Studijní průvodce CISSP - Top 10 důležitých domén pro studijní průvodce CISSP

Obsah:

Anonim

Úvod do studijního průvodce CISSP

Certified information systems security professional, zkrátka známý jako CISSP, CISSP je certifikace pro bezpečnostní služby. CISSP je slavný mezi jednotlivci, kteří chtějí vykonávat manažerskou roli v oblasti informační bezpečnosti. Tato certifikace byla vyvinuta konsorciem bezpečnostních certifikátů mezinárodních informačních systémů, které je zkrátka známé jako (ISC) 2. Tento certifikát je cestou pro profesionály a manažery, kteří chtějí vstoupit do kariéry vedoucího zabezpečení, což je dobře přijato pro způsobilost společností a organizací v IT sektoru.

CISSP certifikace vás může dostat do role hlavního bezpečnostního důstojníka (CSO), hlavního informačního bezpečnostního důstojníka (CISO), hlavního technického ředitele (CTO). Certifikace CISSP je základním požadavkem pro několik pozic v soukromém a vládním sektoru. Požadavky zkoušky CISSP jsou rozsáhlé a vyžadují dostatečné znalosti o bezpečnosti IT a řízení rizik. Po absolvování zkoušky CISSP lze potvrdit, že jednotlivec má dobré znalosti o bezpečnosti IT, což lze považovat za přínos pro jednotlivce na vedoucích a vedoucích pozicích.

Důležité domény pro zkoušku CISSP

Zkouška CISSP zahrnuje širokou škálu informací od bezpečnostních subjektů. Jsou rozděleny do deseti různých domén a každá z nich je rozdělena na cíle zkoušek. Před zkouškou musíte být zdatní v každé doméně -

  • Systémy a metodika kontroly přístupu
  • Telekomunikace a zabezpečení sítě
  • Postupy řízení bezpečnosti
  • Zabezpečení vývoje aplikací a systémů
  • Kryptografie
  • Bezpečnostní architektura a modely
  • Zabezpečení provozu
  • Plánování kontinuity činnosti a plánování obnovy po katastrofě
  • Zákon, vyšetřování a etika
  • Fyzická bezpečnost

pojďme diskutovat o každé z těchto domén podrobně:

1. doména - systémy a metodika kontroly přístupu

Systémy kontroly přístupu a metodologie v rámci těchto témat budou

Běžné techniky řízení přístupu byste měli definovat podrobně pomocí:

  • Diskreční řízení přístupu
  • Povinná kontrola přístupu
  • Řízení přístupu založené na mříži
  • Řízení přístupu podle pravidel
  • Řízení přístupu na základě rolí
  • Použití seznamů řízení přístupu
  • Podrobnosti o řízení přístupu.
  • Vysvětlení modelů řízení přístupu:
  • Biba
  • Informační tokový model
  • Neinferenční model
  • Clark a Wilson
  • Model státního stroje
  • Model přístupové matice

S vysvětlením technik identifikace a autentizace, centralizovaného / decentralizovaného řízení, popisu běžných metod útoku, vysvětlení detekce narušení.

2. doména - Síť a telekomunikace

Identifikace klíčových oblastí telekomunikací a zabezpečení sítě

Mezinárodní standardy propojovacích vrstev a charakteristik organizace / otevřených systémů (ISO / OSI), které zahrnují

  • Fyzická vrstva
  • Aplikační vrstva
  • Transportní vrstva
  • Vrstva datového odkazu
  • Vrstva relace
  • Síťová vrstva
  • Prezentační vrstva

Znalosti z návrhu a funkce komunikace a zabezpečení sítě s následujícími tématy -

  • Vlastnosti fyzických médií, které jsou krouceným párem, optická vlákna, koaxiální.
  • Rozsáhlé sítě (WAN)
  • Lokální sítě (LAN)
  • Zabezpečené vzdálené volání procedur
  • Síťové topologie, které jsou hvězdné sběrnice a topologie kruhů.
  • Ověřování IPSec a důvěrně
  • Sledování sítě a čichání paketů
  • Vlastnosti a důvěrnost TCP / IP
  • Techniky vzdáleného přístupu / telekomunikace
  • Vzdálený přístup Kontrola uživatelského systému / terminálového přístupu
  • Přístupový systém Radius a Tacacs

Popište také protokoly, komponenty a služby, které se podílejí na návrhu internetu, intranetu nebo extranetu a které

  • Proxy
  • Firewally
  • Spínače
  • Brány
  • Služby - SDLC, ISDN, HDLC, rámové relé, x.25
  • Směrovače
  • Protokoly –TCP / IP, IPSec, SKIP, SWIPE, SSL, S / MIME, SSL, SET, PEM, CHAP, PAP, PPP, SLIP.

Jsou požadovány znalosti o detekci, prevenci a opravě technik chyb v komunikačním bezpečnostním systému, aby bylo možné zachovat integritu, dostupnost a důvěrnost transakcí v sítích.

  • Tunelování
  • Popelníkové nástroje
  • Síťové monitory a čichače paketů
  • Soukromá virtuální síť
  • Překlad síťových adres
  • Průhlednost
  • Ovládací prvky opětovného přenosu
  • Kontrola sekvence záznamu
  • Protokolování přenosu
  • Oprava chyby přenosu

Znalosti týkající se oblastí komunikace a způsobů jejich zajištění pokrývají následující body:

  • Zabezpečená hlasová komunikace
  • Zabezpečení e-mailu
  • Faksimile
  • Bezpečnostní hranice a jejich překlad
  • Formy znalostí síťového útoku - ARP, Brute force, Worms, záplavy, odposlouchávání, čichání, spam, PBX podvody a zneužití

3. doména - správa a postupy zabezpečení

  • Pochopení principů řízení bezpečnosti a odpovědnosti za správu v prostředí informační bezpečnosti.
  • Porozumění řízení rizik a jeho řešení.
  • Podrobné pochopení klasifikace dat a stanovení zásad a postupů pro zvýšení bezpečnosti informací.
  • Řízení změn používané k udržení bezpečnosti a povědomí pomocí školení o bezpečnosti.

4. doména - vývoj aplikací a systémů

Prozkoumejte problémy s údaji a demonstrujte porozumění

  • Problémy s databázemi a sklady.
  • Webové služby, systémy pro ukládání a ukládání.
  • Znalostní systémy a výzvy distribuovaných a nedistribuovaných prostředí.
  • Studijní řízení vývoje systému a definování škodlivého kódu.
  • Využijte postupy kódování, které snižují zranitelnost systému.

5. doména - kryptografie

  • Měli byste si prostudovat podrobné použití kryptografie, která by měla zahrnovat důvěrnost, integritu, autentizaci a nevypovědení.
  • Správa PKI a podrobné běžné metody útoku šifrování se základními a specifickými útoky.

6. doména - modely zabezpečení a architektury

Podle toho musíte pochopit bezpečnostní systém pro veřejné a vládní modely odlišně.

  • Studijní modely - zvonek - LaPadula, Biba, Clark-Wilson, seznamy řízení přístupu.
  • Porozumění TCSEC, ITSEC, společným kritériím, IPSec.

7. doména - Zabezpečení provozu

Podle této identifikace klíčových rolí operací leží bezpečnost.

  • Měli byste si přečíst identitu chráněného, ​​omezeného, ​​kontrolního a OPSEC procesu.
  • Definujte hrozby a protiopatření, vysvětlení protokolů auditu, detekce narušení a techniky testování penetrace
  • Antivirové kontroly a zabezpečené e-maily, porozumění zálohování dat.

8. doména - kontinuita podnikání a obnova po katastrofě

V této části musíte prostudovat rozdíl mezi plánováním obnovy po havárii a plánováním kontinuity provozu. To lze provést dokumentováním přírodních a člověkem vytvořených událostí, které je třeba vzít v úvahu při tvorbě plánů obnovy po katastrofě a kontinuity podnikání.

9. doména - PRÁVO, Šetření a etika

To by mělo vysvětlit dobré základy zákona o počítačové kriminalitě, který je prokázán u soudu. A diskutovat o počítačové etice.

10. doména - fyzické zabezpečení

Porozumění nejčastějším zranitelnostem a jejich účinkům na třídy aktiv. Porozumění principům krádeží informací a aktiv. Znalosti o navrhování, konstrukci a údržbě zabezpečeného webu a vyměnitelných elektronických médií.

Tipy na složení zkoušky

  • Jednotlivci si musí před zkouškou přečíst všechna témata.
  • Krok za krokem kompletní otázka a cvičení každého tématu.
  • Přístup k vašim znalostem praktikováním, to vám může pomoci s tím, na jaké téma potřebujete více zaměřit.

Reference studijního průvodce CISSP

  • Harris, S: Průvodce zkouškou CISSP, 2016.
  • Gordan, A: oficiální průvodce ISC2 k CISSP CBK, 2015.
  • ISC2 II, ISC2 III, ISC2 IV: Podrobný přehled obsahu CISSP, 2017.
  • IT governance ltd, co je CISSP, 2016.

Doporučené články

Toto byl průvodce studijním průvodcem CISSP. Zde diskutujeme důležité oblasti studijního průvodce CISSP a také několik užitečných tipů pro přijímání zkoušek. Další informace naleznete také v následujících článcích -

  1. Kariéra v oblasti kybernetické bezpečnosti
  2. Definice bezpečnostního poradce
  3. CISM vs CISSP
  4. Pracovní cesta informační bezpečnosti