Einführung in den CISSP Study Guide

Kurz gesagt, CISSP ist ein zertifizierter Sicherheitsexperte für Informationssysteme. CISSP ist eine Zertifizierung für Sicherheitsdienste. CISSP ist unter Personen bekannt, die eine Führungsrolle im Bereich Informationssicherheit ausüben möchten. Diese Zertifizierung wurde von einem internationalen Konsortium von Sicherheitszertifikaten für Informationssysteme entwickelt, das kurz als (ISC) 2 bezeichnet wird. Dieses Zertifikat ist ein Weg für Fach- und Führungskräfte, die eine Karriere als Sicherheitsfachkraft anstreben. Dies wird von Unternehmen und Organisationen in der IT-Branche sehr gut angenommen.

Durch die CISSP-Zertifizierung werden Sie zum Chief Security Officer (CSO), Chief Information Security Officer (CISO) und Chief Technical Officer (CTO). Die CISSP-Zertifizierung ist eine Grundvoraussetzung für verschiedene Positionen im privaten und staatlichen Sektor. Die Anforderungen an die CISSP-Prüfung sind umfangreich und erfordern ein hohes Maß an Kenntnissen in Bezug auf IT-Sicherheit und Risikomanagement. Nach dem Bestehen der CISSP-Prüfung kann bestätigt werden, dass die Person über gute Kenntnisse in Bezug auf IT-Sicherheit verfügt, was als Aktivposten für die Person in Management- und Führungspositionen gewertet werden kann.

Wichtige Bereiche für die CISSP-Prüfung

Die CISSP-Prüfung deckt ein breites Informationsspektrum von Sicherheitsthemen ab. Diese sind in zehn verschiedene Bereiche unterteilt. Jeder dieser Bereiche ist in Prüfungsziele unterteilt. Bevor Sie die Prüfung ablegen, müssen Sie in jedem Bereich über ausreichende Kenntnisse verfügen.

  • Zugriffskontrollsysteme und -methoden
  • Telekommunikation und Netzwerksicherheit
  • Sicherheitsmanagement-Praktiken
  • Sicherheit für die Anwendungs- und Systementwicklung
  • Kryptographie
  • Sicherheitsarchitektur und Modelle
  • Betriebssicherheit
  • Business Continuity-Planung und Disaster Recovery-Planung
  • Recht, Ermittlung und Ethik
  • Physische Sicherheit

Lassen Sie uns jede dieser Domänen im Detail besprechen:

1. Domäne - Zugangskontrollsysteme und -methoden

Zugangskontrollsysteme und -methoden unter diesen Themen werden

Sie sollten allgemeine Zugriffskontrolltechniken im Detail definieren mit:

  • Diskretionäre Zugangskontrolle
  • Obligatorische Zugangskontrolle
  • Gitterbasierte Zugangskontrolle
  • Regelbasierte Zugriffskontrolle
  • Rollenbasierte Zugriffskontrolle
  • Die Verwendung von Zugriffssteuerungslisten
  • Details zur Zugriffskontrollverwaltung.
  • Erklärung der Zugangskontrollmodelle:
  • Biba
  • Informationsflussmodell
  • Nichtinferenzmodell
  • Clark und Wilson
  • Zustandsmaschinenmodell
  • Zugriffsmatrixmodell

Mit der Erklärung der Identifizierungs- und Authentifizierungstechniken, der zentralen / dezentralen Steuerung, der Beschreibung gängiger Angriffsmethoden und der Erklärung der Aufdeckung von Angriffen.

2. Domain - Netzwerk und Telekommunikation

Die Identifizierung von Schlüsselbereichen der Telekommunikation und Netzwerksicherheit

Verbindungsschichten und -merkmale nach internationalen Organisationsstandards / offenen Systemen (ISO / OSI), die Folgendes umfassen:

  • Physikalische Schicht
  • Anwendungsschicht
  • Transportschicht
  • Datenübertragungsebene
  • Sitzungsschicht
  • Netzwerkschicht
  • Präsentationsfolie

Das Wissen aus dem Aufbau und der Funktion von Kommunikations- und Netzwerksicherheit mit folgenden Themen-

  • Physikalische Medieneigenschaften: Twisted Pair, Glasfaser, koaxial.
  • WANs (Wide Area Networks)
  • Lokale Netzwerke (LANs)
  • Der sichere Remoteprozeduraufruf
  • Netzwerktopologien mit Sternbus- und Ringtopologie.
  • IPSec-Authentifizierung und vertraulich
  • Netzwerkmonitor und Paket-Sniffer
  • TCP / IP-Eigenschaften und Vertraulichkeit
  • Fernzugriff / Telearbeitstechniken
  • Fernzugriff Einwahlbenutzersystem / Terminalzugriffskontrolle
  • Zugangssystem Radius und Tacacs

Beschreiben Sie auch die Protokolle, Komponenten und Dienste, die am Internet-, Intranet- oder Extranet-Design beteiligt sind und

  • Proxies
  • Firewalls
  • Schalter
  • Gateways
  • Dienste - SDLC, ISDN, HDLC, Frame Relay, x.25
  • Router
  • Protokolle - TCP / IP, IPSec, SKIP, SWIPE, SSL, S / MIME, SSL, SET, PEM, CHAP, PAP, PPP, SLIP.

Das Wissen über das Erkennen, Verhindern und Korrigieren von Fehlertechniken im Kommunikationssicherheitssystem wird angefordert, damit die Integrität, Verfügbarkeit und Vertraulichkeit von Transaktionen über Netzwerke aufrechterhalten werden kann.

  • Tunnelbau
  • Ash Werkzeuge
  • Netzwerkmonitore und Paket-Sniffer
  • Virtuelles privates Netzwerk
  • Netzwerkadressübersetzung
  • Transparenz
  • Steuerungen für die erneute Übertragung
  • Sequenzprüfung aufzeichnen
  • Übertragungsprotokollierung
  • Übertragungsfehlerkorrektur

Kenntnisse über Kommunikationsbereiche und Methoden zu deren Sicherung decken folgende Punkte tiefgreifend ab:

  • Sichere Sprachkommunikation
  • E-Mail-Sicherheit
  • Faksimile
  • Sicherheitsgrenzen und deren Übersetzung
  • Formen des Netzwerkangriffswissens - ARP, Brute Force, Würmer, Überschwemmungen, Abhören, Schnüffeln, Spam, Betrug und Missbrauch von Telefonanlagen

3. Domain - Sicherheitsmanagement und -praktiken

  • Das Verständnis der Prinzipien des Sicherheitsmanagements und der Managementverantwortung im Umfeld der Informationssicherheit.
  • Verständnis des Risikomanagements und seiner Lösungen.
  • Detailliertes Verständnis der Klassifizierung von Daten und Festlegung von Richtlinien und Vorgehensweisen zur Verbesserung der Informationssicherheit.
  • Änderungskontrolle zur Aufrechterhaltung der Sicherheit und des Bewusstseins mit Schulungen zum Thema Sicherheit.

4. Domäne - Anwendungen und Systementwicklung

Erforschen Sie Datenprobleme und demonstrieren Sie das Verständnis von

  • Datenbank- und Warehouse-Probleme.
  • Webservices, Speicher und Speichersysteme.
  • Wissensbasierte Systeme und Herausforderungen verteilter und nicht verteilter Umgebungen.
  • Studieren Sie die Entwicklungskontrolle des Systems und definieren Sie bösartigen Code.
  • Verwenden Sie Codierungsmethoden, um die Sicherheitsanfälligkeit des Systems zu verringern.

5. Domäne - Kryptographie

  • Sie sollten die detaillierte Verwendung der Kryptografie untersuchen, die Vertraulichkeit, Integrität, Authentifizierung und Nicht-Zurückweisung umfassen sollte.
  • PKI-Verwaltung und detaillierte allgemeine Methoden zum Angriff auf die Verschlüsselung mit grundlegenden und spezifischen Angriffen.

6. Domain - Sicherheits- und Architekturmodelle

Darunter müssen Sie das Sicherheitssystem für öffentliche und staatliche Modelle unterschiedlich verstehen.

  • Studienmodelle - Bell-LaPadula, Biba, Clark-Wilson, Zugangskontrolllisten.
  • Verständnis von TCSEC, ITSEC, allgemeinen Kriterien, IPSec.

7. Domain - Betriebssicherheit

Unter dieser Identifikation von Schlüsselrollen von Operationen liegt die Sicherheit.

  • Sie sollten die Identität des geschützten, eingeschränkten, Kontroll- und OPSEC-Prozesses lesen.
  • Definieren Sie Bedrohungen und Gegenmaßnahmen, Erklärungen zu Überwachungsprotokollen, Eindringlingserkennung und Penetrationstesttechniken
  • Antivirus-Kontrollen und sichere E-Mails, Datensicherungsverständnis.

8. Domain - Geschäftskontinuität und Disaster Recovery

In diesem Abschnitt müssen Sie den Unterschied zwischen Disaster Recovery-Planung und Business Continuity-Planung untersuchen. Dies kann erreicht werden, indem die natürlichen und vom Menschen verursachten Ereignisse dokumentiert werden, die bei der Erstellung von Notfallwiederherstellungs- und Geschäftskontinuitätsplänen berücksichtigt werden müssen.

9. Bereich - GESETZ, Ermittlung und Ethik

Dies soll die Grundlagen des vor Gericht nachgewiesenen Computerkriminalitätsrechts erläutern. Und diskutieren Sie über Computerethik.

10. Domain - Physische Sicherheit

Verständnis der häufigsten Sicherheitslücken und ihrer Auswirkungen auf Assetklassen. Verständnis der Diebstahlprinzipien für Informationen und Vermögenswerte. Kenntnisse im Entwerfen, Erstellen und Verwalten einer sicheren Site und entfernbarer elektronischer Medien.

Tipps zum Ablegen der Prüfung

  • Einzelpersonen müssen alle Themen vor der Prüfung lesen.
  • Schritt für Schritt vollständige Frage und Übung zu jedem Thema.
  • Greifen Sie auf Ihr Wissen zu, indem Sie üben. Dies kann Ihnen dabei helfen, auf welches Thema Sie sich konzentrieren müssen.

Referenzen des CISSP Study Guide

  • Harris, S: CISSP Prüfungshandbuch, 2016.
  • Gordan, A: Offizieller ISC2-Leitfaden für CISSP CBK, 2015.
  • ISC2 II, ISC2 III, ISC2 IV: CISSP detaillierte Inhaltsübersicht, 2017.
  • IT Governance Ltd., was ist CISSP, 2016.

Empfohlene Artikel

Dies war ein Leitfaden für den CISSP-Studienleitfaden. Hier besprechen wir wichtige Bereiche für den CISSP-Studienführer sowie einige nützliche Tipps für das Ablegen von Prüfungen. Sie können sich auch die folgenden Artikel ansehen, um mehr zu erfahren -

  1. Karriere in der Cybersicherheit
  2. Definition des Sicherheitsberaters
  3. CISM vs CISSP
  4. Informationssicherheit Karriereweg

Kategorie:

Entwicklung des Unternehmertums