Certified Information System Security Professional
CISSP é o acrônimo para Certified Information System Security Professional(Certificado Profissional de Segurança de Sistemas de Informação), um certificado profissional emitido e mantido pela instituição (ISC)², fundado com o objetivo de estabelecer critérios para avaliar profissionais que trabalham com segurança da informação.
De acordo com o (ISC)², existem mais de 90.000 profissionais de segurança certificados em mais de 135 países[1]. Recentemente foi designada com a certificação ANSI ISO/IEC Padrão ISO/IEC 17024—trata-se da primeira certificação profissional a receber esta designação em caráter mundial.
A certificação é fundada sob um conjunto de melhores práticas estabelecidas pela instituição que foram agregadas na forma de 10 domínios.
Para se certificar, o profissional de segurança da informação deve passar em um exame de conhecimentos específico, aceitar o Código de Ética do (ISC)², comprovar um tempo mínimo de experiência na área e ser "apadrinhado" por outro profissional certificado.
Metodologia e Sistema de Controle de Acesso editar
Este domínio trata das melhores práticas para o desenvolvimento de metodologias de controle de acesso. De controles técnicos a controles gerenciais, trata-se de todo e qualquer mecanismo que tenha por objetivo estabelecer o triplo A (AAA - Autenticação, autorização e asserção - do inglês Authentication, authorization and accounting).
Segurança em Telecomunicações, Redes e Internet editar
Este domínio trata dos principais controles, técnicas e metodologias para assegurar a confidencialidade, integridade e disponibilidade de sistemas de informação através de mecanismos telemáticos, redes de informação e Internet.
Práticas de Gestão de Segurança editar
Trata-se do domínio que descreve as principais práticas de gestão da segurança de sistemas de informação. Está inserido neste contexto questões regulamentares (agências supra-governamentais), legislação específica (governo), gestão de políticas de segurança (diretrizes administrativas) e continuidade do negócio.
Desenvolvimento de Aplicações e Sistemas editar
Este domínio compreende todas as práticas para gerir o desenvolvimento de aplicações e sistemas informativos com o foco em assegurar a confidencialidade, integridade e disponibilidade dos dados.
Criptografia editar
O conjunto de melhores práticas para uso de algoritmos de criptografia simétricos, assimétricos e hash estão listados neste domínio. Considera-se também métodos de utilização híbridos que comportem a funcionalidade de autenticação, integridade e não-repúdio da informação.
Arquitetura e Modelos de Segurança editar
Este domínio reune os principais modelos de segurança utilizados para certificação de ambientes computacionais. São exemplos de modelos de certificação o ITSEC (Europa), TCSEC Estados Unidos (Orange Book), BS 7799 Inglaterra e Common Criteria.
Segurança Operacional editar
Este domínio sugere uma compilação de boas práticas para a gestão operacional da segurança da informação, incluindo questões de armazenamento de cópias de segurança (técnicas de backup), controle operacional de turnos, contratação de recursos humanos, etc.
Plano de Continuidade de Negócios editar
O domínio mais próximo das necessidades da operação de negócios das empresas. Trata-se de uma compilação de melhores práticas para estabelecer um plano bem sucedido de continuidade de negócios, incluido procedimentos de contingência para componentes separados de negócio e, em casos mais tradicionais e custosos, um plano de recuperação de desastres.
Lei, Investigação e Ética editar
Este domínio trata das questões legais que tangem o universo da segurança da informação. De exemplos concretos como os atos de proteção a sistemas de telecomunicação (1996) nos Estados Unidos à condição atual da legislação européia, o objetivo é compreender a motivação para estabelecer regulamentações de proteção a informação em uma sociedade, processos investigativos para sustentar o devido processo legal e condição ética necessária para os profissionais envolvidos.
Segurança Física editar
Conjunto de melhores práticas para avaliar e estabelecer controles técnicos, operacionais e gerenciais de proteção física de um ambiente de processamento de dados.