- Vorwort (Lesen Sie dies zuerst!)
- Legende
- Prüfungsvorbereitungsstrategie
- Prüfungsmentalität
- Zeitmanagement
- Prüfungsantworten auswerten (Die READ-Strategie)
- Empfohlene Studienmaterialien
- Bücher
- Übungsfragen
- Video-Training
- Lernkarten
- Kapitel 1:Domäne 1 - Sicherheits- und Risikomanagement
- 1.1 Verstehen, Einhalten und Fördern von Berufsethik
- 1.1.1 ISC2-Ethikkodex
- 1.1.2 Organisatorischer Ethikkodex
- 1.2 Verstehen und Anwenden von Sicherheitskonzepten
- Die CIA-Triade
- AAA-Dienste
- 1.2.1 Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Nichtabstreitbarkeit (5 Säulen der Informationssicherheit)
- 1.3 Bewertung und Anwendung von Sicherheits-Governance-Prinzipien
- 1.3.1 Ausrichtung der Sicherheitsfunktion an Geschäftsstrategie, Zielen, Mission und Vorgaben
- Wichtige Begriffe und Konzepte
- 1.3.2 Organisatorische Prozesse (z.B. Akquisitionen, Veräußerungen, Governance-Ausschüsse)
- 1.3.3 Organisatorische Rollen und Verantwortlichkeiten
- 1.3.4 Sicherheitskontrollrahmenwerke
- 1.3.5 Sorgfaltspflicht/Sorgfaltsmaßnahmen
- 1.4 Verstehen Sie rechtliche, regulatorische und Compliance-Fragen, die die Informationssicherheit in einem ganzheitlichen Kontext betreffen
- 1.4.1 Cyberkriminalität und Datenschutzverletzungen
- 1.4.2 Lizenzierung und Anforderungen an geistiges Eigentum
- 1.4.3 Import-/Exportkontrollen
- 1.4.4 Grenzüberschreitender Datenverkehr
- 1.4.5 Datenschutzbezogene Themen
- Datenschutz-Folgenabschätzung (DSFA)
- Cybersicherheitsgesetze und -vorschriften
- 1.4.6 Vertragliche, rechtliche, branchenspezifische und regulatorische Anforderungen
- 1.5 Verstehen der Anforderungen für Untersuchungsarten (d.h. administrative, strafrechtliche, zivilrechtliche, regulatorische, Industriestandards)
- Rechtszweige
- Untersuchungsarten
- 1.6 Entwicklung, Dokumentation und Implementierung von Sicherheitsrichtlinien, Standards, Prozeduren und Leitlinien
- Sicherheitsrichtlinie
- Sicherheitsstandard
- Sicherheitsprozedur
- Sicherheitsleitlinie
- 1.7 Identifizierung, Analyse, Bewertung, Priorisierung und Implementierung von Anforderungen an die Betriebskontinuität (BC)
- 1.7.1 Business Impact Analysis (BIA)
- 1.7.2 Externe Abhängigkeiten
- 1.8 Beitragen zu und Durchsetzen von Personalsicherheitsrichtlinien und -verfahren
- 1.8.1 Kandidatenüberprüfung und Einstellung
- 1.8.2 Arbeitsverträge und richtlinienbasierte Anforderungen
- 1.8.3 Einarbeitungs-, Versetzungs- und Kündigungsprozesse
- 1.8.4 Vereinbarungen und Kontrollen für Lieferanten, Berater und Auftragnehmer
- 1.9 Risikomanagementkonzepte verstehen und anwenden
- 1.9.1 Bedrohungs- und Schwachstellenidentifizierung
- 1.9.2 Risikoanalyse, -bewertung und -umfang
- Risikoanalyse-Methoden
- Quantitativer Risikoanalyse-Prozess
- Formeln für die Quantitative Risikoanalyse
- Beispiel zur quantitativen Risikoanalyse
- 1.9.3 Risikobehandlung und -steuerung (z.B. Cyber-Versicherung)
- Weitere wichtige Begriffe im Zusammenhang mit Risiko
- 1.9.4 Anwendbare Arten von Kontrollen (z.B. präventiv, erkennend, korrigierend)
- Sicherheitskontrollkategorien:
- Sicherheitskontrolltypen:
- 1.9.5 Kontrollbewertungen (z.B. Sicherheit und Datenschutz)
- 1.9.6 Kontinuierliche Überwachung und Messung
- 1.9.7 Berichterstattung (z.B. intern, extern)
- 1.9.8 Kontinuierliche Verbesserung (z.B. Risikoreifegradmodellierung)
- 1.9.9 Risikorahmenwerke
- Sicherheitskontrollrahmen
- 1.10 Bedrohungsmodellierungskonzepte und -methodologien verstehen und anwenden
- Gängige Methoden der Bedrohungsmodellierung
- Prinzipien des Social Engineering
- Social Engineering Angriffe
- 1.11 Anwendung von Konzepten des Lieferketten-Risikomanagements (SCRM)
- 1.11.1 Risiken im Zusammenhang mit dem Erwerb von Produkten und Dienstleistungen von Lieferanten und Anbietern (z.B. Produktmanipulation, Fälschungen, Implantate)
- 1.11.2 Risikominderungen (z.B. Bewertung und Überwachung Dritter, Mindestsicherheitsanforderungen, Service-Level-Anforderungen, Silicon-Root-of-Trust, physikalisch unklonbare Funktion, Software-Stückliste)
- 1.12 Ein Programm für Sicherheitsbewusstsein, -aufklärung und -schulung einrichten und aufrechterhalten
- 1.12.1 Methoden und Techniken zur Steigerung von Bewusstsein und Schulung (z.B. Social Engineering, Phishing, Sicherheits-Champions, Gamifizierung)
- 1.12.2 Regelmäßige Inhaltsüberprüfungen unter Einbeziehung aufkommender Technologien und Trends (z.B. Kryptowährung, künstliche Intelligenz (KI), Blockchain)
- 1.12.3 Bewertung der Programmwirksamkeit
- 1.1 Verstehen, Einhalten und Fördern von Berufsethik
- Kapitel 2:Domain 2 - Anlagensicherheit
- 2.1 Identifizierung und Klassifizierung von Informationen und Anlagen
- 2.1.1 Datenklassifizierung
- Datenklassifizierung in staatlichen und öffentlichen Organisationen
- 2.1.2 Anlagenklassifizierung
- 2.2 Festlegung von Anforderungen für den Umgang mit Informationen und Vermögenswerten
- 2.3 Sichere Bereitstellung von Informationen und Vermögenswerten
- Basis-Sicherheitskontrollen
- 2.3.1 Eigentümerschaft von Informationen und Vermögenswerten
- 2.3.2 Anlagenbestand
- 2.3.3 Asset-Management
- Asset-Management-Lebenszyklus
- 2.4 Verwaltung des Datenlebenszyklus
- 2.4.1 Datenrollen
- 2.4.2 Datenerfassung
- 2.4.3 Datenstandort
- 2.4.4 Datenpflege
- 2.4.5 Datenaufbewahrung
- 2.4.6 Datenremanenz
- 2.4.7 Datenvernichtung
- 2.5 Angemessene Asset-Aufbewahrung sicherstellen (EOL, EOS)
- 2.6 Festlegung von Datensicherheitskontrollen und Compliance-Anforderungen
- 2.6.1 Datenzustände (In Verwendung, In Übertragung, In Ruhe)
- 2.6.2 Umfangsbestimmung und Anpassung
- 2.6.3 Auswahl von Standards
- 2.6.4 Datenschutzmethoden (DRM, DLP, CASB)
- 2.1 Identifizierung und Klassifizierung von Informationen und Anlagen
- Kapitel 3:Domäne 3 - Sicherheitsarchitektur und -entwicklung
- 3.1 Forschung, Implementierung und Verwaltung von Entwicklungsprozessen unter Verwendung sicherer Designprinzipien
- 3.1.1 Bedrohungsmodellierung
- 3.1.2 Prinzip der minimalen Rechte
- 3.1.3 Gestaffelte Verteidigung
- 3.1.4 Sichere Standardeinstellungen
- 3.1.5 Sicheres Fehlverhalten
- 3.1.6 Funktionstrennung (SoD)
- 3.1.7 Keep it simple and small
- 3.1.8 Zero Trust oder Vertrauen, aber überprüfen
- 3.1.9 Privacy by Design
- 3.1.10 Geteilte Verantwortung
- 3.1.11 Secure Access Service Edge
- 3.2 Verstehen Sie die grundlegenden Konzepte von Sicherheitsmodellen (z.B. Biba, Star Model, Bell-LaPadula)
- 3.3 Auswahl von Kontrollen basierend auf Systemsicherheitsanforderungen
- Common Criteria
- 3.4 Sicherheitsfähigkeiten von Informationssystemen verstehen
- 3.5 Bewertung und Minderung der Schwachstellen von Sicherheitsarchitekturen, -designs und Lösungselementen
- 3.5.1 Client-basierte Systeme
- Absicherung des Boot-Prozesses
- Mobile Device Management (MDM)
- Richtlinien für Mobile-Device-Deployment
- 3.5.2 Serverbasierte Systeme
- 3.5.3 Datenbanksysteme
- Datenbankarchitektur
- RDBMS-Angriffe
- 3.5.4 Kryptographische Systeme
- Ziele der Kryptographie
- 3.5.5 Betriebstechnologie/Industrielle Steuerungssysteme (ICS)
- 3.5.6 Cloud-basierte Systeme (z.B. Software as a Service (SaaS), Infrastructure as a Service (IaaS), Platform as a Service (PaaS))
- Was ist Cloud Computing?
- Cloud-Servicemodelle
- Cloud-Bereitstellungsmodelle
- 3.5.7 Verteilte Systeme
- 3.5.8 Internet der Dinge (IoT)
- 3.5.9 Microservices (z.B. Application Programming Interface (API))
- 3.5.10 Containerisierung
- 3.5.11 Serverless
- 3.5.12 Eingebettete Systeme
- 3.5.13 Hochleistungsrechensysteme (HPC-Systeme)
- 3.5.14 Edge-Computing-Systeme
- Edge-Computing
- Fog-Computing
- 3.5.15 Virtualisierte Systeme
- 3.6 Auswahl und Bestimmung kryptografischer Lösungen
- 3.6.1 Kryptografischer Lebenszyklus
- 3.6.2 Kryptografische Methoden (z.B. symmetrisch, asymmetrisch, elliptische Kurven, Quantum)
- Wichtige Begriffe und Konzepte
- Symmetrische Kryptographie
- Asymmetrische Kryptographie (Public-Key-Kryptographie)
- Hybride Kryptographie
- Hash-Funktionen
- Arten von Chiffren
- E-Mail-Sicherheit
- Post-Quantum-Kryptographie
- 3.6.3 Public-Key-Infrastruktur (PKI)
- 3.6.4 Schlüsselverwaltungspraktiken
- 3.6.5 Digitale Signaturen und Zertifikate (z.B. Nichtabstreitbarkeit, Integrität)
- 3.7 Methoden kryptoanalytischer Angriffe verstehen
- 3.7.1 Brute-Force
- 3.7.2 Nur-Chiffretext
- 3.7.3 Known Plaintext
- 3.7.4 Häufigkeitsanalyse
- 3.7.5 Chosen Ciphertext
- 3.7.6 Implementierungsangriffe
- 3.7.7 Seitenkanal
- 3.7.8 Fehlerinjektion
- 3.7.9 Zeitanalyse
- 3.7.10 Man-in-the-Middle (MITM)
- 3.7.11 Pass-the-Hash
- 3.7.12 Kerberos-Exploitation
- Kerberos-Angriffe
- 3.7.13 Ransomware
- 3.8 Sicherheitsprinzipien auf Standort- und Anlagenplanung anwenden
- Standortwahl
- Anlagenplanung
- Disaster-Recovery-Metriken
- Bedrohungen der physischen Sicherheit
- Sicherheitskontrollkategorien, -typen und funktionale Reihenfolge
- 3.9 Sicherheitskontrollen für Standorte und Einrichtungen entwerfen
- 3.9.1 Verkabelungsräume/Zwischenverteiler
- 3.9.2 Serverräume/Rechenzentren
- 3.9.3 Medienspeichereinrichtungen
- 3.9.4 Beweismittelaufbewahrung
- 3.9.5 Sicherheit in beschränkten Bereichen und Arbeitsbereichen
- 3.9.6 Versorgungseinrichtungen und Heizung, Lüftung und Klimatisierung (HVAC)
- 3.9.7 Umweltprobleme (z.B. Naturkatastrophen, von Menschen verursachte Katastrophen)
- 3.9.8 Brandverhütung, -erkennung und -bekämpfung
- Branderkennung
- Brandbekämpfung
- 3.9.9 Stromversorgung (z.B. redundant, Backup)
- 3.10 Verwaltung des Informationssystem-Lebenszyklus
- 3.10.1 Bedürfnisse und Anforderungen der Interessengruppen
- 3.10.2 Anforderungsanalyse
- 3.10.3 Architekturentwurf
- 3.10.4 Entwicklung/Implementierung
- 3.10.5 Integration
- 3.10.6 Verifikation und Validierung
- 3.10.7 Übergang/Bereitstellung
- 3.10.8 Betrieb und Wartung/Aufrechterhaltung
- 3.10.9 Außerbetriebnahme/Entsorgung
- 3.1 Forschung, Implementierung und Verwaltung von Entwicklungsprozessen unter Verwendung sicherer Designprinzipien
- Kapitel 4:Domäne 4 - Kommunikations- und Netzwerksicherheit
- 4.1 Anwendung sicherer Designprinzipien in Netzwerkarchitekturen
- 4.1.1 Open System Interconnection (OSI) und Transmission Control Protocol/Internet Protocol (TCP/IP) Modelle
- Andere wichtige TCP/IP-Protokolle
- 4.1.2 Internet Protocol (IP) Version 4 und 6 (IPv6) (z.B. Unicast, Broadcast, Multicast, Anycast)
- Netzwerkangriffe
- 4.1.3 Sichere Protokolle (z.B. IPSec, SSH, SSL/TLS)
- Authentifizierungsprotokolle
- VPN-Protokolle
- 4.1.4 Auswirkungen von Mehrschichtenprotokollen
- 4.1.5 Konvergierte Protokolle (z.B. iSCSI, VoIP, InfiniBand over Ethernet, Compute Express Link)
- Sprachprotokolle: PBX, PSTN, VoIP
- PBX- und sprachbezogene Angriffe
- Kommunikationsangriffe
- 4.1.6 Transportarchitektur (z.B. Topologie, Daten-/Steuerungs-/Verwaltungsebene, Cut-through/Store-and-forward)
- Arten von Netzwerkgeräten
- Netzwerktopologien
- Andere Netzwerktechnologien und Konzepte
- 4.1.7 Leistungsmetriken (z.B. Bandbreite, Latenz, Jitter, Durchsatz, Signal-Rausch-Verhältnis)
- 4.1.8 Datenverkehrsflüsse (z.B. Nord-Süd, Ost-West)
- 4.1.9 Physische Segmentierung (z.B. In-Band, Out-of-Band, Air-Gapped)
- 4.1.10 Logische Segmentierung (z.B. VLANs, VPNs, virtuelles Routing und Forwarding, virtuelle Domäne)
- 4.1.11 Mikrosegmentierung (z.B. Netzwerk-Overlays/Kapselung; verteilte Firewalls, Router, Einbruchserkennungssystem (IDS)/Einbruchspräventionssystem (IPS), Zero Trust)
- Perimeter-Netzwerke
- 4.1.12 Edge-Netzwerke (z.B. Eingang/Ausgang, Peering)
- 4.1.13 Drahtlose Netzwerke (z.B. Bluetooth, Wi-Fi, Zigbee, Satellit)
- Bluetooth-Angriffe
- Wi-Fi
- WLAN-Abdeckung
- Drahtlose Angriffe
- 4.1.14 Mobilfunknetze (z.B. 4G, 5G)
- 4.1.15 Content-Delivery-Netzwerke (CDNs)
- 4.1.16 Software-definierte Netzwerke (SDN) (z.B. Application Programming Interface (API), Software-Defined Wide-Area Network (SD-WAN), Netzwerkfunktionsvirtualisierung (NFV))
- Software-definierte Netzwerke (SDN)
- Software Defined Everything (SDx)
- 4.1.17 Virtual Private Cloud (VPC)
- 4.1.18 Überwachung und Management (z.B. Netzwerkbeobachtbarkeit, Verkehrsfluss/-formung, Kapazitätsmanagement, Fehlererkennung und -behandlung)
- 4.2 Sichere Netzwerkkomponenten
- 4.2.1 Betrieb der Infrastruktur (z.B. redundante Stromversorgung, Garantie, Support)
- 4.2.2 Übertragungsmedien (z.B. physische Sicherheit der Medien, Signalausbreitungsqualität)
- 4.2.3 Netzwerkzugriffskontrolle (NAC) Systeme (z.B. physische und virtuelle Lösungen)
- 4.2.4 Endpunktsicherheit (z.B. Host-basiert)
- 4.3 Implementierung sicherer Kommunikationskanäle
- 4.3.1 Sprache, Video, Zusammenarbeit (z.B. Konferenzen, Zoom-Räume)
- 4.3.2 Fernzugriff (z.B. Netzwerk-Administrationsfunktionen)
- 4.3.3 Datenkommunikation (z.B. Backbone-Netzwerke, Satellit)
- Virtuelle Schaltkreise, PVCs, SVCs und verwandte Konzepte
- 4.3.4 Konnektivität durch Drittanbieter (z.B. Telekommunikationsanbieter, Hardware-Support)
- 4.1 Anwendung sicherer Designprinzipien in Netzwerkarchitekturen
- Kapitel 5:Domain 5 - Identitäts- und Zugriffsmanagement (IAM)
- 5.1 Kontrolle des physischen und logischen Zugriffs auf Assets
- 5.1.1 Informationen
- 5.1.2 Systeme
- 5.1.3 Geräte
- 5.1.4 Einrichtungen
- 5.1.5 Anwendungen
- 5.1.6 Dienste
- 5.2 Entwicklung der Identifikations- und Authentifizierungsstrategie (z.B. Personen, Geräte und Dienste)
- 5.2.1 Gruppen und Rollen
- 5.2.2 Authentifizierung, Autorisierung und Abrechnung (z.B. Mehrfaktor-Authentifizierung (MFA), passwortlose Authentifizierung)
- 5.2.3 Sitzungsverwaltung
- 5.2.4 Identitätsregistrierung, -prüfung
- 5.2.5 Föderiertes Identitätsmanagement
- 5.2.6 Zugangsdatenverwaltungssysteme
- 5.2.7 Single Sign-on
- Kerberos-Komponenten
- Häufige Kerberos-Angriffe:
- 5.2.8 Just-In-Time
- 5.3 Föderierte Identität mit Drittanbieterdiensten
- 5.3.1 On-premises
- 5.3.2 Cloud
- 5.3.3 Hybrid
- 5.4 Implementierung und Verwaltung von Autorisierungsmechanismen
- 5.4.1 Rollenbasierte Zugriffssteuerung (RBAC)
- 5.4.2 Regelbasierte Zugriffssteuerung
- 5.4.3 Obligatorische Zugriffssteuerung (MAC)
- 5.4.4 Benutzerbestimmbare Zugriffssteuerung (DAC)
- 5.4.5 Attributbasierte Zugriffssteuerung (ABAC)
- 5.4.6 Risikobasierte Zugriffskontrolle
- 5.4.7 Durchsetzung von Zugriffsrichtlinien (z.B. Policy Decision Point, Policy Enforcement Point)
- 5.5 Verwaltung des Identitäts- und Zugriffsvergabe-Lebenszyklus
- 5.5.1 Kontozugriffsüberprüfung
- 5.5.2 Bereitstellung und Entziehung
- 5.5.3 Rollendefinition und -übergang
- 5.5.4 Privilegieneskalation
- 5.5.5 Verwaltung von Dienstkonten
- 5.6 Implementierung von Authentifizierungssystemen
- Biometrische Authentifizierung
- 5.1 Kontrolle des physischen und logischen Zugriffs auf Assets
- Kapitel 6:Domäne 6 - Sicherheitsbewertung und -tests
- 6.1 Entwicklung und Validierung von Bewertungs-, Test- und Prüfstrategien
- Bewertung vs. Audit: Was ist der Unterschied?
- 6.1.1 Intern (z.B. innerhalb der Organisationskontrolle)
- 6.1.2 Extern (z.B. außerhalb der Organisationskontrolle)
- 6.1.3 Audits durch Dritte (z.B. außerhalb der Unternehmenskontrolle)
- 6.1.4 Standort (z.B. On-Premises, Cloud, Hybrid)
- Prüfungsrecht in der Cloud
- 6.2 Durchführung von Sicherheitskontrollen-Tests
- 6.2.1 Schwachstellenbewertung
- 6.2.2 Penetrationstests (z.B. Red-, Blue- und/oder Purple-Team-Übungen)
- 6.2.3 Protokollüberprüfungen
- 6.2.4 Synthetische Transaktionen/Benchmarks
- 6.2.5 Code-Überprüfung und -Tests
- 6.2.6 Missbrauchsfall-Tests
- 6.2.7 Abdeckungsanalyse
- 6.2.8 Schnittstellentests (z.B. Benutzeroberfläche, Netzwerkschnittstelle, Programmierschnittstelle (API))
- 6.2.9 Angriffssimulationen
- 6.2.10 Compliance-Prüfungen
- 6.3 Sammlung von Sicherheitsprozessdaten (z.B. technische und administrative)
- 6.3.1 Kontoverwaltung
- 6.3.2 Management-Überprüfung und -Genehmigung
- 6.3.3 Leistungs- und Risikokennzahlen
- 6.3.4 Backup-Verifizierungsdaten
- 6.3.5 Schulung und Sensibilisierung
- 6.3.6 Disaster Recovery (DR) und Business Continuity (BC)
- 6.4 Analyse von Testergebnissen und Berichtserstellung
- 6.4.1 Behebung
- 6.4.2 Ausnahmebehandlung
- 6.4.3 Ethische Offenlegung
- 6.5 Durchführung oder Unterstützung von Sicherheitsaudits
- 6.5.1 Intern (z.B. unter Kontrolle der Organisation)
- 6.5.2 Extern (z.B. außerhalb der Kontrolle der Organisation)
- 6.5.3 Drittanbieter (z.B. außerhalb der Unternehmenskontrolle)
- 6.5.4 Standort (z.B. On-Premise, Cloud, Hybrid)
- 6.1 Entwicklung und Validierung von Bewertungs-, Test- und Prüfstrategien
- Kapitel 7:Domäne 7 - Sicherheitsbetrieb
- 7.1 Untersuchungen verstehen und durchführen
- Sechs Kategorien von Computerkriminalität
- Elektronische Beweissicherung (eDiscovery)
- 7.1.1 Beweissammlung und -handhabung
- 7.1.2 Berichterstattung und Dokumentation
- 7.1.3 Untersuchungstechniken
- 7.1.4 Digitale Forensik
- 7.1.5 Artefakte
- 7.2 Durchführung von Protokollierungs- und Überwachungsaktivitäten
- 7.2.1 Einbruchserkennung- und Präventionssystem (IDPS)
- 7.2.2 Sicherheitsinformations- und Ereignisverwaltung (SIEM)
- 7.2.3 Security orchestration, automation and response (SOAR)
- 7.2.4 Kontinuierliche Überwachung und Optimierung
- 7.2.5 Ausgangsüberwachung
- 7.2.6 Protokollverwaltung
- 7.2.7 Bedrohungsinformationen (z.B. Bedrohungsfeeds, Bedrohungsjagd)
- 7.2.8 Benutzer- und Entitätsverhaltensanalyse (UEBA)
- 7.3 Konfigurationsmanagement durchführen (z.B. Bereitstellung, Baseline-Erstellung, Automatisierung)
- 7.4 Grundlegende Sicherheitsoperationskonzepte anwenden
- 7.4.1 Need-to-know/Prinzip der minimalen Rechte
- 7.4.2 Funktionstrennung und Verantwortlichkeiten
- 7.4.3 Verwaltung privilegierter Konten
- 7.4.4 Jobrotation
- 7.4.5 Service-Level-Agreements (SLA)
- 7.5 Anwendung von Ressourcenschutz
- 7.5.1 Medienverwaltung
- 7.5.2 Medienschutztechniken
- 7.5.3 Ruhende Daten/Daten während der Übertragung
- Schutz ruhender Daten
- Schutz von Daten während der Übertragung
- Schutz von Daten während der Nutzung
- 7.6 Vorfallsmanagement durchführen
- 7.6.1 Erkennung
- 7.6.2 Reaktion
- 7.6.3 Eindämmung
- 7.6.4 Berichterstattung
- 7.6.5 Wiederherstellung
- 7.6.6 Behebung
- 7.6.7 Lessons learned
- 7.7 Betrieb und Wartung von Erkennungs- und Präventivmaßnahmen
- 7.7.1 Firewalls (z.B. Next Generation, Web Application, Network)
- 7.7.2 Einbruchserkennungssysteme (IDS) und Einbruchspräventionssysteme (IPS)
- 7.7.3 Whitelisting/Blacklisting
- 7.7.4 Sicherheitsdienste von Drittanbietern
- 7.7.5 Sandboxing
- 7.7.6 Honeypots/Honeynets
- 7.7.7 Anti-Malware
- Malware-Typen und Verbreitungstechniken
- 7.7.8 Maschinelles Lernen und KI-Werkzeuge
- 7.8 Implementierung und Unterstützung von Patch- und Schwachstellenmanagement
- 7.9 Change-Management-Prozesse verstehen und daran teilnehmen
- 7.10 Wiederherstellungsstrategien implementieren
- 7.10.1 Datensicherungsstrategien
- 7.10.2 Strategien für Wiederherstellungsstandorte
- 7.10.3 Mehrere Verarbeitungsstandorte
- 7.10.4 Systemresilienz, Hochverfügbarkeit, QoS, Fehlertoleranz
- 7.11 Implementierung von Notfallwiederherstellungsprozessen
- 7.11.1 Reaktion
- 7.11.2 Personal
- 7.11.3 Kommunikation
- 7.11.4 Bewertung
- 7.11.5 Wiederherstellung
- 7.11.6 Schulung und Sensibilisierung
- 7.11.7 Gewonnene Erkenntnisse
- 7.12 Test des Notfallwiederherstellungsplans (DRP)
- 7.12.1 Dokumentendurchsicht/Planspielübung
- 7.12.2 Durchsprache
- 7.12.3 Simulation
- 7.12.4 Paralleltest
- 7.12.5 Vollständige Unterbrechung
- 7.12.6 Kommunikation
- 7.13 Teilnahme an Business-Continuity (BC)-Planung und -Übungen
- Phasen des BCP
- 7.14 Implementierung und Verwaltung der physischen Sicherheit
- 7.14.1 Perimeter-Sicherheitskontrollen
- 7.14.2 Interne Sicherheitskontrollen
- 7.14 Anhang - Beispiele für Kontrolltypen
- 7.15 Umgang mit Personal- und Sicherheitsbedenken
- 7.15.1 Reisen
- 7.15.2 Sicherheitsschulung und -bewusstsein
- 7.15.3 Notfallmanagement
- 7.15.4 Zwangslage
- 7.1 Untersuchungen verstehen und durchführen
- Kapitel 8:Domain 8 - Sicherheit in der Softwareentwicklung
- 8.1 Sicherheit im SDLC verstehen und integrieren
- 8.1.1 Entwicklungsmethoden
- 8.1.2 Reifegradmodelle
- 8.1.3 Betrieb und Wartung
- 8.1.4 Änderungsmanagement
- 8.1.5 Integriertes Produktteam
- 8.2 Identifizierung und Anwendung von Sicherheitskontrollen in Software-Ökosystemen
- 8.2.1 Programmiersprachen
- 8.2.2 Bibliotheken
- 8.2.3 Werkzeugsets
- 8.2.4 Integrierte Entwicklungsumgebung (IDE)
- 8.2.5 Runtime
- 8.2.6 Continuous Integration/Continuous Delivery (CI/CD)
- 8.2.7 Software-Konfigurationsmanagement (SKM)
- 8.2.8 Code-Repositories
- 8.2.9 Anwendungssicherheitstests
- 8.3 Bewertung der Effektivität von Softwaresicherheit
- 8.3.1 Prüfung und Protokollierung
- 8.3.2 Risikoanalyse und -minderung
- 8.4 Bewertung der Sicherheitsauswirkungen erworbener Software
- 8.4.1 Standardsoftware (COTS)
- 8.4.2 Open Source
- 8.4.3 Drittanbietersoftware
- 8.4.4 Verwaltete Dienste
- 8.4.5 Cloud-Dienste
- 8.5 Definieren und Anwenden von sicheren Programmierrichtlinien/-standards
- 8.5.1 Sicherheitsschwachstellen auf Quellcode-Ebene
- 8.5.2 API-Sicherheit
- 8.5.3 Sichere Programmierpraktiken
- 8.5.4 Software-definierte Sicherheit
- Was kommt als Nächstes?
- 8.1 Sicherheit im SDLC verstehen und integrieren
- Vorwort (Lesen Sie dies zuerst!)
CISSP: Die letzte Meile (Deutsche Ausgabe)
Ihr Wegweiser zum Ziel
Das Buch behandelt alle Themen des aktuellen CISSP-Prüfungslehrplans in einem Format, das es ermöglicht, spezifische Prüfungsdomänen und Konzepte auf einen Blick zu vertiefen, wodurch es sich zu einer unverzichtbaren Prüfungsressource für alle entwickelt, die sich ohne Zeit- und Geldverschwendung auf die Prüfung vorbereiten möchten.
This book is a translation into German of CISSP: The Last Mile which was originally written in English
The authors are letting you choose the price you pay for this book!
Das Buch behandelt alle Themen des aktuellen CISSP-Prüfungslehrplans in einem Format, das es ermöglicht, spezifische Prüfungsdomänen und Konzepte auf einen Blick zu vertiefen, wodurch es sich zu einer unverzichtbaren Prüfungsressource für alle entwickelt, die sich ohne Zeit- und Geldverschwendung auf die Prüfung vorbereiten möchten.
PDF
EPUB
WEB
About
About the Book
Wie seine beliebte CISSP-Prüfungsvorbereitungsreihe auf YouTube ist "CISSP: The Last Mile" als zusammengefasste Referenz konzipiert, die fortgeschrittene Prüfungsthemen zugänglich macht, den Fokus auf wichtige Prüfungsinhalte lenkt und das "Was und Warum" der wichtigsten Prüfungskonzepte vermittelt, ohne Zeit oder Platz zu verschwenden.
Feedback
This book is a translation into German of CISSP: The Last Mile which was originally written in English
Price
Pick Your Price...
Minimum price
$9.99
$14.99
You pay
$14.99Authors earn
$11.99Author
About the Authors
Pete Zerger
Pete is a vCISO, cloud and cybersecurity strategist, security architect, and cyber educator, leading hundreds of thousands of users to cybersecurity certifications in more than 50 countries.
Episode 305
An Interview with Pete Zerger
TranslateAI
Leanpub now has a TranslateAI service which uses AI to translate their book from English into up to 31 languages, or from one of those 31 languages into English. We also have a GlobalAuthor bundle which uses TranslateAI to translate English-language books into either 8 or 31 languages.
Leanpub exists to serve our authors. We want to help you reach as many readers as possible, in their preferred language. So, just as Leanpub automates the process of publishing a PDF and EPUB ebook, we've now automated the process of translating those books!
Contents
Table of Contents
The Leanpub 60 Day 100% Happiness Guarantee
Within 60 days of purchase you can get a 100% refund on any Leanpub purchase, in two clicks.
Now, this is technically risky for us, since you'll have the book or course files either way. But we're so confident in our products and services, and in our authors and readers, that we're happy to offer a full money back guarantee for everything we sell.
You can only find out how good something is by trying it, and because of our 100% money back guarantee there's literally no risk to do so!
So, there's no reason not to click the Add to Cart button, is there?
See full terms...
Earn $8 on a $10 Purchase, and $16 on a $20 Purchase
We pay 80% royalties on purchases of $7.99 or more, and 80% royalties minus a 50 cent flat fee on purchases between $0.99 and $7.98. You earn $8 on a $10 sale, and $16 on a $20 sale. So, if we sell 5000 non-refunded copies of your book for $20, you'll earn $80,000.
(Yes, some authors have already earned much more than that on Leanpub.)
In fact, authors have earned over $14 million writing, publishing and selling on Leanpub.
Learn more about writing on Leanpub
Free Updates. DRM Free.
If you buy a Leanpub book, you get free updates for as long as the author updates the book! Many authors use Leanpub to publish their books in-progress, while they are writing them. All readers get free updates, regardless of when they bought the book or how much they paid (including free).
Most Leanpub books are available in PDF (for computers) and EPUB (for phones, tablets and Kindle). The formats that a book includes are shown at the top right corner of this page.
Finally, Leanpub books don't have any DRM copy-protection nonsense, so you can easily read them on any supported device.
Learn more about Leanpub's ebook formats and where to read them
Write and Publish on Leanpub
You can use Leanpub to easily write, publish and sell in-progress and completed ebooks and online courses!
Leanpub is a powerful platform for serious authors, combining a simple, elegant writing and publishing workflow with a store focused on selling in-progress ebooks.
Leanpub is a magical typewriter for authors: just write in plain text, and to publish your ebook, just click a button. (Or, if you are producing your ebook your own way, you can even upload your own PDF and/or EPUB files and then publish with one click!) It really is that easy.