Въведение в ръководството за изследване по CISSP

Сертифициран професионалист по сигурността на информационните системи, накратко, той е известен като CISSP, CISSP е сертификат за услуги за сигурност. CISSP е известен сред хората, които искат да упражняват управленска роля в областта на информационната сигурност. Това сертифициране е разработено от международния консорциум за сигурност на информационни системи, който накратко е известен като (ISC) 2. Този сертификат е пътека за професионалисти и мениджъри, които искат да влязат в кариерата на лидерството в областта на сигурността, това е добре получено за допустимост от компании и организации в ИТ сектора.

Сертифицирането по CISSP може да ви влезе в ролята на главен служител по сигурността (CSO), главен служител по сигурността на информацията (CISO), главен технически директор (CTO). Сертифицирането по CISSP е основно изискване за няколко позиции в частния и държавния сектор. Изискванията за CISSP изпита са обширни, които се нуждаят от добро количество знания за ИТ сигурността и управлението на риска. След полагане на изпита по CISSP може да се потвърди, че индивидът притежава добри познания за ИТ сигурността, които могат да бъдат отчетени като актив за индивида на ръководни и ръководни позиции.

Важни домейни за изпита по CISSP

Изпитът по CISSP обхваща широк спектър от информация от теми по сигурността. Те са разделени с десет различни домейни и всеки от тях е разбит до целите на изпита, преди да положите изпита, трябва да сте специалист във всеки домейн -

  • Системи и методология за контрол на достъпа
  • Телекомуникации и мрежова сигурност
  • Практики за управление на сигурността
  • Сигурност на приложението и развитието на системите
  • Криптография
  • Архитектура и модели за сигурност
  • Сигурност на операциите
  • Планиране на непрекъснатостта на бизнеса и планиране за възстановяване при бедствия
  • Закон, разследване и етика
  • Физическа охрана

нека обсъдим подробно всеки от тези домейни:

1- ва област - Системи и методология за контрол на достъпа

Системите и методологията за контрол на достъпа по тази тема ще бъдат:

Трябва да дефинирате общи техники за контрол на достъпа в подробности с:

  • Дискретен контрол на достъпа
  • Задължителен контрол на достъпа
  • Решетен базиран контрол на достъпа
  • Контрол на достъпа, базиран на правилата
  • Ролево контролиран достъп
  • Използването на списъци за контрол на достъпа
  • Подробности за администрацията за контрол на достъпа.
  • Обяснение на моделите за контрол на достъпа:
  • Biba
  • Модел на информационния поток
  • Модел без заключение
  • Кларк и Уилсън
  • Модел на държавна машина
  • Матричен модел за достъп

Със своето обяснение за техники за идентификация и автентификация, централизирано / децентрализирано управление, описват общи методи за атака, обяснение на откриване на проникване.

Втори домейн - Мрежа и телекомуникации

Идентифициране на ключови области на телекомуникационната и мрежова сигурност

Международни стандарти за взаимосвързани слоеве и характеристики на организационни / отворени системи (ISO / OSI), които включват:

  • Физически слой
  • Приложен слой
  • Транспортен слой
  • Даталинк слой
  • Сесионен слой
  • Мрежов слой
  • Презентационен слой

Знанията от дизайна и функцията на комуникациите и сигурността на мрежата със следните теми-

  • Характеристики на физическите носители, които са усукана двойка, оптични влакна, коаксиални.
  • Мрежи с широка площ (WAN)
  • Локални мрежи (LAN)
  • Сигурното дистанционно повикване за процедура
  • Мрежови топологии, които са звездна топология на шината и пръстена.
  • IPSec удостоверяване и конфиденциално
  • Мрежов монитор и пакетиращи пакети
  • TCP / IP характеристики и конфиденциалност
  • Техники за отдалечен достъп / телекомуникации
  • Дистанционен достъп Набиране на потребителска система / контрол на достъпа до терминала
  • Система за достъп Radius и Tacacs

Също така опишете протоколите, компонентите и услугите, които участват в дизайна на интернет или интранет или екстранет, които са -

  • Пълномощниците
  • Защитните стени
  • Ключове
  • Gateways
  • Услуги- SDLC, ISDN, HDLC, рамково реле, x.25
  • Маршрутизаторите
  • Протоколи –TCP / IP, IPSec, SKIP, SWIPE, SSL, S / MIME, SSL, SET, PEM, CHAP, PAP, PPP, SLIP.

Познават се знанията за откриване, предотвратяване, коригиране на техники за грешки в системата за защита на комуникациите, така че това може да поддържа целостта, наличността и поверителността на транзакциите през мрежи, може да се поддържа чрез -

  • Тунели
  • Пепелни инструменти
  • Мрежови монитори и пакетиращи пакети
  • Виртуална частна мрежа
  • Превод на мрежови адреси
  • прозрачност
  • Контроли за повторно предаване
  • Записване на проверка на последователността
  • Записване на предаване
  • Корекция на грешки в предаването

Знанията относно областите на комуникация и методите за тяхното осигуряване обхващат следните моменти дълбоко -

  • Сигурна гласова комуникация
  • Сигурност по имейл
  • факсимиле
  • Граници на сигурност и техния превод
  • Форми на знания за мрежова атака - ARP, груба сила, червеи, наводнения, подслушване, подсмърчане, спам, измами с PBX

Трети домейн - управление и практики за сигурност

  • Разбирането на принципите на управлението на сигурността и отговорността на ръководството в средата на информационната сигурност.
  • Разбиране на управлението на риска и неговите решения.
  • Подробно разбиране за класифициране на данни и определяне на политики и практики за повишаване на информационната сигурност.
  • Промяна на контрола, използван за поддържане на сигурност и информираност с обучение за сигурност.

4 -ти домейн - Разработване на приложения и системи

Проучете проблемите с данните и демонстрирайте разбирането на

  • Проблеми с базата данни и складове.
  • Уеб услуги, системи за съхранение и съхранение.
  • Системи, базирани на знанието, и предизвикателства за разпространена и неразпределена среда.
  • Проучете контрол на развитието на системата и дефинирайте злонамерен код.
  • Използвайте практики за кодиране, които намаляват уязвимостта на системата.

5 -ти домейн - Криптография

  • Трябва да проучите подробното използване на криптографията, което трябва да включва поверителност, цялостност, автентичност и неотблъскване.
  • PKI управление и подробни общи методи за атакуване на криптиране с основни и специфични атаки.

6 -ти домейн - Модели за сигурност и архитектура

При това трябва да разбирате системата за сигурност за обществените и държавните модели по различен начин.

  • Модели за проучване - звънец - LaPadula, Biba, Clark-Wilson, списъци за контрол на достъпа.
  • Разбиране на TCSEC, ITSEC, общи критерии, IPSec.

7 -ми домейн - Сигурност на операциите

В тази идентификация на ключовите роли на операцията се крие сигурността.

  • Трябва да прочетете самоличността на защитен, ограничен, контролен и OPSEC процес.
  • Определете заплахи и мерки за противодействие, обяснение за одитните дневници, откриване на проникване и техники за тестване на проникване
  • Антивирусни контроли и сигурни имейли, архивиране на данни.

8 -ми домейн - Непрекъснатост на бизнеса и възстановяване след бедствия

В този раздел трябва да проучите разликата между планирането на възстановяване при бедствия и планирането на непрекъснатостта на бизнеса. Това може да се направи чрез документиране на природни и създадени от човека събития, които трябва да се вземат предвид при изготвянето на планове за възстановяване при бедствия и планове за непрекъснатост на бизнеса.

9 -та област - ЗАКОН, разследване и етика

Това трябва да обясни основите на закона за компютърната престъпност, което е доказано в съда. И обсъдете компютърната етика.

10 -ти домейн - Физическа сигурност

Разбиране на най-често срещаните уязвимости и техните ефекти върху класовете на активи. Разбиране на принципите за кражба на информация и активи. Познания за проектиране, изграждане и поддържане на сигурен сайт и подвижни електронни носители.

Съвети за полагане на изпита

  • Индивидите трябва да прочетат всички теми преди изпита.
  • Стъпка по пълен въпрос и упражняване на всяка тема.
  • Достъп до знанията си, като практикувате, това може да ви помогне към коя тема се нуждаете от повече фокус.

Позовавания на ръководството за изследване по CISSP

  • Харис, S: Ръководство за изпитите по CISSP, 2016 г.
  • Гордан, A: официално ръководство за ISC2 за CISSP CBK, 2015.
  • ISC2 II, ISC2 III, ISC2 IV: подробно описание на CISSP, 2017.
  • ИТ управление ltd, какво е CISSP, 2016

Препоръчителни статии

Това е ръководство за ръководството за изследване на CISSP. Тук обсъждаме важни области за ръководството за проучване на CISSP, както и някои полезни съвети за полагане на изпити. Можете също да разгледате следните статии, за да научите повече -

  1. Кариери в киберсигурността
  2. Определение на консултанта по сигурността
  3. CISM срещу CISSP
  4. Пътят за кариерна сигурност на информацията

Категория:

Развитие на предприемачеството