Вступ до навчального посібника CISSP
Сертифікований професіонал із захисту інформаційних систем, словом, він відомий як CISSP, CISSP - сертифікація служб безпеки. CISSP відомий серед людей, які хочуть відігравати управлінську роль у сфері інформаційної безпеки. Ця сертифікація була розроблена міжнародним консорціумом з безпеки інформаційних систем, який коротше відомий як (ISC) 2. Цей сертифікат - це шлях для професіоналів та менеджерів, які хочуть увійти в кар'єру лідерства в галузі безпеки. Це добре сприймається компаніями та організаціями ІТ-сектору.
Сертифікація CISSP може привести вас до ролі головного співробітника служби безпеки (CSO), головного співробітника інформаційної безпеки (CISO), головного технічного директора (CTO). Сертифікація CISSP є головною вимогою для декількох посад у приватному та державному секторі. Вимоги до іспитів на CISSP є обширними, для чого потрібен достатній обсяг знань з безпеки ІТ та управління ризиками. Після складання іспиту CISSP можна підтвердити, що людина володіє хорошими знаннями ІТ-безпеки, що може бути зараховано як актив для особистості на керівних та керівних посадах.
Важливі домени для іспиту CISSP
Іспит CISSP охоплює широкий спектр інформації з предметів безпеки. Вони розділені на десять різних доменів, і кожен з них розбивається на цілі іспиту, перед тим, як скласти іспит, ви повинні володіти кожним доменом -
- Системи та методологія контролю доступу
- Телекомунікації та безпека мережі
- Практика управління безпекою
- Захист прикладних програм та систем
- Криптографія
- Архітектура безпеки та моделі
- Безпека операцій
- Планування безперервності бізнесу та планування відновлення після аварій
- Право, слідство та етика
- Фізична безпека
Давайте детально обговоримо кожен із цих доменів:
1- й домен - Системи та методологія контролю доступу
Системи та методика контролю доступу в рамках цього теми будуть:
Ви повинні визначити загальні методи контролю доступу в деталях із:
- Дискреційний контроль доступу
- Обов’язковий контроль доступу
- Решітка на основі контролю доступу
- Контроль доступу на основі правил
- Рольовий контроль доступу
- Використання списків контролю доступу
- Деталі адміністрації контролю доступу.
- Пояснення моделей контролю доступу:
- Біба
- Модель інформаційного потоку
- Невисновна модель
- Кларк і Вілсон
- Модель державної машини
- Матрична модель доступу
З його поясненням методів ідентифікації та аутентифікації, централізованого / децентралізованого управління описують загальні методи атаки, пояснення виявлення вторгнень.
Другий домен - Мережа та телекомунікації
Визначення основних напрямків безпеки телекомунікацій та мережі
Міжнародні стандарти організаційних / відкритих систем (ISO / OSI) шарів взаємозв'язку та характеристик, що включає:
- Фізичний шар
- Прикладний шар
- Транспортний шар
- Шар Datalink
- Сесійний шар
- Мережевий шар
- Презентаційний шар
Знання з розробки та функції комунікацій та безпеки мережі з наступними темами -
- Фізичні характеристики середовища, які є крученою парою, оптоволокном, коаксіальним.
- Мережі широкої площі (WAN)
- Локальні мережі (локальні мережі)
- Безпечний віддалений виклик процедури
- Мережеві топології, що є топологією зіркової шини та кільця.
- Ідентифікація IPSec та конфіденційно
- Мережевий монітор і сніффер для пакетів
- Характеристики та конфіденційність TCP / IP
- Методи дистанційного доступу / телекомунікації
- Система керування доступом для віддаленого доступу / управління доступом до терміналу
- Система доступу Radius і Tacacs
Опишіть також протоколи, компоненти та сервіси, які задіяні в дизайні Інтернету чи Інтранети чи Екстрасети, які є
- Проксі
- Брандмауери
- Вимикачі
- Шлюзи
- Послуги - SDLC, ISDN, HDLC, рамне реле, x.25
- Маршрутизатори
- Протоколи –TCP / IP, IPSec, SKIP, SWIPE, SSL, S / MIME, SSL, SET, PEM, CHAP, PAP, PPP, SLIP.
Запрошуються знання про виявлення, запобігання та виправлення помилок у системі безпеки зв'язку, щоб це могло підтримувати цілісність, доступність та конфіденційність транзакцій через мережі, а також це можна зробити через:
- Тунелювання
- Попільний інструмент
- Мережеві монітори та сніфери для пакетів
- Віртуальна приватна мережа
- Переклад мережевої адреси
- Прозорість
- Управління повторною передачею
- Запис перевірки послідовності
- Журнал передач
- Виправлення помилок передачі
Знання про сфери спілкування та способи їх закріплення висвітлюють наступні моменти -
- Безпечне голосове спілкування
- Безпека електронної пошти
- Факсиміле
- Межі безпеки та їх переклад
- Форми знань про мережеві атаки - ARP, груба сила, черв'яки, затоплення, підслуховування, нюхання, спам, шахрайство та зловживання АТС.
3- й домен - управління безпекою та практики
- Розуміння принципів управління безпекою та відповідальності управління в середовищі інформаційної безпеки.
- Розуміння управління ризиками та його рішення.
- Детальне розуміння класифікації даних та визначення політики та практики підвищення інформаційної безпеки.
- Контроль змін, що використовується для підтримки безпеки та обізнаності з навчанням щодо безпеки.
4- й домен - Розробка програм та систем
Вивчіть проблеми даних та продемонструйте розуміння
- Питання бази та складських приміщень.
- Веб-сервіси, системи зберігання та зберігання.
- Системи, що базуються на знаннях, та завдання викликів розподіленого та нерозподіленого середовища
- Вивчіть контроль розвитку системи та визначте шкідливий код.
- Скористайтеся методами кодування, що зменшують вразливість системи.
5- й домен - Криптографія
- Ви повинні вивчити детальне використання криптографії, яка повинна включати конфіденційність, цілісність, автентифікацію та неприйняття.
- Управління PKI та детальні загальні методи атаки шифрування основними та конкретними атаками.
6- й домен - моделі безпеки та архітектури
Під цим, ви повинні розуміти систему безпеки для державних та державних моделей по-різному.
- Навчайте моделі - дзвіночок - LaPadula, Biba, Clark-Wilson, списки контролю доступу.
- Розуміння TCSEC, ITSEC, загальних критеріїв, IPSec.
7- й домен - Безпека операцій
У цьому визначенні ключових ролей операцій лежить безпека.
- Ви повинні прочитати особу захищених, обмежених, контрольних та OPSEC-процесів.
- Визначте загрози та контрзаходи, пояснення щодо журналів аудиту, виявлення вторгнень та методів тестування на проникнення
- Антивірусні елементи керування та захищені електронні листи, розуміння резервного копіювання даних.
8- й домен - безперервність бізнесу та відновлення після аварій
У цьому розділі ви повинні вивчити різницю між плануванням відновлення після аварій та плануванням безперервності бізнесу. Це можна зробити, задокументувавши природні та техногенні події, які необхідно враховувати при складанні планів відновлення аварій та безперервності бізнесу.
9- й домен - ЗАКОН, дослідження та етика
Це повинно пояснити суттєві основи закону комп’ютерної злочинності, що доведено в суді. І обговоримо комп’ютерну етику.
10- й домен - Фізична безпека
Розуміння найпоширеніших уразливостей та їх впливу на класи активів. Розуміння принципів крадіжок інформації та активів. Знання щодо проектування, побудови та підтримки захищеного сайту та знімних електронних носіїв інформації.
Поради щодо складання іспиту
- Особи повинні прочитати всі теми перед іспитом.
- Покрокове повне запитання та виконання кожної теми.
- Отримайте доступ до своїх знань, практикуючи, це може допомогти тобі, на яку тему потрібно більше уваги.
Довідник посібника з вивчення CISSP
- Харріс, S: посібник з іспитів CISSP, 2016 рік.
- Гордан, A: офіційний посібник ISC2 до CISSP CBK, 2015 рік.
- ISC2 II, ISC2 III, ISC2 IV: детальний контент змісту CISSP, 2017.
- ТОВ «ІТ-управління», що таке CISSP, 2016.
Рекомендовані статті
Це керівництво по навчальному посібнику CISSP. Тут ми обговорюємо важливі сфери навчального посібника CISSP, а також кілька корисних порад щодо складання іспитів. Ви також можете переглянути наступні статті, щоб дізнатися більше -
- Кар'єра в галузі кібербезпеки
- Визначення консультанта з питань безпеки
- CISM проти CISSP
- До кар’єрного шляху інформаційної безпеки