Úvod do studijního průvodce CISSP

Certified information systems security professional, zkrátka známý jako CISSP, CISSP je certifikace pro bezpečnostní služby. CISSP je slavný mezi jednotlivci, kteří chtějí vykonávat manažerskou roli v oblasti informační bezpečnosti. Tato certifikace byla vyvinuta konsorciem bezpečnostních certifikátů mezinárodních informačních systémů, které je zkrátka známé jako (ISC) 2. Tento certifikát je cestou pro profesionály a manažery, kteří chtějí vstoupit do kariéry vedoucího zabezpečení, což je dobře přijato pro způsobilost společností a organizací v IT sektoru.

CISSP certifikace vás může dostat do role hlavního bezpečnostního důstojníka (CSO), hlavního informačního bezpečnostního důstojníka (CISO), hlavního technického ředitele (CTO). Certifikace CISSP je základním požadavkem pro několik pozic v soukromém a vládním sektoru. Požadavky zkoušky CISSP jsou rozsáhlé a vyžadují dostatečné znalosti o bezpečnosti IT a řízení rizik. Po absolvování zkoušky CISSP lze potvrdit, že jednotlivec má dobré znalosti o bezpečnosti IT, což lze považovat za přínos pro jednotlivce na vedoucích a vedoucích pozicích.

Důležité domény pro zkoušku CISSP

Zkouška CISSP zahrnuje širokou škálu informací od bezpečnostních subjektů. Jsou rozděleny do deseti různých domén a každá z nich je rozdělena na cíle zkoušek. Před zkouškou musíte být zdatní v každé doméně -

  • Systémy a metodika kontroly přístupu
  • Telekomunikace a zabezpečení sítě
  • Postupy řízení bezpečnosti
  • Zabezpečení vývoje aplikací a systémů
  • Kryptografie
  • Bezpečnostní architektura a modely
  • Zabezpečení provozu
  • Plánování kontinuity činnosti a plánování obnovy po katastrofě
  • Zákon, vyšetřování a etika
  • Fyzická bezpečnost

pojďme diskutovat o každé z těchto domén podrobně:

1. doména - systémy a metodika kontroly přístupu

Systémy kontroly přístupu a metodologie v rámci těchto témat budou

Běžné techniky řízení přístupu byste měli definovat podrobně pomocí:

  • Diskreční řízení přístupu
  • Povinná kontrola přístupu
  • Řízení přístupu založené na mříži
  • Řízení přístupu podle pravidel
  • Řízení přístupu na základě rolí
  • Použití seznamů řízení přístupu
  • Podrobnosti o řízení přístupu.
  • Vysvětlení modelů řízení přístupu:
  • Biba
  • Informační tokový model
  • Neinferenční model
  • Clark a Wilson
  • Model státního stroje
  • Model přístupové matice

S vysvětlením technik identifikace a autentizace, centralizovaného / decentralizovaného řízení, popisu běžných metod útoku, vysvětlení detekce narušení.

2. doména - Síť a telekomunikace

Identifikace klíčových oblastí telekomunikací a zabezpečení sítě

Mezinárodní standardy propojovacích vrstev a charakteristik organizace / otevřených systémů (ISO / OSI), které zahrnují

  • Fyzická vrstva
  • Aplikační vrstva
  • Transportní vrstva
  • Vrstva datového odkazu
  • Vrstva relace
  • Síťová vrstva
  • Prezentační vrstva

Znalosti z návrhu a funkce komunikace a zabezpečení sítě s následujícími tématy -

  • Vlastnosti fyzických médií, které jsou krouceným párem, optická vlákna, koaxiální.
  • Rozsáhlé sítě (WAN)
  • Lokální sítě (LAN)
  • Zabezpečené vzdálené volání procedur
  • Síťové topologie, které jsou hvězdné sběrnice a topologie kruhů.
  • Ověřování IPSec a důvěrně
  • Sledování sítě a čichání paketů
  • Vlastnosti a důvěrnost TCP / IP
  • Techniky vzdáleného přístupu / telekomunikace
  • Vzdálený přístup Kontrola uživatelského systému / terminálového přístupu
  • Přístupový systém Radius a Tacacs

Popište také protokoly, komponenty a služby, které se podílejí na návrhu internetu, intranetu nebo extranetu a které

  • Proxy
  • Firewally
  • Spínače
  • Brány
  • Služby - SDLC, ISDN, HDLC, rámové relé, x.25
  • Směrovače
  • Protokoly –TCP / IP, IPSec, SKIP, SWIPE, SSL, S / MIME, SSL, SET, PEM, CHAP, PAP, PPP, SLIP.

Jsou požadovány znalosti o detekci, prevenci a opravě technik chyb v komunikačním bezpečnostním systému, aby bylo možné zachovat integritu, dostupnost a důvěrnost transakcí v sítích.

  • Tunelování
  • Popelníkové nástroje
  • Síťové monitory a čichače paketů
  • Soukromá virtuální síť
  • Překlad síťových adres
  • Průhlednost
  • Ovládací prvky opětovného přenosu
  • Kontrola sekvence záznamu
  • Protokolování přenosu
  • Oprava chyby přenosu

Znalosti týkající se oblastí komunikace a způsobů jejich zajištění pokrývají následující body:

  • Zabezpečená hlasová komunikace
  • Zabezpečení e-mailu
  • Faksimile
  • Bezpečnostní hranice a jejich překlad
  • Formy znalostí síťového útoku - ARP, Brute force, Worms, záplavy, odposlouchávání, čichání, spam, PBX podvody a zneužití

3. doména - správa a postupy zabezpečení

  • Pochopení principů řízení bezpečnosti a odpovědnosti za správu v prostředí informační bezpečnosti.
  • Porozumění řízení rizik a jeho řešení.
  • Podrobné pochopení klasifikace dat a stanovení zásad a postupů pro zvýšení bezpečnosti informací.
  • Řízení změn používané k udržení bezpečnosti a povědomí pomocí školení o bezpečnosti.

4. doména - vývoj aplikací a systémů

Prozkoumejte problémy s údaji a demonstrujte porozumění

  • Problémy s databázemi a sklady.
  • Webové služby, systémy pro ukládání a ukládání.
  • Znalostní systémy a výzvy distribuovaných a nedistribuovaných prostředí.
  • Studijní řízení vývoje systému a definování škodlivého kódu.
  • Využijte postupy kódování, které snižují zranitelnost systému.

5. doména - kryptografie

  • Měli byste si prostudovat podrobné použití kryptografie, která by měla zahrnovat důvěrnost, integritu, autentizaci a nevypovědení.
  • Správa PKI a podrobné běžné metody útoku šifrování se základními a specifickými útoky.

6. doména - modely zabezpečení a architektury

Podle toho musíte pochopit bezpečnostní systém pro veřejné a vládní modely odlišně.

  • Studijní modely - zvonek - LaPadula, Biba, Clark-Wilson, seznamy řízení přístupu.
  • Porozumění TCSEC, ITSEC, společným kritériím, IPSec.

7. doména - Zabezpečení provozu

Podle této identifikace klíčových rolí operací leží bezpečnost.

  • Měli byste si přečíst identitu chráněného, ​​omezeného, ​​kontrolního a OPSEC procesu.
  • Definujte hrozby a protiopatření, vysvětlení protokolů auditu, detekce narušení a techniky testování penetrace
  • Antivirové kontroly a zabezpečené e-maily, porozumění zálohování dat.

8. doména - kontinuita podnikání a obnova po katastrofě

V této části musíte prostudovat rozdíl mezi plánováním obnovy po havárii a plánováním kontinuity provozu. To lze provést dokumentováním přírodních a člověkem vytvořených událostí, které je třeba vzít v úvahu při tvorbě plánů obnovy po katastrofě a kontinuity podnikání.

9. doména - PRÁVO, Šetření a etika

To by mělo vysvětlit dobré základy zákona o počítačové kriminalitě, který je prokázán u soudu. A diskutovat o počítačové etice.

10. doména - fyzické zabezpečení

Porozumění nejčastějším zranitelnostem a jejich účinkům na třídy aktiv. Porozumění principům krádeží informací a aktiv. Znalosti o navrhování, konstrukci a údržbě zabezpečeného webu a vyměnitelných elektronických médií.

Tipy na složení zkoušky

  • Jednotlivci si musí před zkouškou přečíst všechna témata.
  • Krok za krokem kompletní otázka a cvičení každého tématu.
  • Přístup k vašim znalostem praktikováním, to vám může pomoci s tím, na jaké téma potřebujete více zaměřit.

Reference studijního průvodce CISSP

  • Harris, S: Průvodce zkouškou CISSP, 2016.
  • Gordan, A: oficiální průvodce ISC2 k CISSP CBK, 2015.
  • ISC2 II, ISC2 III, ISC2 IV: Podrobný přehled obsahu CISSP, 2017.
  • IT governance ltd, co je CISSP, 2016.

Doporučené články

Toto byl průvodce studijním průvodcem CISSP. Zde diskutujeme důležité oblasti studijního průvodce CISSP a také několik užitečných tipů pro přijímání zkoušek. Další informace naleznete také v následujících článcích -

  1. Kariéra v oblasti kybernetické bezpečnosti
  2. Definice bezpečnostního poradce
  3. CISM vs CISSP
  4. Pracovní cesta informační bezpečnosti

Kategorie:

Rozvoj podnikání