cisa обучение и сертификация
Trust In, and Value From, Informatеуьзion Systems
Sign in to My ISACA
Help Remember my preferences
Как получить CISA?
Сертификат Аудитора Информационных Систем является основной сертификацией Международной Ассоциации Аудиторов Информационных Систем (ISACA). С 1978 года эта сертификация является мерилом передового опыта в области аудита ИТ и информационной безопасности. С момента ее создания более 60 тысяч специалистов во всем мире прошли эту сертификацию и она стала всемирно признанной и принятой «де-факто», как символ достижения высокого профессионального уровня в этой области.
Соискателю квалификации CISA необходимо пройти следующие этапы:
Успешно сдать квалификационный экзамен.
Экзамен может сдать любой желающий, если проявит должное усердие при подготовке. В случае успешной сдачи, кандидат получит на электронную почту всю необходимую информацию о процедуре присвоения квалификации, включая результаты экзамена с разбивкой по доменам. Более подробная информация о доменах находится тут: CISA Certification Job Practice. Также, на основном сайте, есть возможность заказать материалы для подготовки или можно связаться с нами, через форму обратной связи.
Заполнить и выслать форму о присвоении квалификации.
После успешной сдачи экзамена, для присвоения квалификации, необходимо предоставить подтверждение релевантного опыта. Для этого следует предоставить форму о присвоении квалификации (Application for CISA Certification), в которую входит описание, как минимум, 5-летнего опыта работы в подразделениях ИТ/ИБ аудита с описанием выполняемых функций (по данному примеру job practice). Если у кандидата нет такого опыта, то, максимум 3-летний опыт, можно подтвердить следующим образом:
Исключение: 2 года на полной занятости в качестве университетского инструктора в соответствующих областях, такие как ИТ, Финансы, ИТ аудит могут быть засчитаны за 1 год опыта.
Пример минимальных требований: 2 года за счет 120 часов образования требуют 3 года реального опыта работы.
Опыт засчитывается за:
Важным является то, что кандидат, при успешной сдаче экзамена, может не иметь необходимого опыта.
В данном случае, квалификация не присваивается до тех пор, пока необходимый опыт не будет получен.
Опыт работы засчитывается за 10 лет, предшествующих дате заявления или в течение 5 лет с момента успешной сдачи экзамена. Форма о присвоении квалификации доступна по адресу www.isaca.org/cisaapp
Подписать Кодекс Профессиональной Этики
Члены ISACA и/или обладатели сертификатов CISA принимают обязательство о соблюдении Кодекса Профессиональной Этики Code of Professional Ethics.
Принять обязательство о непрерывном совершенствовании компетенций (Continuing Professional Education Program)
Цели непрерывного совершенствования компетенций:
Минимальные требования по поддержанию квалификации 20 часов (CPE) в год, при этом, необходимо набирать 120 часов за фиксированный 3 летний цикл.
Принять обязательство следовать стандартам аудита
Специалист, получивший квалификацию CISA, обязуется следовать профессиональным стандартам, разработанных и адаптированных ISACA.
ISACA просит заметить, что на заявление о присвоении квалификации может ответить отказом. Все вопросы, связанные с отказами просит присылать в органы по сертификации.
Почему именно CISA?
Сертификация CISA достаточно высоко ценится во всём мире и потихоньку приходит и в Россию. Является хорошим подспорьем для трудоустройства в международные компании (однако опыт не заменит). Также в линейке сертификации ISACA аудитор является первой ступенькой на пути к CISM, который уже является признанным требованием для серьёзных руководителей IT или ИБ подразделений. Также особенностью CISA является разносторонность изучаемого материала, что будет полезно в любом случае.
Цена вопроса
Прежде всего встаёт вопрос — а сколько это будет стоить? Здесь разумнее всего указывать цену в долларах, так она будет более актуальной и объективной. Мне повезло, и я успел оплатить большую часть в январе, когда Крым ещё не был наш доллар ещё не скакнул до нынешних 36 с копейками (когда начинал писать статью ещё был 35…).
1. New Member Fee Online + 10.00
2. Russia Chapter (на 2014 год) + 10.00
3. Basic Membership Dues (на 2014 год) + 135.00
4. Bookstore Purchase (книги) + 171.00
5. 2014 June CISA Exam + 495.00 – 75.00 – 50.00 = 370.00
6. CISA Practice Question Database v14 + 185.00
7. CISA Application Processing Fee + 50.00
Итого = 931.00
Из подготовительных материалов я купил всё, что только можно (на английском языке, есть ещё версии на японском, французском и т.д… Русский отсутствует и это хорошо). Полный учебный набор, предлагаемый ISACA, включает:
1. Официальный мануал к экзамену (книга).
2. Свежий вопросник на 2014 год (книга).
3. База вопросов на 2014 год (ПО).
Подробнее о них ниже.
Рекомендации:
1. Получайте скидки, став членом организации ISACA (опция платная). К тому же без членства к экзамену всё равно не допустят.
2. Покупайте материалы и всё остальное как можно раньше – больше сэкономите.
3. Если работодатель оплатит вашу сертификацию, то это будет приятной мелочью.
4. Достаточно только официальных материалов.
Теория и практика: картинка про крутое шифрование и криптоанализ с паяльником.
О теории
Экзамен сдаётся после самоподготовки. В интернете также предлагают курсы, естественно, довольно дорогостоящие. За пять дней обещают осветить материал всего экзамена. Не буду следовать принципу «не читал, но осуждаю», но для себя подобный вариант отмёл сразу. Поэтому подготовка исключительно своими силами.
Теория представлена пятью доменами, описание которых есть на официально сайте. В каком-то смысле мне повезло, потому что моё профессиональное образование и основной практический опыт попадали в тематику домена Информационная безопасность, удельный вес которого в экзамене составляет почти треть. А это значит, что вопросы из этого домена встречаются чаще и мне было легче, так как с это темой я знаком более чем близко.
Теперь об официальном мануале. Теории много, книга больше 300 страниц мелким шрифтом. Текст довольно живой и отличается в лучшую сторону от сухих стандартов. В начале каждого домена описаны те компетенции, которые в нём освещаются и те практические задачи, для которых эти компетенции необходимы. В конце каждого домена есть проверочные кейсы, чтобы можно было себя оценить, ответив на несколько вопросов.
Информация в мануале очень подробная и полезная. Позволяет взглянуть инженеру на вопросы управления проектами, а управленцам, например, на проблемы управления изменениями. Естественно глубина материала далека от профессиональной литературы, поэтому раздел, посвящённый вашей специализации, будет прочитываться раза в два быстрее.
Рекомендации:
1. Регулярность – обязательное условие успеха.
2. Рассчитайте время с запасом, за пару месяцев полноценно подготовится сложно. Читая каждый день по 4 страницы на книгу у вас уйдёт больше 3 месяцев – и это без выходных.
3. Найдите так много мотивации, как только сможете. Тут всё индивидуально. Я строил график, и много как ещё себя подбадривал и контролировал.
4. Оградите себя от всего, что вас отвлекает. Я, например, наконец-то бросил жену WoT.
5. Постарайтесь не перегореть. Берите перерыв раз – два в неделю, но не забывайте, что придётся увеличивать нагрузку в последующие дни.
Подготовка по вопросам
База вопросов состоит из двух частей. Первая — это книга с 100 свежими вопросами (обновляются каждый год), в которой есть подробные пояснения ответов и пара ответных листов как на экзамене, чтобы можно было устроить hardware симуляцию экзамена. Вопросы, как и в экзамене, перемешаны по темам, сложность варьируются от очевидных до сложных.
Вторая — база вопросов, предоставляемая на диске или просто скачиваемая в виде установочного файла размером 76 мегабайт. В случае если вы живёте в России не доверяете почте, устали ждать или у вас ультрабук без привода — выбирайте второй вариант. В базе порядка 1100 вопросов, включая те, что есть в бумажном обновлении за год. Если есть желание, то можно на этом сэкономить, не заказывая книжную версию. В базе к каждому большинству вопросов есть довольно подробные пояснения по ответам. Присутствуют различные режимы обучения, включая интеллектуальную систему Профессор, которая сама выбирает нужные для обучения вопросы (об этом подробнее в моём опыте под спойлером). Также есть режимы выбора вопросов по доменам и различным признакам (не просмотренные, с ошибками и т.д.).
Главная возможность — software симуляция экзамена — 4 часа с обратным отсчётом, 200 вопросов и никаких пояснений по выбору ответа. Diablo 3 hardcore mode
Рекомендации:
1. Вначале можно пользоваться режимом Personal Professor, однако им одним «сыт не будешь».
2. Пройдитесь хотя бы раз по всей базе вопросов обязательно изучая пояснения к вопросам – это залог закрепления изученного.
3. Постарайтесь не просто интуитивно выбирать ответ исходя из своего опыта и знаний, но мысленно для себя озвучивать логику выбора. Это позволит лучше закрепить материал в тех вопросах, которые вызывают особые сложности.
4. Обязательно пройти хотя бы пару раз именно четырёхчасовою симуляцию экзамена.
5. Полезно для самооценки пройти книжную симуляцию экзамена до изучения теории. Потом после изучения теории. И можно после изучения большей части базы вопросов. Это поможет понять динамику обучения.
Экзамен
Экзамен проводят в 3 раза в год. В 2014 это июнь, август и декабрь. Подробности о сроках закрытия регистрации на экзамен и скидках за раннюю регистрацию можно найти на официальном сайте.
Дело проходит в Москве. Сюда же, судя по всему, приезжают жители стран СНГ, где экзамены не проводят. Своей площадки у российского подразделения ISACA нет, поэтому проводится мероприятие на площадках университетов или других организаций. Июньский экзамен проходил в институте рядом с Белорусской.
Приглашение на экзамен — это документ, без которого к сдаче не допускают. Его высылают почтой и электронным письмом, чтобы можно было распечатать самому. В приглашении подробно описаны строгие правила проведения экзамена, условия предания анафеме изгнания с экзамена за нарушения и прочая важная информация. Пить и есть во время экзамена нельзя, да и времени не хватит.
Структура экзамена также подробно расписана на официальном сайте. Вначале устные инструкция, коллективное заполнение экзаменационных анкет и ответы на вопросы. затем все скрывают запечатанные вопросники (которые можно использовать как черновик) и приступают к экзамену.
По выходу с экзамена у меня не было абсолютно никакого понимания своих результатов. Я чувствовал, что с совершенно одинаковой вероятность мог, как и сдать, так и не сдать экзамен. Очень необычное ощущение, ставшее следствием сложных вопросов.
Некоторые сдавшие советуют напиться и забыть об экзамене, пока не получите результаты. А если не получается забыть – напиться ещё раз. Мне же удалось просто оградить себя от мутных мыслей и погрузившись работу отстранится от этого, несмотря на регулярные расспросы окружающих о результате.
Рекомендации:
1. Очень важно найти свой ритм, понимать сколько времени допустимо на лёгкий/средний/сложный вопрос. С этим помогают симуляция экзамена во время подготовки.
2. Естественно, отвлечься, расслабиться, очистить разум и так далее. Скорее всего не получится, если вы не владеете йогой.
3. Нащупайте грань между вопросами на которые необходимо отвечать сразу и теми, которые следует обдуманы повторно. Пройтись дважды по всем почти нереально.
4. Оставляя вопрос на потом выберите хоть какой-то вариант. Возможно интуиция, подсказавшая первый ответ, будет единственным ориентиром.
Подготовка документов
Результаты экзамена оглашаются по истечении 5 недель. Это довольно быстро, ведь раньше было целых 8. После этого на электронную почту приходит уведомление и дальнейшие инструкции. ISACA честно предупреждает, что ещё рано хвалится всем о том, что вы стали CISA, однако даёт ссылки на соц. сети, чтобы каждый мог поделиться новостью об успешно сданном экзамене.
Теперь начинается этап подготовки CISA Application. Необходимо от руки или через форму в браузере заполнить 6 листов А4 следующей информацией:
1. Опыт работы
2. Опыт преподавания
3. Образование
4. Информация о доставке сертификата
5. Подтверждение от 2 человек
В соответствии с требованиями к сертификации необходимо подтвердить 5 лет опыта работы. Часть можно засчитать за опыт преподавания, а часть за высшее образование. Мне засчитали 2 года за высшее образование по информационной безопасности, остальные 4 года – за реальный опыт работы.
Для подтверждения образования можно направить в ISACA специальное письмо от учебного заведения, однако для упрощения процедура предусматривает подтверждение от 2 рекомендующих.
Каждому из обоих подтверждающих (verifier) необходимо заполнить форму на двух листах, где указано, что они подтверждают образование, предыдущий опыт работы, настоящий опыт работы и перечисляют навыки (из доменов, как в мануале), которыми вы обладаете.
После этого сканы можно отправить на электронную почту ISACA, вам назначать Certification Assistant’а, который будет производить проверку и оформление сертификата, которая занимает до 8 недель.
Одновременно с подачей документов на сертификацию необходимо оплатить ещё одну пошлину.
Сам сертификат будет бумажным и отправлен обычной почтой, поэтому скорого получения в России ожидать не приходится. Надеюсь получить его в течении пары месяцев.
Хронология событий
В целом задача оказалась вполне по силам, если подойти к ней ответственно. Как и большинство задач по жизни, впрочем…
Получение сертификации проходило следующим образом:
Декабрь 2013 – принятие решения
Январь 2014 – покупка материалов
Январь – май 2014 – изучение теоретических материалов
Май- июнь 2014 – практика по базе вопросов
14 июня 2014 – экзамен
17 июля 2014 – получение результатов
18 июля 2014 – отправка документов на сертификацию
28 июля 2014 – получение подтверждения сертификации
2 августа 2014 – получение электронного бейджа, подтверждающего сертификацию
Ориентировочно сентябрь 2014 – получение бумажного сертификата
Что такое CISSP, как его получить, не потерять и почему он не нужен
Сегодняшний рынок вакансий ИТ-компаний вряд ли можно назвать интересным и разнообразным. Однако даже в нем можно встретить требования к сотрудникам по наличию сертификата CISSP. Эта сертификация является стандартном де-факто на западе, а вот о том, как получить этот сертификат в России поделился сотрудник нашей компании Сергей Полунин.
На самом деле, решение о получении CISSP возникло в 2017 году, когда стало очевидно, что профессиональные сертификаты крупных вендоров окончательно перестали выполнять свою главную функцию – подтверждать знания и опыт специалистов. Виной тому коллекции дампов, общий уровень вопросов в тестах, недобросовестность тестовых центров и множество других объективных и не очень факторов.
Я же всегда рассматривал процесс получения сертификатов как возможность подтянуть знания по нужному продукту или технологии. Потому что нет лучшего способа заполнить пробелы в образовании, чем взять руководство от гуру и прочесть от корки до корки, попутно выполняя упражнения. И так оно и было какое-то время, пока официальные руководства не начали скатываться в “нажмите кнопку в верхнем правом углу, чтобы всё заработало”, а также откровенную рекламу. Не лучше ситуация обстоит и в большинстве учебных центров, но это совсем другая история.
Что делать?
Кроме собственно сертификатов от вендоров, существуют и вендор-независимые системы сертификации, в сторону которых я и рекомендую смотреть специалистам, которые не отказались от идеи самостоятельного развития и профессионального роста.
На самом деле, у меня уже был опыт сдачи подобного экзамена в 2010 году, когда я сдавал CompTIA Security+. Это очень неплохой вариант для начинающего специалиста, чтобы оценить свой уровень и даже расширить кругозор в каких-то вопросах. CompTIA Secuity+ это такой блиц из 90 вопросов за 90 минут. Экзамен, кстати, регулярно обновляется аж с 2006 года и по сей день содержит актуальные тренды в области информационной безопасности.
Итак, Вы решили стать CISSP
Certified Information Systems Security Professional – это вендор-независимая сертификация по информационной безопасности от организации под названием International Information Systems Security Certifications Consortium (ISC)². Это некоммерческая международная организация по тестированию и сертификации специалистов в области информационной безопасности.
Эта сертификация появилась в далеком 1991 году и предназначена для консультантов, архитекторов и аналитиков в сфере информационной безопасности.
CISSP, как можно догадаться, относят к числу высших сертификаций в области ИБ.
Кроме этого, кстати, есть еще CISA (аудитор информационных систем) и CISM (менеджер в области ИБ), но сейчас речь не о них.
Итак, решение принято, начинаем искать материалы для подготовки и обнаруживаем несколько источников:
Во-первых, официальное руководство «CISSP (ISC)2 Certified Information Systems Security Professional Official Study Guide», James M. Stewart, Mike Chapple, Darril Gibson:
Я пользовался именно этой книгой. Дополнительно к этому есть приложение для Android/iOS с практическим экзаменом. Это не дампы, но они позволяют оценить и почувствовать логику вопросов.
Во-вторых, «CISSP All-in-One Exam Guide», Shon Harris:
Это неофициальное руководство, но чуть более объемное, и, субъективно, более тяжелое для прочтения.
В-третьих, есть небольшая книжка «Eleventh Hour CISSP: Study Guide», Eric Conrad, Joshua Feldman, Seth Misenar:
Это чуть более 200 страниц, которые очень неплохо бы прочесть непосредственно перед экзаменом, чтобы освежить в памяти прочитанное.
А кроме этого есть бесконечные майндкарты, конспекты, слайды от сдающих и сдавших.
Основное, что может вынести из этих книг опытный специалист – это подтянуть термины. Чем отличается Preventive от Deterrent? Что такое ALE? Как оно связано с ARO и EF? Какая разница между due care и due diligence? Подобные вопросы должны отпасть в процессе чтения.
Тут самое время напомнить, что все книги, само собой, на английском языке и вообще экзамен подразумевает, что вы имеете 5 лет оплачиваемого опыта в сфере ИБ в двух или более доменах (о них ниже). Вряд ли Вы, имя такой опыт, не сможете осилить 1000+ страниц на английском языке.
Эти пять лет, кстати, можно сократить на 1 год, если у вас есть профильное образование в сфере ИБ, или какой-нибудь релевантный сертификат (да хотя бы те же CompTIA Security+ или MCSE. У меня есть оба, но сокращают срок всё равно только на 1 год).
Теперь о доменах. Все вопросы разбиты на восемь доменов, т.е. областей:
1. Security and Risk Management (Управление рисками информационной безопасности)
В этом модуле рассматриваются основные теоретические основы ИБ: модели информационной безопасности, Биба/Кларк-Уилсон или Белл-ЛаПадула, “Триада ИБ”, анализ и управление рисками, подходы к управлению ИБ. Затрагиваются вопросы профессиональной этики и законодательства.
2. Asset Security (Безопасность активов)
В этом домене речь идет об активах, а если ставить вопрос еще уже – о данных. Основные темы: управление данными, классификация, владельцы данных, роли, управление доступом, хранение и уничтожение данных.
3. Security Architecture and Engineering (Инженерная и архитектурная безопасность)
Это, судя по всему, самый широкий домен в плане тем, потому что здесь и физическая безопасность (сигнализации, шлагбаумы, пожаротушение и т.п.), и криптография, и конкретные технические решения, а даже архитектурные особенности различных моделей доступа и их реализация.
4. Communication and Network Security (Связь и сетевая безопасность)
Наверное, самый практический и понятный домен, где придется вспомнить про SSL, TLS, HMAC, S-RPC, EAP и т.п. Если данные передаются по сетям – об этом есть вопрос в указанном домене.
5. Identity and Access Management (Управление идентификацией и доступом)
Здесь все вопросы про пользователей системы и их учетные данные. Вспоминаем, чем авторизация отличается от аутентификации и все они вместе от идентификации. Затем разбираемся, как выглядит цикл управления учетными записями, и чем нам может помочь двухфакторная аутентификация.
6. Security Assessment and Testing (Оценка безопасности и тестирование)
В этом домене разбираются практические вопросы тестирования безопасности. Зачем нужны сканеры безопасности? Кто такой OWASP? Чем грозит пентест без санкции владельца информации?
7. Security Operations (Операции по обеспечению безопасности)
Это самый скучный из всех доменов, где разбираются практические аспекты ежедневной рутины отдела ИБ – расследование инцидентов, обработка заявок, маркировка носителей, разделение обязанностей и полномочий, управление изменениями и т.п.
8. Software Development Security (Безопасность разработки программного обеспечения)
Домен выглядит несколько чужеродно, потому что рассматривает всякие вещи вроде SDLC, PERT, Agile и прочих моделей разработки ПО. Но на самом деле, CISSP должен обладать компетенцией во всех аспектах ИБ, поэтому потребуется вникнуть даже в это. Каких-то конкретных навыков программирования тут не требуется, но кто знает, чем однажды придется заниматься.
В какой-то степени мне повезло – я действительно интересуюсь своей профессией, и большинство тем не вызвало каких-либо дополнительных вопросов, кроме, пожалуй, последнего домена. В нем нет ничего сложно, просто я не сталкивался с этим на практике.
Регистрируемся на экзамен
Экзамен сдается в знакомой многим тестовой системе Pearson VUE, где принимают экзамены те же Cisco или Microsoft. Однако фокус в том, что далеко не каждый из тестовых центров принимает этот экзамен. В Санкт-Петербурге, например, такой центр всего один. Всё дело в том, что к тестовым центрам, принимающим экзамен CISSP предъявляются более суровые требования, чем обычно. Например, при регистрации в тестовом центре необходима биометрическая идентификация по рисунку вен ладони, соответственно тестовому центру необходимо иметь соответствующее оборудование.
На экзамен брать с собой ничего нельзя, кроме необходимых медикаментов и, пожалуй, чего-нибудь перекусить. А вот не забыть надо с собой документ, удостоверяющий личность.
На экзамене
В назначенный день приезжаем в тестовый центр, проходим формальности и садимся за компьютер. Тест состоит из 250 вопросов по всем доменам. На него дается 6 часов, перерывов нет. Причем, практически нет вопросов на знание какие-то понятий, фактов или определений. В основном вопросы направлены на проверку знания лучших практик, методологий и стандартов. Т.е. у вопроса могут быть все ответы логически правильные, но только один отвечает стандарту. Например, если среди ответов есть что-нибудь про “обеспечить физическую безопасность людей”, то этот ответ всегда правильный.
Я управился где-то за 3,5 часа, и это весьма неплохо, потому что после двух часов напряженной работы внимание потихоньку рассеивается, логика перестает работать. Зато включается здравый смысл и опыт, которые и позволяют отсеивать заведомо ложные ответы, а из оставшихся выбирать наиболее точный.
Я сдал с первого раза, притом, что на подготовку ушло около трёх месяцев. Я читал бесконечные истории, о том, как люди сдавали этот экзамен по 3-4 раза, и морально готовился к такому же сценарию. Однако всё оказалось проще, видимо не зря в требованиях указан реальный опыт работы.
Моё разочарование “сложностью” этого экзамена разделили несколько зарубежных коллег. Причем, каждый по своей причине: кого-то расстроила простота экзамена (столько времени потратили на знакомство с международным законодательством, GDPR и поправками к конституции США, а на эту тему было только 3 вопроса), а кого-то оторванность от реальной жизни (ни одной лабораторной работы!).
Но так и суть экзамена не в этом. Он и задуман быть “милей в ширину, но дюймом в глубину”. Кандидат должен показать свой широкий кругозор в теме, а также понимать какие бизнес-процессы стоят за галочками в настройках Active Directory, и какие политики реализуют таблицы маршрутизации. CISSP должен полюбить процессный подход и начать уже мыслить как менеджер в хорошем смысле этого слова.
Что дальше
Итак, экзамен сдан, и Вы стали CISSP (ха-ха, на самом деле, нет). Теперь ваш опыт должен подтвердить кто-то из действующих CISSP. Это может быть коллега, приятель или даже совсем не знакомый человек – нигде в правилах не указано, в каких Вы должны быть с ним отношениях.
Далее необходимо принять этический кодекс (ISC)² (https://www.isc2.org/Ethics), дождаться еще одного письма с подтверждением и наконец-то получить заветный статус. На самом деле, всего на год. Дело в том, что статус CISSP необходимо подтверждать каждый год. Сдавать экзамен повторно не нужно, вместо этого работает механизм CPE (Continuing professional education), т.е. непрерывного профессионального образования. Для того, чтобы не потерять статус CISSP, необходимо участвовать в жизни ИБ-сообщества: писать статьи, участвовать в мероприятиях, читать лекции, самообразовываться, ну или на худой конец слушать тематические подкасты. За каждый тип активности начисляются очки. За год необходимо набрать не менее 40. Только в этом случае статус будет продлен.
Что же не так?
Довольно быстро выясняется, что о существовании CISSP знаете только Вы и пара коллег. Эти загадочные буквы не фигурируют в названиях вакансий, если это, конечно, не иностранная компания, где CISSP зачастую являются обязательным условием приглашения на собеседование. Это не хорошо и не плохо, это реалии российского рынка ИБ. Своих подобных сертификаций у нас нет, и единственным релевантным документом остается диплом о высшем образовании в сфере ИБ.
Однако престиж профессии постепенно падает, и абитуриенты отдают предпочтение более раскрученным и социально привлекательным специальностям, а выпускники ВУЗов, приходящие на собеседования всё чаще, не могут сформулировать, чем же конкретно они занимались последние 5 лет в стенах своей alma mater.
Парадокс в другом – количество сертифицированных CISSP, CISA и CISM в РФ постепенно растет, а значит не всё потеряно.
Блог Сергея на английском языке можно прочитать тут.