Certified Information Systems Security Professional

Der Certified Information System Security Professional (CISSP) ist ein internationaler Weiterbildungsstandard auf dem Gebiet Informationssicherheit.

Die Prüfung zum Certified Information Systems Security Professional ist eine Wissensprüfung im Bereich Informationssicherheit. Als die erste Zertifizierung, die durch ANSI als ISO-Standard 1704:2003 im Bereich Information Security akkredidiert wurde, bietet die CISSP-Zertifizierung Security Professionals nicht nur eine objektive Bewertung ihrer Kompetenz, sondern auch einen global anerkannten Leistungsstandard.

Um diese Prüfung zu bestehen braucht es grosses detailliertes Fachwissen und mindestens drei Jahre Berufserfahrung im Securitybereich. Grundlage ist der aus zehn Themengebieten (Domains) bestehende "Common Body of Knowledge" (CBK).

Im Einzelnen sind dies:

• Access Control Systems & Methodology
• Applications & Systems Development
• Business Continuity Planning
• Cryptography
• Law, Investigation & Ethics
• Operations Security
• Physical Security
• Security Architecture & Models
• Security Management Practices
• Telecommunications, Network & Internet Security

Eine stringente Prüfung, Zwang zum Nachweis der relavanten Berufserfahrung, notwendige Empfehlung und Referenzen, sowie die Pflicht zur ständigen Weiterbildung, um die Zertifizierung aufrecht zu erhalten, bilden das Fundament für eine der am meisten respektierten Security-Zertifizierungen weltweit.

Nach dem Bestehen der Prüfung ist der Kandidat noch nicht automatisch CISSP. Es folgt eine Akkreditierungsphase, dem sog. endorsement. Nach bestandener Prüfung können die Kandidaten sich um die Registrierung als CISSP im endorsement Verfahren bewerben. Das Verfahren beruht auf einer Empfehlung (letter of endorsment) eines anderen CISSP bzw. einer gleichwertig vorgebildeten Person, die die fachliche Eignung und Erfahrung des Kandidaten bezeugt. Damit soll sichergestellt werden, daß der Kandidat die geprüften Kenntnisse auch wirklich in der Praxis erworben und eingesetzt hat. Um den Titel zu behalten, muss der zertifizierte CISSP immer wieder gewisse Weiterbildungsaktivitäten (CPE = continuous professional education) unternehmen, um in einer Dreijahresperiode 120 CPE-Punkte zu sammeln. Die Details hierzu findet man auf der Website des Anbieters (ISC)². Somit ist die Prüfung vor allem für Personen, die im IT-Umfeld oder im IT-Security-Umfeld arbeiten interessant, sofern sie über eine ausreichende Erfahrung verfügen. Immer häufiger findet man heute in Stellenausschreibungen im IT-Umfeld die Anforderung dieser CISSP-Ausbildung.

Es handelt sich um eine Multiple Choice Prüfung. Während 6 Stunden sind 250 Fragen zu beantworten. Seit 2005 kann diese auch in Deutsch absolviert werden.

In diesem Themengebiet (Domain) werden vor allem die Grundmechaniken der Zugriffskontrolle abgehandelt. Zugriffskontrolle werden allgemein in vier Kategorien aufgeteilt werden:

• Physikalische Zugriffskontrolle
• Administrative Zugriffskontrolle
• Logische Zugriffskontrolle
• Datenbasierende Zugriffkontrolle

Vorschriften für den Zugriff (Access Control Policies)

• Discretionary Access Control (DAC)
• Mandatory Access Control (MAC)
• Multiliterale Sicherheitsmodelle
• Role Based Access Control (RBAC)
• Access Control List (ACL)
• Low Water-Mark Mandatory Access Control (LOMAC)
• Prinzip des notwendigen Wissens
• Vier-Augen-Prinzip Separation of Duty

Modelle für die Zugriffsbeschränkung

• Bell-LaPadula (BLP)
• Biba-Modell
• Clark and Wilson
• Chinese Wall (Finanzwelt)

Identifikation und Authentifikationstechniken

• Identifikation
• Authentifikation
• Passwörter
• Persönliche Identifikationsnummer
• Pass Phrases

Biometrieische Zugriffskontrolle

• Fingerabdrücke
• Gesichtserkennung
• Netzhaut
• Iris (Auge)
• Handgeometrie
• Tippverhalten auf Tastaturen (engl. keystroke dynamics)
• Spracherkennung

Tokens

• Smart Card
• Speicherkarte

Tickets

• One Time Passwords
• Kerberos (Informatik)
• Single Sign On (SSO)

Andere

• RADIUS
• TACACS Terminal Access Controller Access Control System

Monitoring

• IDS
• Honeypot
• Intergritätsprüfung

Penetrationstesting

• Penetrationtest
• White Hat Testing
• Grey Hat Testing
• Black Hat Testing
• Zero Day Exploits
• Denial of Service
• DNS-Spoofing
• Brute-Force-Methode
• Wörterbuchangriff
• Smurf-Attacke
• Man-In-The-Middle-Angriff
• Trojanisches Pferd (Computerprogramm)

to be done

• International Information Systems Security Certification Consortium, Inc. auch: (ISC)², der Anbieter der Zertifizierung; (ISC)² bietet diverse Zertifizierungen (u.a. CISSP) und (über Partner) Vorbereitungskurse an
• merkbar Anbieter von Vorbereitungskursen für CISSP-Zertifikat
• Fachhochschule Nordwestschweiz Nachdiplomkurs: Information Security Management (CISSP)
• CISSP Core Priciples