„Certified Information Systems Security Professional“ – Versionsunterschied

Vorlage:Liste Der Certified Information Systems Security Professional (CISSP) ist eine Zertifizierung, die vom International Information Systems Security Certification Consortium, Inc. (auch: (ISC)²) angeboten wird. Es handelt sich bei dem Zertifikat um einen international anerkannten Weiterbildungsstandard auf dem Gebiet Informationssicherheit ^[1]. Laut (ISC)² gab es am 14. Januar 2009 in Deutschland 690 CISSP, in der Schweiz 432 und in Österreich 78. ^[2]

Das CISSP-Zertifikat ist auf die Gegebenheiten und die Rechtslage in den USA fokussiert, die sich teilweise erheblich von deutschen oder europäischen unterscheiden ^[3]. Speziell für Deutschland und den europäischen Raum wurde vom TeleTrusT e.V. das T.I.S.P.-Zertifikat entwickelt.

Die Prüfung zum Certified Information Systems Security Professional ist eine Wissensprüfung im Bereich Informationssicherheit. Als die erste Zertifizierung, die durch ANSI als ISO-Standard 17024:2003 im Bereich Information Security akkreditiert wurde, bietet die CISSP-Zertifizierung Security Professionals nicht nur eine objektive Bewertung ihrer Kompetenz, sondern auch einen global anerkannten Leistungsstandard.

Um diese Prüfung zu bestehen wird ein großes und detailliertes Fachwissen und mindestens fünf Jahre Berufserfahrung im Securitybereich benötigt. Grundlage ist der aus zehn Themengebieten (Domains) bestehende „Common Body of Knowledge“ (CBK).

Im Einzelnen sind dies:

• Access Control Systems & Methodology
• Applications & Systems Development
• Business Continuity Planning
• Cryptography
• Law, Investigation & Ethics
• Operations Security
• Physical Security
• Security Architecture & Models
• Security Management Practices
• Telecommunications, Network & Internet Security

Eine stringente Prüfung, der Zwang zum Nachweis der relevanten Berufserfahrung, eine notwendige Empfehlung und Referenzen, sowie die Pflicht zur ständigen Weiterbildung, um die Zertifizierung aufrecht zu erhalten, bilden das Fundament für eine der am meisten respektierten Security-Zertifizierungen weltweit.

Die Prüfung ist vor allem für Personen interessant, die im IT-Umfeld oder im IT-Security-Umfeld arbeiten, sofern sie über eine ausreichende Erfahrung verfügen. Immer häufiger findet man heute in Stellenausschreibungen im IT-Umfeld die Anforderung dieser CISSP-Ausbildung.

Der Zertifizierungsprozess besteht aus mehreren Teilen. Zunächst ist eine Prüfung über zehn vorgeschriebene Wissensgebiete abzulegen, die durch eine Schulung oder Selbststudium vorbereitet werden kann. Danach wird der eigentliche Zertifizierungsprozess eingeleitet. Dazu muss die berufliche Expertise der Kandidaten von einer dritten Person bestätigt werden. Alle Kandidaten Kandidaten können zufällig für ein Audit ausgewählt und noch eingehender auf ihre fachliche Expertise hin überprüft werden ^[4]. Damit soll sichergestellt werden, dass der Kandidat die geprüften Kenntnisse auch wirklich in der Praxis erworben und eingesetzt hat.

Es handelt sich um eine Multiple Choice-Prüfung. Während sechs Stunden sind 250 Fragen aus zehn Wissensgebieten zu beantworten. Es geht um die schnelle Beantwortung von Fragen, deren Antwort durch entsprechende Lerntechnik gelernt werden sollte. Logisches Herleiten, Nachdenken über Fragen, aktive Beantwortung in freier Rede usw. sind nicht gefragt. Die Prüfung soll einen möglichst breiten Querschnitt des Sicherheitsspektrums abdecken und durch gezielte Fragen das breitbandige Wissen der Kandidatinnen testen.

Die Fragen sind nach einem ganz bestimmten Schema aufgebaut. Die Grundidee der Prüfung ist es, nur so genannte geschlossene Fragen zu stellen. Jede Frage muss also genau so formuliert sein, dass bei vier gegebenen Antwortmöglichkeiten genau eine richtig ist. Es gibt im Grunde nur drei Typen von Fragen: Auswahl (Erkennung), Reihung (Ranking) und Näherung (am besten/am schlechtesten). Diese kehren immer wieder und lassen sich leicht an Schlüsselwörtern ablesen.

Seit 2005 kann die Prüfung auch auf Deutsch absolviert werden. Da die Prüfungsfragen sehr häufig auf Definitionen und Beschreibungen mit einem sehr speziellen Vokabular und bestimmten Schlüsselwörtern abzielen, ist eine rein deutsche Prüfung aber nicht zu empfehlen. Trotzdem sollte man derzeit als Prüfungssprache Deutsch angeben. Man bekommt dann einen zweisprachigen Fragenkatalog und kann so die Vorteile beider Sprachen nutzen.

Um seine Zertifizierung zu behalten, muss der CISSP Weiterbildungsaktivitäten (CPE = continuous professional education) unternehmen, um in einer Dreijahresperiode 120 CPE-Punkte zu sammeln. Möglichkeiten sind Hersteller-Training, Besuch von Sicherheitskongressen, Studiengänge an Hochschulen im Bereich Sicherheit, Veröffentlichung eines Artikels oder Buchs, Tätigkeit als Trainer in der Sicherheit, Mitgliedschaft im Vorstand eines Berufsverbandes in der Sicherheit, Selbststudium, Lesen eines sicherheitsrelevanten Buchs oder Ehrenamtliche Arbeit für das (ISC)². Die Details hierzu findet man auf der Website des Anbieters (ISC)².

Jeder CISSP ist bestimmten ethischen Grundsätzen unterstellt. Handelt ein CISSP nicht nach diesen Grundsätzen oder verfügt er über nicht genügend Fachwissen, kann er jederzeit durch einen anderen CISSP bei der (ISC)² gemeldet werden. Dies kann ein formelles Audit zur Folge haben, welches bis zu der Revozierung des Titels und Ausschluss führen kann.

Der Code hat folgende Bestimmungen:

• Beschütze die Gesellschaft, das Gemeinwesen und die Infrastruktur.
• Handle ehrenwert, ehrlich, gerecht, verantwortungsvoll und den Gesetzen entsprechend.
• Arbeite gewissenhaft und kompetent.
• Fördere und beschütze den Berufsstand.

In diesem Themengebiet (Domain) werden vor allem die Grundmechaniken der Zugriffskontrolle abgehandelt. Zugriffskontrollen werden allgemein in vier Kategorien aufgeteilt:

• Physikalische Zugriffskontrolle
• Administrative Zugriffskontrolle
• Logische Zugriffskontrolle
• Datenbasierende Zugriffkontrolle

Vorschriften für den Zugriff (Access Control Policies)

• Discretionary Access Control (DAC)
• Mandatory Access Control (MAC)
• Role Based Access Control (RBAC)
• Zugriffskontrollliste (access control list)
• Low Water-Mark Mandatory Access Control (LOMAC)
• Prinzip des notwendigen Wissens
• Vier-Augen-Prinzip Separation of Duty

Modelle für die Zugriffsbeschränkung

• Bell-LaPadula (BLP)
• Biba-Modell
• Clark and Wilson
• Chinese Wall (Finanzwelt)

Identifikations- und Authentifikationstechniken

• Identifikation
• Authentifikation
• Passwort
• Persönliche Identifikationsnummer
• Pass Phrases

Biometrische Zugriffskontrolle

• Fingerabdrücke
• Gesichtserkennung
• Netzhaut
• Iris (Auge)
• Handgeometrie
• Tippverhalten auf Tastaturen (engl. keystroke dynamics)
• Sprechererkennung

Tokens

• Smart Card
• Speicherkarte

Tickets

• One Time Passwords
• Kerberos (Informatik)
• Single Sign On (SSO)

Andere

• RADIUS
• TACACS Terminal Access Controller Access Control System

Monitoring

• Intrusion Detection System
• Honeypot
• Integritätsprüfung

Penetrationstesting

• Penetrationstest
• White Hat Testing
• Grey Hat Testing
• Black Hat Testing
• Zero-Day Exploit
• Denial of Service
• DNS-Spoofing
• Brute-Force-Methode
• Wörterbuchangriff
• Smurf-Attacke
• Man-In-The-Middle-Angriff
• Trojanisches Pferd (Computerprogramm)

• ISO/OSI-Modell

Physikalische Charakteristiken

• Glasfaserkabel
• Twisted-Pair-Kabel

Netzwerk Layouts

• Sterntopologie
• Bus-Topologie
• Token Ring
• Ethernet
• Wireless LAN
• Wide Area Network
• Local Area Network
• Metropolitan Area Network

Routers und Firewalls

• Bridge (Netzwerk)
• Gateway (Computer)
• Hub (Netzwerk)
• Switch (Computertechnik)
• Firewall
• Proxy

Protokolle

• TCP/IP
• IPsec IP Security
• Secure Communication Interoperability Protocol (SCIP)
• Transport Layer Security (TLS)
• Secure Sockets Layer (SSL)
• S/MIME
• Privacy Enhanced Mail (PEM)
• Challenge Handshake Authentication Protocol (CHAP)
• Password Authentication Protocol (PAP)
• Address Resolution Protocol (ARP)
• Simple Network Management Protocol (SNMP)
• Domain Name System (DNS)
• Internet Control Message Protocol (ICMP)

Services

• High-Level Data Link Control (HDLC)
• Frame Relay
• SDLC
• Integrated Services Digital Network (ISDN)
• X.25
• CSMA/CD

Sicherheitsrelevante Techniken

• Virtual Private Network (VPN)
• Network Address Translation (NAT)
• RADIUS
• TACACS
• S-RPC
• Packet Sniffer
• Zyklische Redundanzprüfung (CRC)
• Blockprüfzeichenfolge

Weitere Themen

• Computerwurm
• Instant Messaging
• Sniffing
• Spamming

Basics

• Vertraulichkeit
• Verfügbarkeit
• Integrität
• Nachvollziehbarkeit
• Privacy
• CIA/AIC-Triade

Änderungsmanagement

• Change Management
• Konfigurationsmanagement
• Capability Maturity Model Integration CMMI

Interne Kontroll Standards

• Audit
• ISO 17799
• COSO
• Cobit
• Security Policy
• TCSEC
• ITSEC
• Common Criteria

Datenklassifizierung

• Kommerzielle Daten Klassifizierung
• Behörden Daten Klassifizierung

Personalmanagement

• Vertraulichkeitsvereinbarung
• Stellenbeschreibung in Bezug auf Sicherheit
• Job-Rotation in Bezug auf Korruption

Policy, Standards, Guidelines und Procedures

• Risikomanagement
• Sicherheitsanalyse
• Sicherheitsmanagement
• Informationssicherheit
• Verwaltungsethik

Security Awareness Programme

BCP und DRP

• Disaster Recovery Plan

• International Information Systems Security Certification Consortium, Inc. auch: (ISC)², der Anbieter der Zertifizierung; (ISC)² bietet diverse Zertifizierungen (u. a. CISSP) und (über Partner) Vorbereitungskurse an
• CISSP Core Priciples
• Digicomp CISSP Vorbereitungskurs Anbieter]
• Institut für Wirtschaftsinformatik FHNW CAS Information Security Management und Vorbereitung zum CISSP (Deutsch), Basel

1. ↑ <kes> 2006#3, Seite 27
2. ↑ [https://www.isc2.org/MemberInnerPage.aspx?id=3520#cissp (ISC)² Member Counts
3. ↑ Mike Meyers, Shon Harris, CISSP, 2. überarbeitete Auflage 2007, mitp, ISBN 978-3-8266-1745-4,Seite 22
4. ↑ CISSP® - How to Certify