CISSP sınavı, (ISC)² tarafından düzenlenen, bilgi güvenliği sektörünün en geçerli sertifikasyonlarından bir tanesidir. Sertifikayı almaya hak kazanmak için ilgili sınavda başarılı olmanın yanında, gerekli iş tecrübesine sahip olunması ve etik kurallara riayet edilmesi gerekmektedir. 15 Nisan 2015 tarihinden itibaren geçerli olmak üzere, sınav konularında güncellemeye gidilmiştir. Bu makalemizde güncellenen başlıklardan söz edilecektir.
Hâlihazırda CISSP sınavı aşağıdaki 10 ana domain üzerinden yapılmaktadır:
- Access Control
- Telecommunications and Network Security
- Information Security Governance and Risk Management
- Software Development Security
- Cryptography
- Security Architecture and Design
- Operations Security
- Business Continuity and Disaster Recovery
- Legal, Regulations, Investigations and Compliance
- Physical(Environmental) Security
15 Nisan 2015 tarihinden itibaren geçerli olmak üzere, domain sayısı 8’e düşmüştür. Sınav başarıyla geçildikten sonra bu 8 domainden en az 2 tanesinde, en az 5 yıl iş tecrübesi aranmaktadır. 4 yıllık fakülte mezunu olmak gibi 1 yıllık tecrübe yerine geçebilen muafiyetler de geçerliliğini sürdürmektedir.
Güncellenen domain başlıkları şu şekildedir:
- Security and Risk Management
- Asset Security
- Security Engineering
- Communication and Network Security
- Identity and Access Management
- Security Assessment and Testing
- Security Operations
- Software Development Security
Şimdi sırasıyla bu domainleri kısaca incelemeye çalışacağız. Bunu yaparken, önceki domainlerle yeni domainlerin ilişkisinden de bahsedeceğiz. Tabiî burada unutulmaması gereken nokta, bilgi güvenliği konseptleri ve kavramlarının keskin hatlarla birbirinden ayrılamayacağıdır. O nedenle, örneğin erişim kontrolü konusu ağırlıklı olarak Identity and Access Management domaininde olsa da, bu konuya, diğer domainlerde de temas edilmektedir.
1. Security and Risk Management
Yeni domainin bu ilk konusuna, genel bilgi güvenliği kavramları ve konseptlerinden söz edilerek başlanmaktadır. Code of Ethics, Risk Management, Business Impact Analysis(BIA) ve bilgi güvenliği farkındalığı diğer anahtar kelimelerdir. Bu domainde önceki domainlerden;
- Information Security and Risk Governance
- Business Continuity
- Legal, Regulations and Compliance
başlıkları bulunmaktadır.
2. Asset Security
Önceki domainlerden herhangi birisini doğrudan doğruya ve tamamen muhteva ettiğini söyleyemeyeceğimiz bu yeni domainde genel olarak bilginin toplanması, ele alınması ve saklanması süreçlerinden yola çıkılarak, bilgi, “Bir Yaşam Döngüsü” çerçevesinde ele alınmaktadır. Data Owners, Data Remanence, Data Retention ve Data Security Controls, domainin öne çıkan konularıdır.
3. Security Engineering
Security Engineering domaini, ismiyle de müsemma olarak daha ağırlıklı teknik konuları ele almaktadır. Bildiğiniz gibi CISSP kapsamındaki konular, yerine göre ayrıntıya girilen teknik kısımları içermektedir. Örneğin kriptografi, örneğin güvenlik mimarileri. Yine gömülü sistem güvenliği ve son zamanların popüler konularından Internet of Things(IoT), domainin içerdiği diğer başlıklardır. Bu domainde bu tür teknik kısımlar biraraya getirilmiş ve belirtilen konulara bir mühendis bakış açısıyla bakılması amaçlanmıştır. 15 Nisan 2015 öncesi kapsamda bulunan domainlerden;
- Cryptography
- Security Architecture and Design
- Physical(Environmental) Security
konuları bu domainin kapsamını oluşturmaktadır.
4. Communication and Network Security
Dördüncü domain olan Communcation and Network Security konusu, önceki domainlerden Telecommunications and Network Security domainiyle birebir olarak örtüşmektedir. CISSP sınavı kapsamındaki en geniş konulardan bir tanesi olan ağ ve iletişim güvenliği konusunun, yeni domain yaklaşımında da ayrı bir başlık olarak korunması, konunun önemini ve büyüklüğünü anlatması açısından yeterli bir göstergedir.
5. Identity and Access Management
Birçok güvenlik ihlâlinin temelini oluşturan erişim yönetimi ve erişim kontrolü konusu, ağ ve iletişim güvenliği konusu gibi CISSP sınavı kapsamının en önemli ve en ayrıntılı başlıklarından bir diğeridir. Yeni domain düzenlemesinde de bu konu, aynı önceki yapıda olduğu gibi, ayrı bir başlık olarak korunmuştur. Önceki domainlerden Access Control başlığı, bu yeni domainin ana gövdesini oluşturmaktadır desek yanlış bir şey söylemiş olmayız.
6. Security Assessment and Testing
Security Engineering domaininde değindiğimiz teknik konulara ek olarak, Security Assessment and Testing domaini, CISSP sınavı kapsamında bulunan bir diğer teknik başlıktır. Bu her iki domain biraraya getirildiğinde, CISSP sınavının teknik konulara daha fazla yer vermeye başladığını görmekteyiz. Bu bağlamda Vulnerability Assessment, Penetration Testing, Code Review ve Log Review gibi yoğun bilgi birikimi ve yetkinlik gerektiren konular kapsama girmiştir. Buradan yola çıkarak (ISC)²’in, hacking yol ve yöntemlerine ağırlık vermeye başladığı, CISSP sınavına girecek adayların bu anlamda kalifiye olmasını beklediği ve bunu desteklediği sonucunu çıkarabiliriz. Bunun en büyük artısı olarak, governance’dan ziyade teknik tarafta yoğun olarak çalışan bilgi güvenliği uzmanlarına has bir başlığın bulunması, onlara bu yöndeki tecrübelerini sertika almaya hak kazanma yolunda kullanma fırsatını sunmaktadır.
7. Security Operations
Yeni domain çerçevesinin yedinci bölümü Security Operations’tır. Bu konu, önceki domain başlıklarından Operations Security konusunu içerdiği gibi Disaster Recovery ve Investigations konularını da bünyesine almaktadır.
8. Software Development Security
15 Nisan’dan sonra güncellenecek sınav konularının sonuncusu Software Development Security’dir. Hatırlarsanız önceki çerçevede de aynı başlık bulunmaktaydı. Yeni düzenlemede de bu konunun ayniyle vaki kaldığını görüyoruz. Güvenli yazılım geliştirmenin, birçok bilgi güvenliği problemini kökten ortadan kaldıracağı aşikârdır. (ISC)²’in de bu domaini aynı şekilde yeni düzenlemeye taşıması, konuya verdiği önemi göstermektedir.
Yenilenen kapsamıyla 01 – 05 Haziran 2015 tarihleri arasında düzenleyeceğimiz CISSP Hazırlık Eğitimi’ne katılmak ve daha ayrıntılı bilgi almak için eğitim sayfamızı ziyaret edebilirsiniz.
Adsız
Asset Security, CISSP, CISSP Domain Güncelleme, Communication and Network Security, Eğitim - Duyuru, Eğitim ve Etkinlikler, Identity and Access Management, Security and Risk Management, Security Assessment and Testing, Security Engineering, Software Development Security
