CISSP õppejuhendi sissejuhatus

Sertifitseeritud infosüsteemide turvaspetsialist, lühidalt öeldes on see tuntud kui CISSP, CISSP on turvateenuste sertifikaat. CISSP on kuulus nende inimeste seas, kes soovivad täita juhtrolli infoturbe valdkonnas. Selle sertifikaadi töötas välja rahvusvaheline infosüsteemide turvasertifikaatide konsortsium, mida lühidalt tuntakse kui (ISC) 2. See sertifikaat on võimalus spetsialistidele ja juhtidele, kes soovivad siseneda turvatöötaja karjäärisse. IT-sektori ettevõtted ja organisatsioonid on selle heaks kiitnud.

CISSP sertifitseerimine võib viia teid turbeülema (CSO), infoturbe ülema (CISO), tehnilise juhi (CTO) rolli. CISSP-sertifikaat on peamiseks nõudeks mitmel ametikohal era- ja valitsussektoris. CISSP eksami nõuded on ulatuslikud, mis vajavad palju teadmisi IT turvalisuse ja riskijuhtimise kohta. Pärast CISSP eksami sooritamist võib kinnitada, et inimesel on head teadmised IT-turvalisuse kohta, mida võib lugeda üksikisiku varaks juhtimis- ja juhtimispositsioonidel.

CISSP eksami olulised domeenid

CISSP eksam hõlmab laia valikut turbevaldkondadelt pärit teavet. Need on jagatud kümne erineva domeeniga ja igaüks neist on jagatud eksamieesmärkidega, enne eksami tegemist peate valdama mõlemat domeeni -

  • Juurdepääsukontrollisüsteemid ja metoodika
  • Telekommunikatsiooni ja võrgu turvalisus
  • Turvalisuse juhtimise tavad
  • Rakenduste ja süsteemide arendamise turvalisus
  • Krüptograafia
  • Turvaarhitektuur ja mudelid
  • Operatsioonide turvalisus
  • Talitluspidevuse ja katastroofide taastamise kavandamine
  • Seadus, uurimine ja eetika
  • Füüsiline turvalisus

arutagem üksikasjalikult kõiki järgmisi valdkondi:

1. domeen - juurdepääsu kontrollsüsteemid ja metoodika

Ligipääsukontrollisüsteemid ja metoodika selle teema raames on järgmised:

Peaksite üksikasjalikult määratlema ühised juurdepääsu kontrollimise tehnikad koos:

  • Valikuline juurdepääsu kontroll
  • Kohustuslik juurdepääsu kontroll
  • Võrepõhine juurdepääsu kontroll
  • Reeglitel põhinev juurdepääsu kontroll
  • Rollipõhine juurdepääsu kontroll
  • Juurdepääsukontrolli nimekirjade kasutamine
  • Juurdepääsukontrolli haldamise üksikasjad.
  • Juurdepääsukontrolli mudelite selgitus:
  • Biba
  • Teabevoo mudel
  • Järeldusteta mudel
  • Clark ja Wilson
  • Riigi masina mudel
  • Juurdepääsu maatriksmudel

Tsentraliseeritud / detsentraliseeritud juhtimise abil selgitatakse tuvastamise ja autentimise tehnikaid ning kirjeldatakse üldisemaid rünnakumeetodeid ja sissetungimise tuvastamise selgitusi.

2. domeen - võrk ja telekommunikatsioon

Telekommunikatsiooni ja võrguturbe võtmevaldkondade tuvastamine

Organisatsiooni / avatud süsteemide (ISO / OSI) rahvusvaheliste ühenduskihtide ja omaduste rahvusvahelised standardid, mis hõlmavad-

  • Füüsiline kiht
  • Rakenduskiht
  • Transpordikiht
  • Datalinki kiht
  • Sessioonikiht
  • Võrgukiht
  • Esitluskiht

Järgmiste teemadega seotud teadmised kommunikatsiooni ja võrgu turvalisuse ülesehituse ja funktsiooni kohta -

  • Füüsikaliste meediumite omadused, mis on keerdpaar, fiiberoptika, koaksiaal.
  • Laivõrgud (WAN-id)
  • Kohtvõrgud (LAN)
  • Turvaline kaugprotseduurikõne
  • Võrgutopoloogiad, mis on tähe- ja ringtopoloogia.
  • IPSeci autentimine ja konfidentsiaalselt
  • Võrgumonitor ja pakettaknad
  • TCP / IP omadused ja konfidentsiaalsus
  • Kaugjuurdepääsu / kaugtöö tehnikad
  • Kaugjuurdepääs sissehelistamisega süsteemi / terminali juurdepääsu juhtimine
  • Juurdepääsu süsteem raadius ja Tacacs

Samuti kirjeldage protokolle, komponente ja teenuseid, mis on seotud Interneti või sisevõrgu või ekstranetti kujundamisega -

  • Puhverserverid
  • Tulemüürid
  • Lülitid
  • Väravad
  • Teenused - SDLC, ISDN, HDLC, kaadrirelee, x.25
  • Ruuterid
  • Protokollid –TCP / IP, IPSec, SKIP, SWIPE, SSL, S / MIME, SSL, SET, PEM, CHAP, PAP, PPP, SLIP.

Küsitakse teadmisi kommunikatsioonisüsteemi turvasüsteemi vigade tuvastamise, ennetamise ja parandamise kohta, et säilitada võrkude kaudu tehtavate tehingute terviklikkus, kättesaadavus ja konfidentsiaalsus.

  • Tunneldamine
  • Tuhariistad
  • Võrgumonitorid ja pakettaknad
  • Virtuaalne privaatvõrk
  • Võrguaadresside tõlkimine
  • Läbipaistvus
  • Tagasisaatmise juhtnupud
  • Salvestusjärjestuse kontrollimine
  • Ülekande logimine
  • Edastamise vea parandamine

Teadmised suhtlusvaldkondade ja nende kindlustamise meetodite kohta hõlmavad sügavalt järgmisi punkte -

  • Turvaline kõneside
  • E-posti turvalisus
  • Faks
  • Turvalisuse piirid ja nende tõlkimine
  • Võrgurünnaku vormid - ARP, jõhker jõud, ussid, üleujutused, pealtkuulamine, nuhkimine, rämpspost, PBX-pettused ja kuritarvitamine

3. valdkond - turvalisuse juhtimine ja tavad

  • Turvalisuse juhtimise ja juhtimisvastutuse mõistmine infoturbekeskkonnas.
  • Riskijuhtimise ja selle lahenduste mõistmine.
  • Üksikasjalik mõistmine andmete salastamise kohta ning teabeturbe suurendamiseks mõeldud poliitikate ja tavade kindlaksmääramine.
  • Turvalisuse ja teadlikkuse säilitamiseks kasutatav muudatuste kontroll koos turvatreeninguga.

4. valdkond - rakenduste ja süsteemide arendamine

Uurige andmetega seotud küsimusi ja näidake nende mõistmist

  • Andmebaaside ja ladude probleemid.
  • Veebiteenused, salvestus- ja salvestussüsteemid.
  • Teadmistepõhised süsteemid ja hajutatud ja mittejaotatud keskkondade väljakutsed.
  • Uurige süsteemi arendamise kontrolli ja määrake pahatahtlik kood.
  • Kasutage süsteemi haavatavust vähendavaid kodeerimise tavasid.

5. domeen - krüptograafia

  • Peaksite uurima krüptograafia üksikasjalikku kasutamist, mis peaks hõlmama konfidentsiaalsust, terviklikkust, autentimist ja keeldumist.
  • PKI haldamine ja üksikasjalikud levinud meetodid krüptimise ründamiseks põhi- ja spetsiifiliste rünnakutega.

Kuues valdkond - turvalisuse ja arhitektuuri mudelid

Selle alusel peate mõistma avalike ja valitsusmudelite turvasüsteemi erinevalt.

  • Õppemudelid - kelluke - LaPadula, Biba, Clark-Wilson, juurdepääsu kontrollnimekirjad.
  • TCSECi, ITSECi, ühiste kriteeriumide, IPSeci mõistmine.

7. domeen - toimingute turvalisus

Operatsioonide võtmerollide tuvastamisel peitub turvalisus.

  • Peaksite lugema kaitstud, piiratud, juhtimis- ja OPSEC-protsessi identiteeti.
  • Määratlege ohud ja vastumeetmed, selgitused auditilogide, sissetungimise tuvastamise ja sissetungimise testimise tehnikate kohta
  • Viirusetõrje juhtelemendid ja turvalised e-kirjad, andmete varundamise mõistmine.

8. valdkond - talitluspidevus ja katastroofide taastamine

Selle jaotise all peate uurima erinevust katastroofide taastamise kavandamise ja talitluspidevuse kavandamise vahel. Seda saab teha looduslike ja inimtegevusest tingitud sündmuste dokumenteerimisega, mida tuleb katastroofide taastamise ja talitluspidevuse plaanide koostamisel arvesse võtta.

9. valdkond - ÕIGUS, juurdlus ja eetika

See peaks selgitama kohtus tõestatud arvutikuritegude seaduse vastandlikke põhialuseid. Ja arutage arvutieetikat.

10. valdkond - füüsiline turvalisus

Levinumate haavatavuste ja nende mõju varaklassidele mõistmine. Teabe ja varade varguspõhimõtete mõistmine. Teadmised turvalise saidi ja eemaldatavate elektrooniliste meediumite kavandamisest, ehitamisest ja hooldamisest.

Näpunäited eksami tegemiseks

  • Isikud peavad enne eksamit läbi lugema kõik teemad.
  • Sammhaaval täielik küsimus ja iga teema teostamine.
  • Juurdepääs oma teadmistele harjutades, see võib aidata teil selle teema osas, millele peate rohkem keskenduma.

CISSP õppejuhendi viited

  • Harris, S: CISSP eksamijuhend, 2016.
  • Gordan, A: CISSP CBK ametlik ISC2 juhend, 2015.
  • ISC2 II, ISC2 III, ISC2 IV: CISSP üksikasjalik sisu ülevaade, 2017.
  • IT management ltd, mis on CISSP, 2016.

Soovitatavad artiklid

See on olnud CISSP õppejuhendi juhend. Siin käsitleme CISSP õppejuhendi olulisi valdkondi, samuti kasulikke näpunäiteid eksamite tegemiseks. Lisateabe saamiseks võite vaadata ka järgmisi artikleid -

  1. Karjäär küberturvalisuses
  2. Turvakonsultandi määratlus
  3. CISM vs CISSP
  4. Infoturbe karjääritee

Kategooria:

Ettevõtluse arendamine