Сертифицированный аудитор информационных систем (CISA)
Опубликовано 10.06.2020 · Обновлено 10.06.2021
Что такое Сертифицированный аудитор информационных систем (CISA)?
Ключевые моменты
Понимание сертифицированного аудитора информационных систем (CISA)
Чтобы получить сертификат сертифицированного аудитора информационных систем, кандидаты должны сдать комплексный экзамен и соответствовать требованиям к опыту работы в отрасли. Кандидаты также должны пройти непрерывное образование и профессиональное развитие и соблюдать Кодекс профессиональной этики ISACA и Стандарты аудита информационных систем.
Экзамен сертифицированного аудитора информационных систем
Экзамен CISA длится четыре часа и состоит из 150 вопросов с несколькими вариантами ответов. Экзамен проверяет знания кандидатов в пяти областях производственной практики: процесс аудита информационных систем; Правительство и управление ИТ; Приобретение, разработка и внедрение информационных систем; Информационные системы эксплуатации, обслуживания и управления услугами; и защита информационных активов. Кандидаты должны набрать 450 баллов, чтобы сдать экзамен. Экзамен оценивается по шкале от 200 до 800.
У кандидатов есть возможность сдать экзамен в июне, сентябре или декабре в центрах тестирования по всему миру. Экзамен также доступен на нескольких языках, включая китайский (упрощенный и традиционный), испанский, французский, японский и корейский.
Требования к опыту работы с сертифицированными информационными системами
Кандидаты в CISA должны иметь не менее пяти лет профессионального опыта в области аудита, контроля или безопасности информационных систем. Кандидаты могут удовлетворить некоторые требования по замене опыта работы и отказу от него максимум до трех лет.
Преподаватели университетов, имеющие двухлетний опыт работы в смежных областях, таких как информатика, аудит информационных систем или бухгалтерский учет, могут заменить один год опыта работы этим опытом.
Сертифицированный аудитор информационных систем непрерывного профессионального образования
Чтобы профессионалы, получившие статус CISA, постоянно обновляли свои знания в области информационных систем, аудита и контроля, они должны проходить 20 часов обучения в год и минимум 120 часов в течение трехлетнего периода. ISACA взимает ежегодную плату за обслуживание для продления сертификации CISA. Члены ISACA платят 45 долларов, а не члены – 85 долларов.
Trust In, and Value From, Informatеуьзion Systems
Sign in to My ISACA
Help Remember my preferences
CISA: Certified Information Systems Auditor
Московское отделение ISACA предлагает 5-дневный подготовительный курс к сертификационному экзамену CISA : Certified Information Systems Auditor.
Это независимая и самая престижная сертификация ИТ-аудиторов. Программа курса CISA аккредитована ANSI и признана на государственном уровне во многих странах.
Тренинг CISA разработан по официальной программе сертификации, утвержден и согласован глобальной ISACA.
В последний день обучения будет проведен пробный экзамен CISA и выдан сертификат Московского отделения ISACA о прохождении тренинга с зачислением 40 CPE.
В стоимость курса входит обучение, официальное учебное пособие (CISA Review Manual), пробный экзамен.
Описание тренинга
Курс CISA : Certified Information Systems Auditor представляет теоретические знания и практические навыки в области ИТ-аудита, демонстрирует его местонахождение в системе внутреннего контроля организации, а также связь с процессами информационной безопасности; содержит практические рекомендации по успешной реализации ИТ-аудита; практические навыки по реализации ИТ-контролей и мер реагирования на риски, связанные с информационными активами организации.
На кого рассчитан тренинг?
Руководители и специалисты в области ИТ, специалисты в области информационных и операционных рисков, безопасности информационных систем, специалисты в области внутреннего контроля и ИТ-аудита.
Продолжительность курса – 5 дней
Программа курса
День 1
| Время | Тема |
| 10:00 | Приветствие. |
| Структура и цели курса. | |
| Стандарты и методологии в ИТ. Роль ИТ аудита в организации. | |
| Домен 1 — Процесс аудита информационных систем. | |
| Планирование процесса ИТ аудита. Обеспечение ценности ИТ аудита, через повышение контроля и степени защищенности информационных систем. | |
| Проведение ИТ аудита на основе риск-ориентированного подхода, в соответствии со стандартами ISACA. | |
| Использование утилит в процессе ИТ аудита. | |
| Оценка текущего состояния. Доведение до заинтересованных сторон выявленных несоответствий в ходе аудита. | |
| 17:00 | Составление плана корректирующих действий, с целью обработки выявленных на аудите рисков и несоответствий. |
День 2
| Время | Тема |
| 10:00 | Оценка контрольной среды. Процесс непрерывного мониторинга. |
| Определение областей для улучшения качества и контроля информационных систем. | |
| Построение процесса непрерывного совершенствования. Закрепление руководящих принципов в политиках и процедурах организации. | |
| Домен 2 – Руководство и управление ИТ. | |
| Приведение в соответствие стратегии ИТ и бизнес стратегии организации. | |
| Оценка результативности организационной структуры ИТ и штатного расписания. | |
| Оценка политик и практик по управлению ИТ. | |
| Оценка политик и практик на соответствие законодательным и регуляторным требованиям. | |
| Оценка текущих ИТ ресурсов. Формирование портфеля трансформационных проектов для достижения целей и задач организации. | |
| Политики и практики по управлению ИТ рисками. | |
| Мониторинг контрольной среды. | |
| Оценка KPIs и формирование отчетности. | |
| 17:00 | Процесс управления ИТ поставщиками. Выбор ИТ решений, в соответствии с текущими бизнес требованиями. |
День 3
| Время | Тема |
| 10:00 | Оценка ИТ сервисов на основе бизнес требований. |
| Периодический анализ информационных систем и архитектуры предприятия. | |
| Управление данными. Оценка политик и процедур. | |
| Анализ рисков и возможностей при изменении контекста организации. | |
| Домен 3 – Закупка, разработка и внедрение информационных систем. | |
| Оценка техникоэкономического обоснования, при внедрении новых информационных систем, на соответствие бизнес требованиям. | |
| Оценка проектной деятельности в ИТ. | |
| Оценка контролей на всех стадиях жизненного цикла разработки информационных систем. | |
| Оценка готовности ИС к внедрению и миграции в производственную среду. | |
| Анализ ИС после внедрения. Оценка результатов проектов, контролей и выполнения требований бизнеса. | |
| 17:00 | Оценка процессов управления изменениями, конфигурациями, релизами и патчами. |
День 4
| Время | Тема |
| 10:00 | Домен 4 – Операционная деятельность ИТ и устойчивость бизнеса. |
| Оценка способности организации продолжать бизнес деятельность в случае сбоев. | |
| Оценка практик по управлению ИТ сервисами на основе бизнес требований. | |
| Оценка результативности контрольной среды в операционной деятельности ИТ. | |
| Регулярное техническое обслуживание ИТ активов. Предотвращение сбоев в работе ИТ. | |
| Оценка работы систем управления базами данных. | |
| Оценка политик и практик по управлению данными. | |
| Оценка политик и практик по управлению инцидентами и проблемами. | |
| Оценка политик и практик по управлению изменениями, конфигурациями, релизами и патчами. | |
| 17:00 | Оценка контролей на рабочих станциях пользователей. |
День 5
| Время | Тема |
| 10:00 | Домен 5 – Защита информационных активов. |
| Проведение аудита, в соответствии со стандартами ИБ, на основе риск-ориентированного подхода. | |
| Оценка политик и практик по управлению персональными данными. | |
| Оценка результативности контролей окружающей среды и физической защиты. | |
| Политики и практики классификации информационных активов. | |
| Политики и практики по управлению жизненным циклом информационных активов. | |
| Оценка результативности логических контролей для верификации конфиденциальности, целостности и доступности информационных активов. | |
| Оценка программы ИБ на соответствие целям и задачам организации. | |
| Проведение технического тестирования для идентификации потенциальных уязвимостей в информационных системах. | |
| 17:00 | Пробный экзамен CISA (75 вопросов на 2 часа). |
Возможна адаптация содержания и продолжительности курса, в соответствии с приоритетами и потребностями заказчика
Почему именно CISA?
Сертификация CISA достаточно высоко ценится во всём мире и потихоньку приходит и в Россию. Является хорошим подспорьем для трудоустройства в международные компании (однако опыт не заменит). Также в линейке сертификации ISACA аудитор является первой ступенькой на пути к CISM, который уже является признанным требованием для серьёзных руководителей IT или ИБ подразделений. Также особенностью CISA является разносторонность изучаемого материала, что будет полезно в любом случае.
Цена вопроса
Прежде всего встаёт вопрос — а сколько это будет стоить? Здесь разумнее всего указывать цену в долларах, так она будет более актуальной и объективной. Мне повезло, и я успел оплатить большую часть в январе, когда Крым ещё не был наш доллар ещё не скакнул до нынешних 36 с копейками (когда начинал писать статью ещё был 35…).
1. New Member Fee Online + 10.00
2. Russia Chapter (на 2014 год) + 10.00
3. Basic Membership Dues (на 2014 год) + 135.00
4. Bookstore Purchase (книги) + 171.00
5. 2014 June CISA Exam + 495.00 – 75.00 – 50.00 = 370.00
6. CISA Practice Question Database v14 + 185.00
7. CISA Application Processing Fee + 50.00
Итого = 931.00
Из подготовительных материалов я купил всё, что только можно (на английском языке, есть ещё версии на японском, французском и т.д… Русский отсутствует и это хорошо). Полный учебный набор, предлагаемый ISACA, включает:
1. Официальный мануал к экзамену (книга).
2. Свежий вопросник на 2014 год (книга).
3. База вопросов на 2014 год (ПО).
Подробнее о них ниже.
Рекомендации:
1. Получайте скидки, став членом организации ISACA (опция платная). К тому же без членства к экзамену всё равно не допустят.
2. Покупайте материалы и всё остальное как можно раньше – больше сэкономите.
3. Если работодатель оплатит вашу сертификацию, то это будет приятной мелочью.
4. Достаточно только официальных материалов.
Теория и практика: картинка про крутое шифрование и криптоанализ с паяльником.
О теории
Экзамен сдаётся после самоподготовки. В интернете также предлагают курсы, естественно, довольно дорогостоящие. За пять дней обещают осветить материал всего экзамена. Не буду следовать принципу «не читал, но осуждаю», но для себя подобный вариант отмёл сразу. Поэтому подготовка исключительно своими силами.
Теория представлена пятью доменами, описание которых есть на официально сайте. В каком-то смысле мне повезло, потому что моё профессиональное образование и основной практический опыт попадали в тематику домена Информационная безопасность, удельный вес которого в экзамене составляет почти треть. А это значит, что вопросы из этого домена встречаются чаще и мне было легче, так как с это темой я знаком более чем близко.
Теперь об официальном мануале. Теории много, книга больше 300 страниц мелким шрифтом. Текст довольно живой и отличается в лучшую сторону от сухих стандартов. В начале каждого домена описаны те компетенции, которые в нём освещаются и те практические задачи, для которых эти компетенции необходимы. В конце каждого домена есть проверочные кейсы, чтобы можно было себя оценить, ответив на несколько вопросов.
Информация в мануале очень подробная и полезная. Позволяет взглянуть инженеру на вопросы управления проектами, а управленцам, например, на проблемы управления изменениями. Естественно глубина материала далека от профессиональной литературы, поэтому раздел, посвящённый вашей специализации, будет прочитываться раза в два быстрее.
Рекомендации:
1. Регулярность – обязательное условие успеха.
2. Рассчитайте время с запасом, за пару месяцев полноценно подготовится сложно. Читая каждый день по 4 страницы на книгу у вас уйдёт больше 3 месяцев – и это без выходных.
3. Найдите так много мотивации, как только сможете. Тут всё индивидуально. Я строил график, и много как ещё себя подбадривал и контролировал.
4. Оградите себя от всего, что вас отвлекает. Я, например, наконец-то бросил жену WoT.
5. Постарайтесь не перегореть. Берите перерыв раз – два в неделю, но не забывайте, что придётся увеличивать нагрузку в последующие дни.
Подготовка по вопросам
База вопросов состоит из двух частей. Первая — это книга с 100 свежими вопросами (обновляются каждый год), в которой есть подробные пояснения ответов и пара ответных листов как на экзамене, чтобы можно было устроить hardware симуляцию экзамена. Вопросы, как и в экзамене, перемешаны по темам, сложность варьируются от очевидных до сложных.
Вторая — база вопросов, предоставляемая на диске или просто скачиваемая в виде установочного файла размером 76 мегабайт. В случае если вы живёте в России не доверяете почте, устали ждать или у вас ультрабук без привода — выбирайте второй вариант. В базе порядка 1100 вопросов, включая те, что есть в бумажном обновлении за год. Если есть желание, то можно на этом сэкономить, не заказывая книжную версию. В базе к каждому большинству вопросов есть довольно подробные пояснения по ответам. Присутствуют различные режимы обучения, включая интеллектуальную систему Профессор, которая сама выбирает нужные для обучения вопросы (об этом подробнее в моём опыте под спойлером). Также есть режимы выбора вопросов по доменам и различным признакам (не просмотренные, с ошибками и т.д.).
Главная возможность — software симуляция экзамена — 4 часа с обратным отсчётом, 200 вопросов и никаких пояснений по выбору ответа. Diablo 3 hardcore mode
Рекомендации:
1. Вначале можно пользоваться режимом Personal Professor, однако им одним «сыт не будешь».
2. Пройдитесь хотя бы раз по всей базе вопросов обязательно изучая пояснения к вопросам – это залог закрепления изученного.
3. Постарайтесь не просто интуитивно выбирать ответ исходя из своего опыта и знаний, но мысленно для себя озвучивать логику выбора. Это позволит лучше закрепить материал в тех вопросах, которые вызывают особые сложности.
4. Обязательно пройти хотя бы пару раз именно четырёхчасовою симуляцию экзамена.
5. Полезно для самооценки пройти книжную симуляцию экзамена до изучения теории. Потом после изучения теории. И можно после изучения большей части базы вопросов. Это поможет понять динамику обучения.
Экзамен
Экзамен проводят в 3 раза в год. В 2014 это июнь, август и декабрь. Подробности о сроках закрытия регистрации на экзамен и скидках за раннюю регистрацию можно найти на официальном сайте.
Дело проходит в Москве. Сюда же, судя по всему, приезжают жители стран СНГ, где экзамены не проводят. Своей площадки у российского подразделения ISACA нет, поэтому проводится мероприятие на площадках университетов или других организаций. Июньский экзамен проходил в институте рядом с Белорусской.
Приглашение на экзамен — это документ, без которого к сдаче не допускают. Его высылают почтой и электронным письмом, чтобы можно было распечатать самому. В приглашении подробно описаны строгие правила проведения экзамена, условия предания анафеме изгнания с экзамена за нарушения и прочая важная информация. Пить и есть во время экзамена нельзя, да и времени не хватит.
Структура экзамена также подробно расписана на официальном сайте. Вначале устные инструкция, коллективное заполнение экзаменационных анкет и ответы на вопросы. затем все скрывают запечатанные вопросники (которые можно использовать как черновик) и приступают к экзамену.
По выходу с экзамена у меня не было абсолютно никакого понимания своих результатов. Я чувствовал, что с совершенно одинаковой вероятность мог, как и сдать, так и не сдать экзамен. Очень необычное ощущение, ставшее следствием сложных вопросов.
Некоторые сдавшие советуют напиться и забыть об экзамене, пока не получите результаты. А если не получается забыть – напиться ещё раз. Мне же удалось просто оградить себя от мутных мыслей и погрузившись работу отстранится от этого, несмотря на регулярные расспросы окружающих о результате.
Рекомендации:
1. Очень важно найти свой ритм, понимать сколько времени допустимо на лёгкий/средний/сложный вопрос. С этим помогают симуляция экзамена во время подготовки.
2. Естественно, отвлечься, расслабиться, очистить разум и так далее. Скорее всего не получится, если вы не владеете йогой.
3. Нащупайте грань между вопросами на которые необходимо отвечать сразу и теми, которые следует обдуманы повторно. Пройтись дважды по всем почти нереально.
4. Оставляя вопрос на потом выберите хоть какой-то вариант. Возможно интуиция, подсказавшая первый ответ, будет единственным ориентиром.
Подготовка документов
Результаты экзамена оглашаются по истечении 5 недель. Это довольно быстро, ведь раньше было целых 8. После этого на электронную почту приходит уведомление и дальнейшие инструкции. ISACA честно предупреждает, что ещё рано хвалится всем о том, что вы стали CISA, однако даёт ссылки на соц. сети, чтобы каждый мог поделиться новостью об успешно сданном экзамене.
Теперь начинается этап подготовки CISA Application. Необходимо от руки или через форму в браузере заполнить 6 листов А4 следующей информацией:
1. Опыт работы
2. Опыт преподавания
3. Образование
4. Информация о доставке сертификата
5. Подтверждение от 2 человек
В соответствии с требованиями к сертификации необходимо подтвердить 5 лет опыта работы. Часть можно засчитать за опыт преподавания, а часть за высшее образование. Мне засчитали 2 года за высшее образование по информационной безопасности, остальные 4 года – за реальный опыт работы.
Для подтверждения образования можно направить в ISACA специальное письмо от учебного заведения, однако для упрощения процедура предусматривает подтверждение от 2 рекомендующих.
Каждому из обоих подтверждающих (verifier) необходимо заполнить форму на двух листах, где указано, что они подтверждают образование, предыдущий опыт работы, настоящий опыт работы и перечисляют навыки (из доменов, как в мануале), которыми вы обладаете.
После этого сканы можно отправить на электронную почту ISACA, вам назначать Certification Assistant’а, который будет производить проверку и оформление сертификата, которая занимает до 8 недель.
Одновременно с подачей документов на сертификацию необходимо оплатить ещё одну пошлину.
Сам сертификат будет бумажным и отправлен обычной почтой, поэтому скорого получения в России ожидать не приходится. Надеюсь получить его в течении пары месяцев.
Хронология событий
В целом задача оказалась вполне по силам, если подойти к ней ответственно. Как и большинство задач по жизни, впрочем…
Получение сертификации проходило следующим образом:
Декабрь 2013 – принятие решения
Январь 2014 – покупка материалов
Январь – май 2014 – изучение теоретических материалов
Май- июнь 2014 – практика по базе вопросов
14 июня 2014 – экзамен
17 июля 2014 – получение результатов
18 июля 2014 – отправка документов на сертификацию
28 июля 2014 – получение подтверждения сертификации
2 августа 2014 – получение электронного бейджа, подтверждающего сертификацию
Ориентировочно сентябрь 2014 – получение бумажного сертификата
