Wprowadzenie do podręcznika CISSP

Certyfikowany specjalista ds. Bezpieczeństwa systemów informatycznych, w skrócie, jest znany jako CISSP, CISSP to certyfikat dla usług bezpieczeństwa. CISSP jest znany wśród osób, które chcą pełnić rolę kierowniczą w dziedzinie bezpieczeństwa informacji. Certyfikacja ta została opracowana przez międzynarodowe konsorcjum certyfikatów bezpieczeństwa systemów informatycznych, które w skrócie jest znane jako (ISC) 2. Ten certyfikat jest ścieżką dla profesjonalistów i menedżerów, którzy chcą rozpocząć karierę w dziedzinie bezpieczeństwa, co zostało dobrze przyjęte przez przedsiębiorstwa i organizacje z sektora IT.

Certyfikacja CISSP może sprawić, że wcielisz się w rolę dyrektora ds. Bezpieczeństwa (CSO), dyrektora ds. Bezpieczeństwa informacji (CISO), dyrektora ds. Technicznych (CTO). Certyfikacja CISSP jest podstawowym wymogiem na kilku stanowiskach w sektorze prywatnym i rządowym. Wymagania egzaminacyjne CISSP są obszerne i wymagają dużej wiedzy na temat bezpieczeństwa IT i zarządzania ryzykiem. Po zdaniu egzaminu CISSP można potwierdzić, że dana osoba ma dobrą wiedzę na temat bezpieczeństwa IT, co można zaliczyć do jej zalet na stanowiskach kierowniczych i kierowniczych.

Ważne domeny do egzaminu CISSP

Egzamin CISSP obejmuje szeroki zakres informacji od podmiotów bezpieczeństwa. Są one podzielone na dziesięć różnych domen i każda z nich jest podzielona na cele egzaminacyjne, przed przystąpieniem do egzaminu musisz być biegły w każdej dziedzinie -

  • Systemy kontroli dostępu i metodologia
  • Bezpieczeństwo telekomunikacji i sieci
  • Praktyki zarządzania bezpieczeństwem
  • Bezpieczeństwo rozwoju aplikacji i systemów
  • Kryptografia
  • Architektura i modele bezpieczeństwa
  • Bezpieczeństwo operacji
  • Planowanie ciągłości działania i planowanie odzyskiwania po awarii
  • Prawo, dochodzenie i etyka
  • Bezpieczeństwo fizyczne

omówmy szczegółowo każdą z tych domen:

Pierwsza domena - systemy i metodologia kontroli dostępu

Systemy kontroli dostępu i metodologia w ramach tych tematów będą:

Powinieneś szczegółowo zdefiniować wspólne techniki kontroli dostępu za pomocą:

  • Uznaniowa kontrola dostępu
  • Obowiązkowa kontrola dostępu
  • Kontrola dostępu oparta na kratach
  • Kontrola dostępu oparta na regułach
  • Kontrola dostępu oparta na rolach
  • Korzystanie z list kontroli dostępu
  • Szczegóły administracji kontroli dostępu.
  • Objaśnienie modeli kontroli dostępu:
  • Biba
  • Model przepływu informacji
  • Model bez wnioskowania
  • Clark i Wilson
  • Model maszyny stanowej
  • Dostęp do modelu macierzy

Z objaśnieniem technik identyfikacji i uwierzytelniania, scentralizowanej / zdecentralizowanej kontroli, opisz popularne metody ataku, wyjaśnienie wykrywania włamań.

2. domena - Sieć i telekomunikacja

Identyfikacja kluczowych obszarów bezpieczeństwa telekomunikacji i sieci

Międzynarodowe standardy warstw połączeń i organizacji / systemów otwartych (ISO / OSI), które obejmują:

  • Warstwa fizyczna
  • Warstwa aplikacji
  • Warstwa transportowa
  • Warstwa łącza danych
  • Warstwa sesji
  • Warstwa sieci
  • Warstwa prezentacji

Wiedza z projektowania i funkcji komunikacji i bezpieczeństwa sieci z następującymi tematami:

  • Fizyczne cechy mediów, które obejmują skrętkę, światłowód, koncentryczny.
  • Sieci rozległe (WAN)
  • Sieci lokalne (LAN)
  • Bezpieczne zdalne wywołanie procedury
  • Topologie sieciowe, które są topologią magistrali gwiazdowej i pierścieniowej.
  • Uwierzytelnianie IPSec i poufne
  • Monitor sieci i sniffery pakietów
  • Charakterystyka i poufność TCP / IP
  • Techniki zdalnego dostępu / telepracy
  • Zdalny dostęp Dial-in system użytkownika / kontrola dostępu do terminala
  • System dostępu Radius i Tacacs

Opisz również protokoły, komponenty i usługi związane z projektowaniem Internetu, intranetu lub ekstranetu, które są-

  • Proxy
  • Zapory ogniowe
  • Przełączniki
  • Bramy
  • Usługi - SDLC, ISDN, HDLC, przekaźnik ramki, x.25
  • Routery
  • Protokoły - TCP / IP, IPSec, SKIP, SWIPE, SSL, S / MIME, SSL, SET, PEM, CHAP, PAP, PPP, SLIP.

Wymagana jest wiedza na temat wykrywania, zapobiegania i korygowania technik błędów w systemie bezpieczeństwa komunikacji, dzięki czemu można zachować integralność, dostępność i poufność transakcji w sieciach, można to zrobić poprzez:

  • Tunelowanie
  • Narzędzia jesionowe
  • Monitory sieciowe i sniffery pakietów
  • Wirtualnej sieci prywatnej
  • Tłumaczenie adresu sieciowego
  • Przezroczystość
  • Kontrola powtórnej transmisji
  • Sprawdzanie sekwencji rekordów
  • Rejestrowanie transmisji
  • Korekta błędu transmisji

Wiedza na temat obszarów komunikacji i metod ich zabezpieczania obejmuje głęboko następujące kwestie:

  • Bezpieczna komunikacja głosowa
  • Bezpieczeństwo poczty e-mail
  • Kopia
  • Granice bezpieczeństwa i ich tłumaczenie
  • Formy wiedzy o atakach sieciowych - ARP, Brute force, Worms, flooding, podsłuch, podsłuchiwanie, spamowanie, oszustwa PBX i nadużycia

Domena trzecia - zarządzanie bezpieczeństwem i praktyki

  • Zrozumienie zasad zarządzania bezpieczeństwem i odpowiedzialności za zarządzanie w środowisku bezpieczeństwa informacji.
  • Zrozumienie zarządzania ryzykiem i jego rozwiązań.
  • Szczegółowe zrozumienie klasyfikacji danych oraz określenie zasad i praktyk w celu zwiększenia bezpieczeństwa informacji.
  • Kontrola zmian stosowana w celu utrzymania bezpieczeństwa i świadomości podczas szkoleń dotyczących bezpieczeństwa.

4 domena - Rozwój aplikacji i systemów

Poznaj problemy danych i pokaż, że rozumiesz…

  • Problemy z bazą danych i magazynem.
  • Usługi sieciowe, systemy przechowywania i przechowywania.
  • Systemy oparte na wiedzy i wyzwania środowisk rozproszonych i nierozproszonych.
  • Badanie kontroli rozwoju systemu i zdefiniowanie złośliwego kodu.
  • Skorzystaj z praktyk kodowania, które zmniejszają podatność systemu.

5 domena - Kryptografia

  • Powinieneś przestudiować szczegółowe zastosowanie kryptografii, które powinno obejmować poufność, integralność, uwierzytelnianie i niezaprzeczalność.
  • Zarządzanie infrastrukturą PKI i szczegółowe typowe metody atakowania szyfrowania za pomocą ataków podstawowych i specyficznych.

6. domena - modele bezpieczeństwa i architektury

W związku z tym należy inaczej rozumieć system bezpieczeństwa modeli publicznych i rządowych.

  • Modele badań - dzwon - LaPadula, Biba, Clark-Wilson, listy kontroli dostępu.
  • Zrozumienie TCSEC, ITSEC, wspólne kryteria, IPSec.

7. domena - Bezpieczeństwo operacji

Pod tą identyfikacją kluczowych ról operacji leży bezpieczeństwo.

  • Powinieneś przeczytać tożsamość procesu chronionego, ograniczonego, kontrolnego i OPSEC.
  • Zdefiniuj zagrożenia i środki zaradcze, wyjaśnienia dotyczące dzienników audytu, wykrywania włamań i technik testowania penetracji
  • Kontrola antywirusowa i bezpieczne e-maile, zrozumienie tworzenia kopii zapasowych danych.

8 domena - Ciągłość działania i odzyskiwanie po awarii

W tej sekcji należy przestudiować różnicę między planowaniem odzyskiwania po awarii a planowaniem ciągłości działania. Można tego dokonać poprzez udokumentowanie naturalnych i spowodowanych przez człowieka zdarzeń, które należy wziąć pod uwagę przy tworzeniu planów odzyskiwania po awarii i ciągłości działania.

9. domena - PRAWO, dochodzenie i etyka

Powinno to wyjaśniać fundamentalne podstawy prawa przestępczości komputerowej, które zostało udowodnione w sądzie. Omów etykę komputerową.

10. domena - bezpieczeństwo fizyczne

Zrozumienie najczęstszych luk w zabezpieczeniach i ich wpływu na klasy aktywów. Zrozumienie zasad kradzieży informacji i aktywów. Znajomość projektowania, budowy i utrzymywania bezpiecznej strony i wymiennych nośników elektronicznych.

Wskazówki dotyczące przystępowania do egzaminu

  • Osoby muszą przeczytać wszystkie tematy przed egzaminem.
  • Krok po kroku wypełnij pytanie i ćwiczenie każdego tematu.
  • Uzyskaj dostęp do swojej wiedzy, ćwicząc, co może pomóc Ci skupić się na temacie.

Odniesienia do podręcznika CISSP Study

  • Harris, S: Przewodnik do egzaminu CISSP, 2016.
  • Gordan, A: oficjalny przewodnik ISC2 po CISSP CBK, 2015.
  • ISC2 II, ISC2 III, ISC2 IV: Szczegółowy zarys treści CISSP, 2017 r.
  • IT management ltd, co to jest CISSP, 2016.

Polecane artykuły

Jest to przewodnik po przewodniku do badania CISSP. Tutaj omawiamy ważne dziedziny przewodnika po badaniu CISSP, a także kilka przydatnych wskazówek na temat egzaminów. Możesz także przejrzeć następujące artykuły, aby dowiedzieć się więcej -

  1. Kariera w cyberbezpieczeństwie
  2. Definicja konsultanta bezpieczeństwa
  3. CISM vs CISSP
  4. Ścieżka kariery bezpieczeństwa informacji

Kategoria:

Rozwój przedsiębiorczości