Introduction au guide d' étude CISSP

Professionnel de la sécurité des systèmes d'information certifié, en bref, il est connu comme CISSP, CISSP est une certification pour les services de sécurité. CISSP est célèbre parmi les personnes qui souhaitent jouer un rôle de gestion dans le domaine de la sécurité de l'information. Cette certification a été développée par le consortium international de certificats de sécurité des systèmes d'information qui est en bref connu sous le nom de (ISC) 2. Ce certificat est une voie pour les professionnels et les gestionnaires qui souhaitent entrer dans la carrière de leader de la sécurité, il est bien reçu pour l'éligibilité par les entreprises et les organisations du secteur informatique.

La certification CISSP peut vous mettre dans le rôle de chef de la sécurité (CSO), chef de la sécurité de l'information (CISO), directeur technique (CTO). La certification CISSP est une exigence primordiale pour plusieurs postes dans le secteur privé et gouvernemental. Les exigences de l'examen CISSP sont vastes et nécessitent une bonne connaissance de la sécurité informatique et de la gestion des risques. Après avoir réussi l'examen CISSP, il peut être confirmé que la personne possède une bonne connaissance de la sécurité informatique, ce qui peut être considéré comme un atout pour la personne occupant des postes de direction et de direction.

Domaines importants pour l'examen CISSP

L'examen CISSP couvre un large éventail d'informations sur des sujets liés à la sécurité. Ceux-ci sont divisés en dix domaines différents et chacun d'eux est divisé en objectifs d'examen, avant de passer l'examen, vous devez être compétent dans chaque domaine -

  • Systèmes et méthodologie de contrôle d'accès
  • Télécommunications et sécurité des réseaux
  • Pratiques de gestion de la sécurité
  • Sécurité du développement d'applications et de systèmes
  • Cryptographie
  • Architecture et modèles de sécurité
  • Sécurité des opérations
  • Planification de la continuité des activités et planification de la reprise après sinistre
  • Droit, enquête et éthique
  • Sécurité physique

laissez-nous discuter de chacun de ces domaines en détail:

1 er domaine - Systèmes de contrôle d'accès et méthodologie

Les systèmes de contrôle d’accès et la méthodologie dans ce cadre les sujets seront-

Vous devez définir en détail les techniques de contrôle d'accès courantes avec:

  • Contrôle d'accès discrétionnaire
  • Contrôle d'accès obligatoire
  • Contrôle d'accès basé sur un réseau
  • Contrôle d'accès basé sur des règles
  • Contrôle d'accès basé sur les rôles
  • L'utilisation de listes de contrôle d'accès
  • Détails de l'administration du contrôle d'accès.
  • Explication des modèles de contrôle d'accès:
  • Biba
  • Modèle de flux d'information
  • Modèle de non-inférence
  • Clark et Wilson
  • Modèle de machine d'état
  • Modèle de matrice d'accès

Avec son explication des techniques d'identification et d'authentification, le contrôle centralisé / décentralisé, décrivent les méthodes d'attaque courantes, l'explication de la détection d'intrusion.

2 ème domaine - Réseaux et télécommunications

L'identification des domaines clés des télécommunications et de la sécurité des réseaux

Normes internationales des couches et caractéristiques d'interconnexion organisation / systèmes ouverts (ISO / OSI) qui comprend-

  • Couche physique
  • Couche d'application
  • Couche de transport
  • Couche de liaison de données
  • Couche de session
  • Couche réseau
  • Couche de présentation

La connaissance de la conception et de la fonction des communications et de la sécurité des réseaux avec les sujets suivants:

  • Caractéristiques des supports physiques à paire torsadée, fibre optique, coaxiale.
  • Réseaux étendus (WAN)
  • Réseaux locaux (LAN)
  • L'appel de procédure à distance sécurisée
  • Topologies de réseau qui sont des topologies en bus étoile et en anneau.
  • Authentification IPSec et confidentialité
  • Moniteur réseau et renifleurs de paquets
  • Caractéristiques TCP / IP et confidentialité
  • Techniques d'accès à distance / télétravail
  • Accès à distance Système d'accès à distance / contrôle d'accès au terminal
  • Système d'accès Radius et Tacacs

Décrivez également les protocoles, les composants et les services impliqués dans la conception d'Internet ou de l'intranet ou de l'extranet qui sont:

  • Procurations
  • Pare-feu
  • Commutateurs
  • Passerelles
  • Services - SDLC, RNIS, HDLC, relais de trame, x.25
  • Routeurs
  • Protocoles –TCP / IP, IPSec, SKIP, SWIPE, SSL, S / MIME, SSL, SET, PEM, CHAP, PAP, PPP, SLIP.

Les connaissances sur les techniques de détection, de prévention, de correction des erreurs dans le système de sécurité des communications sont demandées afin que cela puisse maintenir l'intégrité, la disponibilité et la confidentialité des transactions sur les réseaux.

  • Tunneling
  • Outils en frêne
  • Moniteurs réseau et renifleurs de paquets
  • Réseau privé virtuel
  • Traduction d'adresses réseau
  • Transparence
  • Contrôles de retransmission
  • Vérification de la séquence d'enregistrement
  • Enregistrement de transmission
  • Correction d'erreurs de transmission

Les connaissances concernant les domaines de communication et les moyens de les sécuriser couvrent en profondeur les points suivants:

  • Communication vocale sécurisée
  • Sécurité des e-mails
  • Facsimilé
  • Limites de sécurité et leur traduction
  • Formes de connaissances sur les attaques de réseau - ARP, force brute, vers, inondations, écoutes, renifleurs, spam, fraude et abus PBX

3 ème domaine - gestion et pratiques de sécurité

  • Compréhension des principes de gestion de la sécurité et de la responsabilité de gestion dans l'environnement de sécurité de l'information.
  • Compréhension de la gestion des risques et de ses solutions.
  • Compréhension détaillée de la classification des données et détermination des politiques et pratiques pour améliorer la sécurité des informations.
  • Contrôle du changement utilisé pour maintenir la sécurité et la sensibilisation grâce à une formation sur la sécurité.

4 ème domaine - Développement d'applications et de systèmes

Explorer les problèmes de données et démontrer la compréhension de-

  • Problèmes de base de données et d'entrepôt.
  • Services Web, stockage et systèmes de stockage.
  • Systèmes basés sur la connaissance et défis des environnements distribués et non distribués.
  • Étudiez le contrôle du développement du système et définissez le code malveillant.
  • Utilisez des pratiques de codage qui réduisent la vulnérabilité du système.

5 ème domaine - Cryptographie

  • Vous devriez étudier l'utilisation détaillée de la cryptographie qui devrait inclure la confidentialité, l'intégrité, l'authentification et la non-répudiation.
  • Gestion de l'ICP et méthodes communes détaillées d'attaque du chiffrement avec des attaques de base et spécifiques.

6 ème domaine - Modèles de sécurité et d'architecture

En vertu de cela, vous devez comprendre le système de sécurité pour les modèles publics et gouvernementaux différemment.

  • Modèles d'étude - cloche - LaPadula, Biba, Clark-Wilson, listes de contrôle d'accès.
  • Compréhension de TCSEC, ITSEC, critères communs, IPSec.

7 ème domaine - Sécurité des opérations

Cette identification des rôles clés des opérations repose sur la sécurité.

  • Vous devez lire l'identité du processus protégé, restreint, de contrôle et OPSEC.
  • Définissez les menaces et les contre-mesures, l'explication des journaux d'audit, la détection des intrusions et les techniques de test de pénétration
  • Contrôles antivirus et e-mails sécurisés, compréhension de la sauvegarde des données.

8 e domaine - Continuité des activités et reprise après sinistre

Dans cette section, vous devez étudier la différence entre la planification de la reprise après sinistre et la planification de la continuité des activités. Cela peut être fait en documentant les événements naturels et d'origine humaine qui doivent être pris en compte lors de l'élaboration des plans de reprise après sinistre et de continuité des activités.

9 e domaine - DROIT, Enquête et éthique

Cela devrait expliquer les principes fondamentaux du droit de la criminalité informatique qui a fait ses preuves devant les tribunaux. Et discutez de l'éthique informatique.

10 e domaine - Sécurité physique

Comprendre les vulnérabilités les plus courantes et leurs effets sur les classes d'actifs. Compréhension des principes du vol pour les informations et les actifs. Connaissance de la conception, de la construction et de la maintenance d'un site sécurisé et de supports électroniques amovibles.

Conseils pour passer l'examen

  • Les individus doivent lire tous les sujets avant l'examen.
  • Étape par tige, question complète et exercice de chaque sujet.
  • Accédez à vos connaissances en vous entraînant, cela peut vous aider sur le sujet sur lequel vous devez vous concentrer davantage.

Références du guide d'étude CISSP

  • Harris, S: Guide d'examen CISSP, 2016.
  • Gordan, A: guide ISC2 officiel du CISSP CBK, 2015.
  • ISC2 II, ISC2 III, ISC2 IV: description détaillée du contenu du CISSP, 2017.
  • IT Governance Ltd., qu'est-ce que le CISSP, 2016.

Articles recommandés

Ceci a été un guide pour le guide d'étude CISSP. Ici, nous discutons des domaines importants pour le guide d'étude CISSP, ainsi que quelques conseils utiles pour passer les examens. Vous pouvez également consulter les articles suivants pour en savoir plus -

  1. Carrières en cybersécurité
  2. Définition de consultant en sécurité
  3. CISM vs CISSP
  4. Cheminement de carrière en sécurité de l'information

Catégorie:

Développement de l'entrepreneuriat