CISSP | СЕРТИФІКОВАНА ІНФОРМАЦІЙНА СИСТЕМА БЕЗПЕКИ ПРОФЕСІОНАЛІВ
CISSP
ОПИС
Навчання за авторизованої програмі курсу CISSP – це найважливіший етап в кар’єрі. Офіційне навчання CISSP від ISC2 є найбільш всебічним і повним оглядом концепцій забезпечення захисту інформаційних систем. Офіційний тренінг CISSP є не тільки кращим способом отримання фундаментальних знань для всіх 8-ми напрямків (доменів), але і допомагає систематизувати знання і визначати додаткові галузі знань для забезпечення безпеки. в майбутньому.
Цільова аудиторія даного курсу:
Ключових аудиторій даного курсу є висококваліфіковані фахівці в області інформаційної безпеки, включаючи фахівців, які вже займають такі посади:
- Консультант з безпеки
- Аналітик безпеки
- Менеджер з безпеки
- Аудитор безпеки
- Архітектор безпеки
- ІТ директор / менеджер
- Директор з безпеки
- Мережевий Архітектор
- Інженер систем безпеки
- Директор з інформаційної безпеки
Навчання рекомендовано для фахівців, які планують подальший кар’єрний ріст до позицій ТОП-менеджменту ІБ. Цей курс передбачає використання і сертифікацію CISSP від ISC2.
Тривалість навчання: 5 днів (40 годин), з 10:00 до 18:00
Після закінчення курсу ви будете вміти:
Ви будете володіти великими знаннями по 8-ми доменів Інформаційної безпеки.
В рамках курсу Ви отримаєте:
– Навчання в групі з сертифікованим постачальником ISC2 інструктором – практичним іспитом в області ІБ
– авторизований навчальну літературу, яка складається з друкованих книг і карткових перевірок.
– Ваучер на здачу іспиту CISSP.
Після закінчення навчання ви отримаєте сертифікат від компанії ISC2 про проходження навчання по авторизованому курсу CISSP.
CISSP – сертифікований іспит в сфері інформаційної безпеки.
КОРОТКА ПРОГРАМА КУРСУ:
Домен 1: Безпека та управління ризиками
1.1 Розуміти і застосовувати концепції конфіденційності, цілісності та доступності
1.2 Застосовувати принципи управління безпекою за допомогою:
1.3 Відповідність:
– Відповідність законодавчим і нормативним актам
– відповідність вимогам конфіденційності
1.4. Розуміти правові та нормативні питання, які стосуються інформаційної безпеки в глобальному контексті.
1.5 Зрозуміти професійну етику
– Вправа (ISC) ² Кодекс професійної етики
– Кодекс етики підтримки організації
1.6. Розробка і впровадження документованої політики безпеки, стандартів, процедур та настанов.
1.7. Розуміти вимоги безперервності бізнесу
– Розробка і документування масштабу і плану проекту
– Провести аналіз впливу на бізнес
– Узгодження функції безпеки зі стратегією, цілями, місією і цілями (наприклад, економічне обґрунтування, бюджет і ресурси)
– Організаційні процеси (наприклад, придбання, відчуження, комітети управління)
– Функції безпеки і обов’язки
– Контрольні рамки
– Відповідне ставлення
– Юридична експертиза
– Комп’ютерні злочини
– Ліцензування і інтелектуальна власність (наприклад, авторське право, торгова марка, управління цифровими правами)
– Контроль імпорту / експорту
– Транскордонний потік даних
– Конфіденційність
– Порушення даних
1.8 Внесок в політику безпеки персоналу
1.9. Розуміти і застосовувати концепції управління ризиками
1.10. Розуміти і застосовувати моделювання загроз
1.11 Інтеграція факторів ризику безпеки в стратегію і практику придбання
1.12 Створення та управління інформаційною безпекою, навчанням і навчанням
– Відповідні рівні обізнаності, навчання і освіти, необхідні в організації
– Періодичні огляди на актуальність контенту
– Перевірка кандидатів на працевлаштування (наприклад, перевірка рекомендацій, перевірка освіти)
– Трудові угоди і політика
– Процеси звільнення
– Контроль постачальників, консультантів і підрядників
– відповідність
– Конфіденційність
– виявити загрози і вразливості
– Оцінка / аналіз ризиків (якісний, кількісний, гібридний)
– Призначення / прийняття ризику (наприклад, авторизація системи)
– Вибір контрзаходів
– Реалізація
– Типи контролю (профілактичний, детективний, коригувальний і т. Д.)
– Контрольна оцінка
– моніторинг і вимірювання
– Оцінка активів
– Складання звітів
– постійне поліпшення
– рамки ризику
– виявлення загроз (наприклад, противників, підрядників, співробітників, довірених партнерів)
– Визначення та складання схеми потенційних атак (наприклад, соціальна інженерія, заміна)
– Виконання аналізу скорочення
– Технології та процеси для усунення загроз (наприклад, архітектура та операції програмного забезпечення)
– Обладнання, програмне забезпечення та послуги
– Оцінка і моніторинг третьою стороною (наприклад, оцінка на місці, обмін документами і аналіз, аналіз процесу / політики)
– Мінімальні вимоги безпеки
– Вимоги до рівня обслуговування
Домен 2: Безпека активів
2.1 Впорядкувати інформацію і допоміжні активи (наприклад, чутливість, критичність)
2.2 Визначте і збережіть право власності (наприклад, власники даних, власники системи, власники бізнесу / місії)
2.3 Захист конфіденційності
2.4 Забезпечити належне зберігання (наприклад, носії, обладнання, персонал)
2.5. Визначити засоби управління безпекою даних (наприклад, дані в стані спокою, дані в дорозі).
2.6 Встановити вимоги до обігу (маркування, етикетки, зберігання, знищення конфіденційної інформації)
– Власники даних
– обробники даних
– Залишок даних
– Обмеження збору
– Вихідні дані
– огляд і пошиття
– Вибір стандартів
– криптографія
Домен 3: Проектування безпеки
3.1 Впровадження та управління інженерними процесами з використанням принципів безпечного проектування
3.2. Розуміти основні поняття моделей безпеки (наприклад, конфіденційність, цілісність і багаторівневі моделі)
3.3 Вибір елементів управління і контрзаходів на основі моделей оцінки безпеки систем. 3.4. Зрозуміти можливості безпеки інформаційних систем (наприклад, захист пам’яті, віртуалізація, модуль довіреної платформи, інтерфейси, відмовостійкість).
3.5 Оцінка і зменшення вразливостей архітектур, конструкцій і елементів безпеки
3.6 Оцінка і пом’якшення вразливостей в веб-системах (наприклад, XML, OWASP)
3.7. Оцінка і усунення вразливостей в мобільних системах.
3.8. Оцінка і усунення вразливостей у вбудованих пристроях і кіберфізіческіх системах (наприклад, мережевих пристроях, Інтернеті речей (loT)).
3.9 Застосувати криптографію
– на основі клієнта (наприклад, аплети, локальні кеші)
– на основі сервера (наприклад, управління потоком даних)
– Безпека бази даних (наприклад, висновок, агрегація, аналіз даних, аналіз даних, складування)
– Великомасштабні паралельні системи даних
– Розподілені системи (наприклад, хмарні обчислення, грід-обчислення, однорангова мережа)
– Криптографічні системи
– промислові системи управління (наприклад, SCADA)
– Криптографічний життєвий цикл (наприклад, криптографічні обмеження, управління алгоритмом / протоколом)
– криптографічні типи (наприклад, симетричні, асиметричні, еліптичні криві)
– Інфраструктура відкритих ключів (PKI)
– Ключові методи управління
– Цифрові підписи
– Управління цифровими правами
– Безвідмовність
– Цілісність (перемішування і соління)
– методи криптоаналітичних атак (наприклад, перебір, тільки зашифрований текст, відомий відкритий текст)
3.10 Застосовувати принципи безпеки до дизайну майданчики і об’єкта
3.11. Розробити і впровадити фізичну безпеку
– проводка шаф
– Серверні кімнати
– Медіа сховища
– Зберігання доказів
– Обмежена безпеку і безпеку робочої зони (наприклад, операційні центри)
– Безпека ЦОД
– Комунальні та кліматичні міркування
– Проблеми з водою (наприклад, витік, затоплення)
– Протипожежний захист, виявлення і гасіння пожеж
Домен 4: Зв’язок і мережева безпека
4.1 Застосування принципів безпечного проектування до мережевої архітектури (наприклад, протоколи IP і не-IP, сегментація)
4.2 Захищені мережеві компоненти
4.3 Проектувати і встановлювати безпечні канали зв’язку
4.4 Запобігання або пом’якшення мережевих атак
– моделі OSI і TCP / IP
– IP мережу
– Наслідки багатошарових протоколів (наприклад, DNP3)
– конвергентні протоколи (наприклад, FCoE, MPLS, VoIP, iSCSI)
– Програмно-які визначаються мережі
– Бездротові мережі
– Криптографія, використовувана для підтримки безпеки зв’язку
– експлуатація апаратних засобів (наприклад, модеми, комутатори, маршрутизатори, точки бездротового доступу, мобільні пристрої)
– Середовище передачі (наприклад, провідна, безпровідна, оптоволоконная)
– Пристрої контролю доступу до мережі (наприклад, брандмауери, проксі-сервери)
– Кінцева точка безпеки
– Контент-розподільні мережі
– фізичні пристрої
– голос
– Мультимедійне співробітництво (наприклад, технологія віддалених зборів, обмін миттєвими повідомленнями)
– Віддалений доступ (наприклад, VPN, екранний скребок, віртуальне додаток / робочий стіл, віддалений доступ)
– передача даних (наприклад, VLAN, TLS / SSL)
– віртуалізувати мережі (наприклад, SDN, віртуальна SAN, гостьові операційні системи, ізоляція портів)
Домен 5: Управління ідентифікацією і доступом
5.1 Контроль фізичного і логічного доступу до активів
– Інформація
– Системи
– прилади
– Послуги
5.2 Управління ідентифікацією й аутентифікації людей і пристроїв
5.3 Інтеграція ідентифікатора в якості послуги (наприклад, ідентифікація в хмарі)
5.4 Інтегрувати сторонні сервіси ідентифікації (наприклад, на місці)
5.5 Впровадження та управління механізмами авторизації
– методи управління доступом на основі ролей (RBAC)
– Методи контролю доступу на основі правил
– Обов’язковий контроль доступу (MAC)
– Дискреційний контроль доступу (ЦАП)
5.6 Запобігати або пом’якшувати атаки контролю доступу
5.7 Управління життєвим циклом ідентифікації та надання доступу (наприклад, підготовка, перевірка)
– Впровадження управління ідентифікацією (наприклад, SSO, LDAP)
– Одне / багатофакторна аутентифікація (наприклад, фактори, сила, помилки)
– відповідальність
– Управління сесіями (наприклад, тайм-аути, заставки)
– Реєстрація та посвідчення особи
– Федеративна управління ідентифікацією (наприклад, SAML)
– Системи управління обліковими даними
Домен 6: Оцінка безпеки і тестування
6.1 Розробка і перевірка стратегій оцінки та тестування
6.2 Провести тестування контролю безпеки
6.3 Збір даних про процеси безпеки (наприклад, управлінський і операційний контроль)
6.4 Аналізувати і повідомляти результати тесту (наприклад, автоматизований, ручний)
6.5 Проведення або сприяння внутрішнім і стороннім аудитів
– Оцінка вразливості
– Тестування на проникнення
– журнал відгуків
– синтетичні транзакції
– Перевірка і тестування коду (наприклад, ручної, динамічний, статичний, Фаззі)
– Неправильне тестування
– Тест покриття покриття
– Тестування інтерфейсу (наприклад, API, UI, фізичний)
– Керування обліковим записом (наприклад, ескалація, відгук)
– Рецензія менеджменту
– Ключові показники та показники ризику
– Створення резервних копій даних перевірки
– Навчання і обізнаність
– Аварійне відновлення і безперервність бізнесу
Домен 7: Операції безпеки
7.1 Розуміти і підтримувати розслідування
7.2. Розуміти вимоги до видів розслідування
7.3. Проводити реєстрацію та моніторинг
7.4 Забезпечити надання ресурсів
7.5. Розуміти і застосовувати фундаментальні концепції операцій безпеки
7.6 Застосовувати методи захисту ресурсів
– Медіа менеджмент
– Управління апаратними та програмними активами
– Збір та обробка доказів (наприклад, ланцюжок поставок, співбесіда)
– Звітність та документування
– Методи розслідування (наприклад, аналіз першопричин, обробка інцидентів)
– цифрова криміналістика (наприклад, мультимедіа, мережа, програмне забезпечення та вбудовані пристрої)
– Виявлення та запобігання вторгнень
– Інформація про безпеку та управління подіями
– Безперервний моніторинг
– Моніторинг виходу (наприклад, запобігання втрати даних, стеганографія, водяні знаки)
– Інвентаризація активів (наприклад, обладнання, програмне забезпечення)
– Управління конфігурацією
– Фізичні активи
– віртуальні активи (наприклад, програмно-обумовлена мережу, віртуальна мережа зберігання даних, гостьові операційні системи)
– Хмарні активи (наприклад, сервіси, віртуальні машини, сховище, мережі)
– Додатки (наприклад, робочі навантаження або приватні хмари, веб-сервіси, програмне забезпечення як послуга)
– Необхідність знати / найменша привілей (наприклад, право, агрегація, транзитивне довір’я)
– Розподіл обов’язків і відповідальності
– Моніторинг спеціальних привілеїв (наприклад, операторів, адміністраторів)
– ротація роботи
– життєвий цикл інформації
– Угоди про рівень обслуговування
– Оперативний
– Кримінальну
– Цивільний
– нормативний
– Електронне відкриття (eDiscovery)
7.7. управління інцидентами
7.8. Працювати і підтримувати профілактичні заходи
7.9 Впровадження і підтримка виправлень і управління уразливими
7.10. Брати участь і розуміти процеси управління змінами (наприклад, управління версіями, базовий рівень, аналіз впливу на безпеку)
7.11. Реалізація стратегій відновлення
7.12 Впровадити процеси аварійного відновлення
7.13 Перевірка планів аварійного відновлення
7.14. Брати участь в плануванні безперервності бізнесу і навчаннях
7.15 Впровадження та управління фізичної безпекою
– Периметр (наприклад, контроль доступу і моніторинг)
– Внутрішня безпека (наприклад, вимоги до ескорту / контроль відвідувачів, ключі і замки)
7.16. Брати участь у вирішенні проблем безпеки персоналу (наприклад, примус, поїздки, моніторинг)
– Виявлення
– Відгук
– Пом’якшення
– Складання звітів
– Відновлення
– Відновлення
– Уроки вивчені
– Брандмауери
– Системи виявлення й запобігання вторгнень
– Білий список / чорний список
– Сторонні служби безпеки
– Пісочниця
– Honeypots / Honeynets
– Антивірус
– Стратегії зберігання резервних копій (наприклад, зовнішнє сховище, електронні сховища, ротація стрічок)
– Відновлення сайту стратегії
– Безліч сайтів обробки (наприклад, операційно надлишкові системи)
– стійкість системи, висока доступність, якість обслуговування і відмовостійкість
– Відгук
– персонал
– зв’язок
– Оцінка
– Відновлення
– Навчання і обізнаність
– Прочитати
– Проходження
– симуляція
– Паралельно
– повне переривання
Домен 8: Безпека розробки програмного забезпечення
8.1. Розуміти і застосовувати заходи безпеки в життєвому циклі розробки програмного забезпечення.
8.2 Забезпечити контроль безпеки в середовищах розробки
8.3 Оцінка ефективності безпеки програмного забезпечення
– Аудит і реєстрація змін
– Аналіз ризиків і пом’якшення їх наслідків
– Приймальне тестування
8.4 Оцінити вплив безпеки придбаного програмного забезпечення
ДЛЯ КОГО ПРИЗНАЧЕНИЙ:
- Системний адміністратор
- Спеціаліст з інформаційної безпеки
Для попереднього запису на курси або уточнення інформації зателефонуйте за телефонами: +380 44 230 34 74
E-mail: education@erc.ua