Amaç
CISSP sertifikasyonu bilgi güvenliği uzmanlarının 10 ana alan altında organize edilmiş olan bilgi güvenliği kontrolleri ve yönetimi ile ilgili olarak belli bir teorik bilgiye sahip olduklarını güvence altına alır. Sınavı geçmenin yanı sıra deneyim koşuluyla birlikte bu teorik bilginin pratik deneyimle desteklenmesi sertifikasyon için ön koşuldur.
Eğitimin amacı katılımcıların CISSP sınavına hazırlanmasının yanı sıra bilgi güvenliği yönetimi görevi bulunan katılımcılar için ISC2 tarafından 10 alan altında toplanmış olan bilgi güvenliği kontrollerine hakim olmasını sağlamaktır.
Eğitim çok sayıda örnek soru çözümüyle birlikte katılımcıları CISSP sınav yaklaşımına hazırlamayı da hedeflemektedir.
İçerik
- CISSP gereklilikleri ve 10 ana alanın özet tanıtımı
- Erişim kontrolü
- Erişim kontrol kavram ve prensipleri
- Veri sınıflandırma
- Etkili bir erişim kontrolünün özellikleri
- Erişim kontrol kategorileri (yönetsel, caydırıcı, önleyici, risk azaltıcı, tespit edici, düzeltici, geri döndürücü)
- Erişim kontrol tipleri (idari, teknik, fiziksel)
- Kimlik tanılama, doğrulama ve erişim kontrol stratejileri ile bu stratejilerin güçlü ve zayıf yönleri
- Hesap verebilirlik ve log yönetimi
- Erişim kontrollerinin etkinliğinin değerlendirilmesi (sızma testleri ve zaafiyet taramaları)
- Kimlik yönetim yöntemleri ve kullanıcı erişim yönetimi süreci
- Erişim kontrol teknolojileri
- Veri erişim kontrol türleri
- Saldırı tespit ve önleme sistemleri
- Tehdit modelleme
- Yetkisiz erişim tehditleri
- Güvenli yazılım geliştirme
- Uygulama geliştirme ve programlama kavramları
- Yazılım geliştirme dilleri
- Yazılım ortamındaki tehditler
- Yazılım açıklıkları veritabanları (CWE)
- Yazılım geliştirme güvenlik önlemleri ve kontrolleri
- Yazılım geliştirme metodolojileri
- Yazılım kalite yönetimi ve olgunluk modelleri
- Java güvenliği
- Nesne odaklı programlama ve güvenlik özellikleri
- Dağıtık programlama mimarileri
- Yazılım teknolojileri güvenlik önlemleri
- Girdi, işleme ve çıktı kontrolleri, veri bütünlük kontrolleri
- Değişiklik, konfigürasyon ve dağıtım yönetimi
- Zararlı yazılım türleri ve zararlı yazılım önlemleri
- Veritabanı kavramları ve modelleri
- İlişkisel veritabanı kavramları ve SQL dili
- Veritabanı erişim arayüz teknolojileri
- Veri ambarı kavramları
- Veritabanı zaafiyetleri ve tehditleri
- Veritabanı yönetim sistemi kontrolleri
- Web uygulamaları tehdit ve kontrolleri
- İş sürekliliği ve felaket kurtarma planlaması
- İş sürekliliği gereklilikleri
- İş sürekliliği planlamasında DRII 10 profesyonel pratik alanı
- İş sürekliliği ile ilgili düzenlemeler
- İş sürekliliği kaynak ihtiyaçları
- İş etki analizinin gerçekleştirilmesi
- Kurtarma stratejilerinin geliştirilmesi
- Süreklilik planının dokümantasyonu
- Felaket kurtarma süreci
- Kriz yönetimi
- İş sürekliliği planı eğitimi
- Süreklilik planının testi, değerlendirilmesi ve güncellenmesi
- Kriptografi
- Temel kriptografi kavramları
- Kriptografinin tarihçesi ve modern kriptografi teknolojileri
- Veri koruma durumları
- Kriptografinin sağladığı temel ve yan servisler
- Kriptolama sistem ve metodları
- Steganografi ve watermarking yöntemleri
- Simetrik kriptolama algoritmaları
- Asimetrik kriptolama algoritmaları
- Mesaj bütünlük kontrolleri
- Sayısal sertifikalar ve sayısal imza
- Kriptografik anahtar yönetimi
- Açık anahtar altyapısı
- Kriptografinin kötüye kullanımı ve yasal sınırlamalar
- Kripto analiz teknikleri
- Ağ güvenliğinde kriptolamanın kullanım durumları
- Uygulama güvenliğinde kriptolamanın kullanım durumları
- Bilgi güvenliği yönetişimi ve risk yönetimi
- Bilgi güvenliğinin yönetim ihtiyacı ve kurum öncelikleri ile ilişkisi
- Temel bilgi güvenliği prensipleri (gizlilik, bütünlük, erişebilirlik) ve bilgi sınıfları
- Bilgi güvenliği ve bilgi teknolojileri yönetişim kavramı
- Bilgi güvenliği politikaları, prosedürleri, standartları ve rehberleri
- Gerekli özen kavramları (due care ve due diligence)
- Bilgi güvenliği ile ilgili yasal uyum gereksinimleri
- Güvenlik ve denetim çerçeve ve metodolojileri
- Risk değerlendirme kavramları ve süreci
- Risk yanıt stratejileri ve kontrol seçimi
- Bilgi güvenliği rol ve sorumlulukları
- Bilgi güvenliği organizasyonunun kurum organizasyonundaki yeri
- Organizasyonel güvenlik prensipleri
- Bilgi güvenliği farkındalık eğitimleri
- Sosyal mühendislik tehdidi
- Bilgi güvenliği planlaması (stratejik, taktik ve operasyonel planlama)
- Personel işe alım, görev değişikliği ve işten ayrılma kontrolleri
- Etik ilkeler ve kabul edilebilir kullanım kuralları
- Hacking ve hacktivizm kavramları
- Güvenlik yönetim metrikleri ve güvencesi
- Yasal uyum ve incelemeler
- Yasal sistemler
- Bilgi teknolojilerine yönelik yasalar ve düzenlemeler (genel ve ulusal)
- Kişisel bilgilerin korunmasına ilişkin prensipler ve düzenlemeler (genel ve ulusal)
- Bilişim suçları türleri
- Bilgi güvenliği olay müdahale süreci
- Adli bilişim incelemeleri
- Operasyon güvenliği
- Operasyonel esnekliğin sağlanması ve kesinti riskinin azaltılması
- Kişilere bağımlılık ve suistimal riskinin azaltılması
- Çoklu disk konfigürasyon mimarileri
- Yedekleme, saklama ve kurtarma operasyonları
- Ayrıcalıklı hesap yönetimi
- Kullanıcı hesap yönetimi
- Uzaktan çalışma kontrolleri
- Güvenlik altyapı yönetimi (firewall, IDS, antivirüs, anti-spam, açıklık yönetimi, ortam yönetim araçları, v.d.)
- Olay yönetimi
- Problem yönetimi
- Değişiklik yönetimi
- Konfigürasyon yönetimi
- Yama yönetimi
- Fiziksel ve çevresel güvenlik
- Fiziksel ve çevresel tehditler (doğal felaketler, kasıtlı tehditler, destek sistemleri arızaları, v.d.)
- Tesis giriş ve çevre güvenlik kontrolleri
- Çevresel yetkisiz giriş tespit sistemleri
- Işıklandırma
- Fiziksel giriş kontrolleri
- Kamera izleme kontrolleri
- Güvenlik görevlileri ve alarm izleme ekipleri
- Bina içi fiziksel erişim kontrolleri
- Biyometrik erişim kontrol türleri
- Güvenli cam türleri
- Bina içi yetkisiz giriş tespit sistemleri
- Ziyaretçi güvenliği
- Güvenli operasyonel alanlar
- Ekipman güvenliği
- Çevresel tehditlere karşı kontroller (yangın, yüksek ısı, su basması, güç kesintisi, v.d.)
- Seyahat sırasında alınması gereken fiziksel güvenlik önlemleri
- Bilgi güvenliği mimarisi ve tasarımı
- Genel sistem bileşenleri
- Kurumsal güvenlik mimarisi
- Genel güvenlik servisleri
- Bilgi teknolojileri mimari çerçeveleri (Zachman, TOGAF, SABSA, ITIL, v.d.)
- Güvenlik model örnekleri
- Güvenlik değerlendirme kriterleri ve güvenlik sertifikasyonu
- Bilgi güvenliği uygulama rehberleri (ISO27001, CobiT, PCI DSS)
- Bilgi sistemleri güvenlik kaabiliyetleri
- Güvenlik mimarisi açıklıkları (sinyal sızdırma, gizli kanallar, teknoloji ve süreç entegrasyon açıklıkları)
- Yazılım ve sistem açıklıkları ve tehditleri (web uygulamaları, istemci uygulamaları, sunucu, veritabanı, dağıtık sistem, bulut bilişim açıklıkları)
- Temel güvenlik mimari prensipleri ve güvenliğin sürdürülmesi
- İletişim ve ağ güvenliği
- Ağ modelleri (OSI, TCP/IP)
- Fiziksel katman (1. katman) kavramları, kablolu ve kablosuz veri iletim ortamları
- Veri bağı katmanı (2. katman) kavramları ve mimarileri, ağ topolojileri
- Ağ katmanı (3. katman) kavramları ve mimarileri
- Taşıma katmanı (4. katman) kavramları ve mimarileri
- Oturum katmanı (5. katman) kavramları ve mimarileri
- Sunu katmanı (6. katman) kavramları ve mimarileri
- Uygulama katmanı (7. katman) kavramları ve mimarileri
- Temel TCP/IP protokolleri (ethernet, IP, TCP, UDP, ICMP, DNS, HTTP)
- Diğer temel protokoller (dizin servisleri, dosya paylaşım protokolleri, kullanıcı tanılama protokolleri, v.d.)
- Ağ cihazları
- Ağ güvenlik cihazları
- Uç nokta güvenliği
- Ağ güvenlik ve kriptolama protokolleri
- VOIP protokolleri ve tehditleri
- Eşler arası (peer to peer) ağlar
- Uzaktan erişim
- Ağ saldırıları
- Ağ saldırılarına karşı önlemler