Wichtiger Hinweis zum Inhalt des Online-LexikonsBei den auf dieser Seite aufgeführten Texten/Artikeln/Inhalten handelt es sich ausschließlich um fremde Inhalte, die sich die Aschendorff Verlag GmbH & Co. KG ausdrücklich nicht zu Eigen macht. Diese fremden Inhalte, die keiner regelmäßigen Überprüfung unterliegen, sind ausnahmslos solche der freien Enzyklopädie Wikipedia, für die keinerlei Verantwortung übernommen wird.

---

Lizenzbestimmungen Der Text/Artikel/Inhalt auf dieser Seite innerhalb der Rubrik "Online Lexikon" basiert, soweit nicht anders angegeben, auf dem Artikel CISSP aus der freien Enzyklopädie Wikipedia. Die Inhalte stehen unter der GNU Lizenz für freie Dokumentation. Eine Liste der Autoren ist dort abrufbar.

CISSP

Der Certified Information Systems Security Professional (CISSP) ist ein internationaler Weiterbildungsstandard auf dem Gebiet Informationssicherheit.

Der CISSP ist stark auf die amerikanischen Gegebenheiten ausgerichtet, die sich teilweise stark von den deutschen oder europäischen unterscheiden.
Daher wurde das europäische Zertifikat TISP entwickelt.

Was bringt ein CISSP Zertifikat?

Die Prüfung zum Certified Information Systems Security Professional ist eine Wissensprüfung im Bereich Informationssicherheit.
Als die erste Zertifizierung, die durch ANSI als ISO-Standard 1704:2003 im Bereich Information Security akkreditiert wurde, bietet die CISSP-Zertifizierung Security Professionals nicht nur eine objektive Bewertung ihrer Kompetenz, sondern auch einen global anerkannten Leistungsstandard.

Um diese Prüfung zu bestehen braucht es großes detailliertes Fachwissen und mindestens drei Jahre Berufserfahrung im Securitybereich. Grundlage ist der aus zehn Themengebieten (Domains) bestehende "Common Body of Knowledge" (CBK).

Im Einzelnen sind dies:

* Access Control Systems & Methodology
* Applications & Systems Development
* Business Continuity Planning
* Cryptography
* Law, Investigation & Ethics
* Operations Security
* Physical Security
* Security Architecture & Models
* Security Management Practices
* Telecommunications, Network & Internet Security

Eine stringente Prüfung, Zwang zum Nachweis der relevanten Berufserfahrung, notwendige Empfehlung und Referenzen, sowie die Pflicht zur ständigen Weiterbildung, um die Zertifizierung aufrecht zu erhalten, bilden das Fundament für eine der am meisten respektierten Security-Zertifizierungen weltweit.

Die Prüfung ist vor allem für Personen, die im IT-Umfeld oder im IT-Security-Umfeld arbeiten interessant, sofern sie über eine ausreichende Erfahrung verfügen. Immer häufiger findet man heute in Stellenausschreibungen im IT-Umfeld die Anforderung dieser CISSP-Ausbildung.

Wie wird man CISSP?

Nach dem Bestehen der Prüfung ist der Kandidat noch nicht automatisch CISSP. Es folgt eine Akkreditierungsphase, das sog. endorsement.
Nach bestandener Prüfung können die Kandidaten sich um die Registrierung als CISSP im endorsement Verfahren bewerben. Das Verfahren beruht auf einer Empfehlung (letter of endorsment) eines anderen CISSP bzw. einer gleichwertig vorgebildeten Person, die die fachliche Eignung und Erfahrung des Kandidaten bezeugt. Damit soll sichergestellt werden, daß der Kandidat die geprüften Kenntnisse auch wirklich in der Praxis erworben und eingesetzt hat.

Wie ist die CISSP Prüfung aufgebaut?

Es handelt sich um eine Multiple Choice Prüfung. Während sechs Stunden sind 250 Fragen aus zehn Wissensgebieten zu beantworten. Es geht um die schnelle Beantwortung von Fragen, deren Antwort durch entsprechende Lerntechnik gelernt werden sollte. Logisches Herleiten, Nachdenken über Fragen, aktive Beantwortung in freier Rede usw. sind nicht gfragt. Die Prüfung soll ein möglichst breiten Querschnitt des Sicherheitsspektrums abdecken und durch gezielte Fragen das breitbandige Wissen der Kandidatinen testen.

Die Fragen sind nach einem ganz bestimmten Schema aufgebaut. Die Grundidee der Prüfung ist es, nur so genannte geschlossene Fragen zu stellen. Jede Frage muss also genau so formuliert sein, dass bei vier gegebenen Antwortmöglichkeiten genau eine richtig ist. Es gibt im Grunde nur drei Typen von Fragen: Auswahl (Erkennung), Reihung (Ranking) und Näherung (am besten/am schlechtesten). Diese kehren immer wieder und lassen sich leicht an Schlüsselwörtern ablesen.

Seit 2005 kann diese auch in deutsch absolviert werden.

Rezertifizierungsanforderungen

Um seine Zertifizierung zu behalten, muss der CISSP Weiterbildungsaktivitäten (CPE = continuous professional education) unternehmen, um in einer Dreijahresperiode 120 CPE-Punkte zu sammeln. Möglichkeiten sind Hersteller-Training, Besuch von Sicherheitskongressen, Universitäts- oder Fachhochschulstudiengang im Bereich Sicherheit, Veröffentlichung eines Artikels oder Buchs, Tätigkeit als Trainer in der Sicherheit, MItgliedschaft im Vorstand eines Berufsverbandes in der Sicherheit, Selbststudium, Lesen eines sicherheitsrelevanten Buchs oder Ehrenamtliche Arbeit für das (ISC)*.
Die Details hierzu findet man auf der Website des Anbieters (ISC)².

Code of Ethics

Jeder CISSP ist bestimmten ethischen Grundsätzen unterstellt. Handelt ein CISSP nicht nach diesen Grundsätzen oder verfügt er über nicht genügend Fachwissen, kann er jederzeit durch einen anderen CISSP bei der (ISC)² gemeldet werden. Dies kann ein formelles Audit zur Folge haben, welches bis zu der Revozierung des Titels und Auschluss führen kann.

Access Control Systems & Methodology ? Domain 1

In diesem Themengebiet (Domain) werden vor allem die Grundmechaniken der Zugriffskontrolle abgehandelt.
Zugriffskontrolle werden allgemein in vier Kategorien aufgeteilt werden:
Physikalische Zugriffskontrolle
* Administrative Zugriffskontrolle
* Logische Zugriffskontrolle
* Datenbasierende Zugriffkontrolle

Vorschriften für den Zugriff (Access Control Policies)
Discretionary Access Control (DAC)
Mandatory Access Control (MAC)
Multiliterale Sicherheitsmodelle
Role Based Access Control (RBAC)
Zugriffskontrollliste (access control list)
Low Water-Mark Mandatory Access Control (LOMAC)
Prinzip des notwendigen Wissens
Vier-Augen-Prinzip Separation of Duty

Modelle für die Zugriffsbeschränkung
Bell-LaPadula (BLP)
Biba-Modell
Clark and Wilson
Chinese Wall (Finanzwelt)

Identifikation und Authentifikationstechniken
Identifikation
Authentifikation
Passwort
Persönliche Identifikationsnummer
Pass Phrases

Biometrische Zugriffskontrolle
Fingerabdrücke
Gesichtserkennung
Netzhaut
Iris (Auge)
Handgeometrie
Tippverhalten auf Tastaturen (engl. keystroke dynamics)
Spracherkennung

Tokens
Smart Card
Speicherkarte

Tickets
One Time Passwords
Kerberos (Informatik)
Single Sign On (SSO)

Andere
RADIUS
TACACS Terminal Access Controller Access Control System

Monitoring
Intrusion Detection System
Honeypot
Integritätsprüfung

Penetrationstesting
Penetrationstest
White Hat Testing
Grey Hat Testing
Black Hat Testing
Zero Day Exploits
Denial of Service
DNS-Spoofing
Brute-Force-Methode
Wörterbuchangriff
Smurf-Attacke
Man-In-The-Middle-Angriff
Trojanisches Pferd (Computerprogramm)

Telecommunications, Network & Internet Security ? Domain 2

ISO/OSI-Modell

Physikalische Charakteristiken
Glasfaserkabel
Twisted-Pair-Kabel

Netzwerk Layouts
Sterntopologie
Bus-Topologie
Token Ring
Ethernet
Wireless LAN
Wide Area Network
Local Area Network
Metropolitan Area Network

Routers und Firewalls
Bridge (Netzwerk)
Gateway (Computer)
Hub (Netzwerk)
Switch (Computertechnik)
Firewall
Proxy

Protokolle
TCP/IP
IPsec IP Security
* SKIP
Transport Layer Security (TLS)
Secure Sockets Layer (SSL)
S/MIME
Privacy Enhanced Mail (PEM)
Challenge Handshake Authentication Protocol (CHAP)
Password Authentication Protocol (PAP)
Address Resolution Protocol (ARP)
Simple Network Management Protocol (SNMP)
Domain Name System (DNS)
Internet Control Message Protocol (ICMP)

Services
High-Level Data Link Control (HDLC)
Frame Relay
SLDC
Integrated Services Digital Network (ISDN)
X.25
CSMA/CD

Sicherheitsrelevante Techniken
Virtual Private Network (VPN)
Network Address Translation (NAT)
RADIUS
TACACS
S-RPC
Packet Sniffer
Zyklische Redundanzprüfung (CRC)
Blockprüfzeichenfolge

Weitere Themen
Computerwurm
Instant Messaging
Sniffing
Spamming
BPX

Security Management Practices ? Domain 3

Basics
Vertraulichkeit
Verfügbarkeit
Integrität
Nachvollziehbarkeit
Privacy
CIA/AIC-Triade

Änderungsmanagement
Change Management
Konfigurationsmanagement
Capability Maturity Model Integration CMMI

Interne Kontroll Standards
Audit
ISO 17799
COSO
Cobit
Security Policy
TCSEC
ITSEC
Common Criteria

Datenklassifizierung
Kommerzielle Daten Klassifizierung
Behörden Daten Klassifizierung

Personalmanagement
Vertraulichkeitsvereinbarung
Stellenbeschreibung im Bezug auf Sicherheit
Job-Rotation im Bezug auf Korruption

Policy, Standards, Guidelines und Procedures
Risikomanagement
Sicherheitsanalyse
Sicherheitsmanagement
Informationssicherheit
Verwaltungsethik

Security Awareness Programme

Business Continuity Planning ? Domain 4

BCP und DRP
Disaster recovery Plan

Weblinks

• International Information Systems Security Certification Consortium, Inc. auch: (ISC)², der Anbieter der Zertifizierung; (ISC)² bietet diverse Zertifizierungen (u. a. CISSP) und (über Partner) Vorbereitungskurse an
• CISSP Core Priciples
• Digicomp CISSP Vorbereitungskurs Anbieter]
• Guide to CISSP, Information Security Certification

       VIDEO-NEWS UND ANGEBOTE