Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA

© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
Опыт подготовки к CISA
Кристина Андреева
Инженер по защите информации Deiteriy
CISA, PCI QSA
29 апреля 2016 года, вебинар RISС

1-2 Опыт подготовки к CISA
Спикер
Кристина Андреева
Практикующий аудитор
компании Deiteriy, CISA,
PCI QSA.

Поговорим о..
• организации ISACA и сертификации CISA в
частности;
• особенностях подготовки и сдачи экзамена;
• основных принципах постановки
экзаменационных вопросов;
• подтверждении опыта и квалификации.

Организация ISACA
• Information Systems Audit and Control Association -> ISACA
• Основана в 1969 году;
• На данный момент насчитывает более 200 отделений
более, чем в 80 странах мира:
– Московское отделение;
• Программы сертификации:
– Certified Information Systems Auditor (CISA)
– Certified Information Security Manager (CISM)
– Certified in the Governance of Enterprise IT (CGEIT)
– Certified in Risk and Information Systems Control (CRISC)
Общая информация Подготовка к экзамену Сдача экзамена Подтверждение опыта Программа CPE

Цели сертификации
• профессиональное самосовершенствование;
• подтверждение квалификации и профессионализма, опыта и компетенции;
• высокая степень доверия;
• профессиональная ценность для компании;
• карьерный рост;
• связанные сертификации (PCI QSA).

Требования ISACA
• успешная сдача экзамена;
• подтверждение опыта;
• соблюдение Кодекса профессиональной
этики;
• соблюдение соответствующих стандартов;
• соблюдение программы непрерывного
профессионального образования (CPE).

CISA
• Домен 1 – Процесс аудита информационных систем
• Домен 2 – Руководство и управление ИТ-деятельностью
• Домен 3 – Приобретение, разработка и внедрение информационных
систем
• Домен 4 – Эксплуатация, техническое обеспечение и обслуживание
информационных систем
• Домен 5 – Защита информационных активов
Домен 1
14%
Домен 2
14%
Домен 3
19%Домен 4
23%
Домен 5
30%
2015 год
Домен 1
21%
Домен 2
16%
Домен 3
18%
Домен 4
20%
Домен 5
25%
2016 год

Регистрация на экзамен
• 11 июня – регистрация завершена
• 10 сентября – регистрация открыта

Учебные материалы
• CISA Review Manual;
• CISA Review Questions, Answers & Explanations Manual;
• CISA Review Questions, Answers & Explanations Database
• ISACA CISA Exam Review;
• CISA Self Assessment;
• Certified Information Systems Auditor™ Study Guide David L.
Cannon, Timothy S. Bergmann, Brady Pamplin;
• CBT Nuggets;
• Различные курсы обучения.

Стандарты аудита
• ISO 19011:2011 «Guidelines for auditing
management systems»
• ITAF: Information Technology Assurance
Framework
– Стандарты;
– Руководящие документы;
– Инструменты и методики;
• COBIT framework.

Подготовка к экзамену
• Понимание логики вопросов и ответов;
• Понимание основных принципов доменов;
• Обладание знаниями в профессиональных областях;
• Знание языка (Мультитран).

Основные принципы
• Риск-ориентированный подход:
– Most, major, greatest – самый большой риск с точки зрения ИБ;
– Best – лучший вариант с точки зрения управления рисками ИБ;
• Планирование:
– Do first, first step, second step;
– Primary, primarily – риск, который нужно обработать в первую
очередь;
• Другие принципы:
– независимость аудитора;
– разделение обязанностей;
– персонал – первая линия защиты;
– жизнь и здоровье людей.

Домен 1
Which of the following responsibilities would MOST likely
compromise the independence of an IS auditor when
reviewing the risk management process?
A. Participating in the design of the risk management
framework
B. Advising on different implementation techniques
C. Facilitating risk awareness training
D. Performing due diligence of the risk management
processes

Домен 2
The MOST important responsibility of a data
security officer in an organization is:
A. recommending and monitoring data security
policies.
B. promoting security awareness within the
organization.
C. establishing procedures for IT security policies.
D. administering physical and logical access
controls.

Домен 3
A project manager of a project that is scheduled to take 18
months to complete announces that the project is in a healthy
financial position because, after six months, only one-sixth of
the budget has been spent. The IS auditor should FIRST
determine:
A. what amount of progress against schedule has been
achieved.
B. if the project budget can be reduced.
C. if the project could be brought in ahead of schedule.
D. if the budget savings can be applied to increase the
project scope.

Домен 4
When reviewing system parameters, an IS auditor's
PRIMARY concern should be that:
A. they are set to meet security and performance
requirements.
B. changes are recorded in an audit trail and periodically
reviewed.
C. changes are authorized and supported by appropriate
documents.
D. access to parameters in the system is restricted.

Домен 5
Which of the following user profiles should be of MOST
concern to an IS auditor when performing an audit of an
electronic funds transfer (EFT) system?
A. Three users with the ability to capture and verify their
own messages
B. Five users with the ability to capture and send their
own messages
C. Five users with the ability to verify other users and to
send their own messages
D. Three users with the ability to capture and verify the
messages of other users and to send their own messages

Можно только запомнить
At which level of the OSI model does a gateway
operate?
A. Layer 3
B. Layer 5
C. Layer 6
D. Layer 7

Можно только запомнить
Which of the following fire suppression systems
is MOST appropriate to use in a data center
environment?
A. Wet-pipe sprinkler system
B. Dry-pipe sprinkler system
C. FM-200 system
D. Carbon dioxide–based fire extinguishers

Экзамен
• иногородним прибыть минимум за 1 день;
• заранее найти место проведения;
• начало в 8:00, не опаздывать;
• взять паспорт и входной билет;
• отвечать на каждый вопрос:
– А - X
– B - V
– C - V
– D - X

Входной билет

Экзамен
100
вопросов
Перерыв 5
минут
100
вопросов
Перерыв 5
минут
Внести
ответы -
20 минут
Остаток 10
минут
240 минут на 200 вопросов
75
вопросов
Перерыв
5 минут
75
вопросов
Перерыв
5 минут
Внести
ответы -
20
минут
Остаток 60
минут
240 минут на 150 вопросов

Результаты экзамена
• 5 недель ожидания;
• результаты по электронной почте.

Подтверждение опыта
• 5 лет опыта в профессиональной области:
– опыт работы в профессиональной области;
– обучение в университете;
– степень магистра/специалиста/бакалавра;
– сертификация CIMA (Chartered Institute of Management
Accountants), членство в ACCA (Association of Chartered
Certified Accountants);
– преподавание дисциплин.
• 5 лет со дня сдачи экзамена на подтверждение опыта;
• засчитывается опыт не более, чем за 10 лет,
предшествующих экзамену.

Заполнение резюме

Кодекс профессиональной этики
Каждый член организации ISACA, а также каждый сертифицированный специалист должны:
• поддерживать внедрение и соблюдение соответствующих стандартов и процедур для эффективного
руководства и управления информационными системами и технологиями организации, в том числе
аудитом, контрольными процедурами, безопасностью и управлением рисками.
• выполнять свои обязанности с объективностью, добросовестностью и профессиональной
заинтересованностью соответствии с стандартами профессиональной деятельности;
• выполнять свою деятельность в интересах заинтересованных сторон с соблюдением
законодательных норм, высоких норм морали и нравственности, не дискредитируя свою профессию
или Ассоциацию;
• поддерживать конфиденциальность информации, получаемой в процессе выполнения своей
деятельности, если раскрытие информации не требуется на правовом основании. Такая
информация не должна быть использована для получения личной выгоды или разглашена третьим
лицам;
• поддерживать свою компетентность в соответствующих областях и соглашаться на выполнение
только такой деятельности, которую с достаточной вероятностью смогут закончить и обладают для
этого всеми необходимыми навыками, знаниями и компетенцией;
• информировать соответствующие стороны о результатах проводимых работ, в том числе путем
раскрытия всех значимых фактов, неразглашение которых может привести к искажению отчетных
результатов;
• поддерживать профессиональное обучение заинтересованных лиц путем повышения степени их
понимания процедур руководства и управления информационными системами и технологиями
организации, в том числе процедур аудита, контрольных процедур, процедур безопасности и
управлением рисками.

Подтверждение
• 8 недель ожидания;
• по электронной почте.

Сертификат

Программа CPE
• 3 года 120 CPE;
• минимум 20 CPE в год;
• образовательная деятельность:
– посещение мероприятий;
– самообучение;
– преподавание;
– публикации;
– сдача экзаменов.
• 1 CPE = 50 минут.

Резюме
• начать подготовку задолго до;
• использовать риск-ориентированный
подход при ответе на вопросы;
• не забывать о Кодексе профессиональной
этики;
• совершенствовать знания постоянно.

Опыт подготовки к CISA
Контакты
• kristina.andreeva@deiteriy.com
Вопросы?
1-31

Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA

Recommended

Recommended

More Related Content

Viewers also liked

Viewers also liked (10)

Similar to Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA

Similar to Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA (20)

More from RISClubSPb

More from RISClubSPb (20)

Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA