ISC2 CSSLP - Certified Secure Software Lifecycle Professional

- Definisjoner av cloud computing
- Roller innen cloud computing (f.eks. skytjenestekunde, skytjenesteleverandør, skytjenestepartner, skytjenestemegler)
- Nøkkelfunksjoner ved cloud computing (f.eks. selvbetjening på forespørsel, bred nettverkstilgang, multi-tenancy, rask elastisitet og skalering, ressurssamling, målt tjeneste)
- Byggesteinsteknologier (f.eks. virtualisering, lagring, nettverk, databaser, orkestrering)
- 1.2 Beskriv Cloud Reference Architecture Aktiviteter med cloud computing
- Skytjenestefunksjoner (f.eks. applikasjonsfunksjonstyper, plattformfunksjonstyper, infrastrukturfunksjonstyper)
- Skytjenestekategorier (f.eks. programvare som en tjeneste (SaaS), infrastruktur som en tjeneste (IaaS), plattform som en tjeneste (PaaS))

- Vanlige skybetraktninger (f.eks. interoperabilitet, portabilitet, reversibilitet, tilgjengelighet, sikkerhet, personvern, robusthet, ytelse, styring, vedlikehold og versjonering, tjenestenivåer og servicenivåavtaler (SLA), revisjon, regulering)
- Effekten av relaterte teknologier (f.eks. maskinlæring, kunstig intelligens, blokkjede, tingenes internett (IoT), containere, kvantedatabehandling)
- 1.3 Forstå sikkerhetskonsepter som er relevante for cloud computing
- Kryptografi og nøkkelhåndtering
- Adgangskontroll
- Sanering av data og media (f.eks. overskriving, kryptografisk sletting)
- Nettverkssikkerhet (f.eks. nettverkssikkerhetsgrupper)
- Virtualiseringssikkerhet (f.eks. hypervisorsikkerhet, containersikkerhet)
- Vanlige trusler
- 1.4 Forstå designprinsipper for sikker cloud computing
- Cloud Secure Data Lifecycle
- Skybasert disaster Recovery (DR) og Business Continuity (BC) planlegging
- Kost/nytte vurdering
- Funksjonelle sikkerhetskrav (f.eks. portabilitet, interoperabilitet, leverandørlåsing)
- Sikkerhetshensyn for ulike skykategorier (f.eks. Software as a Service (SaaS), Infrastructure as a Service (IaaS), Platform as a Service (PaaS))
- 1.5 Evaluere skytjenesteleverandører

- System/delsystemprodukter

- Faser av livssyklusfaser for skydata
- Dataspredning
- 2.1 Designe og implementere arkitekturer for skydatalagring
- Lagringstyper (f.eks. langsiktig, flyktig, rå disk)
- Trusler mot lagringstyper
- 2.2 Designe og anvende datasikkerhetsteknologi og -strategier
- Kryptering og nøkkelhåndtering
- Hashing
- Kan være
- Tokenisering

- Dataobfuskering
- Avidentifikasjon av data (f.eks. anonymisering)
- 2.3 Implementere dataoppdagelse > Strukturerte data
- Strukturerte data
- Ustrukturerte data
- 2.4 Implementere dataklassifisering
- Kartlegging
- Merking

- 2.5 Design og informasjonsrettigheter (IRM)
- Mål (f.eks. datarettigheter, klargjøring, tilgangsmodeller)
- Egnede verktøy (f.eks. utstedelse og tilbakekall av sertifikater)
- 2.6 Planlegge og implementere retningslinjer for datalagring, sletting og arkivering
- Retningslinjer for oppbevaring av data
- Prosedyrer og mekanismer for sletting av data
- Dataarkiveringsprosedyrer og mekanismer
- Juridisk team
- 2.7 Definere og implementere revisjonerbarhet, sporbarhet og ansvarlighet for datahendelser
- Definisjon av hendelseskilder og krav til identitetstilskriving
- Logging, lagring og analyse av datahendelser
- Kjedekontroll og ikke-dømmekraft

- Fysisk miljø
- Nettverk og kommunikasjon
- Beregninger
- Virtualisering
- Oppbevaring
- Forvaltningsplan
- 3.1 Design et sikkert datasenter
- Logisk design (f.eks. partisjonering av leietakere, tilgangskontroll)
- Fysisk design (f.eks. plassering, kjøp eller bygging)
- Miljødesign (f.eks. oppvarming, ventilasjon og klimaanlegg (HVAC), forbindelse med flere leverandører)
- 3.2 Analysere risiko knyttet til skyinfrastruktur
- Risikovurdering og analyse
- Skysårbarheter, trusler og angrep
- Virtualiseringsrisiko
- Motstrategier
- 3.3 Utforme og planlegge sikkerhetskontroller
- Fysisk og miljømessig beskyttelse (f.eks. på stedet)
- System- og kommunikasjonsbeskyttelse
- Beskyttelse av virtualiseringssystemer
- Identifikasjon, autentisering og autorisasjon i skyinfrastruktur
- Revisjonsmekanismer (f.eks. logginnsamling, pakkeinnsamling)
- 3.4 Planlegg beredskapsplaner (DR) og forretningskontinuitet (BC)
- Risikoer knyttet til skymiljøet
- Forretningskrav (f.eks. gjenopprettingstidsmål (RTO), gjenopprettingspunktmål (RPO), gjenopprettingstjenestenivå (RSL))
- Strategi for forretningskontinuitet/katastrofeplan
- Oppretting, gjennomføring og testing av plan

- Grunnleggende innen skyutvikling
- Vanlige fallgruver
- Fellesskysårbarheter
- 4.1 Beskriv prosessen med sikker programvareutviklings livssyklus (SDLC).
- Forretningskrav
- Faser og metoder
- 4.2 Bruk sikker programvareutviklingslivssyklus (SDLC)
- Unngå vanlige sårbarheter under utvikling
- Risikoer som er spesifikke for skyen
- Kvalitetssikring
- Trusselmodellering
- Programvarekonfigurasjonsadministrasjon og versjonskontroll
- 4.3 Bruk programvaresikkerhet og validering
- Funksjonstest
- Sikkerhetstestingsmetoder
- 4.4 Bruk verifisert sikker programvare
- Godkjente applikasjonsprogrammeringsgrensesnitt (API)
- Supply chain management
- Tredjeparts programvareadministrasjon
- Validert programvare med åpen kildekode
- 4.5 Forstå spesifikt for skyapplikasjonsarkitektur
- Ytterligere sikkerhetskomponenter (f.eks. Web Application Firewall (WAF), Database Activity Monitoring (DAM), Extensible Markup Language (XML) brannmur, Application Programming Interface (API) gateway)
- Kryptering
- Sandkasse
- Applikasjonsvirtualisering og orkestrering
- 4.6 Utforme hensiktsmessige løsninger for identitets- og tilgangsstyring (IAM).
- Føderal identitet
- Identitetsleverandører
- Enkel pålogging (SSO)
- Multi-faktor autentisering
- Cloud Access Security Broker (CASB)

- Maskinvarespesifikke sikkerhetskonfigurasjonskrav (f.eks. Basic Input Output System (BIOS), virtualisering og Trusted Platform Module (TPM)-innstillinger, lagringsadministrasjon, nettverksadministrasjon)
- Installasjon og konfigurering av virtualiseringsadministrasjonsverktøy
- Spesifikke sikkerhetskonfigurasjonskrav for virtuell maskinvare (f.eks. nettverk, lagring, minne, sentral prosesseringsenhet (CPU))
- Installasjon av virtualiseringsverktøysett for gjesteoperativsystem (OS).
- 5.1 Drift fysisk og logisk infrastruktur for skymiljø
- Konfigurer tilgangskontroll for lokal og ekstern tilgang (f.eks. Secure Keyboard Video Mouse (KVM), konsollbasert tilgangsmekanisme, Remote Desktop Protocol (RDP))
- Sikker nettverkskonfigurasjon (f.eks. Virtual Local Area Networks (VLAN), Transport Layer Security (TLS), Dynamic Host Configuration Protocol (DHCP), Domain Name System (DNS), Virtual Private Network (VPN))
- Provisjon av gjesteoperativsystem (OS) gjennom bruk av baser (f.eks. Windows, Linux, VMware)
- Tilgjengelighet av frittstående verter
- Tilgjengelighet av klyngeverter (f.eks. distribuert ressursplanlegging (DRS), dynamisk optimalisering (DO), lagringsklynge, vedlikeholdsmodus, høy tilgjengelighet)
- Tilgjengelighet av gjesteoperativsystem (OS)
- 5.2 Administrer fysisk og logisk infrastruktur for skymiljø
- Tilgangskontroll for ekstern tilgang (f.eks. Remote Desktop Protocol (RDP), sikker terminaltilgang, Secure Shell (SSH))
- Grunnleggende kontroller og oppdateringer for samsvar med operativsystemet (OS).
- Patch Management
- Ytelses- og kapasitetsovervåking (f.eks. nettverk, databehandling, lagring, responstid)
- Maskinvareovervåking (f.eks. disk, sentral prosesseringsenhet (CPU), viftehastighet, temperatur)
- Konfigurasjon av verts- og gjesteoperativsystem (OS) sikkerhetskopiering og gjenopprettingsfunksjoner
- Nettverkssikkerhetskontroller (f.eks. brannmurer, inntrengningsdeteksjonssystemer (IDS), inntrengningsforebyggende systemer (IPS), honeypots, sårbarhetsvurderinger, nettverkssikkerhetsgrupper)
- Ledelsesplan (f.eks. planlegging, orkestrering, vedlikehold)
- 5.3 Implementere operatørkontroller og standarder (f.eks. informasjonsteknologiinfrastrukturbibliotek (ITIL), International Organization for Standardization/International electrotechnical commission (ISO/IEC) 2000-1)
- Endringsledelse
- Kontinuitetsstyring
- Styring av informasjonssikkerhet
- Kontinuerlig tjenesteforbedringsledelse
- Hendelseshåndtering
- Problemhåndtering
- Kringkastingsledelse
- Konfigurasjonsstyring
- Servicenivåstyring
- Tilgjengelighetsstyring
- Kapasitetsstyring
- 5.4 Støtt digital retorikk
- Rettsmedisinske datainnsamlingsmetoder
- Bevishåndtering
- Innsamling, anskaffelse og bevaring av digitale bevis
- 5.5 Håndtere kommunikasjon med relevante parter
- Leverandør

- Partnere
- Regulatorer
- Andre interessenter
- 5.6 Administrer sikkerhetsoperasjoner
- Security Operations Center (SOC)
- Overvåking av sikkerhetskontroller (f.eks. brannmurer, inntrengningsdeteksjonssystemer (IDS), inntrengningsforebyggende systemer (IPS), honningpotter, sårbarhetsvurderinger, nettverkssikkerhetsgrupper)
- Logging og analyse (f.eks. Security Information and Event Management (SIEM), logging management)
- Håndtering av hendelser

- Motsetninger i folkeretten
- Evaluering av juridiske risikoer som er spesifikke for cloud computing
- Juridiske og veiledende rammer

- Rettsmedisinske krav
- 6.1 Forstå problemer med personopplysninger
- Forskjellen mellom kontraktsmessige og forskriftsmessige private data (f.eks. beskyttet helseinformasjon (PHI), personlig identifiserbar informasjon (PII)) - Country-spesifikk lovgivning om private data (f.eks. beskyttet helseinformasjon (PHI), personlig identifiserbar informasjon (PII))
- Juridiske forskjeller i databeskyttelse

- 6.2 Forstå revisjonsprosessen, metoder og nødvendig tilpasning til et skymiljø
- Interne og eksterne revisjonskontroller
- Effekter av revisjonskrav
- Identifisere supportproblemer angående virtualisering og sky
- Typer revisjonsrapporter (f.eks. Statement on Standards for Attestation Engagement (SSAE), Security Operations Center (SOC), International Standard on Assurance Engagement (ISAE))

- Lønnsanalyse
- Revisjonsplanlegging
- Intern informasjonssikkerhetsstyring (ISMS)
- Internt kontrollsystem for informasjonssikkerhet
- Retningslinjer (f.eks. organisasjon, funksjon, cloud computing)
- Identifisering og involvering av relevante interessenter
- Spesielle samsvarskrav for sterkt regulerte bransjer (f.eks. North American Electric Reliability Corporation / Critical Infrastructure Protection (NERC / CIP), Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry (PCI))
- Virkningen av distribusjonsmodellen for informasjon og teknologi (IT) (f.eks. forskjellige geografiske steder og kryssende juridiske jurisdiksjoner)
- 6.3 Forstå implikasjonene av skyen for selskapets risikostyring
- Vurdere leverandørers risikostyringsprogrammer (f.eks. kontroller, metoder, retningslinjer)
- Forskjellen mellom dataeier/kontrollør vs. databehandler/behandler (f.eks. risikoprofil, risikoterskel, ansvar)

- Risikostyring (dvs. unngå, endre, dele, beholde)
- Ulike risikorammer
- Beregninger for risikostyring
- Vurdering av risikomiljø (f.eks. tjeneste, leverandør, infrastruktur)
- 6.4 Forstå outsourcing og skykontraktdesign
- Forretningskrav (f.eks. serviceavtale (SLA), hovedserviceavtale (MSA), beskrivelse av arbeidet (SOW))
- Leverandørstyring
- Kontraktsadministrasjon (f.eks. rett til revisjon, beregninger, definisjoner, oppsigelse, rettssaker, sikkerhet, overholdelse, tilgang til sky/data, cyberrisikoforsikring)
- Forsyningskjedestyring (f.eks. International Organization for Standardization / International Electrotechnical Commission (ISO / IEC) 27036)