נכונה וממוקדת וחוסך זמן יקר של חיפוש חומר. חשוב לציין שקורס מסודר נותן גישה למרצים מומחים, שתמיד יידעו לספק טיפים והסברים מקצועים, ערך מוסף חשוב.

ספרים עולים בין 30$ ל-70$, אישית אני ממליץ שוב לרכוש את AIO של Shon Harris. יש בו כל מה שמועמד צריך לדעת ויותר.

ישנם מאגרי שאלות בחינם וישנם מאגרים בתשלום. ממליץ להשקיע בגרסה בתשלום של CCCure Quizzer (כ-100$ ל-3 חודשים). הרבה מאוד שאלות ומעקב צמוד לאורך הלימוד, כולל הצגת אחוזי הצלחה לפי מבחן וסה"כ.

 

  • איך לומדים מאחרים טיפים להצלחה?

כשהחלטתי לגשת למבחן, התחלתי לחפש ברשת מאמרים, טיפים וסיפורי הצלחה כדי ללמוד איך להתכונן למבחן.

אני משתף אותכם בקישורים שעזרו לי גם מבחינת החומר וגם פסיכולוגית:

Clement's presentation (של Clement Dupuis) – עודכן ינואר 2015, חובה לעבור על ההרצאה. הסבר יפה מאוד על החומר באופן כללי ועל תהליך ההסמכה. שווה גם אם התכנים לא הכי עדכנים.

Questions Answered about the new CISSP CAT Exam Update – עשרים וחמש שאלות ותשובות על גרסת CAT של המבחן ממכללת Infosec Institute – חובה לקרוא.

Simplilearn presentation – של מכללה בעלת קורס הכנה. קצת משעמם (קול מעצבן) אבל חינם

How I prepared my CISSP exam (Didier Stevens) – מעבר לבלוג הנחמד, סיפור המבחן של Didier Stevens – ישן אבל מעניין.

I passed. Such a relief! (Roman Zeltser) – מזדהה עם Roman במילה ומילה

CISSP Study Notes (Andreas Athanasoulias) – קישור למסמכי עזר שכתב Andreas (סגנון CRAMS)

Taking the CISSP Exam – הניסיונות של מועמד (ניסיון כושל וניסיון מוצלח)

Finally... I passed the CISSP exam. Take2 – עוד חוויה של מועמד (שעבר בפעם השניה)

CISSP The Easy Way: A 30 Day Plan – הצעה ללו"ז הכנה ב-30 יום

קבוצת Facebook של Derek A. Smith – פורום ייעודי בפייסבוק.

וכמובן, חייבים ללמוד מהניסיון של האחרים דרך הפורומים: גשו גם לפורומי CISSP של cccure.org (נדרש רישום חינם), גשו גם לפורום הפעיל מאוד של Techexams.

 

  • לסיכום

בפרק הזה (הראשון מתוך חמישה), הסברתי איך כדאי להכין את "הקרקע" ללימודים מוצלחים. אני מקווה שעזרתי קצת… בפרק הבא (02), נדבר על לוחות הזמנים. איך מתכננים נכון את הלימוד.

 

ולמי שטרם הבין למה הוא צריך את ההסמכה… יש סרטון הסברה… 🙂