imported>Aka: /* Aufbau der CISSP-Prüfung */ Tippfehler entfernt

2025-05-14T20:32:59Z

Aufbau der CISSP-Prüfung: Tippfehler entfernt

Neue Seite

Der '''Certified Information Systems Security Professional''' ('''CISSP''') ist eine Zertifizierung, die vom International Information Systems Security Certification Consortium, Inc. (auch: [[ISC2]]) angeboten wird. Es handelt sich bei dem [[Liste der IT-Zertifikate|Zertifikat]] um einen international anerkannten Weiterbildungsstandard auf dem Gebiet [[Informationssicherheit]].<ref name="kes.info">[http://2014.kes.info/archiv/online/06-3-027.htm ''Mit Auszeichnung – Zertifikate für Security Professionals''.] In ''<kes>'', 3, 2006, S. 27.</ref> Laut ISC2 gab es am 1. Januar 2022 weltweit 152.632, in Deutschland 2.727, in der Schweiz 1.087, und in Österreich 293 CISSP-zertifizierte Personen.

Zur Erlangung des Zertifikats ist umfangreiches Wissen über sicherheitsrelevante Aspekte aus acht Bereichen des sogenannten Common Body of Knowledge (CBK) nachzuweisen. Die Bereiche spannen dabei einen Bogen von physischer Sicherheit, Softwarearchitekturen, Netzwerk und Telekommunikation sowie Kryptographie bis hin zu rechtlichen Fragestellungen (vollständige Liste der Bereiche s. u.).
Während die rechtlichen Fragestellungen stark auf die [[Vereinigte Staaten|USA]] fokussieren,<ref name="Rechtslage">Mike Meyers, Shon Harris: ''CISSP''. 2. überarbeitete Auflage. Redline Verlag, Heidelberg 2007, ISBN 978-3-8266-1745-4, S. 22.</ref> enthalten die übrigen Bereiche international gültige Sicherheitsvorgaben, was die weltweite Relevanz des Zertifikats erklärt.

Der CISSP ist vom UK NARIC als Level 7 gemäß dem Europäischen Qualifikationsrahmen ([[Europäischer Qualifikationsrahmen|EQR]]) anerkannt und entspricht somit einem Master<ref>{{Internetquelle |url=https://www.isc2.org/Insights/2020/05/ISC2-CISSP-Certification-Now-Comparable-to-Masters-Degree-Standard?queryID=b1902c4be29858bb87b86b5b2cb55432 |titel=(ISC)² CISSP Certification Now Comparable to Masters Degree Standard |datum=11.05.2020 |sprache=en |abruf=2024-03-08}}</ref>. Für [[Deutschland]] und den [[Europa|europäischen Raum]] existieren spezialisierte Zertifizierungen wie das vom [[TeleTrusT|TeleTrusT e. V.]] entwickelte Teletrust Information Security Professional (T.I.S.P.) Zertifikat.<ref name="kes.info" /><ref>[http://www.teletrust.de/tisp/ TeleTrust Deutschland e. V. T.I.S.P. – TeleTrusT Information Security Professional]</ref>

== Nutzen eines CISSP-Zertifikats ==
Die Prüfung zum Certified Information Systems Security Professional ist eine Wissensprüfung im Bereich der [[Informationssicherheit]].
Die Prüfung wurde als erste [[Zertifizierung]] durch [[American National Standards Institute|ANSI]] als [[Internationale Organisation für Normung|ISO-Standard]] [[Personenzertifizierung|17024:2003]] für Sachverständige im Bereich Informationssicherheit akkreditiert<ref name="Path">(ISC)²: ''Career Path Brochure'' 09/2008, S. 12.</ref> und soll Security Professionals eine objektive Bewertung ihrer Kompetenz bieten. Zur Qualitätssicherung der Zertifizierung gehören u. a. ein Zwang zum Nachweis relevanter Berufserfahrung sowie die Pflicht zur ständigen Weiterbildung, um die Zertifizierung aufrechtzuerhalten<ref name="How">[http://www.isc2.org/cissp-how-to-certify.aspx CISSP® – How to Certify]</ref>. Die Prüfung ist neben Fachleuten in der Informationssicherheit vor allem für Personen interessant, die im [[Informationstechnik|IT]]-Umfeld oder im [[IT-Security]]-Umfeld arbeiten.

== Erlangung des CISSP-Zertifikats ==
Der Zertifizierungsprozess besteht aus mehreren Teilen. Zunächst ist eine Prüfung über acht vorgeschriebene Wissensgebiete abzulegen, auf die man sich durch eine [[Schulung]] oder durch [[Selbststudium]] vorbereiten kann. Danach wird der eigentliche Zertifizierungsprozess eingeleitet. Dazu muss die berufliche [[Expertise]] der Kandidaten von einer [[Dritter#Recht|dritten Person]] bestätigt werden. Alle Kandidaten können zufällig für ein [[Audit]] ausgewählt und noch eingehender auf ihre fachlichen Kenntnisse hin überprüft werden.<ref name="How" /> Damit soll sichergestellt werden, dass der Kandidat die geprüften Kenntnisse auch wirklich in der Praxis erworben und eingesetzt hat.

== Aufbau der CISSP-Prüfung ==
Grundlage der Prüfung ist der aus acht Themengebieten (Domains) bestehende [[CISSP#CBK-Domains für die CISSP-Prüfung|Common Body of Knowledge]] (CBK).<ref name="CBK">[http://www.isc2.org/cbk/default.aspx About the (ISC)² CBK<sup>®</sup>]</ref>

Es handelt sich um eine [[Multiple Choice|Multiple-Choice]]-Prüfung. Während drei Stunden sind zwischen 100 und 150 Fragen aus den acht CBK-Bereichen zu beantworten. Es geht um die schnelle Beantwortung von Fragen, deren Antwort durch entsprechende [[Lerntechnik]] gelernt werden sollte. [[Beweis (Logik)|Logisches Herleiten]] und frei formulierte Antworten sind nicht gefragt. Die Prüfung soll einen möglichst breiten [[Querschnitt (empirische Forschung)|Querschnitt]] des Sicherheitsspektrums abdecken und durch gezielte Fragen das breitbandige Wissen der Kandidaten testen. Seit 15. April 2024 werden nur noch sogenannte ''Computerisierte-adaptive-Tests'' angeboten. Dabei entscheidet nach jeder Fragenbeantwortung ein nicht näher spezifizierter [[Algorithmus]], welche Aufgabe als Frage als Nächstes gestellt wird. Falls nach der Mindestprüfungslänge von 100 Fragen nicht mit 95-prozentiger Wahrscheinlichkeit die Fähigkeiten eingeschätzt werden können, bekommt die Person solange weitere Fragen, bis die statistische Sicherheit oder die maximale Anzahl an Fragen erreicht wurde.<ref>{{Internetquelle |url=https://www.isc2.org/certifications/cissp/cissp-cat/cissp-cat-german |titel=CISSP Computerisierte adaptive Tests |werk=ISC2 |sprache=de |abruf=2025-03-05}}</ref>

Die Fragen sind nach einem ganz bestimmten [[Schema (Informatik)|Schema]] aufgebaut. Die Grundidee der Prüfung ist es, nur sogenannte [[Fragetechnik|geschlossene Fragen]] zu stellen. Jede Frage muss also genau so formuliert sein, dass bei vier gegebenen Antwortmöglichkeiten genau eine richtig ist. Es gibt im Grunde nur drei Typen von Fragen: Auswahl (Erkennung), Reihung (Ranking) und Näherung (am besten/am schlechtesten). Diese kehren immer wieder und lassen sich leicht an Schlüsselwörtern ablesen.

Seit 2005 kann die Prüfung auch auf [[Deutsche Sprache|Deutsch]] absolviert werden. Da die Prüfungsfragen sehr häufig auf [[Definition]]en und Beschreibungen mit einem sehr speziellen [[Vokabular]] und bestimmten [[Schlüsselwortmethode|Schlüsselwörtern]] abzielen, ist eine rein deutsche Prüfung aber nicht zu empfehlen. Trotzdem sollte man derzeit als Prüfungssprache Deutsch angeben. Man bekommt dann einen zweisprachigen [[Fragenkatalog]] und kann so die Vorteile beider Sprachen nutzen.

Während die offiziellen Fragenkataloge nicht öffentlich sind und daher für die Prüfungsvorbereitungen nicht genutzt werden können, gibt es in Büchern und im Internet Übungsfragen. Die hier zu beantwortenden Fragen geben einen guten ersten Eindruck über die Tiefe und Qualität der Fragen, die denen der offiziellen Fragen oftmals ähnlich sind. Dadurch kommt es bei diesem Quiz gelegentlich auch zu falschen Musterantworten. Hier ist Vorsicht angebracht.

== Rezertifizierungsanforderungen ==
Um seine Zertifizierung zu behalten, muss der CISSP Weiterbildungsaktivitäten (CPE = continuous professional education) unternehmen, um in einer Dreijahresperiode 120 CPE-Punkte zu sammeln. Dazu stehen eine ganze Reihe unterschiedlicher Möglichkeiten zur Auswahl. Die meisten CPE-Punkte bringen [[Lehrauftrag|Lehrtätigkeiten]] in der Sicherheit (4 Punkte pro Stunde, maximal 80), [[Veröffentlichung]]en von [[Fachartikel|Artikeln]] oder [[Buch|Büchern]] (maximal 40 Punkte) und das [[Selbststudium]], mit maximal 40 Punkten, oder Lesen von sicherheitsrelevanten Büchern, mit maximal 30 Punkten.
Weitere Weiterbildungsaktivitäten sind der Besuch von Hersteller-Trainings (1 Punkt pro Stunde), der Besuch von [[Wissenschaftliche Konferenz|Sicherheitskongressen]] (1 Punkt pro Stunde) und [[Studiengang|Studiengänge]] an [[Hochschule]]n im Bereich Sicherheit (11,5 Punkte pro Schein). Auch Engagement in der Berufspolitik oder in [[Ehrenamt|Ehrenämtern]] wird honoriert: Die Mitgliedschaft im [[Vorstand]] eines [[Berufsverband]]es in der Sicherheit mit maximal 20 Punkten und ehrenamtliche Arbeit für das (ISC)² nach deren Ermessen.<ref>Mike Meyers, Shon Harris: ''CISSP''. 2. überarbeitete Auflage. Redline Verlag, Heidelberg 2007, ISBN 978-3-8266-1745-4, S. 26.</ref>

== Code of Ethics ==
Jeder CISSP muss sich zur Einhaltung bestimmter [[Ethik|ethischer]] Grundsätze verpflichten. Handelt ein CISSP nicht nach diesen Grundsätzen, kann er jederzeit durch einen anderen CISSP bei der (ISC)² gemeldet werden. Dies kann ein formelles [[Audit]] zur Folge haben, welches bis zu der Aberkennung des Zertifikats und zum Ausschluss aus der (ISC)² führen kann.

Der Code hat folgende Bestimmungen:<ref>[http://www.isc2.org/ethics/default.aspx (ISC)² Code of Ethics]</ref>

* Beschütze die [[Gesellschaft (Soziologie)|Gesellschaft]], das [[Gemeinwesen]] und die [[Infrastruktur]].
* Handle ehrenwert, ehrlich, gerecht, verantwortungsvoll und den Gesetzen entsprechend.
* Arbeite gewissenhaft und kompetent.
* Fördere und beschütze den [[Berufsstand]].

== Weiterentwicklung: ''Concentrations'' ==
Als Weiterentwicklungsmöglichkeit stehen zertifizierten CISSPs drei ''Concentrations'' zur Auswahl, die eine Spezialisierung und ein vertieftes Wissen in eine bestimmte Richtung darstellen.<ref>isc2.org: {{Webarchiv|text=''CISSP Concentrations'' |url=https://www.isc2.org/concentrations/default.aspx |wayback=20141211001816 }}</ref>

* Information Systems Security Architecture Professional (ISSAP), Weiterentwicklung zu Sicherheitsarchitekturen
* Information Systems Security Engineering Professional (ISSEP), Weiterentwicklung im Bereich sicherer Softwareentwicklung
* Information Systems Security Management Professional (ISSMP), Weiterentwicklung im Informationssicherheits-Management

== CBK-Bereiche für die CISSP-Prüfung ==
Die CBK-Bereiche stellen eine Sammlung von Themen aus dem Bereich der [[Informationssicherheit]] dar. Sie sind in 10 Themengebiete untergliedert.<ref name="CBK" />

=== Access Control – Bereich 1 ===
In diesem Themengebiet (Domain) werden vor allem die Grundmechaniken der Zugriffskontrolle abgehandelt.

==== Sicherheitsmodelle ====
Regeln und Strukturen, die eine Entscheidung über einen Zugriff ermöglichen nennt man [[Sicherheitsmodell]]e. Sie regeln die Beziehung zwischen Subjekten, [[Gegenstand|Objekten]] und [[Operation (Informatik)|Operationen]]. Für die Prüfung werden vor allem die im Folgenden dargestellten Modelle und ihre Funktion abgefragt.<ref>Mike Meyers, Shon Harris: ''CISSP''. 2. überarbeitete Auflage. Redline Verlag, Heidelberg 2007, ISBN 978-3-8266-1745-4, S. 129 ff.</ref>

[[Datei:Biba-Schichten.jpg|mini|230px|Schichten des [[Biba-Modell]]s]]
[[Datei:Bell-LaPadua-Schichten.jpg|mini|230px|Schichten des [[Bell-LaPadula]]-Modells]]

Zunächst unterscheidet man einige [[Modell|Grundlagenmodelle]], deren Konzepte zum Teil Einzug in die weiterführenden Modelle gehalten haben. Ziel der Zustandsorientierten Maschine ist ein sicherer Systemzustand zu jeder Zeit. Dazu arbeitet das Modell in klar definierten Zuständen. Das Informationsfluss-Modell hebt vor allem auf den zwischen den Ebenen der mehrschichtigen Modelle stattfindenden Informationsflüsse ab. Als weiteres Grundlagenmodell hat das Goguen-Meseguer-Modell oder Modell der Nichteinmischung die Verhinderung von Rückschlüssen zwischen den Ebenen zum Ziel.

Das [[Clark-Wilson-Modell]] hat die Sicherstellung der [[Integrität (Informationssicherheit)|Integrität]] zum Ziel und verfolgt dabei alle drei Integritätsziele. Unzulässige Modifikationen durch unautorisierte [[Anwender]], unzulässiger Modifikationen durch autorisierte Anwender sowie interne und externe Inkonsistenz werden gleichermaßen verhindert.

Beim mehrschichtigen, zustandsorientierten [[Bell-LaPadula]]-Modell wird die [[Vertraulichkeit]] sichergestellt. Dabei gelten für die Subjekte zwischen den Ebenen die beiden Regeln ''nicht nach oben lesen'' und ''nicht nach unten schreiben''.
Das ebenfalls mehrschichtige [[Biba-Modell]] verfolgt das erste Integritätsziel, die unzulässige Modifikationen durch unautorisierte Anwender. Dabei gelten für die Subjekte zwischen den Ebenen die beiden Regeln ''nicht nach oben schreiben'' und ''nicht nach unten lesen''.

Das [[Brewer-Nash-Modell]] oder auch Modell der Chinesischen Mauer passt die Zugriffsrechte eines Anwenders dynamisch und aktivitätsorientiert an um mögliche [[Interessenskonflikt]]e zu verhindern.

Das beziehungsorientierte Graham-Denning-Modell stellt einen grundlegenden [[Befehlssatz]] für Operationen zwischen den Subjekten und Objekten zur Verfügung und verfolgt damit wie das auf Rechtsänderung, Erstellung und Löschung von Subjekten und Objekten spezialisierte Harrison-Ruzzo-Ullman-Modell einen praxisbezogenen Ansatz.<ref>Mike Meyers, Shon Harris: ''CISSP''. 2. überarbeitete Auflage. Redline Verlag, Heidelberg 2007, ISBN 978-3-8266-1745-4, S. 139.</ref>

==== Zugriffskontrollmodelle ====
[[Zugriffskontrolle|Zugriffskontrollmodelle]] sind eng verwandt mit den Sicherheitsmodellen. Auch hier steht der Zugriff von Subjekten auf Objekten im Mittelpunkt der Betrachtung. Sie dienen der Umsetzung von Regeln und Zielen einer allgemeinen Sicherheitsrichtlinie.

Die drei wichtigsten Zugriffskontrollmodelle für die CISSP-Prüfung sind die offenen, die geschlossenen und die rollenbasierten Modelle.

[[Datei:Access Control List of Dokuwiki.jpg|mini|Beispiel für eine [[Access Control List]]]]

Die offenen Zugriffskontrollmodelle oder auch [[Discretionary Access Control|Discretionary-Access-Control]]-Modelle (DAC) erlauben dem Eigentümer von Objekten Art und Umfang des Zugriffs zu kontrollieren. Dies geschieht meist mittels [[Access Control List]]s (ACLs), in denen die Rechte nach dem [[need-to-know-Prinzip]] vergeben werden.

Geschlossene Zugriffskontrollmodelle oder auch [[Mandatory Access Control|Mandatory-Access-Control]]-Modelle (MACs) dagegen nehmen dem Subjekt die Entscheidungen zur [[Zugriffskontrolle]] ab. Jedes Objekt trägt eine Sicherheitskennung, mit deren Hilfe der Zugriff geregelt wird. Besitzt ein Subjekt nicht die nötige Freigabe kann kein Zugriff erfolgen.

Die rollenbasierten Modelle oder auch [[Role Based Access Control|Role-Based-Access-Control]]-Modelle (RBACs) treffen die Zugriffsentscheidung anhand spezieller Rollen- bzw. Gruppenzugehörigkeiten. Die Subjekte werden bei den RBACs in diese Systematik eingeordnet und erhalten so ihre Rechte. Das zugeordnete Objekt erbt die Rechte der jeweiligen Rolle oder Gruppe.

DAC-, MAC- und RBAC-Modelle können gemeinsam benutzt und zu einem Gesamtsystem zusammengefügt werden. Sie werden durch physikalische, administrative, logische und datenbasierende Zugriffskontrollelemente umgesetzt.<ref>Mike Meyers, Shon Harris: ''CISSP''. 2. überarbeitete Auflage. Redline Verlag, Heidelberg 2007, ISBN 978-3-8266-1745-4, S. 86 ff.</ref>

==== Praktische Zugriffskontrolle ====
[[Datei:IrisScanIraq.jpg|mini|150px|Iris-Erkennung mit einem Handgerät]]
[[Datei:RSA-SecurID-Tokens.jpg|mini|150px|Token von [[RSA Security]] mit [[Einmalkennwort]]]]

Eine wichtige Kategorie stellen die [[Biometrie|biometrischen]] Zugriffskontrollen dar. Zu den in der CISSP-Prüfung relevanten Varianten gehören die bereits länger erprobten Methoden mit [[Fingerabdruck|Fingerabdrücken]], [[Netzhaut]]- und [[Iris (Auge)|Iris]]-Scannern, Aber auch speziellere Techniken wie [[Gesichtserkennung]], [[Handgeometrie]], das [[Tippverhalten]] auf Tastaturen oder die individuelle [[Akustischer Fingerabdruck|Sprecher-Erkennung]] spielen eine Rolle.

Bei der [[Authentifizierung]] mittels [[Security-Token|Token]] werden [[Speicherkarte]]n und [[Smart Card]]s näher betrachtet.

Des Weiteren werden die Funktionsweise, Vor- und Nachteile von ticket-basierten Zugriffskontrollen wie z. B. [[Einmalkennwort|Einmalkennwörter]] oder [[Single Sign On|Single-Sign-On]]-Lösungen wie [[Kerberos (Informatik)|Kerberos]] oder das ''Secure European System for Applications in a Multi-Vendor Environment'' (SESAME) abgefragt.

Bei den Techniken der zentralen Zugriffskontrollverwaltung sind vor allem die drei Technologien [[Remote Authentication Dial-In User Service|RADIUS]], [[TACACS+]] und Diameter von Interesse.
RADIUS ist ein [[Authentisierung]]sprotokoll zur Zugriffskontrolle bei [[Wählleitung|Einwahlverbindungen]], das hauptsächlich durch [[Internetdienstanbieter]] genutzt wird. TACACS+ bietet ähnliche Funktionalitäten wie RADIUS, bietet jedoch aufgrund umfangreicherer Verschlüsselung ein höheres Sicherheitsniveau. RADIUS und TACACS+ können jedoch nicht zur Authentisierung beliebiger Geräte genutzt werden, da die nutzbaren Protokolle beschränkt sind. Diese zusätzliche Flexibilität liefert das [[Diameter (Protokoll)|Diameter-Protokoll]].<ref>Mike Meyers, Shon Harris: ''CISSP''. 2. überarbeitete Auflage. Redline Verlag, Heidelberg 2007, ISBN 978-3-8266-1745-4, S. 65 ff.</ref>

==== Weitere Themen ====
Zu den bisher genannten Themen in der Domain 1 kommen viele weitere Security-Themen. Als organisatorische Sicherheitsmaßnahme werden das [[Vier-Augen-Prinzip]] oder auch Separation of Duty eingeführt. Diese Maßnahme ist geeignet andere Maßnahmen zu ergänzen und zu verschärfen.

Die sichere Gestaltung von [[Passwort|Passwörtern und Passphrasen]] und der sichere Umgang mit [[Persönliche Identifikationsnummer|Personal-IDs]] gehören zum Thema Identifikations- und [[Authentifikation]]stechniken.

Es werden umfangreiche Kenntnisse zur Überprüfung der Access-Control-Maßnahmen abgefragt. Hierzu gehören Kenntnisse über [[Intrusion Detection System|Einbruchserkennungssysteme (IDS)]] ebenso wie der sichere und rechtlich unbedenkliche Betrieb von speziellen Fallen für Angreifer: Die sogenannten [[Honeypot]]s.

[[Datei:Man-In-The-Middle.png|mini|250px| [[Man-in-the-Middle-Angriff]]]]Unter dem Oberbegriff der [[Penetrationstest (Informatik)|Penetrationstests]] wird Wissen zu verschiedenen Angriffsarten abgeprüft. Hierzu gehören Techniken zum Ausnutzen bisher unbeseitigter Programmierfehler durch [[Zero-Day Exploit]]s und das Fälschen von Webseiten durch den Austausch der Webseiten-Adresse ([[DNS-Spoofing]]). Insbesondere die Risiken und technischen Voraussetzungen für Man-in-the-Middle-Angriffe werden betrachtet. Dies sind Angriffe, bei denen sich der Angreifer unbemerkt zwischen das Opfer und das System schaltet, das das Opfer gerne verwenden möchte.

Das abgefragte Themengebiet wird durch Fragen zu [[Wörterbuchangriff]]en und der [[Brute-Force-Methode]] auf [[Passwort|Passwörter]] ergänzt. Bei Wörterbuchangriffen werden softwaregestützt Wortlisten als Passwörter durchprobiert. Bei der Brute-Force-Methode wird diese Idee auf alle möglichen Passwörter ausgedehnt. Für die Prüfung ist wichtig, diese Angriffsmethoden in den Kontext von Sicherheitsmaßnahmen stellen zu können.

Angriffe, deren Ziel es ist die [[Verfügbarkeit]] von Systemen zu beeinträchtigen bezeichnet man als [[Denial of Service|Denial-of-Service]]-Angriffe (DoS). Der CISSP muss über Wissen zu den verschiedenen Varianten von DoS-Angriffen verfügen. Dies beinhaltet z. B. Wissen zum [[Smurf-Angriff]].

=== Information Security and Risk Management – Bereich 5 ===
Für die CISSP-Prüfung werden Grundlagen zur CIA-Triade abgefragt. Unter diesem [[Schlagwort (Linguistik)|Schlagwort]] werden die Begriffe confidentiality, integrity und availability (deutsch: [[Vertraulichkeit]], [[Integrität (Informationssicherheit)|Integrität]], [[Verfügbarkeit]]) zusammengefasst. Unter [[Integrität (Informationssicherheit)|Integrität]] versteht man den Schutz vor Verlust und den Schutz vor vorsätzlicher Veränderung. Eine weitere Forderung ist die nach [[Rückverfolgbarkeit (Anforderungsmanagement)|Nachvollziehbarkeit]] von Systemoperationen und nach [[Datenschutz|Privatsphäre]].

Ein großer Teil der Prüfung beschäftigt sich mit Fragen zur [[Management]]-Sicht auf [[Informationssystem]]e. Dies beinhaltet die Themen [[Risikomanagement]], [[Sicherheitsanalyse]] und [[Sicherheitsmanagement]]. Im Gegensatz zu anderen Ansätzen richtet sich die CISSP-Prüfung dabei an der Sicherheit in [[Informationssystem|Informations''systemen'']] aus. Das geht – je nach [[Definition|Begriffsdefinition]] – über die reine Sicherheit von [[Information]]en hinaus. Im Management-Teil befasst sich die CISSP-Prüfung mit Techniken des [[Change Management (ITIL)|Change-]] und [[Konfigurationsmanagement]]s.

Es werden Modelle zur [[Klassifizierung]] von Informationen in der [[Öffentliche Verwaltung|Öffentlichen Verwaltung]] (inkl. [[Militär]]) und der [[Privatwirtschaft]] abgefragt. Des Weiteren sind personelle Maßnahmen wichtig. [[Jobrotation]] wird im Rahmen des CISSP in Bezug auf [[Korruption]]sprävention eingeführt. Sicherheitsmaßnahmen bei [[Stellenbeschreibung]]en gehören ebenso wie die Gestaltung von [[Vertraulichkeitsvereinbarung]]en zum Prüfungsumfang. Zur Steigerung der Akzeptanz von Sicherheitsmaßnahmen werden Möglichkeiten von [[Informationssicherheit#Sensibilisierung und Befähigung der Mitarbeiter|Security Awareness Programmen]] beleuchtet.

Der CISSP-CBK verlangt umfassende Kenntnisse über Industriestandards aus den Bereichen [[Informationssicherheit]] und [[IT-Sicherheit]]. Am wichtigsten sind die Standards der [[ISO/IEC 27001|ISO/IEC-27000]]-Reihe, [[ITSEC]], [[Common Criteria]], [[COBIT]] und [[TCSEC]], die das Thema Sicherheit aus verschiedenen Blickwinkeln beleuchten. Ein zertifizierter CISSP muss für konkrete Situationen in der Lage sein, den jeweils richtigen Standard auszuwählen.

=== Telecommunications and Network Security – Bereich 10 ===

* [[ISO/OSI-Modell]]

Physikalische Charakteristiken
* [[Glasfaserkabel]]
* [[Twisted-Pair-Kabel]]

Netzwerk Layouts
* Sterntopologie
* [[Bus-Topologie]]
* [[Token Ring]]
* [[Ethernet]]
* [[Wireless LAN]]
* [[Wide Area Network]]
* [[Local Area Network]]
* [[Metropolitan Area Network]]

Routers und Firewalls
* [[Bridge (Netzwerk)]]
* [[Gateway (Informatik)]]
* [[Hub (Netzwerktechnik)]]
* [[Switch (Netzwerktechnik)]]
* [[Firewall]]
* [[Proxy (Rechnernetz)|Proxy]]

Protokolle
* [[TCP/IP]]
* [[IPsec]] IP Security
* [[Secure Communication Interoperability Protocol]] (SCIP)
* [[Transport Layer Security]] (TLS)
* [[Secure Sockets Layer]] (SSL)
* [[S/MIME]]
* [[Privacy Enhanced Mail]] (PEM)
* [[Challenge Handshake Authentication Protocol]] (CHAP)
* [[Password Authentication Protocol]] (PAP)
* [[Address Resolution Protocol]] (ARP)
* [[Simple Network Management Protocol]] (SNMP)
* [[Domain Name System]] (DNS)
* [[Internet Control Message Protocol]] (ICMP)

Services
* [[High-Level Data Link Control]] (HDLC)
* [[Frame Relay]]
* [[System Development Life Cycle|SDLC]]
* [[Integrated Services Digital Network]] (ISDN)
* [[X.25]]
* [[CSMA/CD]]

Sicherheitsrelevante Techniken
* [[Virtual Private Network]] (VPN)
* [[Network Address Translation]] (NAT)
* [[Remote Authentication Dial-In User Service]] (RADIUS)
* [[TACACS]]
* [[S-RPC]]
* [[Packet Sniffer]]
* [[Zyklische Redundanzprüfung]] (CRC)
* [[Blockprüfzeichenfolge]]

Weitere Themen
* [[Computerwurm]]
* [[Instant Messaging]]
* [[Sniffing]]
* [[Spamming]]

=== Weitere Bereiche ===

; Application Security – Bereich 2:
In dieser Domain werden [[software]]basierte Sicherheitsmaßnahmen, die [[Softwareentwicklung]] und insbesondere der [[Software-Lebenszyklus]] zusammengefasst.
; Business Continuity and Disaster Recovery Planning – Bereich 3:
Ausgehend von einer [[Business Impact Analyse]] (BIA) werden in Domain 3 Strategien zu Reaktions- und Wiederanlaufmaßnahmen abgefragt. Dazu gehören insbesondere Maßnahmen zum [[Betriebliches Kontinuitätsmanagement|Business Continuity Management]] (BCM) und der [[Disaster Recovery|Disaster Recovery Plan]] (DRP).
; Cryptography – Bereich 4:
Die [[Kryptologie]] unterteilt sich in die zwei Hauptbereiche [[Kryptographie]] und [[Kryptoanalyse]] (eine wörtliche [[Übersetzung (Linguistik)|Übersetzung]] von ''Cryptography'' wäre also eine unzulässige thematische Einschränkung). Es werden wichtige Konzepte, wie z. B. [[Public-Key-Infrastruktur]]en (PKI) und verbreitete [[Algorithmus|Algorithmen]] sowie deren Schwachstellen in dieser Domain behandelt.
; Legal, Regulations, Compliance and Investigations – Bereich 6:
Besonders in Domain 6 kommen die rechtlichen Unterschiede zum europäischen Raum zum Tragen. Das deutsche Recht spielt in der Prüfung keinerlei Rolle. Insbesondere im Bereich des [[BDSG|Bundesdatenschutzgesetzes]] (BDSG) sind die Unterschiede erheblich. Grundlage bilden die US-amerikanischen Gesetze. Auf andere Länder wird nur am Rande eingegangen. Sie werden nur im Rahmen grenzüberschreitender [[Datenübertragung]] abgefragt, jedoch nicht im Detail.<ref name="Rechtslage" />
; Operations Security – Bereich 7:
In diesem Abschnitt kommen hauptsächlich Themen aus dem Bereich des [[IT-Management]]s zum Tragen. Medienverwaltung, [[Backup]]strategien und [[Change Management (ITIL)|Change Management]] werden in Domain 7 abgeprüft.
; Physical (Environmental) Security – Bereich 8:
Physikalische [[Sicherheit]] wird oft nicht zum Bereich der [[Informationssicherheit]] gezählt. Für die CISSP-Prüfung sind [[Brandschutz]], [[Standortfaktor|Standortsicherheit]] und [[Bewachung]] wichtige Themen.
; Security Architecture and Design – Bereich 9:

Bereich 9 befasst sich mit [[Trusted Systems]] und [[Trusted Computing]]. Weitere Themen sind [[Systemarchitektur|System]] und [[Enterprise Architecture]].

== Weblinks ==
* [https://www.isc2.org/ International Information Systems Security Certification Consortium, Inc. auch: (ISC)²], der Anbieter der Zertifizierung; (ISC)² bietet diverse Zertifizierungen (u. a. CISSP) und (über Partner) Vorbereitungskurse an
* [http://www.isc2chapter-germany.org/ (ISC)² Chapter Germany e. V.]

== Einzelnachweise ==
<references responsive />

[[Kategorie:Berufsbildung]]
[[Kategorie:IT-Qualifikation]]
[[Kategorie:IT-Sicherheit]]

Certified Information Systems Security Professional - Versionsgeschichte

imported>Aka: /* Aufbau der CISSP-Prüfung */ Tippfehler entfernt