Weltweit anerkannt, belegt die CISSP-Zertifizierung die Kompetenz von IT-Sicherheitsprofis. Mit ihrem Common Body of Knowledge umfasst diese Zertifizierung alle Aspekte der Cybersecurity. Es geht nicht nur darum, theoretische Konzepte zu kennen, sondern vor allem, sie auf die Spezifika des Unternehmens anzuwenden. Was also ist das CISSP? Was ist das Programm? Und was sind die Voraussetzungen? Entdecken Sie die Antworten.
CISSP, Certified Information Systems Security Professional
Die CISSP (oder Certified Information Systems Security Professional) ist eine berufliche Zertifizierung für Cybersecurity-Experten. Tatsächlich ist sie eine der ersten ihrer Art, da sie 1994 in den Vereinigten Staaten eingeführt wurde. Als das Internet noch in seinen Anfangsjahren war, begannen die Herausforderungen der Sicherheit von Informationssystemen schon sichtbar zu werden.
Heute ist das CISSP weitaus anspruchsvoller, da sich die Cybersecurity-Landschaft kontinuierlich weiterentwickelt. Da bösartige Hacker fortlaufend geschickter werden, müssen Cyberexperten verstärkt Anstrengungen und Kreativität aufbringen, um ihre Angriffe abzuwehren.
So analysiert das CISSP nicht nur die technischen Kenntnisse des Zertifizierten, sondern auch seine Fähigkeiten zur Risikoanalyse und zur Durchführung von Systemaudits. Es geht vor allem darum, die Prinzipien der Cybersicherheit auf die spezifischen Bedürfnisse von Organisationen anwenden zu können.
Die 8 Bereiche des CBK
Das vom (ISC)² (International Information Systems Security Certification Consortium) verwaltete Programm der CISSP-Ausbildung basiert auf einer Reihe von Kenntnissen; dem CBK. Dieser Common Body of Knowledge ist in 8 Bereiche gegliedert, wobei jeder Bereich ein anderes Gewicht in der Endnote hat.
1 - Sicherheit und Risikomanagement
Dieser Bereich macht 16 % der Note aus. Er ist der wichtigste Bereich. Und das aus gutem Grund: Sie müssen Ihr Wissen über die Schlüsselkonzepte der Cybersicherheit unter Beweis stellen, nämlich :
- Vertraulichkeit, Integrität und Verfügbarkeit von Daten ;
- Die Grundlagen des Risikomanagements (einschließlich der Identifizierung, Bewertung und Behandlung von Risiken) ;
- ISO/IEC-Standards, Management von Sicherheitsrichtlinien, Business Impact Assessment ;
- Die Einhaltung von Gesetzen, Vorschriften und Branchenstandards.
2 - Sicherheit von Vermögenswerten
Mit 10 % der Gesamtbewertung konzentriert sich dieser Bereich des CISSP auf die Klassifizierung von Informationen (nach Sensitivität und Wichtigkeit der Daten).
Sie werden auch die Rollen von Eigentümern/Verantwortlichen für Assets, den Informationslebenszyklus, den Schutz und die Vernichtung von Datenträgern kennenlernen.
3 - Architektur und Engineering der Sicherheit
Der Anteil an der Gesamtbewertung beträgt 13 %, es sind vor allem Engineering-Prozesse, auf die fokussiert wird. Konkret konzentriert sich dieser Bereich auf:
- Prinzipien der Sicherheitsarchitektur und Sicherheitsmodelle;
- Entwicklung und Bewertung sicherer Architekturen;
- Prinzipien, Methoden und Anwendungen der Kryptographie;
- Sicherheit von Anlagen und Ausrüstungen.
4 - Sicherheit der Telekommunikation und Netzwerke
Sie demonstrieren Ihre Fähigkeit, Netzwerkkomponenten zu sichern, sichere Kommunikationskanäle zu gestalten und Netzwerkangriffe zu verhindern.
Hier sind die behandelten Aspekte:
- Topologien, Protokolle und Netzwerkgeräte;
- Firewalls, Intrusion Detection Systeme, VPNs;
- Authentifizierung und Autorisierung in Netzwerkumgebungen;
- Arten von Netzwerkangriffen und Präventivmaßnahmen.
Dieser Bereich trägt 13 % zur endgültigen CISSP-Bewertung bei.
5 - Identity and Access Management (IAM)
Ebenfalls mit 13 % bewertet, konzentriert sich dieser Bereich auf alle physischen und logischen Zugangskontrollen zu Ressourcen.
Hier sind die behandelten Aspekte:
- Methoden und Technologien des Identitätsmanagements;
- Zugriffskontrollmodelle (RBAC, ABAC, MAC, DAC);
- Erstellung, Verwaltung und Löschung von Identitäten;
- IAM-Technologien (SSO, MFA, LDAP-Verzeichnisse).
6 - Sicherheitsbewertung und Tests
Im Wert von 12 % der CISSP-Zertifizierung demonstrieren Sie Ihr Wissen über Bewertungsstrategien und Sicherheitstests (Schwachstellen, Penetration, Positionierung, funktionale, nicht funktionale Tests, …) und interne Audits.
7 - Sicherheitsbetrieb
In diesem Bereich (13 % der Gesamtbewertung) werden Sie folgendes sehen:
- Incident Management: Erkennung, Reaktion und Erholung nach einem Sicherheitsvorfall.
- Business Continuity und Disaster Recovery Planung: Vorbereitung und Reaktion auf Notfallsituationen.
- Management von Sicherheitsressourcen: Überwachung, Dokumentation und Wartung von Sicherheitseinrichtungen.
- Gebäudesicherheit: Schutz von Einrichtungen gegen Einbrüche und Katastrophen.
8 - Sicherheit der Softwareentwicklung
Mit 10 % bewertet, konzentriert sich dieser Bereich auf die Sicherheit im gesamten Softwareentwicklungslebenszyklus, und das in diversen Umfeldern.
Mit seinen 8 umfassenden Bereichen gilt das CISSP als eines der anspruchsvollsten Programme im Bereich der Datensicherheit. Aber es ist auch eines der gefragtesten und bestbezahlten.
Eine Zertifizierung für Cybersecurity-Experten
Das Prestige des CISSP liegt in seiner Schwierigkeit. Und in der Tat, bevor Sie überhaupt an der Prüfung teilnehmen können, müssen Sie 4 essenzielle Voraussetzungen erfüllen:
- Nachweis von 5 Jahren beruflicher Erfahrung in der Cybersecurity;
- Die Patenschaft durch eine dritte Person erhalten;
- Zustimmung zum ethischen Kodex von (ISC)²;
- Bereitschaft, sich einer Überprüfung zu unterziehen.
Danach müssen Sie die CISSP-Prüfung bestehen, die als Multiple-Choice-Test mit 100 bis 150 Fragen durchgeführt wird. Dabei müssen Sie 70 % der Fragen korrekt beantworten.
Um die CISSP-Zertifizierungsprüfung zu bestehen, ist eine umfassende Vorbereitung erforderlich. Und diese beginnt mit der Ausbildung. DataScientest unterstützt Sie mit seinem Cyber-Analyst-Training.