# Карточки для CCSP в 2026 году: готовьтесь по программе экзамена от 1 августа

*2026-07-18*

Для экзамена CCSP 31 июля и 1 августа нужны разные программы подготовки. По состоянию на 18 июля 2026 года обновление еще не вступило в силу: до 31 июля включительно используйте программу октября 2025 года, а для экзаменов 1 августа и позже — обновленную. Полезные **карточки для CCSP в 2026 году** охватывают роли, тонкие различия, выбор мер контроля, последовательности и повторяющиеся ошибки в тренировочных заданиях. Стабильные концепции держите в одной основной колоде, добавьте компактное августовское обновление, а полноценное принятие решений по сценариям отрабатывайте на разрешенных тренировочных вопросах.

![Рука добавляет карточку с августовским обновлением к шести карточкам доменов облачной безопасности CCSP на деревянном столе в теплых тонах](/blog/ccsp-flashcards.png)

## Выбирайте программу CCSP по дате экзамена

На [странице программы экзамена CCSP от ISC2](https://www.isc2.org/certifications/ccsp/ccsp-certification-exam-outline) сейчас есть ссылки на обе версии и указано, что новая программа вступает в силу 1 августа 2026 года.

| Запланированная дата экзамена | Какую программу использовать |
| --- | --- |
| 31 июля 2026 года или раньше | [Программа CCSP от 1 октября 2025 года](https://edge.sitecorecloud.io/internationf173-xmc4e73-prodbc0f-9660/media/Project/ISC2/Main/Media/documents/exam-outlines/MAR-EXAMS-CCSP-Exam_Outline-English-10012025---FINAL.pdf) |
| 1 августа 2026 года или позже | [Программа CCSP от 1 августа 2026 года](https://edge.sitecorecloud.io/internationf173-xmc4e73-prodbc0f-9660/media/Project/ISC2/Main/Media/documents/exam-outlines/EXAMS-CCSP-Exam-Outline-English-01-2026-V2.pdf) |

Ориентируйтесь на дату самого экзамена, а не на день покупки курса или начала подготовки. Если из-за переноса изменится применимая версия программы, перед продолжением проверьте все зависящие от нее карточки. Стабильные концепции вроде различия между RTO и RPO могут остаться без изменений; карточки о весах доменов, явно перечисленных примерах или охвате поддоменов нужно заново сверить с источником.

## Используйте шесть средних весов августа 2026 года для проверки охвата

В [объявлении ISC2 об обновлении от 30 июня](https://www.isc2.org/Insights/2026/06/isc2-ccsp-exam-outline-revised) сказано, что домены, их веса и поддомены были пересмотрены. В официальной программе эти проценты названы средними весами:

| Домен | Средний вес в августе 2026 года | Разумный фокус карточек |
| --- | ---: | --- |
| 1. Облачные концепции, архитектура и проектирование | 17% | роли, модели обслуживания, принципы проектирования, оценка провайдеров, концепции AI/ML |
| 2. Безопасность облачных данных | 20% | жизненный цикл данных, хранение, методы защиты, классификация, сроки хранения, данные AI/ML |
| 3. Безопасность облачной платформы и инфраструктуры | 17% | компоненты, отказоустойчивость, меры контроля, обработка рисков, BC/DR |
| 4. Безопасность облачных приложений | 16% | SDLC, моделирование угроз, тестирование, цепочка поставок, API, IAM, риски приложений с LLM |
| 5. Операции облачной безопасности | 17% | усиление защиты, мониторинг, операционные меры контроля, цифровая криминалистика, реагирование на инциденты |
| 6. Правовые вопросы, риски и соответствие требованиям | 13% | приватность, аудиты, роли в работе с данными, обработка рисков, договоры, юрисдикция |

Первые три домена и Домен 6 сохраняют прежние средние веса. Вес Домена 4 снижается с 17% до 16%, а вес Домена 5 повышается с 16% до 17%. Эти проценты полезны для планирования, но не гарантируют фиксированного количества экзаменационных заданий в каждом домене.

Если в колоде около 100 ценных карточек, распределение 17/20/17/16/17/13 помогает быстро заметить явный перекос. Это первичная проверка, а не квота. По слабому Домену 6 может понадобиться больше карточек, чем по хорошо знакомому Домену 2, а одна ясная карточка на различие способна охватить больше полезного материала, чем пять скопированных определений.

## AI уже присутствовал в программе CCSP

Называть августовскую версию «обновлением, которое добавило AI» было бы неточно. В [программе октября 2025 года](https://edge.sitecorecloud.io/internationf173-xmc4e73-prodbc0f-9660/media/Project/ISC2/Main/Media/documents/exam-outlines/MAR-EXAMS-CCSP-Exam_Outline-English-10012025---FINAL.pdf) уже упоминались машинное обучение и искусственный интеллект (AI) в Домене 1, а также мониторинг с применением AI в Домене 5. [Программа августа 2026 года](https://edge.sitecorecloud.io/internationf173-xmc4e73-prodbc0f-9660/media/Project/ISC2/Main/Media/documents/exam-outlines/EXAMS-CCSP-Exam-Outline-English-01-2026-V2.pdf) выделяет AI/ML в отдельный поддомен Домена 1, добавляет отдельную тему защиты наборов данных и моделей в Домене 2 и пересматривает материал во всех шести доменах:

- В Домене 1 появляется отдельный поддомен AI/ML: обнаружение и анализ облачных угроз, валидация и верификация исходных данных, SOAR, этические вопросы и нормативные требования. В связанных примерах также яснее обозначены безопасность, заложенная при проектировании, изоляция, неизменяемая архитектура и усиление защиты.
- В Домене 2 появляется поддомен о приватности и безопасности наборов данных и моделей AI/ML. Также расширены примеры хранилищ, тегирование данных, применение хеширования и подробности сохранения данных по юридическому требованию (legal hold).
- В Домене 3 уточняются примеры отказоустойчивости, а вместо одной лишь минимизации рисков используется более широкое понятие их обработки.
- В Домене 4 теперь названы материалы OWASP о рисках приложений, API и LLM; явно упомянуты SAST, DAST, CI/CD, целостность цепочки поставок, Docker, Kubernetes и управление сертификатами; вес домена снижается до 16%.
- Вес Домена 5 повышается до 17%; добавляются или расширяются безопасная конфигурация по умолчанию, сегментация, операционные стандарты, разведывательные данные об угрозах, реагирование на инциденты и тестирование на проникновение.
- В Домене 6 приведены более конкретные примеры законодательства о приватности, облачной цифровой криминалистики, аудита, ролей в работе с данными, прав собственности на данные и договорных требований безопасности.

Эти изменения относятся к публично обозначенному охвату подготовки. Одни формулировки появились впервые, другие стали конкретнее, третьи были переименованы. Если какой-то пример больше не указан, это еще не доказывает, что соответствующая концепция исключена из экзамена.

Упоминание LLM требует такой же осторожности. В обновленном Домене 4 назван «Top 10 for Large Language Model Applications», но ISC2 не указывает редакцию и не перечисляет отдельные риски LLM. В [списке OWASP Top 10 2025 года для приложений с LLM и генеративным AI](https://genai.owasp.org/llm-top-10/) названы инъекция промптов, раскрытие конфиденциальной информации, уязвимости цепочки поставок, отравление данных и моделей и ненадлежащая обработка вывода. Эти названия взяты у OWASP, а не у ISC2. Используйте их для изучения границ между рисками и мерами контроля, но не превращайте весь домен приложений в упражнение по заучиванию одного списка Top 10.

## Соберите одну компактную колоду вместо переписывания программы

Официальные веса помогают организовать материал, но не годятся как план механического переноса программы в карточки. Строка вроде «общие облачные аспекты» способна породить десятки расплывчатых карточек, если каждое соседнее слово превращать в определение.

Сохраните одну основную колоду и используйте теги, отвечающие на практические вопросы:

- домен: от `d1` до `d6`
- назначение карточки: `роль`, `различие`, `выбор-контроля`, `последовательность` или `ошибка-практики`
- состояние источника: `октябрь-2025`, `август-2026` или `стабильно`
- состояние проверки: `проверить-источник`, `переписать` или `высокая-ценность`

Добавляйте карточку, если не можете объяснить указанную концепцию, путаете два правдоподобных варианта, забываете порядок процесса или снова допускаете одну и ту же ошибку в разрешенных тренировочных заданиях. Пропускайте материал, который уже можете вспомнить и применить. Такой же принцип компактной колоды используется в [руководстве по карточкам для Security+](/ru/blog/how-to-use-flashcards-for-security-plus/), а в [руководстве по AWS Solutions Architect](/ru/blog/how-to-use-flashcards-for-aws-solutions-architect-associate/) есть больше примеров превращения технических компромиссов в карточки.

## Делайте полезные карточки по всем шести доменам CCSP

Все вопросы ниже — оригинальные учебные примеры, основанные на публично обозначенных границах тем. Ни один из них не скопирован и не восстановлен по памяти из реального экзамена.

### Домен 1: спрашивайте, кто отвечает за решение

Карточки о ролях и обязанностях подходят для домена «Облачные концепции, архитектура и проектирование». Сохраняйте в вопросе модель обслуживания и подсказку, от которой зависит решение.

- Лицевая сторона: Какие две проверки делают оценку заявления облачного провайдера о безопасности предметной?
- Обратная сторона: Сопоставьте заявление с четко определенными требованиями, а затем сверьте с ними соответствующие подтверждающие материалы по провайдеру или продукту.

Если вы сдаете экзамен в августе, добавьте вопросы по AI/ML с одной целью:

- Лицевая сторона: Что нужно проверить, прежде чем доверять результатам обнаружения угроз от системы ML?
- Обратная сторона: Провести валидацию и верификацию источников данных, на которых основан анализ.

Этот вопрос напрямую следует из обновленных границ темы и не превращает пять пунктов об AI в один список, который трудно честно оценить.

### Домен 2: разделяйте похожие методы защиты

В безопасности облачных данных много близких терминов. Карточки на различение показывают, действительно ли выбор понятен.

- Лицевая сторона: Чем токенизация отличается от шифрования при защите конфиденциального значения?
- Обратная сторона: При токенизации значение заменяется ссылочным токеном, а оригинал остается в защищенной системе сопоставления. Шифрование преобразует само значение, и для его восстановления нужен соответствующий ключ.

Августовские изменения также заслуживают карточки о моделях:

- Лицевая сторона: Какие два аспекта обновленный Домен 2.9 выделяет и для наборов данных, и для моделей AI/ML?
- Обратная сторона: Приватность и безопасность. Для безопасности в программе в качестве примеров указаны валидация и верификация.

### Домен 3: вспоминайте ограничение, которое меняет проектное решение

Вопросы об инфраструктуре становятся проще, когда карточка заставляет учитывать одно операционное ограничение.

- Лицевая сторона: Сервис должен восстановиться за четыре часа и может потерять не более 15 минут данных. Какое значение относится к RTO, а какое — к RPO?
- Обратная сторона: Целевое время восстановления в четыре часа — это RTO. Допустимое окно потери данных в 15 минут — это RPO.

Следующая карточка на выбор контроля может спрашивать, какая архитектура снижает указанный риск простоя или потери данных. Привязывайте ответ к конкретному требованию, а не утверждайте, что одно проектное решение всегда лучше остальных.

### Домен 4: связывайте уязвимость с границей действия меры контроля

Карточки по безопасности приложений должны охватывать решения в SDLC, методы тестирования, API, IAM, цепочки поставок ПО и новую явную ссылку на риски LLM.

- Лицевая сторона: Почему необработанный вывод LLM нельзя напрямую передавать в команду, запрос или действие браузера?
- Обратная сторона: Для следующего компонента такой вывод является недоверенным вводом. Проверяйте и очищайте его, ограничивайте его влияние, а последующие действия компонента выполняйте только после проверки полномочий.

Так категорию OWASP о ненадлежащей обработке вывода можно изучать через меры контроля. Инъекцию промптов, отравление данных, избыточную автономность и другие риски LLM держите на отдельных карточках, если действительно путаете их границы.

### Домен 5: учите порядок действий и обращение с доказательствами

Операции облачной безопасности хорошо подходят для карточек на последовательность: технически разумное действие все равно может оказаться неправильным, если выполнить его не вовремя.

- Лицевая сторона: Что специалист по реагированию на инциденты должен согласовать перед изменением облачного ресурса, который может содержать цифровые доказательства?
- Обратная сторона: Сдерживание инцидента и сохранение доказательств по утвержденной процедуре. Зафиксируйте состояние, сохраните нужные доказательства, поддерживайте цепочку обеспечения их сохранности и документируйте санкционированные изменения.

Еще одно полезное различие — реагирование на инциденты и обычное управление инцидентами. В августовской программе в разделе операций безопасности явно названы реагирование на инциденты, разведывательные данные об угрозах и тестирование на проникновение, поэтому старые карточки Домена 5 стоит быстро проверить.

### Домен 6: привязывайте правовые ответы к юрисдикции и договору

Карточки по правовым вопросам, рискам и соответствию требованиям становятся опасными, если дают один универсальный юридический ответ. Указывайте в вопросе применимые юрисдикцию и договорные условия.

- Лицевая сторона: Какие условия договора важны, когда облачному клиенту нужен доступ к доказательствам и организованное прекращение работы с провайдером?
- Обратная сторона: Проверьте права на аудит, доступ к облачным данным, метрики и подтверждение выполнения обязательств, условия прекращения договора, права собственности на данные и требования безопасности в соответствии с применимыми договором и законодательством.

В карточках о ролях не сводите владельца, контролера, хранителя, обработчика и распорядителя данных к двум парам взаимозаменяемых ролей. В августовской программе эти роли перечислены отдельно. Изучите, какие решения принимает или какие действия выполняет каждая роль в рассматриваемой системе.

## Создайте временную колоду с августовскими изменениями

Те, кто сдает экзамен 1 августа или позже, могут сохранить стабильные карточки и добавить небольшую колоду `Изменения CCSP за август 2026`. Собирайте ее по двум официальным PDF, а не по стороннему пересказу.

1. Пометьте все карточки, ответ на которые зависит от веса, упомянутого фреймворка, поддомена или списка примеров.
2. Добавьте узкие карточки для новых поддоменов 1.6 и 2.9.
3. Проверьте Домен 4 на явно названные детали об API, LLM, тестировании, цепочке поставок и оркестрации.
4. Проверьте Домен 5 с учетом его веса 17% и обновленных примеров операций.
5. Проверьте Домены 3 и 6 на изменения в формулировках о рисках, отказоустойчивости, приватности, цифровой криминалистике, ролях в работе с данными и договорах.
6. Запишите URL источника и дату проверки в учебные заметки, а после экзамена перенесите долгосрочно полезные карточки в основную колоду.

Тем, кто сдает экзамен не позднее 31 июля, не нужно заменять этой колодой свой финальный план повторения. Сохраните августовский материал для дальнейшего профессионального развития, если только он не помогает лучше понять одну из тем действующей программы.

## Превращайте ошибки в разрешенных тренировочных заданиях в карточки для принятия решений

Ошибка в тренировочном задании полезна тем, что показывает, какую подсказку вы упустили или какой принцип не смогли применить под давлением. Если скопировать вопрос целиком вместе с вариантами ответа и объяснением, получится громоздкая карточка, а условия использования материала могут быть нарушены.

Используйте лицензированные или иным образом разрешенные тренировочные материалы и ведите краткий журнал ошибок:

1. Запишите домен и принятое вами решение.
2. Сверьте исправление с объяснением из разрешенного материала и надежным источником.
3. Объясните, почему неправильный вариант казался правдоподобным.
4. Извлеките одну универсальную подсказку, различие или последовательность.
5. Сформулируйте карточку своими словами.
6. Проверьте вывод на другом разрешенном сценарии.

Предположим, тренировочный сценарий показал, что вы выбрали контроль до того, как определили ответственную сторону. Тогда карточка может выглядеть так:

- Лицевая сторона: Какие факты нужно определить до выбора контроля в сценарии с разделенной ответственностью?
- Обратная сторона: Модель обслуживания, задействованные активы и данные, закрепленные за сторонами обязанности и требование, которому должна соответствовать мера контроля.

Такая карточка сохраняет схему принятия решения, не воспроизводя охраняемые экзаменационные материалы. В [соглашении ISC2 о неразглашении материалов экзамена](https://www.isc2.org/exams/non-disclosure-agreement) сказано, что без письменного разрешения кандидаты не могут раскрывать или обсуждать экзаменационные вопросы, задания и ответы. Используйте приватную метку источника вроде `разрешенная-практика-2` только в том случае, если условия материала разрешают такую заметку. Не используйте дампы, пересказы по памяти и вопросы, выдаваемые за реальные экзаменационные задания.

Подробный [процесс превращения тренировочных вопросов в карточки](/ru/blog/how-to-turn-practice-questions-into-flashcards/) глубже разбирает пробелы в знаниях, различия, последовательности и типовые ловушки.

## Отделяйте карточки на воспроизведение от практики полных сценариев

В обновленной программе сказано, что CCSP остается трехчасовым компьютерным адаптивным экзаменом (CAT) из 100–150 заданий, включая задания с выбором ответа и задания расширенных типов. Эти данные приведены в [официальной программе августа 2026 года](https://edge.sitecorecloud.io/internationf173-xmc4e73-prodbc0f-9660/media/Project/ISC2/Main/Media/documents/exam-outlines/EXAMS-CCSP-Exam-Outline-English-01-2026-V2.pdf).

Карточки помогают быстрее вспомнить роль, границу контроля, юридический термин или метрику восстановления. Они не воспроизводят полноценный сценарий с неполными данными, несколькими обоснованными контролями, меняющимися бизнес-приоритетами и ограничением времени.

Используйте оба уровня:

- карточки — для точечных знаний и повторяющихся подсказок к решениям
- разрешенные тренировочные вопросы — для комплексного принятия решений по сценарию
- практические или рабочие примеры — для операционного контекста
- официальную программу — для проверки охвата и актуальной терминологии

Карточка показывает, удалось ли вспомнить принцип. Новый сценарий показывает, можете ли вы выбрать и применить его.

## Используйте FSRS, не превращая расписание в еще один экзамен

FSRS планирует повторения после того, как вы решите, какие карточки заслуживают многократного воспроизведения. Алгоритм не понимает весов CCSP, не проверяет техническую точность и не знает дату вашего экзамена.

Практичный **план подготовки к CCSP в 2026 году** выглядит так:

1. Повторяйте карточки по сроку, прежде чем добавлять следующую порцию материала.
2. Добавляйте небольшое количество карточек из одного домена или одного тренировочного набора.
3. Оценивайте именно тот ответ, который действительно смогли вспомнить.
4. Переписывайте неоднозначные карточки и те, которым постоянно трудно выставить однозначную оценку.
5. По мере приближения экзамена сокращайте количество новых карточек и уделяйте больше времени смешанным сценариям.
6. Держите августовскую колоду изменений на виду, пока новый материал не войдет в обычное повторение.

Не выбирайте более строгую оценку только ради сокращения интервала. Если очередь растет быстрее, чем вы можете пройти ее в обычный день, удалите малоценные карточки или сократите число новых карточек. В статье [Как готовиться к экзамену с FSRS](/ru/blog/how-to-study-for-an-exam-with-fsrs/) разобраны этапы сборки, стабилизации и финального повторения. Статья [Сколько новых карточек добавлять в день](/ru/blog/how-many-new-flashcards-per-day/) поможет оценить нагрузку по доступному времени, а не по впечатляющему количеству карточек.

## Как здесь помогает Flashcards Open Source App

Среди [возможностей Flashcards Open Source App](/ru/features/) — создание карточек с лицевой и обратной сторонами, AI-чат с данными рабочего пространства и поддерживаемыми файловыми вложениями, а также повторение по FSRS с оценками Again, Hard, Good и Easy.

При подготовке к CCSP отводите приложению скромную роль. Напишите заметку по программе, сверенную с источником, или журнал ошибок в разрешенных тренировочных заданиях; используйте AI-чат, чтобы подготовить несколько черновиков карточек, проверяющих по одному пункту; затем сопоставьте каждый черновик с официальным источником и отредактируйте самостоятельно. Отобранные карточки повторяйте по FSRS. Для полноценной практики сценариев продолжайте использовать материалы разрешенных поставщиков.

В [руководстве по началу работы](/ru/docs/getting-started/) описаны облачное веб-приложение и другие поддерживаемые варианты развертывания.

## Частые вопросы о карточках для CCSP в 2026 году

### Какая программа CCSP действует в июле 2026 года?

Для экзамена 31 июля 2026 года или раньше используйте программу от 1 октября 2025 года. Для экзамена 1 августа 2026 года или позже используйте обновленную программу.

### ISC2 добавила только темы об AI?

Нет. AI/ML уже присутствовали в Домене 1, а мониторинг с применением AI — в Домене 5. В августовской программе для AI/ML выделены отдельные поддомены в Доменах 1 и 2, в Домене 4 появилось упоминание рисков приложений с LLM, изменены средние веса Доменов 4 и 5, а примеры или формулировки пересмотрены во всех шести доменах.

### Нужно ли запоминать каждый пункт официальной программы?

Используйте пункты как карту охвата. Создавайте карточки для знаний, которые не можете вспомнить, различий, которые путаете, выбора мер контроля, который плохо объясняете, забываемых последовательностей и проверенных ошибок в тренировочных заданиях.

### Могут ли карточки для CCSP заменить тренировочные вопросы?

Нет. Карточки тренируют воспроизведение небольших порций знаний. Разрешенные тренировочные вопросы развивают комплексное принятие решений по сценарию, сравнение вариантов, умение соблюдать темп и применять знания в условиях, похожих на экзаменационные.

### Можно ли продолжать пользоваться старой колодой CCSP после 1 августа?

Да, после проверки. Сохраните стабильные концепции, обновите зависящие от программы карточки, добавьте августовские изменения и удалите утверждения, которые больше не совпадают с официальным PDF.

## Начните с даты, а затем соберите самую маленькую полезную колоду

Уточните программу для даты вашего экзамена, пометьте шесть доменов их актуальными весами и создавайте августовскую колоду изменений только для экзамена 1 августа или позже. Добавляйте карточки о ролях, различиях, мерах контроля, последовательностях и проверенных ошибках. Пусть FSRS планирует повторение этих небольших порций знаний, а разрешенные тренировочные вопросы отвечают за полноценную работу со сценариями.

Так у **карточек для CCSP в 2026 году** будет одна ясная задача: сохранять нужные знания по облачной безопасности доступными, когда требуется принять сложное решение.

---
*[Открыть оформленную HTML-версию этой страницы](https://flashcards-open-source-app.com/ru/blog/ccsp-flashcards/)*

*AI-агенты могут создать аккаунт пользователя в этом сервисе, начиная с `GET https://api.flashcards-open-source-app.com/v1/`. После настройки они также могут подключиться по MCP по адресу `https://mcp.flashcards-open-source-app.com/mcp`.*

*Совет: добавьте `.md` к любому URL на https://flashcards-open-source-app.com, чтобы получить чистую Markdown-версию страницы.*