Курс CISSP - Certified Information Systems Security Professional

Програма курсу

Розділ 1. Середовище інформаційної безпеки

• Пояснення етичного кодексу організації
• Зв'язок конфіденційності, цілісності, доступності, безвідмовності, автентичності, конфіденційності та безпеки з належною ретельністю
• Зв'язок управління інформаційною безпекою з бізнес-стратегією організації, цілями, місією та завданнями
• Застосовування концепції кіберзлочинності до порушень даних та інших компрометацій інформаційної безпеки
• Зв'язок законодавчих, договірних та нормативних вимог щодо конфіденційності та захисту даних з цілями інформаційної безпеки
• Зв'язок питань переміщення даних та імпорту-експорту із питаннями захисту даних, конфіденційністю, захистом інтелектуальної власності

Розділ 2. Захист інформаційних активів

• Зв'язок моделі управління ІТ-активами та моделі життєвого циклу безпеки даних із питаннями інформаційної безпеки
• Розуміння класифікації та категоризації інформації як двох окремих, але пов'язаних процесів
• Опис різних станів даних та їх станів інформаційної безпеки
• Опис ролей використання інформації та аспекти безпеки цих ролей
• Опис різних типів та категорій контролю захисту інформації та їх використання
• Підбір стандарту безпеки даних відповідно комплаєнс-вимог організації

Розділ 3. Управління ідентифікацією та доступом

• Пояснення процесу життєвого циклу користувачів
• Порівняння та відмінності моделей, механізмів, концепцій контролю доступу
• Розуміння ролі автентиікації, авторизації та обліку у досягненні мети та завдань інформаційної безпеки
• Розуміння того, як впровадження IAM забезпечить захист фізичних та логічних активів
• Опис ролі облікових даних та сховища ідентифікаційних даних у системах IAM

Розділ 4. Архітектура та інженерія безпеки

• Опис основних компонентів інженерних стандартів безпеки
• Розуміння основних архітектурних моделей інформаційної безпеки
• Розуміння можливостей захисту для апаратного та програмного забезпечення
• Застосування принципів безпеки до різних інформаційних систем та їх середовищ
• Визначення найкращого криптографічного засобу до вирішення потреб інформаційної безпеки в організації
• Керування сертифікатами та цифровими підписами відповідно потреб організації в інформаційній безпеці
• Розкриття наслідків невикористання криптографічних методів для захисту ланцюга поставок
• Застосування різних рішень криптографічного управління відповідно потреб організації в інформаційній безпеці
• Підтвердження коректності та відповідності криптографічних рішень
• Опис захисту від поширених криптографічних атак
• Розробка управлінського контрольного списку, з метою визначення криптологічної готовності та стану організаційної структури

Розділ 5. Безпека зв'язку та мережі

• Опис архітектурних характеристик, відповідних технологій, протоколів та аспектів безпеки кожного з рівнів у моделі OSI
• Пояснення використання практик безпечного проектування у процесі розвитку мережевої інфраструктури
• Опис розвитку методів захисту протоколів IP-комунікацій
• Пояснення наслідків для безпеки дротового (мідного та оптичного) і бездротового мережевого середовища
• Опис розвитку та наслідків для безпеки ключових мережевих пристроїв
• Оцінка проблем безпеки голосового зв'язку в межах традиційних та VoIP інфраструктур
• Опиc та порівняння аспектів безпеки ключових технологій віддаленого доступу
• Пояснення елементів безпеки для програмно визначених мереж (SDN) та технологій віртуалізації мережі

Розділ 6. Безпека розробки програмного забезпечення

• Визначення множини програмних елементів, що є загрозою для безпеки інформаційних систем
• Ідентифікація основних причин наявності слабких місць безпеки базового коду
• Основні причини наявності слабких місць у базах даних та системах сховищ даних
• Можливість застосування фреймворку OWASP до різних веб-архітектур
• Вибір стратегії боротьби із шкідливим програмним забезпеченням відповідно інформаційної безпеки організації
• Порівняння способів досягнення безпеки системи різними методологіями та фреймворками розробки програмного забезпечення
• Пояснення методів впровадження засобів контролю безпеки для екосистем розробки програмного забезпечення
• Підбір відповідного поєднання методів тестування, оцінки, контролю та керування безпекою для різних систем та середовищ додатків

Розділ 7. Аналіз та тестування безпеки

• Опис мети, процесу та завдання формальної та неформальної оцінки та тестування безпеки
• Застосування професійної та організаційної етики до аналізу та тестування безпеки
• Пояснення внутрішньої, зовнішньої та незалежної аналітики і тестування
• Пояснення питань управління відповідно планування та проведення оцінювання безпеки
• Пояснення ролі оцінювання у прийнятті рішень щодо безпеки на основі даних

Розділ 8. Операційна безпека

• Демонстрація ефективного збору та оцінювання безпекових даних
• Пояснення безпекових переваг, що виникають при ефективному управлінні змінами
• Розробка політики та планів реагування на інциденти
• Зв'язок реагування на інциденти з потребами в контролях безпеки та їх використанням
• Зв'язок контролю безпеки з покращенням та досягненням необхідної доступності інформаційних активів та систем
• Розуміння безпеки та наслідків для різних об’єктів, систем та характеристик інфраструктури

Розділ 9. Давайте все поєднаємо

• Пояснення зв'язку фреймворків та процесів управління з використанням контролів інформаційної безпеки
• Зв'язок процесу проведення криміналістичних розслідувань з операційною безпекою
• Зв'язок безперервності бізнесу, готовності до ліквідації наслідків катастрофи та операцій інформаційної безпеки
• Пояснення того, що проведення навчання, підготовки та взаємодія з усіма членами організації є ефективним способом посилення та забезпечення процесів захисту інформації
• Демонстрація операціоналізації інформаційних систем та ланцюга поставок ІТ

Розділ 10. Інформація про сертифікацію CISSP

Даний розділ містить загальну інформацію про вимоги до іспиту, що слід знати перед складанням іспиту, що очікувати в день і після іспиту, а також про підготовку до дня іспиту.

Курс дає можливість:

• Розуміти та застосовувати основні концепції та методи, що стосуються галузей інформаційних технологій та безпеки
• Узгоджувати операційні цілі організації із функціями та впровадженнями безпеки
• Розуміти, як захистити активи організації під час їхнього життєвого циклу
• Розуміти концепції, принципи структуру та стандарти для використання при проектуванні, організації впровадження, моніторингу та захисту операційних систем, обладнання, мереж, програм і засобів управління конфіденційністю, цілісністю та доступністю
• Впроваджувати безпеку системи шляхом застосування принципів проектування безпеки та застосування відповідних заходів захисту від вразливостей загальних типів, що існують в інформаційних системах
• Розуміти важливість криптографії та функцій безпеки, які вона може забезпечити у сучасному цифровому та інформаційному світі
• Розуміти вплив елементів фізичної безпеки на безпеку інформаційної системи та застосовувати принципи безпечного проектування, щоб оцінити або рекомендувати відповідні засоби фізичного захисту
• Зрозуміти складові безпеки комунікацій та мереж, вміти надавати детальний опис функціонування комунікацій та мереж
• Знати концепцію та архітектуру, пов’язані технології, системи і протоколи у відповідності з кожним рівнем моделі Open System Interconnection (OSI)
• Визначати, відповідно до практики безпеки середовищ, стандартні умови для застосування фізичного та логічного контролю доступу до таких середовищ
• Надавати оцінку різним моделям контролю доступу на основі відповідності вимогам безпеки бізнесу
• Знати основні методи розробки та перевірки стратегій аудиту і тестування, згідно вимог бізнесу
• Посилити та оптимізувати операційні функції та спроможності організації, застосовуючи відповідні засоби контролю та контрзаходи
• Розпізнавати ризики для діяльності організації та аналізувати нестандартні загрози, вразливості і відповідні сповіщення
• Розуміти життєвий цикл системи (SLC), життєвий цикл розробки програмного забезпечення (SDLC) та способи застосування захисту до них; визначити, які засоби безпеки відповідають середовищу розробки; надавати оцінку ефективності програмного забезпечення

Особливості курсу

• Офіційні навчальні матеріали від (ISC)² в електронному вигляді (доступ 12 місяців)
• Після проходження курсу сертифікат від (ISC)² про відвідування навчання
• Ваучер для складання іспиту - можна купити у (ISC)² на пряму (665 євро)