Get Started. It's Free
or sign up with your email address
Rocket clouds
CISSP - CBK by Mind Map: CISSP - CBK

1. Security and Risk Management Segurança e Gestão de Risco

1.1. 1. Information Security Triad Piramide Segurança da Informação

1.1.1. Confidencialidade

1.1.2. Integridade

1.1.3. Disponibilidade

1.2. 2. Principios de Governnaça de Segurança

1.2.1. Processos Organizacionais

1.2.2. Papeis e Responsabilidades Escritório de Segurança

1.2.2.1. Políticas e Procedimentos

1.2.2.2. Garantir a Aplicação e Monitoramento

1.2.2.3. Comunicar Riscos ao Comite Executivo

1.2.2.4. Modelos de Reporte

1.2.2.4.1. CEO

1.2.2.4.2. TI

1.2.2.4.3. Administrativo

1.2.2.4.4. Departamento de Governança e Riscos

1.2.2.4.5. Departamento Jurídico

1.2.3. Frameworks

1.2.3.1. COSO

1.2.3.2. COBIT

1.2.3.3. ITIL

1.2.3.4. ISO 27000

1.2.3.5. Caracteristicas

1.2.3.5.1. Consistente

1.2.3.5.2. Mensurável

1.2.3.5.3. Padronizado

1.2.3.5.4. Compreensivo

1.2.3.5.5. Modular

1.2.4. Due Care

1.2.5. Due Diligence

1.3. 3. Compliance

1.3.1. GRC

1.3.2. Leis e Padrões Regulamentadores

1.3.2.1. Europa DPD

1.3.2.2. PIPEDA - Canada

1.3.2.3. EUA - PII

1.3.2.4. EUA - HIPAA - Saúde

1.3.2.5. PCI

1.4. 4. Leis e Regulamentos - Contexto Geral

1.4.1. Crimes de Computadores

1.4.2. Licenciamento e Propriedade Intelectual

1.4.2.1. WIPO - Word Intellectual Property Organization

1.4.2.2. Patente

1.4.2.3. Copyright

1.4.2.4. Trademark laws

1.4.2.5. Trade Secrets

1.4.3. Importação e Exportação

1.4.3.1. ITAR - International Traffic in Arms e Regulations

1.4.3.2. EAR - Export Administration Regulations

1.4.3.3. Wassenar - Acordo para transporte de armas.

1.4.4. Privacidade

1.4.4.1. Principios

1.4.4.1.1. Limite da Coleta

1.4.4.1.2. Qualidade dos Dados

1.4.4.1.3. Propósito da Coleta

1.4.4.1.4. Limitação de Uso

1.4.4.1.5. Segurança e Guarda dos Dados

1.4.4.1.6. Abertura dos Dados

1.4.4.1.7. participação Individual

1.4.4.1.8. Principio da responsabilidade

1.4.5. Vazamento de Dados

1.4.5.1. Incidente

1.4.5.2. Breach\Violação

1.4.5.3. data disclosure\ Divulgação

1.5. 5. Etica

1.5.1. Padrões de Etica

1.5.2. Etica no CISSP

1.5.2.1. PAPA

1.5.2.1.1. P - ( Protect ) Proteger a sociedade, bem comum e a infraestrutura

1.5.2.1.2. A - (Act ) Agir com honestidade, justiça , responsabilidade e legalidade.

1.5.2.1.3. P - (Provide ) Serviço diligente e competente aos diretores.

1.5.2.1.4. A - (Advance ) Seja um evangelizador Profissional

1.6. 6. Políticas , Procedimentos e Padrões

1.6.1. Fatores que reduzem o apoio

1.6.2. Fatores que aumentam o apoio

1.7. 7. Entendendo os requisitos para a continuidade do Negócio ( BC)

1.7.1. SPOF - Single Point of Failure

1.7.2. BIA - Business Impact Analysis

1.7.2.1. Determinar a Criticidade

1.7.2.2. Avaliar Requisitos e Recursos

1.7.2.3. Fases do BIA

1.7.2.3.1. 1. Reunir Informações

1.7.2.3.2. 2. Avaliação de Vulnerabilidades

1.7.2.3.3. 3. Analise das Informações

1.7.2.3.4. 4. Documentar os Resultados e Apresentar Recomendações

1.8. 8. Contribuir para Política de Segurança da Informação

1.8.1. Seleção de Candidatos

1.8.1.1. Descritivo de Cargo \ Job Descripiton

1.8.1.2. Buscar Recomendações e Referencias

1.8.1.3. Histórico Criminal

1.8.1.4. Validação das Certificações , Credencias e Licenças

1.8.2. Acordos e Políticas do Empregado

1.8.2.1. Job Rotation

1.8.2.2. Separação de Funções - SoD

1.8.2.3. Need to Know \ Least Privilege

1.8.2.4. Mandatory Vacation

1.8.3. Processo de Desligamento

1.8.3.1. Voluntário

1.8.3.2. Involuntário

1.8.4. Terceiros - Consultor, Fornecedor

1.8.5. Privacidade

1.9. 9. Aplicando Gestão de Riscos

1.9.1. Fases

1.9.1.1. 1.Preparar Avaliação

1.9.1.2. 2.Conduzir Avaliação

1.9.1.2.1. Identificar Ameaças e Eventos

1.9.1.2.2. Identificar Vulnerabilidades e Condições de Predisposição

1.9.1.2.3. Determinar Probabilidade

1.9.1.2.4. Determinar Impacto

1.9.1.2.5. Determinar o Risco

1.9.2. Analise Qualitativa do Risco ( Passos )

1.9.2.1. Aprovação

1.9.2.2. Formar Equipe de Avaliação de Riscos

1.9.2.3. Analisar os Dados

1.9.2.4. Calcular o Risco

1.9.2.5. Contramedidas e Recomendações

1.9.3. Aceitação do Risco

1.9.3.1. Aceitação do risco

1.9.3.2. Transferir o risco

1.9.3.3. Mitigação do risco

1.9.3.4. Evitar o risco

1.9.4. Identificando Riscos e Vulnerabilidades

1.9.4.1. Tipos

1.9.4.1.1. Humanos

1.9.4.1.2. Físicos

1.9.4.1.3. Naturais

1.9.4.1.4. Ambiental

1.9.4.1.5. Operacional

1.9.5. Analise Quantitativa dos Riscos

1.9.5.1. SLE - Single Loss Expectation

1.9.5.2. ARO - Annual Rate of Occurrence

1.9.5.3. ALE - Annual Loss Expectancy

1.9.6. 7 Categoria de Controle de Acesso

1.9.6.1. Save Guards

1.9.6.1.1. 1. Directive \ Diretriz

1.9.6.1.2. 2. Deterrent \ Determinação

1.9.6.1.3. 3.Prevent \ Prevenção

1.9.6.2. Countermeasure

1.9.6.2.1. 4. Compensação\Compensating

1.9.6.2.2. 5.Detective

1.9.6.2.3. 6.Corrective\Corretivo

1.9.6.2.4. 7.Recovery\Recuperação

1.9.7. Métodos de Avaliação de Eficácia

1.9.7.1. Avaliação de Vulnerabilidade

1.9.7.1.1. 1. Scanner de Vulnerabilidade

1.9.7.1.2. 2. Finaliza Analise

1.9.7.1.3. 3. Comunica o Resultado

1.9.7.2. Penetration Test

1.9.7.2.1. Estratégias

1.9.7.2.2. Tipos \ Categorias

1.9.7.2.3. Metodologia

1.9.7.3. Outros Testes

1.9.7.3.1. DoS Testing

1.9.7.3.2. War Dialing

1.9.7.3.3. Wireless Network Testing

1.9.7.3.4. Engenharia Social

1.9.7.3.5. Teste de Telefone

1.10. 10. Modelagem de Ameaças

1.10.1. Engineering Social Attack

1.10.2. Pretexting Attack

1.10.3. Phishing Attack

1.10.4. Baiting Attack

1.10.5. Tailgating Attack

1.11. 11, Integrando Considerações de Ricos nas Aquisições

1.11.1. SLA

1.11.2. Papeis e Responsabilidades do Terceiro

1.11.3. NDA

1.12. 12, Estabelecendo Consciência, treinamento e Educação

1.12.1. Criar cultura de segurança

1.12.2. Tópicos a ser treinados

1.12.3. Revisões Periódicas

2. Asset Security Segurança de Ativos

2.1. 1.Classificando Informação e Suportando Ativos

2.1.1. Categoria de Classificação

2.1.1.1. Private

2.1.1.2. Confidential

2.1.1.3. Restritcted

2.1.1.4. Public

2.1.2. Asset Management \ Gestão de Ativos

2.1.2.1. CMDB - Itens de Configuração

2.1.2.1.1. Gerenciamento de Inventário

2.1.2.1.2. Gerenciamento de Configuração

2.1.2.2. ITAM

2.1.3. Ciclo de Vida do Equipamento

2.1.3.1. Definir Requisitos

2.1.3.2. Adquirir e Implementar

2.1.3.3. Operação e Manutenção

2.1.3.4. Eliminação e Descarte

2.2. 2. Determinar e manter a propriedade

2.2.1. Política de Dados

2.3. 3. Protegendo a Privacidade

2.3.1. Data Owners

2.3.1.1. Data Owners ( Tàtico )

2.3.1.1.1. Decide a classificação do Dado.

2.3.1.1.2. Define modelo de acesso - Modelo DAC

2.3.1.1.3. Define RTO

2.3.1.1.4. Define Metadado

2.3.1.2. Data Ownership

2.3.1.2.1. Proteegr

2.3.1.2.2. Destruir

2.3.1.3. Information Owner ( Gerencial )

2.3.1.3.1. Determina o impacto da informação

2.3.1.3.2. Custo da Informação se for perdida

2.3.1.3.3. Quando ela pode ser destruída

2.3.1.4. Data Custodionship Assigniment

2.3.1.4.1. Armazenamento do Dado

2.3.1.4.2. Garantir a acessibilidade ao dado

2.3.1.4.3. Atualização das Documentações

2.3.2. Data Process

2.3.2.1. Data Quality

2.3.2.1.1. Preciso

2.3.2.1.2. Pode ser auditado

2.3.2.1.3. Tem validade de tempo

2.3.2.2. Quality Control ( QC)

2.3.2.3. Quality Assurance (QA)

2.3.2.4. Data Quality Standard

2.3.3. Data Standards

2.3.3.1. Data Life Cycle Control

2.3.3.2. Data Specification

2.3.3.3. Data Modeling

2.4. 4. Garantindo a Retenção Apropriada

2.4.1. Técnicas de Destruição da Informação

2.4.1.1. Clearing

2.4.1.2. Purging

2.4.1.3. Destruction

2.5. 5. Determinar dados de segurança da informação

2.5.1. Baseline

2.5.2. Scoping and Tailroing

2.5.3. Dado em transito

2.5.3.1. E2E Encryption

2.5.3.2. Link Encryption

3. Security Engineering Engenharia de Segurança

3.1. 1.Implementar e gerenciar um ciclo de vida de engenharia usando princípios de design de segurança

3.1.1. Modelos e Processos

3.1.1.1. Tecnico

3.1.1.2. Projeto

3.1.1.3. Acordos

3.1.1.4. Empresarial

3.1.2. Modelo V

3.1.2.1. 1. Concept and Operation

3.1.2.2. 2. Requirement of Architeture

3.1.2.3. 3. Detailed Desing

3.1.2.4. 4. Implementation

3.1.2.5. 5. Testes Integrados e Verificação

3.1.2.6. 6. System Verification and Validation

3.1.2.7. 7. Operation and Maintenance

3.2. 6.Common Architecture Framework

3.2.1. Frameworks

3.2.1.1. SABSA

3.2.1.2. TOGAF

3.2.1.3. ITIL

3.2.2. Modelos de Segurança

3.2.2.1. Tipos

3.2.2.1.1. State Machine Model

3.2.2.1.2. Multilevel Lattice Model

3.2.2.1.3. NonInterference Model

3.2.2.1.4. Matrix Based Models

3.2.2.1.5. Information Flow Models

3.2.2.2. Modelos

3.2.2.2.1. Confidencilidade

3.2.2.2.2. Integridade

3.2.2.2.3. Lipner Model

3.2.2.2.4. Graham Denning

3.2.2.2.5. Harrion Ruzzo Ullman

3.3. aas

3.4. 2. Conceitos e Fundamentos dos Modelos de Segurança

3.4.1. Processsor

3.4.1.1. Feching

3.4.1.2. Decoding

3.4.1.3. Executing

3.4.1.4. Storing

3.4.2. Memory

3.4.2.1. RAM

3.4.2.2. ROM

3.4.2.3. SRAM

3.4.3. Input \ Output Devices

3.4.4. Operating Systems

3.4.5. ESA - Enterprise Security Architeture

3.4.6. Common Architeture Framework

3.4.7. Exemples of Security Models

3.4.8. Capurando e Analisando Requisitos

3.4.9. Modelos de Avaliação de SI

3.4.10. Product Evaluation Models

4. Communication and Network Security Comunicação e Segurança de Rede

4.1. 1. OSI - Open System Interconnect Model

4.1.1. 1. Application Layer

4.1.1.1. DNS

4.1.1.2. LDAP

4.1.1.3. DHCP

4.1.1.4. SMTP

4.1.1.5. RIP

4.1.2. 2. Presentation Layer

4.1.3. 3. Session Layer

4.1.4. 4.Transport Layer

4.1.4.1. TCP

4.1.4.2. UDP

4.1.4.3. Handshake

4.1.4.3.1. Syn

4.1.4.3.2. Syn\Ack

4.1.4.3.3. Ack

4.1.5. 5. Network Layer

4.1.5.1. IP

4.1.5.1.1. Adressing

4.1.5.1.2. Fragmentation

4.1.5.2. IPV4 e IPV6

4.1.5.3. IPSEc

4.1.6. 6. Data Link Layer

4.1.7. 7.Phisical Layer

4.2. 4. Prevenindo ou Mitigando Ataques de Rede

4.2.1. Modelos de Ataque

4.2.1.1. Snnifing

4.2.1.2. Integrity

4.2.1.3. Avaliability

4.2.1.4. Portscan

4.2.1.5. DDoS

4.2.1.6. Spoofing

4.2.1.7. Hijack

4.2.1.8. DNS Queries

4.2.1.9. Ping Scanning

4.2.2. Ferramentas

4.2.2.1. IDS

4.2.2.2. IPS

5. Identity and Access Management Gestão de Acesso e Identidade

5.1. 1. Controle Físico e Acesso para Ativos

5.1.1. Sistema de Controle de Acesso

5.1.1.1. Físico

5.1.1.1.1. Dual Custody

5.1.1.1.2. Acess Control Tokens

5.1.1.1.3. Biometric System Process

5.1.2. Modos de Acesso

5.1.2.1. Read Only

5.1.2.2. Read and Write

5.1.2.3. Execute

5.2. 2. Gerenciando Identificação e Autenticação de Pessoas e Dispositivos

5.2.1. Autenticação

5.2.2. Autorização

5.2.3. Kerberos KDC

5.2.3.1. Elementos

5.2.3.1.1. Autorization

5.2.3.1.2. Autenticantion

5.2.3.1.3. Auditing

5.3. 3. Identity as a Service

5.4. 6.

6. Security Assessment and Testing Avaliação e Teste de Segurança

6.1. 2. Conduct Security Control Testing

6.1.1. Logs

6.1.2. SANS Critical Security Controls

6.1.3. Segurança Através do desenvolvimento do Software

6.1.3.1. Tipos de Testes - Page 543

6.1.3.1.1. BlackBox

6.1.3.1.2. Whitebox

6.1.3.1.3. Dinamico

6.1.3.1.4. Estático

6.1.3.2. Teste no Ambiente onde o software irá rodar

6.1.3.2.1. Manual ou Automated Penetration Testing

6.1.3.2.2. Fuzz Testing Tools

6.1.3.3. Software Testing Tenets

6.1.3.3.1. Plano de Teste

6.1.3.3.2. Caso de Testes

6.1.3.3.3. Unit Level Testing\Teste Unitário

6.1.3.3.4. Code Base Testing

6.1.3.3.5. System Level Testing \ Teste do Sistema Todo

6.1.3.4. Common Strutural Coverage

6.1.3.4.1. Statament Coverage

6.1.3.4.2. Decision Branch Coverage

6.1.3.4.3. Condition Coverage

6.1.3.4.4. Multi Condition Covarege

6.1.3.4.5. Loop Covarage

6.1.3.4.6. Path Coverage

6.1.3.4.7. Dataflow coverage

6.1.3.5. Tipos de Testes Funcionais

6.1.3.5.1. Normal Case

6.1.3.5.2. Output forcing

6.1.3.5.3. Combinations of Inputs

6.1.3.5.4. Robustness

6.1.3.5.5. Teste de Regressão

6.1.3.6. Niveis de Testes

6.1.3.6.1. Unitário

6.1.3.6.2. Integrado

6.1.3.6.3. Sistema

6.1.3.7. Tipos de Manutenção

6.1.3.7.1. Hardware Maintenance

6.1.3.7.2. Software Maintenance

6.1.3.7.3. Corrective Maintenance

6.1.3.8. Tipos de Mudanças

6.1.3.8.1. Corretiva

6.1.3.8.2. Melhoria

6.1.3.8.3. Adaptativa

6.1.3.9. Preparação Auditoria - Relatórios - 573

6.1.3.9.1. Definir Escopo

6.1.3.9.2. Identificar requisiitos e controles existentes

6.1.3.9.3. Perform Readiness ,...

7. Security Operation Operação de Segurança

8. Software Development Security Segurança de Desenvolvimento de Software