Uvod v vodnik za študijo CISSP
Potrjeni strokovnjak za varnost informacijskih sistemov, skratka znan je kot CISSP, CISSP je certifikat za varnostne storitve. CISSP je znan med posamezniki, ki želijo opravljati vodstveno vlogo na področju informacijske varnosti. To certificiranje je razvil mednarodni konzorcij za varnostne certifikate informacijskih sistemov, ki je na kratko znan kot (ISC) 2. To potrdilo je pot za strokovnjake in vodje, ki želijo vstopiti v poklicno varnostno vodilno kariero. Podjetja in organizacije v IT sektorju so upravičene do tega, da jih izpolnjujejo.
Certifikat CISSP vas lahko prevzame v vlogo glavnega varnostnega uradnika (CSO), glavnega uradnika za varnost informacij (CISO), glavnega tehničnega direktorja (CTO). Certifikat CISSP je glavna zahteva za več položajev v zasebnem in vladnem sektorju. Zahteve za izpite CISSP so obsežne, za kar je potrebno veliko znanja o varnosti IT in obvladovanju tveganj. Po opravljenem izpitu CISSP je mogoče potrditi, da ima posameznik dobro znanje o varnosti IT, kar lahko posameznik šteje kot prednost posameznika na vodstvenih in vodstvenih položajih.
Pomembne domene za izpit CISSP
Izpit CISSP zajema širok spekter informacij iz varnostnih predmetov. Te so razdeljene z desetimi različnimi domenami in vsako od njih je razdeljeno na izpitne cilje, pred izpitom morate biti usposobljeni za vsako domeno -
- Sistemi in metodologija nadzora dostopa
- Telekomunikacijska in omrežna varnost
- Praksa upravljanja varnosti
- Varnost aplikacij in razvoja sistemov
- Kriptografija
- Varnostna arhitektura in modeli
- Varnost poslovanja
- Načrtovanje neprekinjenega poslovanja in načrtovanje obnove po nesrečah
- Pravo, preiskava in etika
- Fizična varnost
podrobneje razpravimo o vsaki od teh domen:
1. domena - Sistemi in metodologija nadzora dostopa
Sistemi in metodologija nadzora dostopa v okviru teh tem bodo:
V podrobnostih morate določiti običajne tehnike nadzora dostopa:
- Diskrecijski nadzor dostopa
- Obvezen nadzor dostopa
- Nadzor dostopa na osnovi rešetke
- Nadzor dostopa na osnovi pravil
- Nadzor dostopa na podlagi vlog
- Uporaba seznamov nadzora dostopa
- Podrobnosti o nadzoru dostopa.
- Pojasnilo modelov nadzora dostopa:
- Biba
- Model pretoka informacij
- Model brez sklepanja
- Clark in Wilson
- Model državnega stroja
- Dostopni matrični model
S svojo razlago tehnik identifikacije in avtentikacije, centralizirano / decentralizirano krmiljenje opisujejo običajne metode napada, razlago zaznavanja vdorov.
2. domena - Omrežje in telekomunikacije
Identifikacija ključnih področij telekomunikacijske in omrežne varnosti
Mednarodni standardi medsebojnih povezav organizacijskih / odprtih sistemov (ISO / OSI), ki vključujejo:
- Fizični sloj
- Nanosni sloj
- Transportni sloj
- Plast Datalink
- Sejna plast
- Omrežni sloj
- Predstavitveni sloj
Znanje iz zasnove in delovanja komunikacij in varnosti omrežij z naslednjimi temami -
- Značilnosti fizikalnih medijev, ki so zasukan par, optična vlakna, koaksialna.
- Omrežja širokega območja (WAN-ji)
- Lokalna omrežja (LAN)
- Varni oddaljeni klic postopka
- Topologije omrežij, ki so zvezda vodila in topologija zvezde.
- IPSec avtentikacijo in zaupno
- Omrežni monitor in paketni sniffers
- Značilnosti in zaupnost TCP / IP
- Tehnike oddaljenega dostopa / telekomunikacije
- Uporabniški sistem / nadzor dostopa do terminala za daljinski dostop
- Dostopni sistem Radius in Tacacs
Opišite tudi protokole, komponente in storitve, ki so vključeni v oblikovanje interneta ali intraneta ali ekstraneta, ki so -
- Pooblaščenci
- Požarni zidovi
- Stikala
- Gateways
- Storitve - SDLC, ISDN, HDLC, okvirni rele, x.25
- Usmerjevalniki
- Protokoli –TCP / IP, IPSec, SKIP, SWIPE, SSL, S / MIME, SSL, SET, PEM, CHAP, PAP, PPP, SLIP.
Zahteva se znanje o odkrivanju, preprečevanju in odpravljanju napak v varnostnem komunikacijskem sistemu, s čimer lahko ohranimo celovitost, razpoložljivost in zaupnost transakcij po omrežjih, lahko pa tudi prek -
- Tuneliranje
- Orodje za pepel
- Omrežni monitorji in snifferji paketov
- Navidezno zasebno omrežje
- Prevajanje omrežnega naslova
- Preglednost
- Nadzor ponovnega prenosa
- Zabeležite preverjanje zaporedja
- Zapisovanje prenosa
- Popravljanje napak pri prenosu
Znanje o področjih komunikacije in načinih njihovega zavarovanja zajema naslednje točke:
- Zaščitna govorna komunikacija
- Varnost e-pošte
- Faksimile
- Varnostne meje in njihov prevod
- Oblike znanja o mrežnih napadih - ARP, Brute force, črvi, poplave, prisluškovanje, sniffers, neželena pošta, goljufije s PBX in zlorabe
3. domena - upravljanje varnosti in prakse
- Razumevanje načel upravljanja varnosti in odgovornosti upravljanja v okolju informacijske varnosti.
- Razumevanje upravljanja s tveganji in njegovih rešitev.
- Podrobno razumevanje razvrščanja podatkov in določitev politik in praks za povečanje informacijske varnosti.
- Nadzor sprememb, ki se uporablja za vzdrževanje varnosti in ozaveščenosti z usposabljanjem o varnosti.
4. domena - Razvoj aplikacij in sistemov
Raziščite težave s podatki in pokažite razumevanje
- Težave z zbirko podatkov in skladišč.
- Spletne storitve, sistemi za shranjevanje in shranjevanje.
- Sistemi, ki temeljijo na znanju in izzivi razdeljenega in nerazdeljenega okolja.
- Preučite nadzor nad razvojem sistema in določite zlonamerno kodo.
- Izkoristite prakse kodiranja, ki zmanjšujejo ranljivost sistema.
5. domena - Kriptografija
- Preučiti morate podrobno uporabo kriptografije, ki bi morala vključevati zaupnost, celovitost, avtentičnost in nevračanje.
- Upravljanje PKI in podrobne skupne metode napada šifriranja z osnovnimi in specifičnimi napadi.
6. domena - Varnostni in arhitekturni modeli
Pri tem morate varnostni sistem za javne in državne modele razumeti drugače.
- Študijski modeli - zvonec - LaPadula, Biba, Clark-Wilson, seznami za nadzor dostopa.
- Razumevanje TCSEC, ITSEC, skupnih meril, IPSec.
7. domena - Varnost poslovanja
V tej identifikaciji je ključna vloga operacij.
- Prebrati morate identiteto zaščitenega, omejenega, nadzora in postopka OPSEC.
- Določite grožnje in protiukrepe, razlago o dnevnikih revizije, odkrivanju vdorov in tehnik testiranja penetracije
- Protivirusni nadzor in varna e-poštna sporočila, varnostno kopiranje podatkov.
8. domena - kontinuiteta poslovanja in obnova po nesrečah
V tem razdelku morate preučiti razliko med načrtovanjem obnove po nesrečah in načrtovanjem neprekinjenega poslovanja. To je mogoče storiti z dokumentiranjem naravnih dogodkov in dogodkov, ki jih je ustvaril človek, ki jih je treba upoštevati pri pripravi načrtov za obnovo po nesrečah in načrtih za neprekinjeno poslovanje.
9. domena - PRAVO, raziskovanje in etika
To bi moralo razložiti o temeljih zakona o računalniškem kriminalu, ki je dokazano na sodišču. In razpravljali o računalniški etiki.
10. domena - Fizična varnost
Razumevanje najpogostejših ranljivosti in njihovih učinkov na razrede sredstev. Razumevanje načel tatvin za informacije in sredstva. Znanje o načrtovanju, izdelavi in vzdrževanju varnega spletnega mesta in odstranljivih elektronskih medijev.
Nasveti za opravljanje izpita
- Posamezniki morajo pred izpitom prebrati vse teme.
- Poizvedite popolno vprašanje in izvajanje vsake teme.
- Do svojega znanja lahko dostopate z vadbo, to vam lahko pomaga pri tem, na katero temo potrebujete več pozornosti.
Reference referenčnega študijskega programa CISSP
- Harris, S: Vodnik po izpitih CISSP, 2016.
- Gordan, A: uradni ISC2 vodnik za CISSP CBK, 2015.
- ISC2 II, ISC2 III, ISC2 IV: Podroben opis vsebine CISSP, 2017.
- IT management ltd, kaj je CISSP, 2016.
Priporočeni članki
To je priročnik za študijski vodnik CISSP. Tukaj razpravljamo o pomembnih področjih za CISSP vodič, tudi nekaj koristnih nasvetov za opravljanje izpitov. Če želite izvedeti več, si oglejte tudi naslednje članke -
- Poklic v kibernetski varnosti
- Opredelitev varnostnega svetovalca
- CISM proti CISSP
- Poklicna pot informacijske varnosti