CISSP sertifikat

Jutros mi je stigao mail u kome me obavestavaju da sam polozio!

---

Cestitam!

---

Svaka cast! Mene mrzi i za network+ i security+ da ucim a kamo li za CISSP!

A sad naravno sve ono sto zanima nas ostale koji o tome razmisljaju bar u nekoj dalekoj buducnosti.
Koliko si ucio, odakle, gde si polagao, kako je bilo, koliko je kostalo... i sve sto ostali zele da znaju a ustrucavaju se da pitaju :)

_{[Ovu poruku je menjao gnarfoleon dana 15.11.2006. u 17:33 GMT+1]}

Pa da krenemo...

Da bi uopste neko izasao na ispit mora da ima bar 4 godine iskustva u bar jednoj od 10 oblasti. Zavrsen fakultet zamenjuje jednu godinu iskustva.

Sam ispit kosta oko 500€ a CBK (Common body of Knowledge) Seminar (5 dana, 8 sati dnevno + pauze za rucak i veceru + pauze za kafu, ukupno od 9 ujutru do 7:30 navece) oko 2500€. Seminar toplo preporucujem, ali tek posle citanja koje knjige. Sam seminar je OK, ali pravu snagu pokazuje kod pojasnjenja nedoumica, nikako kao osnova za dalje ucenje.

Sam CISSP ima 10 domena, da ih ne nabrajam, i da bi se dobio sertifikat potrebno je svih 10 domena poloziti i povrh svega u ukupnom skoru imati bar 70%. Deluje nelogicno ali nemaju svi domeni istu tezinu niti isti broj pitanja. Cak i pitanja imaju svoju tezinu tako da ona laksa vrede i po nekoliko puta manje od onih tezih. Inace, svako pitanje ima ponudjena 4 odgovora, od kojih su jedan ili vise tacna. Nisam pogresio, moze biti vise tacnih odgovora, ali je treba naci najbolji odgovor!

Ja sam za spremanje koristio sledece knjige:

1. Krutz, "Advanced CISSP Prep Guide"
Citao sam je tokom 2005, veoma neredovno. Naporna za citanje, prakticno suvo nabrajanje cinjenica, ali dobro dodje kada se trazi neka konkretna definicija.

2. Tipton, "Information Security Management Handbook, 4th edition"
Kao sto joj i ime kaze, vise kao beletristika, prirucnik koji se cita po potrebi. Nije pisana ciljano kao uzbenik, ali na prilicno citljiv nacin objasnjava koncepte. Veoma obimna, skoro 1000 strana. To cak nije jedina knjiga u ediciji, ima ih 4, sve jednako obimne.

Krutz, "The CISSP Prep Guide: Mastering the Ten Domains of Computer Security"
Prakticno novije izdanje prve knjige. Isto vazi i ovde.

Shon Harris, All In One, 3rd edition
Ova knjiga je jednostavno nezaobilazna. Veoma laka za citanje, sa puno, ali stvarno puno primera. Shon voli da daje primere "iz zivota", bez obzira sta pojasnjava, PGP ili enkripciju. Ipak, mozda je malo preterala (Shon je dama), neke stvari su malo banalizovane, ali tih par pasusa u stvarno fenomenalnoh knjizi bas i mogu da se preskoce. Sve preporuke.

Mike Meyers' CISSP Certification Passport, (autor je Shon Harris)
Sublimacija prethodne knjige (ali drugog izdanja). Na skoro 400 strana formata malo veceg od A5 (mala sveska) Shon je stavila samo najbitnije stvari. Odlicna knjiga za pocetak rada, za prvo upoznavanje sa tematikom, ali jednako dobra i za tzv "cramming" pred ispit. Laka za citanje i skoro da obuhvata kompletno gradivo (kazem skoro, ali ni jedna knjiga ne obuhvata celokupno gradivo).

Osim knjiga, u zavrsnim stadijumima ucenja i zadnjih par dana je preporucljivo prelistati tzv "cramming notes". Ovo su linkovi ka, po mnogima, najboljim dokumentima tog tipa:

Overly: http://www.cccure.org/modules....oads&d_op=getit&lid=59

Henry Gunzo: http://www.cccure.org/modules....ads&d_op=getit&lid=155

Osim citanja knjiga je pozeljno raditi i puno testiranja. Odmah da kazem da se ispitna pitanja ne mogu nigde naci, niti bilo ko ko je polagao (polagao, ne polozio) sme obelodaniti. Jednostavno, stavljas potpis da je to tajna i da ces se pridrzavati etike CISSP-ovaca. CISSP nije ispit tima Microsoftovih gde odes na par brain-dumpova i nabavis 90% ispitnih pitanja. Dakle, sto vise testiranja, narocito u nedeljama pred ispit.
Ubedljivo najbolji sajt sa kvizom za CISSP je www.cccure.org. Nisam stavio direktan link zato sto ga na sajtu nije tesko naci, a sajt definitivno treba posetiti i pregledati. Kaze se da kada redovno dobijas 80% na tom testu - spreman si za ispit. Opet napominjem, pitanja nisu sa ispita, ali su odlicna da se stvori dobra logika razmisljanja.

Na kraju, ovo nije kviz znanja! Necete dobiti pitanje tipa koji je opseg C klase IP adresa ili slicno. Ovo je ispit koncepata, ovde dolazi do izrazaja menadzerski nacin razmisljanja. Cak je i preporuka da kada ne znas odgovor postavis sebi pitanje "sta bi menadzer uradio na ovom mestu?". Kao sto sam vec napisao, treba naci najbolji odgovor. Opseg adresa se nalazi za 30 sekundi na Googlu, pravilno razmisljanje i delanje je ono sto CISSP cini drugim najplacenijim sertifikatom u svetu!

Konacno, ovo nije ispit za ljude koji bi karijeru da ganjaju u cisto tehnickim domenima (administracija mreze, AD-a, administracija baza podataka...). Nema ni pomena konkretnih setovanja, jer opet, to se lako nadje u uputstvu, ali tesko da imas negde uputstvo kako organizovati i implementirati kontrole koje pruzaju zeljeni nivo bezbednosti podataka u kompaniji.

Mislim da sam treci u Srbiji koji je polozio ovaj ispit (nadam se da gresim i da nas je vise), i posto sam ja sam prosao kroz ceo proces, bice mi zadovoljstvo da pomognem (savetom, uputstvom, pojasnjenjem) svakome ko je zainteresovan za CISSP!

Pozdrav!

---

Da ne zaboravim, znanje Engleskog jezika je uslov svih uslova.

Mogu se knjige citati i sa znanjem koje je na nivou sporazumevanja, ali cesto uzimanje recnika u ruke rusi koncentraciju.

Na samom sajtu (www.isc2.org) daju merku za znanje Engleskog, a to je znanje potrebno da se polozi TOEFL.

U praksi se svodi da bez muke mozes da se normalno izrazavas na Engleskom, u pisanoj i verbalnoj formi. Slaganje vremena nije najneophodnije ali pomaze kod razumevanja teksta.

Zato je savet prvo malo poraditi na jeziku pa se baciti na knjige.

---

Čestitam!!! Svaka čast!!!

I jedno pitanjce: kako se dokazuje 4 godine iskustva?

Postoje jasna pravila... da bi postao CISSP moras da polozis ispit i da prodjez tzv enorsement process, sto znaci da jedan CISSP treba da garantuje za tebe. Ako ne mozes da "nabavis" jednog, onda postoji solucija da direktor firme i slican nivo da garancije. Ovo parafraziram detaljno objasnjenje dato u PDF-u koji dobijes a mozes i na www.isc2.org da ga skines - endorsement form.

Uz to saljes i CV, ne postoji neka odredjena forma, bar ja ne znam za nju, popunis, posaljes i to je to. Kvaka je sto oredjeni broj kandidata koji prodju ispit budu odabrani za "bris iz grla", pa onda moras stvarno da dokazujes ono sto si poslao.

Ako si nesto slagao, za sva vremena su ti zatvorena vrata za njihove sertifikate, a ne bi me zacudilo da razmenjuju takve informacije i sa drugim sertifikacionim kucama koje nesto vrede.

Da napomenem da se pre pocetka ispita potpisuje se tzv Code of Ethics, nekoliko recenica gde kazemo da necemo da lazemo, biti nemoralni, ucestvovati u prevarama, proneverama...

Ja imam srecu da je meni firma platila ~2.500€ za seminar i ~500€ za ispit (ne racunam cenu smestaja i prevoza), i mislim da opravdam to poverenje jer mi je otvoren put za lepu karijeru, ali da sam ja sam placao verovatno bi pet puta vise vodio racuna o tome sta pisem da mi ne bi stavili na blacklstu.

---

Svaka cast PonyExpress! CISSP stvarno dokazuje nesto. Svidja mi se ta fora 'code of ethics', kao sad postajes whitehat, to protect and serve :)
Meni je instruktor na CCNA bio lik sa tim sertifikatom, pravi guru, a tek mu 25 godina... :)

Samo jedno pitanje, jeli bolje da se pocne od Associate of (ISC)2 ili Security+? Koji je 'jaci' sertifikat?

_{[Ovu poruku je menjao jorganwd dana 21.11.2006. u 15:50 GMT+1]}

Associate of (ISC)2 je u sustini "mlada selekcija" CISSP sertifikata. Associate je covek koji je polozio CISSP Exam, ali jos uvek nema dovoljno iskustva, pa kada stekne sve uslove prevodi se u punokrvnog CISSP-a.

Moram da priznam da nisam preterano upoznat sa Security+ sertifikatom. Imao sam priliku da prelistam knjigu u knjizari (plava, na srpskom jeziku). Deluje mi da ima malo vise tehnikalija, hardvera i slicnog. Cak je i uslov 2 godine bavljenja mrezama sa naglaskom na bezbednost.

Sama obimnost uzbenika (svinje su debele, knjige su obimne ;-)) mi iskreno ne uliva poverenje. Sada sam malo lutao po Internetu, cak sam nasao i kraci opis domena:
1. General security concepts
2. Communications security
3. Infrastructure security
4. Basics of cryptography

Operational/organizational security ima dosta slicnog sa CISSP-om, ali ipak je CISSP mnogo obimniji, da ne kazem ozbiljniji. Ima tu i kriptografije, PKI, mreza, ali ne vidim Management u security-ju. na kraju, CISSP ima 10 domena, da bi prosao, svaki od njih ponaosob moras da prodjes i u ukupnom skoru da imas bar 70% poena (ne boduju se svi domeni jednako, akcenat je na mrezama, security managementu, developmentu i access control domenima, mada se i business continuity dobro kotira).

CISSP nije ispit znanja (bar ne u bukvalnom smislu) vec islit logike, koncepata menadzerskog razmisljanja. Kao sto sam naveo u prethodnim postovima, neke stvari se izguglaju za 30 sekundi, ali treba malo vise od toga da se sagleda problem u svom kontekstu i pronadje najbolje resenje.

Sto bi rekla moja profesorka sa faxa, radnik u proizvodnji zna da je tranzistor ispravan ako kriva na osciloskopu predje nacrtanu liniju na ekranu, dipl.ing ne zna da proveri da li je tranzistor ispravan ali zna jednacinu kontinuiteta i zna sta znaci kada je kriva ispod ili iznat linije. Rad sa osciloskopom se nauci za 2 sata, koliko treba vremena da se shvati sustina jednacine kontinuiteta?

Da se ponovim, ja sam sam prosao kroz ceo proces i sada vidim da sam napravio par gresaka. Ako ima nekog zainteresovanog, rado cu pomoci da malo lakse prodje kroz sve ovo.

---

Ne bih da otvaram novu temu...

Konacno u zemlji Srbiji, CISSP seminar (22-26.10.2007) i ispit u Beogradu (24.11.2007):

https://www.isc2.org/cgi-bin/e...edule.cgi?displaycategory=1182

http://www.qstc.com/products/training/description/QSTC0286.asp
http://www.qstc.com/products/training/description/QSTC0288.asp

---

Zahvaljujem na iscrpnim informacijama. Mozda je ovo malo van teme ali me zanima kada neko ko zavrsi ovaj ispit i dobije sertivikat CISSP i zaposli se na radnom mestu ISSO ili nesto slicno sto odgovara tom proilu, sta je tacno njegov posao koja je njegova radna rutina njegove odgovornosti i duznosti ako moze njegova plata okvino od do menadzerska direktorska konsultantska ka cemu naginje. Da li kod nas u veliko organizacije i firme moraju da imaju ovakvog coveka ili je to na dobrovoljnoj bazi... molim te mi reci gde ti (PonyExpress) radis ako nije tajna (ako jeste potpuno razumem) i sve ostalo sto je bitno i sta mozes da mi kazes o ovoj oblasti.

Mene security strasno zanima recimo da se njime bavim studiram itd ali jos uvek ne smatram da imam dovoljno iskustva da polazem za ovaj sertifikat (I am not worthy), pa me zanimaju koraci u karijeri koje bi trebalo preduzeti pre polaganja (osim onih koji su navedeni) prvenstveno sto se tice posla i pravca u kome neko treba da se razvija.

I ako je CISSP drugi najplaceniji (jer se misli da osobe koje ga imaju su najplacenije ili samo placanje polaganja i slusanje ispita) sertivikat koji je prvi cisto radoznalosti radi?

Iscrpne informacije si preletio ili nisi ni procitao. Vrati se od prvog posta pa nadalje redom, vidjeces sta je posao CISSP-a, platu nigdje neces naci jer varira, a procitaces i da ih ne mozes nabrojati na jednoj saci u Srbiji i okolini zajedno, sto odmah daje odgovor na tvoje pitanje "da ih svaka organizacija i firma ima...".
Po pitanju najplacenijih ljudi u IT-u, mislim da su ljudi koji drze CCIE, neka me neko ispravi ako grijesim.
pozdrav

Postovani jorganwd

sve iscrpne informacije sa ovog posta sam detaljno procitao i sad jos jednom prelistao sam linkove, ja se izvinjavam ako nisam bio jasam u svojim pitanjima OK sve to pricam ti pricu treba da radi ovo i ono ali u praksi koliko je tacno taj posao odvojen od IT posto je sa politicke i menadzerske strane kako do izrazaja dolazi taj organizacioni pogled i nacin razmisljanja koji nije klasican i u nekim delovima ima veoma malo sa ITjem tipa fizicka bezbednost. Ne zanima me sta je posao CISSPa jer ga kao takvog neces naci ni u jendoj oraganizaciji, koja su tacno radna mesta ili zvanja (prepostavljam da to isto kao i plata varira od organizacije do organizacije) prepostavljam da ima vise od kojih je jedno ISSO (po cemu si mogao da vidis da sam citao post na koji si mislio). Sama plata ne mora da bude tacna, recimo 20% veca od system admina (ne znam zato pitam ali u sustini i najmanje je bitno).

Sto se tice placenosti i mog pitanja bilo je na sta je PonyExpress konkretno mislio kada je rekao

najplaceniji u ITju, uopste i koji je prvi ako naravno nije onaj za CISM.

Moje pitanje da ih svaka organizacija i firma ima se odnosilo na to da imaju nekoga ko se bavi bezbednoscu informacija, znam da imaju ljudi koji nemaju zavrsne kurseve koji se bave i koji su se bavili time jos pre nego sto su ti kursevi postajali. Ponovo zanima me za konkretno radno mesto ne samo vezano za taj kurs vec za celu oblast (mozda nije ba u skladu sa temom) koju bi naravno pokrivali i CISSPovi.

Ne znaimaju me uopstene stvari koje mogu da se procitaju iz knjiga izgoogluju, zanima me konkretno prakticno radno iskustvo u organizaciji ako je moguce iz nase zemlje ili sa pretstavnistvom u nasoj zemlji.

Ovde imaš većinu informacija koje te zanimaju: http://career.cissp.com/Jobs/V...StartRow=1&Section=Welcome

Ne znam da li na ES-u postoji neki član koji ima CISSP sertifikat, tako da ćeš teško dobiti informacije od nekog iz prve ruke.

PonyExpress ima CISSP, ako navrati, možda nešto doda na temu. :)

Bože, koji sam kreten... ne videh šta čovek napisa.

Ma opušteno koleza.

@Buum, odavno se nisam ovako nasmejao!

@smrak, najplaceniji sertifikat po mnogim sajtovima je PMP (Project Management Professional).

Sto se tice tvoje zelje (ako sam lepo shvatio) da ides prema security-ju, to je OK, kao sto se devedesith pricalo, aaa, ucis za kompjutere, ako, to je buducnost, svaka firma ima kompjutere... tako ja sada pricam da za koju godinu (optimisticki) svaka malo veca firma bi trebala da ima jednog radnika koji brine o bezbednosti. Mislim da je ulazak stranih kompanija i banaka malo prodrmao prilicno ucmalu i tromu sredinu, sto se kaze, otvorili smo se dva prsta ali ima tu jos da se ceka...

Vec sam pisao, ali nema veze, radim za internacionalnu kompaniju koja eto i kod nas ima interesa da radi, plata jeste tajna, sta da se radi... U zemljici Srbiji trenutno nas ima trojica (https://www.isc2.org/cgi-bin/c...count.cgi?displaycategory=1344) i osim ako nije bilo neke promene i kolege rade rukovodece poslove u povecim firmama; jbg, treba da se plati kurs i ispit).

Moze da se vidi i na oficijelnom sajtu www.isc2.org (ostale koji u svom nazivu imaju rec cissp ne posecujem, ali od srca preporucujem www.cccure.org), sertifikat je za kako ih ja zovem "politicare" u IT-ju, srednji i visi nivo managera (https://www.isc2.org/cgi-bin/content.cgi?category=97, drugi pasus). U najkracem, posao ISSOa je da sagleda, konsultuje se, preporuci i otprati izvrsenje, jos krace, posao ISSOa je da drugim ljudima da posao ;-)

Ovo treba shvatiti na taj nacin da znanja koje dobijes kao CISSP nece ti omoguciti da setujes ruter 9niti ce se od tebe to ocekivati) vec da znas sta je to, principe na kojima rada, sta su pretnje i sta moze da se uradi da se smanji rizik da se nesto desi. Ja sam dosao iz softverskih voda i oblast mreza i telekomunikacija me je osedela dok sam je provalio ;-), ali mi je bilo relativno lako da prodjem kroz neke druge domene. Neko je pomenuo Physical Security, jeste da je to nesto sa cime se u IT-ju retko srecemo, ali opet, nije za bacanje, sve je vise koliko toliko normalnih server soba, pa malo spustenih plafona, podignutih podova, malo senzora, temperature, vlaznosti, fizickog pristupa... ima tu sta da se zamezi...

@smrak, ako sam lepo shvatio jos si student, (sto je lepo, elektrijade su mi u najlepsem secanju) ali za CISSP ili bilo koji drugi ozbiljniji sertifikat ti treba malo iskustva (trenutno 4, od oktobra 5 godina, ali 1-2 godine mozes da kompenzujes diplomom ili nekim drugim sertifikatima, vidi ISC2 sajt). Kao sto sam rekao, CISSP cilja na management pozicije, odnosno ne-menadzere koji dovoljno visoko raportiraju (sef ti je recimo neko iz senior managementa, da bi mogao da imas formalnu nezavisnost i autoritet), ali zato postoji Associate CISSP, polozis ispit pa cekas da skupis iskustvo.

Ako ti pak ide voda na usta na mreze, protokole, rutere i cuda, onda ti lepo ganjaj Ciscove i MS skole; CISSP cilja nesto drugo...

Na kraju, sorryte za duzi post... hvala onima koji su izdrzali do kraja...

---

Evo ja sam izdrzao do kraja :)

Pitanje 1:
Da li ovo u Bg-u moze svako da se prijavi za seminar?

Pitanje2:
Da li moze da se polaze isto u Beogradu Associate of (ISC)2?

Pitanje3:
Koliko para? :)

Pitanje4:
Koja literatura je najbolja? Preporuke i ako mogu pdf-ovi da se dobiju mailom? ;)

p.s. za kalkulaciju dobijanja punokrvnog CISSP-a cu ti se obratiti pm-om ;)