Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA

© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]

Опыт подготовки к CISA

Кристина АндрееваИнженер по защите информации Deiteriy

CISA, PCI QSA

29 апреля 2016 года, вебинар RISС

1-2 Опыт подготовки к CISA


Спикер

Кристина Андреева

Практикующий аудиторкомпании Deiteriy, CISA,PCI QSA.



Поговорим о..

• организации ISACA и сертификации CISA в

частности;

• особенностях подготовки и сдачи экзамена;

• основных принципах постановки

экзаменационных вопросов;

• подтверждении опыта и квалификации.



Организация ISACA

• Information Systems Audit and Control Association -> ISACA

• Основана в 1969 году;

• На данный момент насчитывает более 200 отделений более, чем в 80 странах мира:– Московское отделение;

• Программы сертификации:– Certified Information Systems Auditor (CISA)

– Certified Information Security Manager (CISM)

– Certified in the Governance of Enterprise IT (CGEIT)

– Certified in Risk and Information Systems Control (CRISC)

Общая информация Подготовка к экзамену Сдача экзамена Подтверждение опыта Программа CPE

http://www.isaca.org/chapters2/moscow/Pages/default.aspx



Цели сертификации• профессиональное самосовершенствование;• подтверждение квалификации и профессионализма, опыта и компетенции;• высокая степень доверия;• профессиональная ценность для компании;• карьерный рост;• связанные сертификации (PCI QSA).




Требования ISACA

• успешная сдача экзамена;

• подтверждение опыта;

• соблюдение Кодекса профессиональной этики;

• соблюдение соответствующих стандартов;

• соблюдение программы непрерывного профессионального образования (CPE).




CISA• Домен 1 – Процесс аудита информационных систем• Домен 2 – Руководство и управление ИТ-деятельностью• Домен 3 – Приобретение, разработка и внедрение информационных

систем• Домен 4 – Эксплуатация, техническое обеспечение и обслуживание

информационных систем• Домен 5 – Защита информационных активов

Домен 1 14%

Домен 214%

Домен 319%Домен 4

23%

Домен 530%

2015 годДомен 1

21%

Домен 216%

Домен 318%

Домен 420%

Домен 525%

2016 год




Регистрация на экзамен

• 11 июня – регистрация завершена

• 10 сентября – регистрация открыта




Учебные материалы

• CISA Review Manual;

• CISA Review Questions, Answers & Explanations Manual;

• CISA Review Questions, Answers & Explanations Database

• ISACA CISA Exam Review;

• CISA Self Assessment;

• Certified Information Systems Auditor™ Study Guide David L. Cannon, Timothy S. Bergmann, Brady Pamplin;

• CBT Nuggets;

• Различные курсы обучения.


http://www.isaca.org/Certification/CISA-Certified-Information-Systems-Auditor/Prepare-for-the-Exam/Pages/CISA-Self-Assessment.aspx

https://www.cbtnuggets.com/it-training



Стандарты аудита

• ISO 19011:2011 «Guidelines for auditing management systems»

• ITAF: Information Technology Assurance Framework

– Стандарты;

– Руководящие документы;

– Инструменты и методики;

• COBIT framework.




Подготовка к экзамену• Понимание логики вопросов и ответов;

• Понимание основных принципов доменов;

• Обладание знаниями в профессиональных областях;

• Знание языка (Мультитран).


http://www.multitran.ru/



Основные принципы• Риск-ориентированный подход:

– Most, major, greatest – самый большой риск с точки зрения ИБ;

– Best – лучший вариант с точки зрения управления рисками ИБ;

• Планирование:– Do first, first step, second step;

– Primary, primarily – риск, который нужно обработать в первую очередь;

• Другие принципы:– независимость аудитора;

– разделение обязанностей;

– персонал – первая линия защиты;

– жизнь и здоровье людей.




Домен 1Which of the following responsibilities would MOST likely compromise the independence of an IS auditor when reviewing the risk management process?

A. Participating in the design of the risk management framework

B. Advising on different implementation techniques

C. Facilitating risk awareness training

D. Performing due diligence of the risk management processes




Домен 2

The MOST important responsibility of a data security officer in an organization is:

A. recommending and monitoring data security policies.

B. promoting security awareness within the organization.

C. establishing procedures for IT security policies.

D. administering physical and logical access controls.




Домен 3A project manager of a project that is scheduled to take 18 months to complete announces that the project is in a healthy financial position because, after six months, only one-sixth of the budget has been spent. The IS auditor should FIRSTdetermine:

A. what amount of progress against schedule has been achieved.

B. if the project budget can be reduced.

C. if the project could be brought in ahead of schedule.

D. if the budget savings can be applied to increase the project scope.




Домен 4

When reviewing system parameters, an IS auditor's PRIMARY concern should be that:

A. they are set to meet security and performance requirements.

B. changes are recorded in an audit trail and periodically reviewed.

C. changes are authorized and supported by appropriate documents.

D. access to parameters in the system is restricted.




Домен 5Which of the following user profiles should be of MOSTconcern to an IS auditor when performing an audit of an electronic funds transfer (EFT) system?A. Three users with the ability to capture and verify their own messagesB. Five users with the ability to capture and send their own messagesC. Five users with the ability to verify other users and to send their own messagesD. Three users with the ability to capture and verify the messages of other users and to send their own messages




Можно только запомнитьAt which level of the OSI model does a gateway operate?

A. Layer 3

B. Layer 5

C. Layer 6

D. Layer 7




Можно только запомнитьWhich of the following fire suppression systems is MOST appropriate to use in a data center environment?

A. Wet-pipe sprinkler system

B. Dry-pipe sprinkler system

C. FM-200 system

D. Carbon dioxide–based fire extinguishers




Экзамен• иногородним прибыть минимум за 1 день;

• заранее найти место проведения;

• начало в 8:00, не опаздывать;

• взять паспорт и входной билет;

• отвечать на каждый вопрос:– А - X

– B - V

– C - V

– D - X




Входной билетОбщая информация Подготовка к экзамену Сдача экзамена Подтверждение опыта Программа CPE



Экзамен

100 вопросов

Перерыв 5 минут

100 вопросов


Внести ответы -20 минут

Остаток 10 минут

240 минут на 200 вопросов

75 вопросов


75 вопросов


Внести ответы -

20 минут

Остаток 60 минут

240 минут на 150 вопросов




Результаты экзамена• 5 недель ожидания;

• результаты по электронной почте.




Подтверждение опыта

• 5 лет опыта в профессиональной области:– опыт работы в профессиональной области;

– обучение в университете;

– степень магистра/специалиста/бакалавра;

– сертификация CIMA (Chartered Institute of Management Accountants), членство в ACCA (Association of Chartered Certified Accountants);

– преподавание дисциплин.

• 5 лет со дня сдачи экзамена на подтверждение опыта;

• засчитывается опыт не более, чем за 10 лет, предшествующих экзамену.




Заполнение резюме




Кодекс профессиональной этикиКаждый член организации ISACA, а также каждый сертифицированный специалист должны:• поддерживать внедрение и соблюдение соответствующих стандартов и процедур для эффективного

руководства и управления информационными системами и технологиями организации, в том числе аудитом, контрольными процедурами, безопасностью и управлением рисками.

• выполнять свои обязанности с объективностью, добросовестностью и профессиональной заинтересованностью соответствии с стандартами профессиональной деятельности;

• выполнять свою деятельность в интересах заинтересованных сторон с соблюдением законодательных норм, высоких норм морали и нравственности, не дискредитируя свою профессию или Ассоциацию;

• поддерживать конфиденциальность информации, получаемой в процессе выполнения своей деятельности, если раскрытие информации не требуется на правовом основании. Такая информация не должна быть использована для получения личной выгоды или разглашена третьим лицам;

• поддерживать свою компетентность в соответствующих областях и соглашаться на выполнение только такой деятельности, которую с достаточной вероятностью смогут закончить и обладают для этого всеми необходимыми навыками, знаниями и компетенцией;

• информировать соответствующие стороны о результатах проводимых работ, в том числе путем раскрытия всех значимых фактов, неразглашение которых может привести к искажению отчетных результатов;

• поддерживать профессиональное обучение заинтересованных лиц путем повышения степени их понимания процедур руководства и управления информационными системами и технологиями организации, в том числе процедур аудита, контрольных процедур, процедур безопасности и управлением рисками.




Подтверждение• 8 недель ожидания;

• по электронной почте.




Сертификат




Программа CPE• 3 года 120 CPE;

• минимум 20 CPE в год;

• образовательная деятельность:– посещение мероприятий;

– самообучение;

– преподавание;

– публикации;

– сдача экзаменов.

• 1 CPE = 50 минут.




Резюме• начать подготовку задолго до;

• использовать риск-ориентированный

подход при ответе на вопросы;

• не забывать о Кодексе профессиональной

этики;

• совершенствовать знания постоянно.


Опыт подготовки к CISA


Контакты

• [email protected]

Вопросы?

1-31

Education

Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA