Úvod do studijního průvodce CISSP
Certified information systems security professional, zkrátka známý jako CISSP, CISSP je certifikace pro bezpečnostní služby. CISSP je slavný mezi jednotlivci, kteří chtějí vykonávat manažerskou roli v oblasti informační bezpečnosti. Tato certifikace byla vyvinuta konsorciem bezpečnostních certifikátů mezinárodních informačních systémů, které je zkrátka známé jako (ISC) 2. Tento certifikát je cestou pro profesionály a manažery, kteří chtějí vstoupit do kariéry vedoucího zabezpečení, což je dobře přijato pro způsobilost společností a organizací v IT sektoru.
CISSP certifikace vás může dostat do role hlavního bezpečnostního důstojníka (CSO), hlavního informačního bezpečnostního důstojníka (CISO), hlavního technického ředitele (CTO). Certifikace CISSP je základním požadavkem pro několik pozic v soukromém a vládním sektoru. Požadavky zkoušky CISSP jsou rozsáhlé a vyžadují dostatečné znalosti o bezpečnosti IT a řízení rizik. Po absolvování zkoušky CISSP lze potvrdit, že jednotlivec má dobré znalosti o bezpečnosti IT, což lze považovat za přínos pro jednotlivce na vedoucích a vedoucích pozicích.
Důležité domény pro zkoušku CISSP
Zkouška CISSP zahrnuje širokou škálu informací od bezpečnostních subjektů. Jsou rozděleny do deseti různých domén a každá z nich je rozdělena na cíle zkoušek. Před zkouškou musíte být zdatní v každé doméně -
- Systémy a metodika kontroly přístupu
- Telekomunikace a zabezpečení sítě
- Postupy řízení bezpečnosti
- Zabezpečení vývoje aplikací a systémů
- Kryptografie
- Bezpečnostní architektura a modely
- Zabezpečení provozu
- Plánování kontinuity činnosti a plánování obnovy po katastrofě
- Zákon, vyšetřování a etika
- Fyzická bezpečnost
pojďme diskutovat o každé z těchto domén podrobně:
1. doména - systémy a metodika kontroly přístupu
Systémy kontroly přístupu a metodologie v rámci těchto témat budou
Běžné techniky řízení přístupu byste měli definovat podrobně pomocí:
- Diskreční řízení přístupu
- Povinná kontrola přístupu
- Řízení přístupu založené na mříži
- Řízení přístupu podle pravidel
- Řízení přístupu na základě rolí
- Použití seznamů řízení přístupu
- Podrobnosti o řízení přístupu.
- Vysvětlení modelů řízení přístupu:
- Biba
- Informační tokový model
- Neinferenční model
- Clark a Wilson
- Model státního stroje
- Model přístupové matice
S vysvětlením technik identifikace a autentizace, centralizovaného / decentralizovaného řízení, popisu běžných metod útoku, vysvětlení detekce narušení.
2. doména - Síť a telekomunikace
Identifikace klíčových oblastí telekomunikací a zabezpečení sítě
Mezinárodní standardy propojovacích vrstev a charakteristik organizace / otevřených systémů (ISO / OSI), které zahrnují
- Fyzická vrstva
- Aplikační vrstva
- Transportní vrstva
- Vrstva datového odkazu
- Vrstva relace
- Síťová vrstva
- Prezentační vrstva
Znalosti z návrhu a funkce komunikace a zabezpečení sítě s následujícími tématy -
- Vlastnosti fyzických médií, které jsou krouceným párem, optická vlákna, koaxiální.
- Rozsáhlé sítě (WAN)
- Lokální sítě (LAN)
- Zabezpečené vzdálené volání procedur
- Síťové topologie, které jsou hvězdné sběrnice a topologie kruhů.
- Ověřování IPSec a důvěrně
- Sledování sítě a čichání paketů
- Vlastnosti a důvěrnost TCP / IP
- Techniky vzdáleného přístupu / telekomunikace
- Vzdálený přístup Kontrola uživatelského systému / terminálového přístupu
- Přístupový systém Radius a Tacacs
Popište také protokoly, komponenty a služby, které se podílejí na návrhu internetu, intranetu nebo extranetu a které
- Proxy
- Firewally
- Spínače
- Brány
- Služby - SDLC, ISDN, HDLC, rámové relé, x.25
- Směrovače
- Protokoly –TCP / IP, IPSec, SKIP, SWIPE, SSL, S / MIME, SSL, SET, PEM, CHAP, PAP, PPP, SLIP.
Jsou požadovány znalosti o detekci, prevenci a opravě technik chyb v komunikačním bezpečnostním systému, aby bylo možné zachovat integritu, dostupnost a důvěrnost transakcí v sítích.
- Tunelování
- Popelníkové nástroje
- Síťové monitory a čichače paketů
- Soukromá virtuální síť
- Překlad síťových adres
- Průhlednost
- Ovládací prvky opětovného přenosu
- Kontrola sekvence záznamu
- Protokolování přenosu
- Oprava chyby přenosu
Znalosti týkající se oblastí komunikace a způsobů jejich zajištění pokrývají následující body:
- Zabezpečená hlasová komunikace
- Zabezpečení e-mailu
- Faksimile
- Bezpečnostní hranice a jejich překlad
- Formy znalostí síťového útoku - ARP, Brute force, Worms, záplavy, odposlouchávání, čichání, spam, PBX podvody a zneužití
3. doména - správa a postupy zabezpečení
- Pochopení principů řízení bezpečnosti a odpovědnosti za správu v prostředí informační bezpečnosti.
- Porozumění řízení rizik a jeho řešení.
- Podrobné pochopení klasifikace dat a stanovení zásad a postupů pro zvýšení bezpečnosti informací.
- Řízení změn používané k udržení bezpečnosti a povědomí pomocí školení o bezpečnosti.
4. doména - vývoj aplikací a systémů
Prozkoumejte problémy s údaji a demonstrujte porozumění
- Problémy s databázemi a sklady.
- Webové služby, systémy pro ukládání a ukládání.
- Znalostní systémy a výzvy distribuovaných a nedistribuovaných prostředí.
- Studijní řízení vývoje systému a definování škodlivého kódu.
- Využijte postupy kódování, které snižují zranitelnost systému.
5. doména - kryptografie
- Měli byste si prostudovat podrobné použití kryptografie, která by měla zahrnovat důvěrnost, integritu, autentizaci a nevypovědení.
- Správa PKI a podrobné běžné metody útoku šifrování se základními a specifickými útoky.
6. doména - modely zabezpečení a architektury
Podle toho musíte pochopit bezpečnostní systém pro veřejné a vládní modely odlišně.
- Studijní modely - zvonek - LaPadula, Biba, Clark-Wilson, seznamy řízení přístupu.
- Porozumění TCSEC, ITSEC, společným kritériím, IPSec.
7. doména - Zabezpečení provozu
Podle této identifikace klíčových rolí operací leží bezpečnost.
- Měli byste si přečíst identitu chráněného, omezeného, kontrolního a OPSEC procesu.
- Definujte hrozby a protiopatření, vysvětlení protokolů auditu, detekce narušení a techniky testování penetrace
- Antivirové kontroly a zabezpečené e-maily, porozumění zálohování dat.
8. doména - kontinuita podnikání a obnova po katastrofě
V této části musíte prostudovat rozdíl mezi plánováním obnovy po havárii a plánováním kontinuity provozu. To lze provést dokumentováním přírodních a člověkem vytvořených událostí, které je třeba vzít v úvahu při tvorbě plánů obnovy po katastrofě a kontinuity podnikání.
9. doména - PRÁVO, Šetření a etika
To by mělo vysvětlit dobré základy zákona o počítačové kriminalitě, který je prokázán u soudu. A diskutovat o počítačové etice.
10. doména - fyzické zabezpečení
Porozumění nejčastějším zranitelnostem a jejich účinkům na třídy aktiv. Porozumění principům krádeží informací a aktiv. Znalosti o navrhování, konstrukci a údržbě zabezpečeného webu a vyměnitelných elektronických médií.
Tipy na složení zkoušky
- Jednotlivci si musí před zkouškou přečíst všechna témata.
- Krok za krokem kompletní otázka a cvičení každého tématu.
- Přístup k vašim znalostem praktikováním, to vám může pomoci s tím, na jaké téma potřebujete více zaměřit.
Reference studijního průvodce CISSP
- Harris, S: Průvodce zkouškou CISSP, 2016.
- Gordan, A: oficiální průvodce ISC2 k CISSP CBK, 2015.
- ISC2 II, ISC2 III, ISC2 IV: Podrobný přehled obsahu CISSP, 2017.
- IT governance ltd, co je CISSP, 2016.
Doporučené články
Toto byl průvodce studijním průvodcem CISSP. Zde diskutujeme důležité oblasti studijního průvodce CISSP a také několik užitečných tipů pro přijímání zkoušek. Další informace naleznete také v následujících článcích -
- Kariéra v oblasti kybernetické bezpečnosti
- Definice bezpečnostního poradce
- CISM vs CISSP
- Pracovní cesta informační bezpečnosti