Общий обзор новой структуры доменов CISSP, которая начнет действовать с Апреля 2015.
Обзор подготовлен для ознакомления на базе материалов «Candidate information Bulletin» компании (ISC)2.
2. 2
CISSP | New 2015 Domain Structure Review
@kbeltsov
CISSP New 2015 Domain Structure Review
Обзор подготовлен для ознакомления на базе материалов «Candidate information Bulletin» компании
(ISC)
2
. Ссылки на официальные издания приведены в тексте обзора.
Константин Бельцов, CISM
@kbeltsov
Недавно прилетело письмо от (ISC)2
по поводу изменения/обновления структуры и
наименований доменов, предлагаемых (ISC)2
в рамках сертификации CISSP. Дата, после
которой начнет действовать новая доменная структура – 15 Апреля 2015 г.
В письме были предложены ссылки для ознакомления с предыдущей и новой версией
«Candidate information Bulletin» (Prior to April 15, 2015 and Effective on April 15, 2015). Напомню,
что предыдущая редакция была изменена и начала действовать с 1 Января 2012 г.
В новой версии произошли изменения, которые затронули не только количество доменов (было
10, стало 8), но и их наименование, компоновку, логическую увязку:
Текущая и обновленная структура доменов CISSP
Current CISSP Domain Structure
(Prior to April 15, 2015)
Domain 1. Access Control
Domain 2. Telecommunications and Network Security
Domain 3. Information Security Governance & Risk
Management
Domain 4. Software Development Security
Domain 5. Cryptogaraphy
Domain 6. Security Architecture & Design
Domain 7. Operations Security
Domain 8. Business Continuity & Disaster Recovery Planning
Domain 9. Legal, Regulations, Investigations and Compliance
Domain 10. Physical (Enviromental) Security
New CISSP Domain Structure
(Effective on April 15, 2015)
Domain 1. Security and Risk Management
Domain 2. Asset Security
Domain 3. Security Engineering
Domain 4. Communication and Network Security
Domain 5. Identity and Access Management
Domain 6. Security Assessment and Testing
Domain 7. Security Operations
Domain 8. Software Development Security
Как видите, доменов стало меньше, но они стали более «глобальными» по входящим в каждый
домен областям:
Domain 1. Security and Risk Management: Security, Risk, Compliance, Law, Regulations, Business
Continuity);
Domain 2. Asset Security: Protecting Security of Assets;
Domain 3. Security Engineering: Engineering and Management of Security;
Domain 4. Communication and Network Security: Designing and Protecting Network Security;
Domain 5. Identity and Access Management: Controlling Access and Managing Identity;
Domain 6. Security Assessment and Testing: Designing, Performing, and Analyzing Security Testing;
Domain 7. Security Operations: Foundational Concepts, Investigations, Incident Management,
Disaster Recovery;
3. 3
CISSP | New 2015 Domain Structure Review
@kbeltsov
Domain 8. Software Development Security: Understanding, Applying, and Enforcing Software
Security;
Первый домен Domain 1. Security and Risk Management является неким вводным доменом,
охватывающим основополагающие и общие моменты информационной безопасности:
принципы конфиденциальности, целостности, доступности;
принципы управления информационной безопасности;
приверженность профессиональным этикам;
использование подходов и решений, основанных на менеджменте рисков;
разработка и внедрение политик, стандартов и процедур по информационной
безопасности;
обучение и повышение осведомленности персонала.
Второй домен Domain 2. Asset Security определяет основные направления и методы
обеспечения безопасности активов:
классификация и определение ценности активов;
определение владельцев информации, процессов, бизнеса (особо понравился термин
«mission owners»);
обеспечение безопасности данных разных видов: хранящихся в БД или архивах,
передаваемых по каналам связи, представленных в цифровом и электронном виде и
т.п.;
обеспечение требований к процессам маркирования, хранения, уничтожения
информации.
Интересное название получил Третий домен Domain 3. Security Engineering
представляющий собой некий фундаментальный и значимый раздел знаний, который
определяет основные и, правильно было бы сказать, сквозные принципы информационной
безопасности, которые должны быть использованы при построении всей системы управления и
обеспечения информационной безопасности. Судя по описанию, данный домен является
вторым по количеству охватываемых понятий и областей.
внедрение технологических процессов и процессов управления на основании принципов
информационной безопасности;
выбор и планирование мер по обеспечению безопасности на основании моделей оценки
и анализа;
понимание основ безопасности информационных систем (виртуализация, защита
переменных сред, использование доверенных модулей и интерфейсов, вопросы
отказоустойчивости и т.п.);
оценка и устранение уязвимостей или использование компенсирующих мер в
существующих архитектурах и решениях;
оценка и устранение уязвимостей в информационных системах, основанных на веб;
оценка и устранение уязвимостей в устройствах подверженных атакам извне;
применение криптографии;
использование принципов безопасности для площадок и оборудования.
Четвертый домен практически не изменил своего названия, хотя все же потерял пару букв из
заголовка: Domain4. Telecommunication and Network Security → Communication and Network
Security и включает основные принципы и методы обеспечения сетевой безопасности:
4. 4
CISSP | New 2015 Domain Structure Review
@kbeltsov
безопасность при построении сетей;
использование безопасных протоколов в каналах связи;
предотвращение или снижение вероятности сетевых атак.
Пятый домен Domain 5. Identity and Access Management направлен на контроль и
управление доступом к активам:
контроль физического и логического доступа к активам;
идентификация устройств и пользователей в информационных системах;
использование SaaS решений по идентификации и интеграция их в корпоративную
среду;
использование средств аутентификации пользователей;
предотвращение или снижение вероятности атак, использующих уязвимости контроля
доступа;
управление процессами предоставления доступа.
Шестой домен Domain 6. Security Assessment and Testing представляет собой раздел
знаний, направленный на контроль и мониторинг состояния информационной безопасности:
определение стратегии контроля и мониторинга;
использование различных техник и инструментов для проведения тестирования,
выявления уязвимостей, мониторинга;
сбор и анализ событий безопасности;
выполнение внутренних и внешних аудитов.
Седьмой домен Domain 7. Security Operations включает значительный раздел знаний,
связанный с процессами операционной деятельности в рамках обеспечения информационной
безопасности:
управление и расследование инцидентов;
сбор событий безопасности и активности пользователей;
управление обновлениями и изменениями;
реализация стратегии резервного копирования и восстановления данных;
реализация стратегии отказоустойчивости ИТ;
тестирование планов по обеспечению непрерывности;
управление и реализация физической безопасности;
формирование и реализация принципов безопасности персонала.
И, наконец, восьмой домен Domain 8. Software Development Security направлен на
обеспечение безопасности ПО в рамках жизненного цикла:
использование принципов безопасности в рамках жизненного цикла программного
обеспечения;
соблюдение требований безопасности в среде разработки, тестовых зонах, при
внесении изменений;
оценка и тестирование эффективности текущий контролей для обеспечения
безопасности;
оценка безопасности приобретаемого ПО.
Как мне кажется, подход стал более универсальным, более фундаментальным и стал больше
напоминать стандарты/фреймворки ISO27k, NIST, ISACA (CISM).
5. 5
CISSP | New 2015 Domain Structure Review
@kbeltsov
Кроме того, в обновленном «Candidate information Bulletin» упоминаются основные тренды
последних лет: «data breaches», «Internet of Things», «Industrial control systems (e.g., SCADA)».
Полное описание доменов смотрите в Приложении 1 или по ссылкам на Bulletin и Mindmap.
Приложение 1. Домены и ключевые области знаний (new 2015 domain structure)
Domain 1. Security and Risk Management (e.g., Security, Risk, Compliance, Law, Regulations, Business
Continuity)
A. Understand and apply concepts of confidentiality, integrity and availability
B. Apply security governance principles
C. Compliance
D. Understand legal and regulatory issues that pertain to information security in a global context
E. Understand professional ethics
F. Develop and implement documented security policy, standards, procedures, and guidelines
G. Understand business continuity requirements
H. Contribute to personnel security polices
I. Understand and apply risk management concepts
J. Understand and apply threat modeling
K. Integrate security risk considerations into acquisition strategy and practice
L. Establish and manage information security education, training, and awareness
Domain 2. Asset Security (Protecting Security of Assets)
A. Classify information and supporting assets (e.g., sensitivity, criticality)
B. Determine and maintain ownership (e.g., data owners, system owners, business/mission owners)
C. Protect privacy
D. Ensure appropriate retention (e.g., media, hardware, personnel)
E. Determine data security controls (e.g., data at rest, data in transit)
F. Establish handling requirements (markings, labels, storage, destruction of sensitive information)
Domain 3. Security Engineering (Engineering and Management of Security)
A. Implement and manage engineering processes using secure design principles
B. Understand the fundamental concepts of security models (e.g., Confidentiality, Integrity and Multi-level
Models)
C. Select controls and countermeasures based upon systems security evaluation models
D. Understand security capabilities of information systems (e.g., memory protection, virtualization, trusted
platform module, interfaces, fault tolerance)
E. Assess and mitigate the vulnerabilities of security architectures, designs, and solution elements
F. Assess and mitigate vulnerabilities in web-based systems (e.g., XML, OWASP)
G. Assess and mitigate vulnerabilities in mobile systems
H. Assess and mitigate vulnerabilities in embedded devices and cyber-physical systems (e.g., network-enabled
devices, Internet of Things).
I. Apply cryptography
J. Apply secure principles to site and facility
6. 6
CISSP | New 2015 Domain Structure Review
@kbeltsov
K. Design and implement physical security
Domain 4. Communication and Network Security (Designing and Protecting Network Security)
A. Apply secure design principles to network architecture (e.g., IP & non-IP protocols, segmentation)
B. Secure network components
C. Design and establish secure communication channels
D. Prevent or mitigate network attacks
Domain 5. Identity and Access Management (Controlling Access and Managing Identity)
A. Control physical and logical access to assets
B. Manage identification and authentication of people and devices
C. Integrate identity as a service (e.g., cloud identity)
D. Integrate third-party identity services (e.g., on premise)
E. Implement and manage authorization mechanisms
F. Prevent or mitigate access control attacks
G. Manage the identity and access provisioning lifecycle) (e.g., provisioning, review)
Domain 6. Security Assessment and Testing (Designing, Performing, and Analyzing Security Testing)
A. Design and validate assessment and test strategies
B. Conduct security control testing
C. Collect security process data (e.g., management and operational controls)
D. Analyze and report tests outputs (e.g., automated, manual)
E. Conduct or facilitate internal and third party audits
Domain 7. Security Operations (e.g., Foundational Concepts, Investigations, Incident Management,
Disaster Recovery)
A. Understand and support investigations
B. Understand requirements for investigation types
C. Conduct logging and monitoring activities
E. Understand and apply foundational security operations concepts
F. Employ resource protection techniques
G. Conduct incident management
H. Operate and maintain preventative measures
I. Implement and support patch and vulnerability management
J. Participate in and understand change management processes (e.g., versioning, baselining, security impact
analysis)
K. Implement recovery strategies
L. Implement disaster recovery processes
M. Test recovery plans
N. Participate in business continuity planning and exercises
O. Implement and manage physical security
P. Participate in addressing personnel safety concerns (e.g., duress, travel, monitoring)
7. 7
CISSP | New 2015 Domain Structure Review
@kbeltsov
Domain 8. Software Development Security (Understanding, Applying, and Enforcing Software Security)
A. Understand and apply security in the software development lifecycle
B. Enforce security controls in development environments
C. Assess the effectiveness of software security
D. Assess security impact of acquired software