ISC2 CCSP - Certified Cloud Security Professional

- Definitioner av cloud computing
- Roller inom cloud computing (t.ex. molntjänstkund, molntjänstleverantör, molntjänstpartner, molntjänstmäklare)
- Nyckelfunktioner i molnberäkning (t.ex. självbetjäning på begäran, bred nätverksåtkomst, multi-tenancy, snabb elasticitet och skalning, resurspooling, mättjänst)
- Byggstensteknik (t.ex. virtualisering, lagring, nätverk, databaser, orkestrering)
- 1.2 Beskriv molnreferensarkitekturaktiviteter med cloud computing
- Molntjänstfunktioner (t.ex. applikationsfunktionstyper, plattformsfunktionstyper, infrastrukturfunktionstyper)
- Molntjänstkategorier (t.ex. programvara som en tjänst (SaaS), infrastruktur som en tjänst (IaaS), plattform som en tjänst (PaaS))
- Molnimplementeringsmodeller (t.ex. offentliga, privata, hybrider, community)
- Vanliga molnöverväganden (t.ex. interoperabilitet, portabilitet, reversibilitet, tillgänglighet, säkerhet, integritet, robusthet, prestanda, styrning, underhåll och versionshantering, servicenivåer och servicenivåavtal (SLA), revision, reglering)
- Effekten av relaterade teknologier (t.ex. maskininlärning, artificiell intelligens, blockchain, internet of things (IoT), containrar, kvantberäkningar)
- 1.3 Förstå säkerhetskoncept som är relevanta för cloud computing
- Kryptografi och nyckelhantering
- Åtkomstkontroll
- Sanering av data och media (t.ex. överskrivning, kryptografisk radering)
- Nätverkssäkerhet (t.ex. nätverkssäkerhetsgrupper)
- Virtualiseringssäkerhet (t.ex. hypervisorsäkerhet, containersäkerhet)

- 1.4 Förstå designprinciper för säker cloud computing
- Cloud Secure Data Lifecycle
- Molnbaserad planering för katastrofåterställning (DR) och Business Continuity (BC).
- Kostnads-/nyttobedömning
- Funktionella säkerhetskrav (t.ex. portabilitet, interoperabilitet, leverantörslåsning)
- Säkerhetsaspekter för olika molnkategorier (t.ex. Software as a Service (SaaS), Infrastructure as a Service (IaaS), Platform as a Service (PaaS))
- 1.5 Utvärdera molntjänstleverantörer
- Verifiering mot kriterier (t.ex. International Organization for Standardization/International Electrotechnical Commission (ISO/IEC) 27017, Payment Card Industry Data Security Standard (PCI DSS))
- System/delsystemprodukter

- Faser av molndatas livscykelfaser
- Dataspridning
- 2.1 Designa och implementera arkitekturer för molndatalagring
- Lagringstyper (t.ex. långvarig, tillfällig, rå disk)
- Hot mot lagringstyper
- 2.2 Designa och tillämpa datasäkerhetsteknik och strategier
- Kryptering och nyckelhantering
- Hashing
- Kanske
- Tokenisering
- Data Loss Prevention (DLP)
- Dataobfuskation
- Avidentifiering av data (t.ex. anonymisering)
- 2.3 Implementera dataupptäckt > Strukturerad data
- Strukturerad data
- Ostrukturerad data
- 2.4 Implementera dataklassificering
- Kartläggning
- Märkning
- Känsliga data (t.ex. skyddad hälsoinformation (PHI), personligt identifierbar information (PII), kortinnehavardata)
- 2.5 Design och informationsrättshantering (IRM)
- Mål (t.ex. datarättigheter, provisionering, åtkomstmodeller)
- Lämpliga verktyg (t.ex. utfärdande och återkallande av certifikat)
- 2.6 Planera och implementera policyer för datalagring, radering och arkivering
- Datalagringspolicyer
- Rutiner och mekanismer för radering av data
- Förfaranden och mekanismer för dataarkivering
- Juridisk team
- 2.7 Definiera och implementera revisionsbarhet, spårbarhet och ansvarighet för datahändelser
- Definition av händelsekällor och krav på identitetstillskrivning
- Loggning, lagring och analys av datahändelser
- Kedjekontroll och icke-dömande

- Fysisk miljö
- Nätverk och kommunikation
- Beräkningar
- Virtualisering
- Förvaring
- Förvaltningsplan
- 3.1 Designa ett säkert datacenter
- Logisk design (t.ex. hyresgästpartitionering, åtkomstkontroll)
- Fysisk design (t.ex. plats, köp eller bygg)
- Miljödesign (t.ex. värme, ventilation och luftkonditionering (HVAC), koppling till flera leverantörer)
- 3.2 Analysera risker förknippade med molninfrastruktur
- Riskbedömning och analys
- Molnets sårbarheter, hot och attacker

- Motstrategier
- 3.3 Designa och planera säkerhetskontroller
- Fysiskt skydd och miljöskydd (t.ex. på plats)
- System- och kommunikationsskydd
- Skydd av virtualiseringssystem
- Identifiering, autentisering och auktorisering i molninfrastruktur
- Revisionsmekanismer (t.ex. logginsamling, paketinsamling)
- 3.4 Planera beredskapsplaner (DR) och affärskontinuitet (BC)
- Risker relaterade till molnmiljön
- Affärskrav (t.ex. återställningstidsmål (RTO), mål för återställningspunkt (RPO), återställande servicenivå (RSL))
- Strategi för affärskontinuitet/katastrofplan
- Skapande, genomförande och testning av plan

- Grunder i molnutveckling

- Allmänningmolnets sårbarheter
- 4.1 Beskriv processen för säker mjukvaruutvecklings livscykel (SDLC).
- Affärskrav
- Faser och metoder
- 4.2 Tillämpa Secure Software Development Life Cycle (SDLC)
- Undvik vanliga sårbarheter under utveckling
- Risker som är specifika för molnet
- Kvalitetssäkring
- Hotmodellering
- Programvarukonfigurationshantering och versionshantering
- 4.3 Använd mjukvarusäkerhet och validering
- Funktionstest
- Säkerhetstestmetoder
- 4.4 Använd verifierad säker programvara
- Godkända applikationsprogrammeringsgränssnitt (API)
- Supply chain management
- Programvaruhantering från tredje part
- Validerad programvara med öppen källkod
- 4.5 Förstå specifikt för molnapplikationsarkitektur
- Ytterligare säkerhetskomponenter (t.ex. Web Application Firewall (WAF), Database Activity Monitoring (DAM), Extensible Markup Language (XML) brandvägg, Application Programming Interface (API) gateway)
- Kryptering
- Sandlåda
- Applikationsvirtualisering och orkestrering
- 4.6 Utforma lämpliga lösningar för identitets- och åtkomsthantering (IAM).
- Federal identitet
- Identitetsleverantörer
- Enkel inloggning (SSO)
- Multi-faktor autentisering
- Cloud Access Security Broker (CASB)

- Hårdvaruspecifika säkerhetskonfigurationskrav (t.ex. Basic Input Output System (BIOS), virtualisering och Trusted Platform Module (TPM) inställningar, lagringshantering, nätverkshantering)
- Installation och konfiguration av virtualiseringshanteringsverktyg
- Specifika säkerhetskonfigurationskrav för virtuell hårdvara (t.ex. nätverk, lagring, minne, centralenhet (CPU))
- Installation av virtualiseringsverktyg för gästoperativsystem (OS).
- 5.1 Drift fysisk och logisk infrastruktur för molnmiljö
- Konfigurera åtkomstkontroll för lokal och fjärråtkomst (t.ex. Secure Keyboard Video Mouse (KVM), konsolbaserad åtkomstmekanism, Remote Desktop Protocol (RDP))
- Säker nätverkskonfiguration (t.ex. Virtual Local Area Networks (VLAN), Transport Layer Security (TLS), Dynamic Host Configuration Protocol (DHCP), Domain Name System (DNS), Virtual Private Network (VPN))
- Provisionering av gästoperativsystem (OS) genom användning av baser (t.ex. Windows, Linux, VMware)
- Tillgänglighet för fristående värdar
- Tillgänglighet för klustervärdar (t.ex. Distributed Resource Scheduling (DRS), Dynamic Optimization (DO), Storage Cluster, Maintenance Mode, High Availability)
- Tillgänglighet för gästoperativsystem (OS)
- 5.2 Hantera fysisk och logisk infrastruktur för molnmiljö
- Åtkomstkontroll för fjärråtkomst (t.ex. Remote Desktop Protocol (RDP), säker terminalåtkomst, Secure Shell (SSH))
- Grundläggande kontroller och patchar för efterlevnad av operativsystem (OS).
- Patchhantering
- Övervakning av prestanda och kapacitet (t.ex. nätverk, dator, lagring, svarstid)
- Hårdvaruövervakning (t.ex. disk, centralenhet (CPU), fläkthastighet, temperatur)
- Konfiguration av värd- och gästoperativsystem (OS) säkerhetskopiering och återställningsfunktioner
- Nätverkssäkerhetskontroller (t.ex. brandväggar, Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS), honeypots, sårbarhetsbedömningar, nätverkssäkerhetsgrupper)
- Ledningsplan (t.ex. planering, orkestrering, underhåll)
- 5.3 Implementera operatörskontroller och standarder (t.ex. informationsteknikinfrastrukturbibliotek (ITIL), Internationell organisation för standardisering/Internationell elektroteknisk kommission (ISO/IEC) 2000-1)
- Förändringsledning
- Kontinuitetshantering
- Informationssäkerhetshantering
- Kontinuerlig tjänsteförbättringsledning
- Incidenthantering
- Problemhantering
- Sändningsledning
- Konfigurationshantering
- Servicenivåhantering
- Tillgänglighetshantering
- Kapacitetshantering
- 5.4 Stöd digital retorik
- Kriminaltekniska datainsamlingsmetoder
- Bevishantering
- Insamling, anskaffning och bevarande av digitala bevis
- 5.5 Hantera kommunikation med relevanta parter
- Leverantör

- Partners
- Regulatorer
- Andra intressenter
- 5.6 Hantera säkerhetsoperationer
- Security Operations Center (SOC)
- Övervakning av säkerhetskontroller (t.ex. brandväggar, intrångsdetekteringssystem (IDS), intrångsskyddssystem (IPS), honeypots, sårbarhetsbedömningar, nätverkssäkerhetsgrupper)
- Loggning och analys (t.ex. Security Information and Event Management (SIEM), loggningshantering)
- Hantering av incidenter

- Motsättningar i internationell rätt
- Utvärdering av juridiska risker som är specifika för cloud computing
- Juridiska och vägledande ramar
- eDiscovery (t.ex. International Organization for Standardization / International Electrotechnical Commission (ISO / IEC) 27050, Cloud Security Alliance (CSA) vägledning)

- 6.1 Förstå personuppgifter
- Skillnad mellan kontraktuella och lagstadgade privata uppgifter (t.ex. skyddad hälsoinformation (PHI), personligt identifierbar information (PII)) - Country-specifik lagstiftning om privata uppgifter (t.ex. skyddad hälsoinformation (PHI), personligt identifierbar information (PII))
- Rättsliga skillnader i dataskydd
- Standard integritetskrav (t.ex. International Organization for Standardization / International Electrotechnical Commission (ISO / IEC) 27018, Generally Accepted Privacy Principles (GAPP), General Data Protection Regulation (GDPR))
- 6.2 Förstå revisionsprocessen, metoder och nödvändig anpassning till en molnmiljö
- Interna och externa revisionskontroller
- Effekter av revisionskrav
- Identifiera supportfrågor gällande virtualisering och moln
- Typer av revisionsrapporter (t.ex. Statement on Standards for Attestation Engagement (SSAE), Security Operations Center (SOC), International Standard on Assurance Engagements (ISAE))
- Begränsningar av åsikter om revisionsomfattning (t.ex. Statement on Standards for Attestation Engagements (SSAE), International Standard on Assurance Engagements (ISAE))
- Löneanalys
- Revisionsplanering
- Intern informationssäkerhetshantering (ISMS)
- Internt kontrollsystem för informationssäkerhet
- Policyer (t.ex. organisation, funktion, cloud computing)
- Identifiering och involvering av relevanta intressenter
- Särskilda efterlevnadskrav för starkt reglerade industrier (t.ex. North American Electric Reliability Corporation / Critical Infrastructure Protection (NERC / CIP), Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry (PCI))
- Inverkan av distributionsmodellen för informations- och teknik (IT) (t.ex. olika geografiska platser och korsande juridiska jurisdiktioner)
- 6.3 Förstå implikationerna av molnet för företagets riskhantering
- Bedöma leverantörers riskhanteringsprogram (t.ex. kontroller, metoder, policyer)
- Skillnad mellan dataägare/kontrollant kontra datainnehavare/behandlare (t.ex. riskprofil, risktröskel, ansvar)
- Krav på regulatorisk insyn (t.ex. anmälan om överträdelse, Sarbanes-Oxley (SOX), General Data Protection Regulation (GDPR))
- Riskhantering (dvs undvika, ändra, dela, behålla)

- Mätvärden för riskhantering
- Bedömning av riskmiljö (t.ex. tjänst, leverantör, infrastruktur)
- 6.4 Förstå outsourcing och molnkontraktsdesign
- Affärskrav (t.ex. serviceavtal (SLA), huvudserviceavtal (MSA), beskrivning av arbetet (SOW))
- Leverantörshantering
- Kontraktshantering (t.ex. rätt att granska, mätvärden, definitioner, uppsägning, rättstvister, säkerhet, efterlevnad, tillgång till moln/data, cyberriskförsäkring)
- Supply Chain Management (t.ex. International Organization for Standardization / International Electrotechnical Commission (ISO / IEC) 27036)