Как я сдавал (и сдал) CISM. Часть 2: Подготовка и экзамен

Как я сдавал (и сдал) CISM. Часть 2: Подготовка и экзамен
В прошлом моем посте " Как я сдавал (и сдал) CISM. Часть 1: Третья попытка... " я обещал рассказать о своих наблюдениях об экзамене CISM и дать рекомендации по подготовке. Держу свое обещание...

Общее про экзамен
  • Допуск до экзамена CISM стоит $650. Однако если вы являетесь членом ISACA (годовое членство стоит порядка 150$), то вы получаете скидку, и экзамен будет для вас стоить $470. А если вы еще и рано зарегистрируетесь (примерно месяца за 4+), то будет еще дешевле -  $420. Однако я ни разу не успевал оплатить "раннюю регистрацию" и сдавал всегда за 470$.
  • Я зарегистрировался на экзамен за 3,5 месяца до него.
  • Экзамен можно сдать в России (Москва) 3 раза в год (июнь, сентябрь, декабрь). Обратите внимание, что в сентябре можно сдавать не во всех странах (в России можно).
  • Ближайший экзамен будет 06.09.2014, "ранняя регистрация" уже закончилась, "финальная регистрация" до 23.07.2014
  • Следующий экзамен будет 13.12.2014. Завершение "ранеей регистрации" - 20.08.2014, заверешение "финальной регистрации" - 24.10.2014. Я подумаю, может решу в декабре экзамен  CGEIT  сдать...
  • CISM можно сдавать на одном из 4х языков (English, Japanese, Korean, Spanish). Очевидно, что в России все выбирают английский... Кстати, CGEIT и CRISC сдается только на английском, а CISA можно сдать на одном из 10 языков. Словарем пользоваться во время экзамена нельзя.
  • Экзамен длиться 4 часа, за это время надо успеть ответить (выбрать 1 ответ из 4) на 200 вопросов. Вопросы очень не просты, обычно просят выбрать "лучший ответ", или "самое главное", или "самое первое". Т.е. часто такое бывает, что из 4х ответов вроде как подходят все 4... 
  •  Все вопросы сгруппированы по 4 доменам:
    • Domain 1—Information Security Governance (24%)
    • Domain 2—Information Risk Management and Compliance (33%)
    • Domain 3—Information Security Program Development and Management (25%)
    • Domain 4—Information Security Incident Management (18%)
  • Для успешной сдачи экзамена надо набрать 450 баллов, как они точно определяются я понять не могу, но это не важно... Баллы считаются по каждому домену, а потом берется некое среднее (с учетом % доменов). По сути, можно набрать меньше 450 в некоторых доменах, а потом "вытянуть" весь экзамен за счет высоких баллов в других. Поэтому особо обратите внимание при подготовке на домен "Information Risk Management and Compliance", он самый "ценный".
Материалы для подготовки
  • В начале рекомендую изучить " ISACA Exam Candidate Information Guide 2014 ".
  • Затем попробовать решить официальные примеры вопросов к экзаменам CISM и CISA .
  • Для подготовки я рекомендую не пожалеть денег и купить что-то из официальных материалов :
  • Я готовился по мануалу 2014 года и по коротким вопросам 2014 (supplement), также у меня были вопросы и мануал 2011 года. Еще я погулил и нашел в интернете несколько сотен примеров вопросов CISM.
  • Все купленный материалы от ISACA присылают обычной почтой, книги печатные. В электронном виде их скачать не дают.
  • На мой взгляд, мануал не самый полезный материал для подготовки к экзамену, без него можно вполне обойтись. В нем довольно много теории, но скорее "по верхам". А вот примеры вопросов заказывать однозначно надо!!!
  • Мои знакомы готовились по Question Database, по сути, это база вопросов и удобное ПО для их прорешивания на ПК. Обратите внимание, что программу можно установить/активировать всего 2 или 3 раза, правильным решением будет ее установка на виртуальную машину...
  • Многие рекомендуют общаться и обсуждать вопросы CISM в специальных группах и на форумах, например, на ISACA и в Linkedin . Но я так не делал...
Подготовка к экзамену
  • Главное правило: "Вопросы первичны, теория вторична!". Уделите максимально много времени прорешиванию примеров вопросов и чтению пояснений к ним. Составление майндкарт по теории мне успеха не принесло...
  • Обратите внимание на английский язык, а точнее незнакомые слова. Сначала я их выписывал отдельно, но потом понял, что без контекста они запоминаются плохо, и стал делать пометки-переводы прямо в тексте вопросов, а потом возвращался к ним.
  • Я старался брать с собой примеры вопросов (распечатывал или копировал несколько страниц А4) и прорешивал их в метро. При этом я отмечал незнакомые мне слова и/или вопросы на "подумать" (когда ответ и объяснение были не очевидными). Позднее я возвращался к ним.
  • Дома я прорешивал тесты, но не часто. Системы и планов типа "100 вопросов в день" у меня не было.
  • За пару дней до экзамена я пролистал мануал, особо обращая внимание на части про риски и про управление непрерывностью.
Экзамен
  • В 2014 году было удобно: экзамен, как обычно, был в субботу, но до этого было 2 дня выходных (День России). Но готовился не очень сильно, скорее больше отдыхал и перечитывал свои пометки. 
  • Для допуска к экзамену необходимо предъявить "ISACA Exam Admission eTicket" (он приходит и по обычной почте и по электронной, во втором случае его надо распечатать) и документ. удостоверяющий личность (паспорт).
  • На месте надо заполнить согласие на обработку ПДн. Оно составлено на 2х языках, но можно заполнить только на одном.
  • Экзамен сдается очень рано, регистрация с 8 утра, инструктаж запланирован на 8.30, а старт экзамена на 9.00. Обычно старт экзамена сдвигается (опаздывает) минут на 30-40. Но все равно не опаздывайте!
  • Перед экзаменом я спал очень плохо, часто просыпался, думал, что опаздываю. Чтобы успеть собраться и доехать до места экзамена (International University of Moscow, Leningradsky Prospect, 17) я завел будильник на 06.20, а спать лег где-то в 01.00 (раньше не получилось ни лечь, ни заснуть).
  • Экзамены ISACA сдавали 83 человека (CISM 12, CISA 61, CRISC + CGEIT еще 10). В основном мужчины, но были и 6 девушек.
  • ISACA регулярно пересматривает и обновляет свои вопросы, в моем экзамене было много современных технологий и СЗИ: SIEM, DLP, cloud, mobile security и BYOD, было пару вопросов про APT.
  • Есть в вопросах 1 кейс (описание ситуации), по которому потом задают 3 вопроса. В прошлый раз было про сетевую безопасность, в этот раз про планирование системы ИБ и обоснование для руководства.
  • Знакомых вопросов (те, что были в примерах, по которым я готовился) я встретил не более 5-10%.
  • С собой на экзамен необходимо принести 2 простых карандаша и ластик, некоторые забывают, но им выдают на месте.
  • На партах во время экзамена можно держать лишь книжку с вопросами, форму для ответов, паспорт и билет. Телефоны, воду, еду, листы бумаги (даже пустые) и прочее нельзя. Телефоны вообще просят оставить в верхней одежде, сумках, которые убираются на дальнюю парту/шкаф.
  • Во время экзамена можно выходит в коридор (там стоит вода) и/или туалет только по одному. Все свои документы (вопросы, лист с ответами и паспорт) на это время сдаются. 
  • Рекомендую взять с собой наручные часы и очень аккуратно следить за временем, 4 часа экзамена пролетят очень быстро. Если часы не взяли, то не беда, на доске будут каждые пол часа отмечать оставшееся время.
  • !!! Обратите внимание, что довольно много времени уходит на вписывание (штриховку) ответов в специальные кружочки. Не рекомендую оставлять оформление ответов на самый конец экзамена, можете не успеть. Рекомендую поступить следующим образом: прорешиваете 50 вопросов (можно делать пометки прямо в книге с вопросами, других черновиков нет), потом перепроверяете и вносите ответы в поле для ответов. Потом решаете еще 50 и так далее... После 100 вопросов я сделал паузу, вышел попить водичку и размять ноги. Ориентируйтесь на то, что на 50 вопросов с оформлением ответов у вас должно уходить не более 1 часа.
  • По моим наблюдениям 1 человек ушел через 3 часа, еще несколько после 3.5 часов, большинство сидят практически до самого конца.
  • Результаты экзаменов CISM и CISA приходят примерно через 5+ недель, CGEIT и CRISC через 8+.

Вот как-то так, вроде рассказал про все... Если у вас есть еще вопросы, то спрашивайте в комментариях.

Еще можно посмотреть мой пост про то, как я сдавал (и сдал) экзамен COBIT5 Foundation .
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Антивирус для мозга!

Лечим цифровую неграмотность без побочных эффектов

Активируйте защиту — подпишитесь

Andrey Prozorov

Информационная безопасность в России и мире