CISSP چیست؟
بهترین راهنمای صدور گواهینامه CISSP
در عصر حاضر، مدیریت امنیت اطلاعات در شرکتها بسیار چالش برانگیز شده است. با مطالعه این مقاله،
در هر ثانیه به تعداد آمار نقض امنیت اطلاعات افزوده میشود. در همین لحظه در برخی از نقاط جهان تخلفی در حال رخ دادن است
که بدلیل افزایش بسیار زیاد تعداد سیستمها و شبکههای دیجیتال است.
نیاز به گواهینامه CISSP
قبل از اینکه به CISSP بپردازیم، به درک اهمیت CISSP و چگونگی پیدایش آن میپردازیم.
با افزایش دادهها، شرکتها در حال سرمایهگذاری و تمرکز بر امنیت سایبری برای محافظت از تمام دادههای خود هستند.
در حال حاضر امنیت سایبری در سراسر جهان در حال رونق است. طبق مشاغل امنیت سایبری،
جرایم اینترنتی تا سال 2021 سالانه 6 تریلیون دلار هزینه برای جهان خواهد داشت، در حالی که در سال 2015 این میزان 3 تریلیون دلار بود.
این افزایش چشمگیر، گویای وضعیت فعلی امور است.
شرکتها به دنبال افراد متخصص مجاز هستند که بتوانند از اطلاعات خود در برابر دسترسی غیر مجاز محافظت کنند.
گواهینامههای امنیت سایبری در حرفه افراد اهمیت فوق العادهای دارند.
برخی گواهینامه امنیت سایبری عبارتند از: CCNA ، CompTIA Security + ، CISM ، CISA ، CEH و CISSP. گواهینامه CISSP
یکی از سختترین و پرتقاضاترین گواهینامهها است.
CISSP چیست؟
گواهی حرفهای امنیت سیستمهای اطلاعاتی (Certified Information Systems Security Professional) اغلب CISSP نامیده میشود.
این سطح پیشرفته از گواهینامه بعنوان استاندارد طلایی در زمینه امنیت اطلاعات محسوب میشود.
این گواهینامه اعتبار جهانی دارد و توسط (ISC) 2 ارائه میشود. (ISC) 2 بعنوان پیشروترین سازمان جهان در زمینه صدور گواهینامه
و آموزش برای متخصصان حوزه امنیت سایبری شناخته شده است.
گواهینامه CISSP توسط متخصصان فناوری اطلاعات اخذ میشود و به آنها کمک میکند
تا به یک حرفهای در زمینه تضمین اطلاعات تبدیل شوند. گرفتن گواهینامه CISSP به شما کمک میکند
تا طراحی، معماری، کنترلها و مدیریت محیطهای تجاری بسیار ایمن را تعریف کنید. در حال حاضر،
ایالات متحده بیشترین تعداد متخصصان دارای گواهینامه CISSP را دارد. گواهینامه CISSP به راحتی قابل دستیابی نیست.
چندین شرط لازم برای شرکت در آزمون وجود دارد. در ادامه شرایط آزمون را بررسی میکنیم.
الزامات صدور
حال که متوجه شدید CISSP چیست، باید تمام الزامات صدور گواهینامه را بدانید.
قبل از تصمیمگیری برای شرکت در آزمون CISSP، باید اطمینان حاصل کنید،
گواهینامه مناسبی برای شما است یا خیر ،همچنین با اهداف شغلی شما همسو باشد.
لذا فقط دانستن در مورد CISSP کافی نیست. موارد اساسی است که باید قبل از شرکت در آزمون CISSP مورد بررسی قرار گیرد:
- داوطلب باید حداقل پنج سال سابقه کار در دو یا چند مورد از هشت حوزه CISSP داشته باشد.
- اگر دارای مدرک دانشگاهی چهار ساله یا مدرک پیشرفتهای هستید که تحت لیست (ISC) 2 شناخته شده است، چهار سال سابقه کار کافی خواهد بود.
- اگر دارای گواهینامه تأیید شده (ISC) باشید، میتوانید تجربه کاری را به چهار سال کاهش دهید.
- همانطور که قبلاً ذکر شد، CISSP یک گواهینامه امنیت سایبری پیشرفته محسوب میشود. قبل از بررسی آزمون CISSP، توصیه میشود که داوطلب گواهینامههای سطح ابتدایی و مدیریتی مانند CCNA ، CompTIA Security + ، CEH ، CISM و CISA را مشخص نماید.
- فقط آن دسته از داوطلبانی که دارای تجربه کاری مرتبط هستند میتوانند در آزمون CISSP شرکت کنند. متخصصانی که به عنوان مشاور و مدیر امنیتی، معماران شبکه و امنیت، مدیران IT، حسابرسان امنیتی و افسران ارشد امنیت اطلاعات کار میکنند، میتوانند گواهینامه CISSP را اخذ نمایند.
همچنین برای داوطلبان بدون تجربه شرکت در آزمون امکانپذیر است. اما در چنین سناریویی،
بلافاصله برچسب CISSP را دریافت نخواهند کرد. در عوض، گواهینامه همکاری(ISC) 2 را دریافت میکنند.
به محض کسب تجربه کاری لازم برچسب CISSP را دریافت میکنند.
CISSP چیست؟
همه چیز درباره آزمون CISSP
گواهینامه CISSP توسط کنسرسیوم صدور گواهینامه امنیت بینالمللی سیستمهای اطلاعاتی (ISC) 2 ایجاد شده است.
در اینجا چند نکته وجود دارد که باید در مورد آزمون CISSP بخاطر بسپارید:
- برای شرکت در این آزمون باید 699 دلار هزینه امتحان پرداخت کنید.
- مدت زمان این امتحان 6 ساعت است.
- تعداد کل سوالاتی که در 6 ساعت باید پاسخ داده شود 250 سوال است.
- آزمون شامل سوالات چند گزینهای است.
- برای قبولی در آزمون، باید حداقل نمره 700 از 1000 را کسب کنید.
امتحان CISSP شامل سوالاتی است که در بیش از هشت حوزه گسترده شدهاند.
آموزش CISSP کامل نیست مگر اینکه همه هشت حوزه CISSP را درک کنید.
CISSP چیست؟
آموزش حوزههای CISSP چیست؟
گواهینامه CISSP در هشت حوزه گروه بندی شده است. طیف گستردهای از موضوعات موجود در CISSP ارتباط آن را در همه
رشتههای امنیت اطلاعات تضمین میکند. این هشت حوزه با جنبههای مختلف امنیت اطلاعات سروکار دارند.
به صورت جداگانه نگاهی به هر یک از این موارد خواهیم انداخت و بیان میکنیم هر یک از این حوزههانماد چیست.
1- امنیت و مدیریت ریسک
این حوزه عمدتا از اصول سیاستهای امنیتی، قانون و مقررات انطباق، اخلاق حرفهای، مدیریت ریسک و مدلسازی تهدید تشکیل شده است.
رویکردهای زیر برای پیادهسازی امنیت سایبری اتخاذ شده است:
- مبتنی بر انطباق: در اینجا، اقدامات امنیتی براساس آییننامه تصمیمگیری میشود
- Ad-hoc: اقدامات امنیتی براساس هیچ معیار خاصی انجام نمیشود
- ریسک محور: اقدامات امنیتی بر اساس خطرات منحصر به فرد بسته به سازمان انجام میشود
بخش حیاتی دیگر امنیت اطلاعات مدل سه گانه CIA است. برای محافظت از اطلاعات درون یک شرکت،
مدل امنیتی محرمانه بودن ، یکپارچگی و در دسترس بودن (CIA) طراحی شده است.
CISSP چیست؟
2- امنیت دارایی
دومین حوزه، امنیت داراییCISSP ، مربوط به کار با جمعآوری و محافظت از داراییهایی مانند دادهها و دستگاهها است.امنیت دارایی شامل مراحل زیر است:
- طبقهبندی دادهها – در اینجا، ابتدا صاحب داده، دادهها را طبقهبندی میکند.
این طبقهبندی براساس مجموعهای از معیارهای از پیش تعیین شده انجام میشود. پس از آن طبقهبندی سالانه بررسی میشود تا تغییرات بررسی شود. - مدیریت دادهها – نیازهای چرخه عمر اطلاعات شرکت را به طور موثر مدیریت میکند.
از اعتبار، صحت داده اطمینان حاصل میکند و همچنین از مطابقت دادهها با استانداردهای تعیین شده اطمینان حاصل میکند. - Data Remanence – اصطلاحی است که برای باقیمانده دادههای دیجیتالی استفاده میشود.
روش هایی مانند رونویسی و تخریب ، مقابله با ماندگاری مجدد داده ها. - جلوگیری از، از دست دادن دادهها – در این مرحله، اقدامات متعدد و ارزیابی ریسک انجام میشود
تا اطمینان حاصل شود که داده فقط برای کاربران مجاز در دسترس است.
3- مهندسی امنیت
حوزه سوم مهندسی امنیت است. این دامنه بر معماری امنیتی، مدلهای امنیتی، رمزنگاری و امنیت فیزیکی تمرکز دارد.
دامنه مهندسی امنیت یک روش معمول برای ایجاد، تجزیه و تحلیل و استفاده از توصیفات معماری در یک دامنه خاص ایجاد میکند.
برای پیادهسازی امنیت، معماری امنیتی از محاسبات قابل اعتماد، محیط امنیتی و مدلهای مرجع کمک میگیرد.
رمزنگاری همچنین بخشی از مهندسی امنیت است. رمزنگاری با تبدیل دادهها از قالب قابل خواندن به قالب غیرقابل خواندن و بالعکس، اطلاعات را ایمن میکند.
4- ارتباطات و امنیت شبکه
این دامنه همه چیز در مورد ساختارهای شبکه، روشهای انتقال و اقدامات امنیتی مورد استفاده
برای دستیابی به CIA در یک سازمان است. برخی از این اقدامات را با هم مرور کنیم:
- مدل OSI – پایه و اساس شبکه است. اتصال سیستم های باز (Open Systems Interconnection) که به عنوان مدل OSI شناخته میشود، نحوه انتقال دادهها از یک رایانه به رایانه دیگر را توصیف میکند.
- فایروال – فایروال یک سختافزار یا نرمافزار است که برای فیلتر کردن ترافیک مخرب از اینترنت به رایانه شما استفاده میشود.
- سیستم تشخیص نفوذ – IDS برای شناسایی دسترسی غیرمجاز به سیستم طراحی شده است. بهتر است همراه با فایروال و روتر استفاده شود.
5-هویت و مدیریت دسترسی
این حوزه CISSP همه چیز در مورد کنترل دسترسی، شناسایی، مجوز و حمله به کنترل دسترسی و اقدامات متقابل آن است.
برای دسترسی به یک مجموعه داده یا منبع، باید یک موضوع شناسایی، تایید اعتبار و مجاز شود.
در ادامه نگاهی به برخی از زمینههای مهم در این حوزه بیندازیم:
- مدیریت هویت – در اینجا، از طریق روشهای مختلف خودکار، کاربران شناسایی و احراز هویت میشوند.
- Kerberos – پروتکل احراز هویت مبتنی بر رمزنگاری کلید متقارن است که امنیت پایان به پایان را فراهم میکند.
- معیارهای دسترسی – دسترسی به دادهها نباید به همه داده شود.
باید براساس سطح اعتماد و نقش شغلی در سازمان صادر شود. همچنین اگر براساس مکان و زمان ارائه شود بهتر است.
6- ارزیابی و آزمایش امنیت
مانند سایر حوزهها، شما باید ارزیابیهای منظم را حتی در این زمینه نیز انجام دهید. بنابراین در این حوزه، به بررسی ممیزیها، ارزیابی کنترل امنیت و گزارشهای آزمایش خواهیم پرداخت.
- ممیزیها – ارزیابی چیزی نیست جز فرایندی مکرر که در آن یک متخصص مستقل شواهد را ارزیابی و تحلیل می کند.
- ارزیابی آسیبپذیری – در اینجا، خطرات IT، شناسایی و ارزیابی میشوند. در شناسایی، تعیین کمیت و اولویتبندی آسیبپذیریها کمک میکند.
- آزمایش کردن – ارزیابی و برنامهریزی استراتژی آزمایش میتواند اطلاعات ارزشمندی در مورد خطر و کاهش خطر ارائه دهد.
ارزیابی و آزمون توسط یک گروه کاری به نام تیم محصول یکپارچه انجام میشود. آزمایش برای بررسی جریان داده بین برنامه و سیستم انجام میشود.
7- عملیات امنیتی
نظارت و ورود به سیستم، بازیابی بلایا و مدیریت تغییر است. دامنه عملیات امنیتی این آموزش CISSP بر پزشکی قانونی دیجیتال، مدیریت حادثه و امنیت محیط متمرکز است:
- پزشکی قانونی دیجیتال – در اینجا، دادههای دیجیتال برای شناسایی، بازیابی و تجزیه و تحلیل نظرات در مورد اطلاعات دیجیتال مورد بررسی قرار میگیرند.
- مدیریت حوادث – مدیریت حوادث در جهت بازگرداندن خدمات به حالت عادی، در اسرع وقت کار میکند.
تیمی به نام تیم پاسخگوی حوادث برای رسیدگی به شرایط اضطراری اعزام شدهاند. پاسخ بروز به عنوان تشخیص یک مشکل،
تعیین علت آن، به حداقل رساندن آسیب، حل مسئله و مستندسازی هر مرحله تعریف میشود.
این تیم اطلاعات کافی در اختیار مدیریت قرار داده و از شرکت در برابر حملات آینده دفاع میکند. - امنیت محیط – دفاع محیطی به ما امکان میدهد دسترسی فیزیکی غیر مجاز را شناسایی و کنترل کنیم.
این قسمت همچنین دسترسی به تاسیسات را کنترل میکند. با این کار، عملیات امنیتی را به عنوان یک دامنه بررسی کردهایم.
8- امنیت توسعه نرمافزار
همانطور که از نام آن پیداست، این دامنه درباره امنیت در چرخه حیات توسعه نرمافزار صحبت میکند.
ما به دنبال موضوعاتی مانندAPI ، Malware ، Spyware ، Adware حملات مهندسی اجتماعی و حملات تزریق SQL خواهیم بود.
- Application Program Interface (API) – API مجموعهای از پروتکلها و توابع است که برای ایجاد برنامهها استفاده میشود.
این برنامه از فرمتهایی مانند نمایندگی انتقال دولت (REST) و پروتکل دسترسی ساده به اشیا ((SOAP) پشتیبانی میکند. - بدافزار – اصطلاحی است که به نرمافزارهای مخرب، ویروسها، باجافزارها و کرمها اشاره دارد.
همچنین می توانیم ویروس تروجان را نوعی بدافزار بنامیم که میتواند خود را به عنوان یک نرمافزار قانونی مبدل کند. - نرمافزارهای جاسوسی – نوعی بدافزار است که برای جمعآوری مخفیانه اطلاعات قربانی مورد استفاده قرار میگیرد.
- Adware – همانطور که از نامش پیداست، نوعی بدافزار است که به طور مداوم تبلیغات و پنجرههای بازشو را نمایش میدهد.اینها قادر به جمع آوری اطلاعات شما هستند.
- حمله مهندسی اجتماعی – هنر دستکاری افراد برای دادن اطلاعات محرمانه آنها است.
این مورد به حملات فیشینگ ، فیشینگ نیزه و حملات فیشینگ نهنگ شکسته میشود. - SQL Injection – در یک وب سایت مبتنی بر پایگاه داده ، هکر یک کوئری استاندارد SQL را دستکاری میکند و کدهای مخرب را برای به دست آوردن اطلاعات در سرور SQL قرار میدهد. مثلا در این نوع حمله هدف تنها پایگاه داده نیست بلکه اگر هکر زیرک باشد متوجه ارزش باگ میشود چرا که این حمله میتواند برای سرور هم مورد نظر باشد ، در نتیجه سرور میتواند بسیار ارزشمند باشد در این نوع حمله هکر اقدام به ارسال کد خود برای بدست آوردن اطلاعات دیتابیس میکند و سپس با بدست آوردن پسورد ادمین میتواند وارد پنل ادمین شود و پس از آن اقدام به ارسال شل که دسترسی تقریبا کلی را خواهد گرفت و تنها یک قدم با در اختیار گرفتن سرور فاصله دارد
مزایای صدور گواهینامه CISSP
اکنون که حوزههای مختلف CISSP را در این مقاله آموزشی CISSP مشاهده کردید، مزایای پس از تکمیل گواهینامه را بررسی خواهیم کرد که به شرح زیر است:
- گواهینامه CISSP یک گواهینامه شناخته شده جهانی است و یکی از پرطرفدارترین گواهینامهها در امنیت اطلاعات است.
- اکثر شرکتها به دنبال متخصصان مجاز CISSP هستند.
- در صورت داشتن گواهینامه CISSP، ساختار حقوق شغل شما افزایش مییابد. یکمتخصص دارای گواهینامه CISSP، سالانه متوسط حقوق 131،030 دلار دریافت میکند.
- همچنین میزان افزایش حقوق برای متخصصان دارای گواهی CISSP بسیار بیشتر از سایر متخصصان است.
- تکمیل این گواهینامه به شما کمک میکند تمام جنبههای امنیت سایبری را به طور عمیق درک کنید.
- شکستن و تکمیل گواهینامه CISSP دشوار است و به صنعت نشان میدهد که شما یک فرد حرفهای با تجربه قوی کار در تیم رهبری امنیت سایبری سازمان هستید.
آیا آماده دریافت گواهینامه CISSP هستید؟
شما اکنون دقیقا میدانید که چگونه Simplilearn میتواند به شما در رسیدن به آرزوی خود کمک کند و به شما کمک کند تا یک گواهینامه CISSP بدست آورید.
دوران آکادمی زیر مجموعه گروه دوران، مجری برگزاری دوره CISSP در قالب آموزش امنیت به صورت آموزش آنلاین و حضوری با بهرهگیری از لابراتور آنلاین اختصاصی بهمراه گواهی معتبر ارائه میشود.
آیا درمورد CISSP یا گواهینامه آن سوالی از ما دارید؟ در صورت تمایل در بخش نظرات این مقاله درج کنید. کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.
CISSP یک گواهینامه دوره امنیتی است که در حوزه متخصصان امنیت سایبری قرار دارد در واقع این گواهینامه مجموعه ای
از دانش های به روز ترین خدمات امنیت سایبری و اطلاعات سیستم اطلاعاتی را در بردارد
این گواهینامه توسط کنسرسیوم صدور گواهینامه سیستم های امنیتی ISC صادر خواهد شد
که بسیار در دیده شدن متخصصان امنیتی ارزش و اعتبار خاصی دارد
دیدگاهتان را بنویسید