CISSP چیست؟

1399/10/24
ارسال شده توسط
مقالات
533 بازدید
CISSP چیست؟

 بهترین راهنمای صدور گواهینامه CISSP

در عصر حاضر، مدیریت امنیت اطلاعات در شرکت‌ها بسیار چالش برانگیز شده است. با مطالعه این مقاله، در هر ثانیه به تعداد آمار نقض امنیت اطلاعات افزوده می‌شود. در همین لحظه در برخی از نقاط جهان تخلفی در حال رخ دادن است که بدلیل افزایش بسیار زیاد تعداد سیستم‌ها و شبکه‌های دیجیتال است.

نیاز به گواهینامه CISSP

قبل از اینکه به CISSP بپردازیم، به درک اهمیت CISSP و چگونگی پیدایش آن می‌پردازیم. با افزایش داده‌ها، شرکت‌ها در حال سرمایه‌گذاری و تمرکز بر امنیت سایبری برای محافظت از تمام داده‌های خود هستند. در حال حاضر امنیت سایبری در سراسر جهان در حال رونق است. طبق مشاغل امنیت سایبری، جرایم اینترنتی تا سال 2021 سالانه 6 تریلیون دلار هزینه برای جهان خواهد داشت، در حالی که در سال 2015 این میزان 3 تریلیون دلار بود. این افزایش چشمگیر، گویای وضعیت فعلی امور است. شرکت‌ها به دنبال افراد متخصص مجاز هستند که بتوانند از اطلاعات خود در برابر دسترسی غیر مجاز محافظت کنند. گواهینامه‌های امنیت سایبری در حرفه افراد اهمیت فوق العاده‌ای دارند. برخی گواهینامه امنیت سایبری عبارتند از: CCNA ، CompTIA Security + ، CISM ، CISA ، CEH و CISSP. گواهینامه CISSP یکی از سخت‌ترین و پرتقاضاترین گواهینامه‌ها است.

CISSP چیست؟

گواهی حرفه‌ای امنیت سیستم‌های اطلاعاتی (Certified Information Systems Security Professional) اغلب CISSP نامیده می‌شود. این سطح پیشرفته از گواهینامه بعنوان استاندارد طلایی در زمینه امنیت اطلاعات محسوب می‌شود.

این گواهینامه اعتبار جهانی دارد و توسط (ISC) 2 ارائه می‌شود. (ISC) 2 بعنوان پیشروترین سازمان جهان در زمینه صدور گواهینامه و آموزش برای متخصصان حوزه امنیت سایبری شناخته شده است.

گواهینامه CISSP توسط متخصصان فناوری اطلاعات اخذ می‌شود و به آن‌ها کمک می‌کند تا به یک حرفه‌ای در زمینه تضمین اطلاعات تبدیل شوند. گرفتن گواهینامه CISSP به شما کمک می‌کند تا طراحی، معماری، کنترل‌ها و مدیریت محیط‌های تجاری بسیار ایمن را تعریف کنید. در حال حاضر، ایالات متحده بیشترین تعداد متخصصان دارای گواهینامه CISSP را دارد. گواهینامه CISSP به راحتی قابل دستیابی نیست. چندین شرط لازم برای شرکت در آزمون وجود دارد. در ادامه شرایط آزمون را بررسی می‌کنیم.

الزامات صدور

حال که متوجه شدید CISSP چیست، باید تمام الزامات صدور گواهینامه را بدانید. قبل از تصمیم‌گیری برای شرکت در آزمون CISSP، باید اطمینان حاصل کنید، گواهینامه مناسبی برای شما است یا خیر ،همچنین با اهداف شغلی شما همسو باشد. لذا فقط دانستن در مورد CISSP کافی نیست. موارد اساسی است که باید قبل از شرکت در آزمون CISSP مورد بررسی قرار گیرد:

  • داوطلب باید حداقل پنج سال سابقه کار در دو یا چند مورد از هشت حوزه CISSP داشته باشد.
  • اگر دارای مدرک دانشگاهی چهار ساله یا مدرک پیشرفته‌ای هستید که تحت لیست (ISC) 2 شناخته شده است، چهار سال سابقه کار کافی خواهد بود.
  • اگر دارای گواهینامه تأیید شده (ISC) باشید، می‌توانید تجربه کاری را به چهار سال کاهش دهید.
  • همانطور که قبلاً ذکر شد، CISSP یک گواهینامه امنیت سایبری پیشرفته محسوب می‌شود. قبل از بررسی آزمون CISSP، توصیه می‌شود که داوطلب گواهینامه‌های سطح ابتدایی و مدیریتی مانند CCNA ، CompTIA Security + ، CEH ، CISM و CISA را مشخص نماید.
  • فقط آن دسته از داوطلبانی که دارای تجربه کاری مرتبط هستند می‌توانند در آزمون CISSP شرکت کنند. متخصصانی که به عنوان مشاور و مدیر امنیتی، معماران شبکه و امنیت، مدیران IT، حسابرسان امنیتی و افسران ارشد امنیت اطلاعات کار می‌کنند، می‌توانند گواهینامه CISSP را اخذ نمایند.

    گواهینامه CISSP

     

همچنین برای داوطلبان بدون تجربه شرکت در آزمون امکان‌پذیر است. اما در چنین سناریویی، بلافاصله برچسب CISSP را دریافت نخواهند کرد. در عوض، گواهینامه همکاری(ISC) 2  را دریافت می‌کنن

د. به محض کسب تجربه کاری لازم برچسب CISSP را دریافت می‌کنند.

همه چیز درباره آزمون CISSP

گواهینامه CISSP توسط کنسرسیوم صدور گواهینامه امنیت بین‌المللی سیستم‌های اطلاعاتی (ISC) 2 ایجاد شده است. در اینجا چند نکته وجود دارد که باید در مورد آزمون CISSP بخاطر بسپارید:

  • برای شرکت در این آزمون باید 699 دلار هزینه امتحان پرداخت کنید.
  • مدت زمان این امتحان 6 ساعت است.
  • تعداد کل سوالاتی که در 6 ساعت باید پاسخ داده شود 250 سوال است.
  • آزمون شامل سوالات چند گزینه‌ای است.
  • برای قبولی در آزمون، باید حداقل نمره 700 از 1000 را کسب کنید.

امتحان CISSP شامل سوالاتی است که در بیش از هشت حوزه گسترده شده‌اند. آموزش CISSP کامل نیست مگر اینکه همه هشت حوزه CISSP را درک کنید.

آموزش حوزه‌های CISSP چیست؟

گواهینامه CISSP در هشت حوزه گروه ‌بندی شده است. طیف گسترده‌ای از موضوعات موجود در CISSP  ارتباط آن را در همه رشته‌های امنیت اطلاعات تضمین می‌کند. این هشت حوزه با جنبه‌های مختلف امنیت اطلاعات سروکار دارند. به صورت جداگانه نگاهی به هر یک از این موارد خواهیم انداخت و بیان می‌کنیم هر یک از این حوزه‌هانماد چیست.

1-  امنیت و مدیریت ریسک

این حوزه عمدتا از اصول سیاست‌های امنیتی، قانون و مقررات انطباق، اخلاق حرفه‌ای، مدیریت ریسک و مدل‌سازی تهدید تشکیل شده است. رویکردهای زیر برای پیاده‌سازی امنیت سایبری اتخاذ شده است:

  • مبتنی بر انطباق: در اینجا، اقدامات امنیتی براساس آیین‌نامه تصمیم‌گیری می‌شود
  • Ad-hoc: اقدامات امنیتی براساس هیچ معیار خاصی انجام نمی‌شود
  • ریسک محور: اقدامات امنیتی بر اساس خطرات منحصر به فرد بسته به سازمان انجام می‌شود

بخش حیاتی دیگر امنیت اطلاعات مدل سه گانه CIA است. برای محافظت از اطلاعات درون یک شرکت، مدل امنیتی محرمانه بودن ، یکپارچگی و در دسترس بودن (CIA) طراحی شده است.

2- امنیت دارایی

دومین حوزه، امنیت داراییCISSP ، مربوط به کار با جمع‌آوری و محافظت از دارایی‌هایی مانند داده‌ها و دستگاه‌ها است. امنیت دارایی شامل مراحل زیر است:

  • طبقه‌بندی داده‌ها – در اینجا، ابتدا صاحب داده، داده‌ها را طبقه‌بندی می‌کند. این طبقه‌بندی براساس مجموعه‌ای از معیارهای از پیش تعیین شده انجام می‌شود. پس از آن طبقه‌بندی سالانه بررسی می‌شود تا تغییرات بررسی شود.
  • مدیریت داده‌ها – نیازهای چرخه عمر اطلاعات شرکت را به طور موثر مدیریت می‌کند. از اعتبار، صحت داده اطمینان حاصل می‌کند و همچنین از مطابقت داده‌ها با استانداردهای تعیین شده اطمینان حاصل می‌کند.
  • Data Remanence – اصطلاحی است که برای باقیمانده داده‌های دیجیتالی استفاده می‌شود. روش هایی مانند رونویسی و تخریب ، مقابله با ماندگاری مجدد داده ها.
  • جلوگیری از، از دست دادن داده‌ها – در این مرحله، اقدامات متعدد و ارزیابی ریسک انجام می‌شود تا اطمینان حاصل شود که داده فقط برای کاربران مجاز در دسترس است.
3- مهندسی امنیت

حوزه سوم مهندسی امنیت است. این دامنه بر معماری امنیتی، مدل‌های امنیتی، رمزنگاری و امنیت فیزیکی تمرکز دارد. دامنه مهندسی امنیت یک روش معمول برای ایجاد، تجزیه و تحلیل و استفاده از توصیفات معماری در یک دامنه خاص ایجاد می‌کند. برای پیاده‌سازی امنیت، معماری امنیتی از محاسبات قابل اعتماد، محیط امنیتی و مدل‌های مرجع کمک می‌گیرد.

رمزنگاری همچنین بخشی از مهندسی امنیت است. رمزنگاری با تبدیل داده‌ها از قالب قابل خواندن به قالب غیرقابل خواندن و بالعکس، اطلاعات را ایمن می‌کند.

4- ارتباطات و امنیت شبکه

این دامنه همه چیز در مورد ساختارهای شبکه، روش‌های انتقال و اقدامات امنیتی مورد استفاده برای دستیابی به CIA در یک سازمان است. برخی از این اقدامات را با هم مرور کنیم:

  • مدل OSI – پایه و اساس شبکه است. اتصال سیستم های باز (Open Systems Interconnection) که به عنوان مدل OSI شناخته می‌شود، نحوه انتقال داده‌ها از یک رایانه به رایانه دیگر را توصیف می‌کند.
  • فایروال – فایروال یک سخت‌افزار یا نرم‌افزار است که برای فیلتر کردن ترافیک مخرب از اینترنت به رایانه شما استفاده می‌شود.
  • سیستم تشخیص نفوذ – IDS برای شناسایی دسترسی غیرمجاز به سیستم طراحی شده است. بهتر است همراه با فایروال و روتر استفاده شود.
5-هویت و مدیریت دسترسی

این حوزه CISSP همه چیز در مورد کنترل دسترسی، شناسایی، مجوز و حمله به کنترل دسترسی و اقدامات متقابل آن است. برای دسترسی به یک مجموعه داده یا منبع، باید یک موضوع شناسایی، تایید اعتبار و مجاز شود.

در ادامه نگاهی به برخی از زمینه‌های مهم در این حوزه بیندازیم:

  • مدیریت هویت – در اینجا، از طریق روش‌های مختلف خودکار، کاربران شناسایی و احراز هویت می‌شوند.
  • Kerberos – پروتکل احراز هویت مبتنی بر رمزنگاری کلید متقارن است که امنیت پایان به پایان را فراهم می‌کند.
  • معیارهای دسترسی – دسترسی به داده‌ها نباید به همه داده شود. باید براساس سطح اعتماد و نقش شغلی در سازمان صادر شود. همچنین اگر براساس مکان و زمان ارائه شود بهتر است.
6- ارزیابی و آزمایش امنیت

مانند سایر حوزه‌ها، شما باید ارزیابی‌های منظم را حتی در این زمینه نیز انجام دهید. بنابراین در این حوزه، به بررسی ممیزی‌ها، ارزیابی کنترل امنیت و گزارش‌های آزمایش خواهیم پرداخت.

  • ممیزی‌ها – ارزیابی چیزی نیست جز فرایندی مکرر که در آن یک متخصص مستقل شواهد را ارزیابی و تحلیل می کند.
  • ارزیابی آسیب‌پذیری – در اینجا، خطرات IT، شناسایی و ارزیابی می‌شوند. در شناسایی، تعیین کمیت و اولویت‌بندی آسیب‌پذیری‌ها کمک می‌کند.
  • آزمایش کردن – ارزیابی و برنامه‌ریزی استراتژی آزمایش می‌تواند اطلاعات ارزشمندی در مورد خطر و کاهش خطر ارائه دهد. ارزیابی و آزمون توسط یک گروه کاری به نام تیم محصول یکپارچه انجام می‌شود. آزمایش برای بررسی جریان داده بین برنامه و سیستم انجام می‌شود.
7- عملیات امنیتی

نظارت و ورود به سیستم، بازیابی بلایا و مدیریت تغییر است. دامنه عملیات امنیتی این آموزش CISSP بر پزشکی قانونی دیجیتال، مدیریت حادثه و امنیت محیط متمرکز است:

  • پزشکی قانونی دیجیتال – در اینجا، داده‌های دیجیتال برای شناسایی، بازیابی و تجزیه و تحلیل نظرات در مورد اطلاعات دیجیتال مورد بررسی قرار می‌گیرند.
  • مدیریت حوادث – مدیریت حوادث در جهت بازگرداندن خدمات به حالت عادی، در اسرع وقت کار می‌کند. تیمی به نام تیم پاسخگوی حوادث برای رسیدگی به شرایط اضطراری اعزام شده‌اند. پاسخ بروز به عنوان تشخیص یک مشکل، تعیین علت آن، به حداقل رساندن آسیب، حل مسئله و مستند‌سازی هر مرحله تعریف می‌شود. این تیم اطلاعات کافی در اختیار مدیریت قرار داده و از شرکت در برابر حملات آینده دفاع می‌کند.
  • امنیت محیط – دفاع محیطی به ما امکان می‌دهد دسترسی فیزیکی غیر مجاز را شناسایی و کنترل کنیم. این قسمت همچنین دسترسی به تاسیسات را کنترل می‌کند. با این کار، عملیات امنیتی را به عنوان یک دامنه بررسی کرده‌ایم.
8- امنیت توسعه نرم‌افزار

همانطور که از نام آن پیداست، این دامنه درباره امنیت در چرخه حیات توسعه نرم‌افزار صحبت می‌کند. ما به دنبال موضوعاتی مانندAPI ، Malware ، Spyware ، Adware حملات مهندسی اجتماعی و حملات تزریق SQL خواهیم بود.

  • Application Program Interface (API) – API مجموعه‌ای از پروتکل‌ها و توابع است که برای ایجاد برنامه‌ها استفاده می‌شود. این برنامه از فرمت‌هایی مانند نمایندگی انتقال دولت (REST) و پروتکل دسترسی ساده به اشیا ((SOAP) پشتیبانی می‌کند.
  • بدافزار – اصطلاحی است که به نرم‌افزارهای مخرب، ویروس‌ها، باج‌افزارها و کرم‌ها اشاره دارد. همچنین می توانیم ویروس تروجان را نوعی بدافزار بنامیم که می‌تواند خود را به عنوان یک نرم‌افزار قانونی مبدل کند.
  • نرم‌افزارهای جاسوسی – نوعی بدافزار است که برای جمع‌آوری مخفیانه اطلاعات قربانی مورد استفاده قرار می‌گیرد.
  • Adware – همانطور که از نامش پیداست، نوعی بدافزار است که به طور مداوم تبلیغات و پنجره‌های بازشو را نمایش می‌دهد. این‌ها قادر به جمع آوری اطلاعات شما هستند.
  • حمله مهندسی اجتماعی – هنر دستکاری افراد برای دادن اطلاعات محرمانه آن‌ها است. این مورد به حملات فیشینگ ، فیشینگ نیزه و حملات فیشینگ نهنگ شکسته می‌شود.
  • SQL Injection – در یک وب سایت مبتنی بر پایگاه داده ، هکر یک کوئری استاندارد SQL را دستکاری می‌کند و کدهای مخرب را برای به دست آوردن اطلاعات در سرور SQL قرار می‌دهد.

مزایای صدور گواهینامه CISSP

اکنون که حوزه‌های مختلف CISSP را در این مقاله آموزشی CISSP مشاهده کردید، مزایای پس از تکمیل گواهینامه را بررسی خواهیم کرد که به شرح زیر است:

  • گواهینامه CISSP یک گواهینامه شناخته شده جهانی است و یکی از پرطرفدارترین گواهینامه‌ها در امنیت اطلاعات است.
  • اکثر شرکت‌ها به دنبال متخصصان مجاز CISSP هستند.
  • در صورت داشتن گواهینامه CISSP، ساختار حقوق شغل شما افزایش می‌یابد. یکمتخصص دارای گواهینامه CISSP، سالانه متوسط حقوق 131،030 دلار دریافت می‌کند.
  • همچنین میزان افزایش حقوق برای متخصصان دارای گواهی CISSP بسیار بیشتر از سایر متخصصان است.
  • تکمیل این گواهینامه به شما کمک می‌کند تمام جنبه‌های امنیت سایبری را به طور عمیق درک کنید.
  • شکستن و تکمیل گواهینامه CISSP دشوار است و به صنعت نشان می‌دهد که شما یک فرد حرفه‌ای با تجربه قوی کار در تیم رهبری امنیت سایبری سازمان هستید.

آیا آماده دریافت گواهینامه CISSP هستید؟

شما اکنون دقیقا می‌دانید که چگونه Simplilearn می‌تواند به شما در رسیدن به آرزوی خود کمک کند و به شما کمک کند تا یک گواهینامه CISSP بدست آورید.
دوران آکادمی زیر مجموعه گروه دوران، مجری برگزاری دوره CISSP در قالب آموزش امنیت به صورت آموزش آنلاین و حضوری با بهره‌گیری از لابراتور آنلاین اختصاصی بهمراه گواهی معتبر ارائه می‌شود.

آیا درمورد CISSP یا گواهینامه آن سوالی از ما دارید؟ در صورت تمایل در بخش نظرات این مقاله درج کنید. کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

اشتراک گذاری:
در تلگرام
کانال ما را دنبال کنید!
در اینستاگرام
ما را دنبال کنید!
مطالب زیر را حتما بخوانید

دیدگاهتان را بنویسید