La certification CISSP est très demandée dans l'industrie informatique. Il est généralement destiné aux professionnels de l'informatique souhaitant en savoir plus sur la sécurité de l'information. Voici tout ce que vous devez savoir pour vous préparer à un examen CISSP, y compris le coût et les exigences, avec des questions pratiques.
Exigences de l'examen CISSP
Les candidats doivent avoir au moins cinq ans d'expérience professionnelle directe à temps plein dans deux ou plusieurs des domaines (ISC) 2 CISSP CBK, OU
Quatre ans d'expérience professionnelle directe à temps plein dans la sécurité dans au moins deux des 10 domaines du CISSP CBK, plus un diplôme universitaire de quatre ans ou une certification de la liste approuvée (ISC) 2, OU
Si vous manquez d'expérience, vous pouvez toujours devenir un associé de (ISC) 2 en réussissant l'examen CISSP. Vous aurez six ans pour acquérir l'expérience nécessaire pour devenir un CISSP.
Il convient de noter que seule une exemption d'expérience d'un an est disponible pour l'éducation. De plus, la possession d'un certificat supplémentaire sur la liste autorisée (ISC)2 donne droit à une dispense d'un an de l'exigence d'expérience professionnelle. L'expérience valide comprend le travail lié à la sécurité des systèmes d'information effectué en tant que praticien, auditeur, consultant, enquêteur ou éducateur qui nécessite et implique l'application directe de l'expertise en sécurité de l'information. Les cinq années d'expérience doivent être l'équivalent d'un travail réel à plein temps dans le domaine de la sécurité de l'information (et pas seulement des fonctions de sécurité de l'information sur une période de cinq ans); cependant, ce critère est cumulatif et peut être cumulé sur une période de temps considérablement plus longue.
Huit domaines CISSP CBK
Le CISSP est organisé en huit sujets ou domaines, qui sont appelés le « corpus commun de connaissances CBK ». Ce sont les domaines :
- Gestion des risques et de la sécurité
- La protection des actifs
- Architecture et ingénierie pour la sécurité
- Sécurité des réseaux et des communications
- Gestion de l'identité et de l'accès
- Évaluation et tests de sécurité
- Opérations de sécurité
- Sécurité dans le développement de logiciels
L'expérience professionnelle des CISSP comprend, mais sans s'y limiter :
- Travail qui nécessite une éducation ou un niveau intellectuel particulier, comprenant généralement une éducation libérale ou un diplôme universitaire.
- Travail nécessitant le rappel habituel d'un corpus de connaissances partagé avec d'autres exerçant des fonctions comparables.
- Gestion de projet et/ou supervision d'autres membres du personnel.
- Supervision du travail des autres tout en travaillant avec un minimum de supervision de soi-même.
- Emploi qui nécessite l'utilisation du jugement, la prise de décision de la direction et la discrétion.
- Emploi qui nécessite l'utilisation d'un jugement éthique (par opposition à un comportement éthique).
- Communication orale et écriture créative.
- Mentorat, enseignement, instruction et formation des autres.
- Développement et recherche.
- Spécification et sélection des contrôles et des mécanismes (c.-à-d. technologie d'identification et d'authentification) (n'inclut pas le simple fonctionnement de ces contrôles).
Des exemples de titres de poste appropriés incluent RSSI, directeur, gestionnaire, superviseur, analyste, cryptographe, cyber-architecte, ingénieur en assurance de l'information, instructeur, professeur, conférencier, enquêteur, informaticien, gestionnaire de programme, responsable, etc.
Après avoir réussi l'examen CISSP, les informations d'identification du candidat doivent être approuvées par un autre CISSP en règle. L'endosseur confirme les prétentions du candidat concernant l'expérience professionnelle. Si vous ne parvenez pas à trouver une personne accréditée pour agir en tant qu'endosseur, (ISC)2 le fera en votre nom.
Pourquoi devriez-vous passer l'examen CISSP ?
Une fois que vous avez décidé de vous lancer dans votre parcours de certification CISSP, assurez-vous de réussir. Faire le test pratique CISSP plusieurs fois est l'une des 7 étapes éprouvées du Guide d'étude CISSP pour se préparer complètement à l'examen de certification CISSP. Passer l'examen pratique CISSP vous permet d'identifier vos défauts et vos forces. Vous serez en mesure de déterminer sur quel domaine du sujet CISSP vous devez vous concentrer davantage à l'aide de l'examen pratique CISSP. Si vous n'obtenez pas plus de 70 % à vos examens pratiques CISSP, nous vous conseillons vivement de vous inscrire et de suivre un programme complet de formation à la certification CISSP.
Questions d'examen pratique CISSP
Les questions de l'examen pratique CISSP de cette section couvrent les principaux concepts de chacun des huit domaines inclus dans l'examen de certification CISSP. Les questions de l'examen pratique CISSP comprennent des réponses ainsi que des justifications pour vous aider à mieux comprendre le sujet. Ces exemples de questions CISSP vous aideront à vous familiariser avec les questions d'examen CISSP. Ils vous permettront également de renforcer vos apprentissages et de vous préparer au véritable examen CISSP qui arrive bientôt.
Question #1
Le modèle de sécurité "The State Machine Model" exige qu'un système soit protégé dans tous ses états (démarrage, fonctionnement et arrêt), sinon le système n'est pas sécurisé. Cette exigence nécessite de répondre aux événements de sécurité afin qu'aucune autre compromission ne puisse réussir. Cette méthode de réponse est un exemple de quel concept de sécurité ?
un. Conception ouverte
b. Conception fermée
c. Récupération de confiance
d. Le moindre privilège
Réponse: C
Trusted Recovery est nécessaire pour les systèmes à haute sécurité et permet à un système de mettre fin à ses processus de manière sécurisée. Si un système tombe en panne, il doit redémarrer dans un mode sécurisé dans lequel aucune autre compromission de la stratégie système ne peut se produire. Le principe de conception ouverte stipule que la sécurité d'un mécanisme ne doit pas dépendre du secret de sa conception ou de sa mise en œuvre. Dans la programmation orientée objet, le principe ouvert-fermé stipule que « les entités logicielles (classes, modules, fonctions, etc.) doivent être ouvertes pour l'extension, mais fermées pour la modification » ; c'est-à-dire qu'une telle entité peut autoriser l'extension de son comportement sans modifier son code source. Le moindre privilège est le concept et la pratique consistant à restreindre les droits d'accès des utilisateurs, des comptes et des processus informatiques aux seules ressources absolument nécessaires pour effectuer des activités routinières et légitimes.
Question #2
Le virus Heartbleed a récemment compromis OpenSSL car les versions d'OpenSSL étaient vulnérables aux tentatives de lecture du contenu de la mémoire, ce qui a finalement conduit à l'exposition d'informations protégées, y compris les clés privées du fournisseur de services. De nombreux praticiens pensent que la conception ouverte est meilleure que la conception fermée. Quelle considération est généralement nécessaire pour permettre à une conception ouverte d'offrir une plus grande sécurité ?
un. Examen par les pairs
b. La sécurité dans l'obscurité
c. La complexité de la conception
d. Hiérarchie de confiance
Réponse: A
La conception ouverte est souvent considérée comme meilleure que la conception fermée, car l'ouverture permet l'examen par d'autres membres de la communauté. L'idée est que si d'autres ont accès au code, ils aideront à examiner et à réviser le code, et finalement à l'améliorer. Ce n'était malheureusement pas le cas avec OpenSSL. Si le code n'est pas révisé, il pourrait tout aussi bien s'agir d'une source fermée. De plus, en fin de compte, la qualité du code dicte la sécurité, bien plus que le fait qu'il soit ouvert ou fermé. La sécurité par l'obscurité est à l'opposé de l'examen par les pairs et de la conception ouverte et pourrait également être qualifiée de complexité de la conception. Le modèle de confiance hiérarchique est comme une structure arborescente inversée, la racine est le point de départ de la confiance. Tous les nœuds du modèle doivent faire confiance à l'autorité de certification racine et conserver le certificat de clé publique d'une autorité de certification racine.
Question #3
Lors de l'utilisation de clés privées, un problème de sécurité est que la clé privée d'un utilisateur peut être perdue. Afin d'atténuer ce risque, un praticien peut sélectionner un agent de récupération de clés capable de sauvegarder et de récupérer ses clés. Accorder à une seule personne la possibilité de récupérer les clés privées des utilisateurs augmente le risque de non-répudiation car une autre partie dispose d'un accès à la clé. Quel choix de principe pourrait être mis en œuvre pour atténuer ce risque ?
un. Séparation des tâches
b. Principe du moindre privilège
c. Double contrôle
d. Dois savoir
Réponse: C
Le double contrôle est un principe de sécurité qui nécessite la présence de plusieurs parties pour une tâche susceptible d'avoir de graves implications en matière de sécurité. Dans ce cas, il est probablement préférable d'avoir au moins deux administrateurs réseau présents avant qu'une clé privée puisse être récupérée. Un sous-ensemble de contrôle double est appelé contrôle M de N. M et N sont des variables, mais ce contrôle nécessite la présence de M administrateurs sur un total de N pour récupérer une clé. La séparation des tâches est le concept d'avoir plus d'une personne nécessaire pour accomplir une tâche sensible. Le principe du moindre privilège (PoLP) fait référence à un concept de sécurité de l'information dans lequel un utilisateur reçoit les niveaux minimaux d'accès ou d'autorisations nécessaires pour effectuer ses fonctions professionnelles. Le principe du besoin d'en connaître est que l'accès aux données sécurisées doit être nécessaire à l'exercice des fonctions professionnelles des utilisateurs
Question #4
A quelle phase de développement du BCP la Direction Générale doit-elle s'engager à soutenir, financer et accompagner la création du BCP ?
un. Lancement du projet
b. Planification
c. Mise en œuvre
d. Développement
Réponse: A
Le lancement du projet est traditionnellement la phase au cours de laquelle la haute direction s'engage à soutenir le projet. Souvent, dans cette phase, la direction fournit une charte de projet, qui est un document écrit formel dans lequel le projet est officiellement autorisé, un chef de projet est sélectionné et nommé, et la direction s'engage à le soutenir. Le soutien de la direction au PCA doit se poursuivre tout au long du processus de développement et inclure un examen et des commentaires ainsi que des ressources pour que le PCA réussisse.
Question #5
Quel est le moyen le plus proactif (et le moins d'efforts) pour atténuer le risque qu'un attaquant accède au réseau et utilise un analyseur de protocole pour capturer et afficher (sniffer) le trafic non chiffré ?
un. Implémentez une politique interdisant l'utilisation d'analyseurs/renifleurs de paquets. Surveillez fréquemment le réseau.
b. Analysez régulièrement le réseau pour déterminer si des appareils non autorisés sont connectés. Si ces appareils sont détectés, déconnectez-les immédiatement et fournissez à la direction un rapport sur la violation
c. Fournissez une sécurité telle que la désactivation des ports et le filtrage Mac sur les commutateurs d'entreprise pour empêcher un appareil non autorisé de se connecter au réseau. Implémentez des politiques de restriction logicielle pour empêcher l'installation de logiciels non autorisés sur les systèmes.
d. Installez un logiciel anti-espion sur tous les systèmes du réseau.
Réponse: C
Pour atténuer considérablement les risques sur le réseau, nous devons mettre en place une sécurité qui limite la connectivité à notre réseau à partir d'appareils externes. De plus, nous sommes préoccupés par la surveillance des logiciels installés sur nos hôtes, nous voulons donc limiter la capacité de ces logiciels à être installés. De plus, nous voulons nous assurer que les autres exigences de sécurité de base sont satisfaites, telles que l'utilisation de mots de passe forts, les politiques de verrouillage des systèmes, la sécurité physique, etc.
N'oubliez pas : les dispositifs proactifs EMPÊCHENT une attaque, au lieu d'y répondre. Les analyses de réseau détectent souvent ces appareils, mais les empêchent rarement. Les politiques décrivent des intentions d'entreprise de haut niveau qui peuvent ensuite être mises en œuvre. L'installation d'un logiciel anti-espion est un contrôle de détection/correction, et non un contrôle proactif/préventif.
Quel est le coût de l'examen CISSP ?
Les frais de certification CISSP sont divisés en trois parties, comme suit :
Les frais de cours varient de 300 $ à 3200 XNUMX $ US.
L'examen coûte 699 $ US.
Temps nécessaire à la préparation (coût caché) : 50 à 70 heures
La certification CISSP est plus technique et approfondie que certaines des autres certifications de sécurité de l'information disponibles aujourd'hui. Pour n'en citer que quelques-uns, il aborde la gestion des risques, la gestion de la sécurité des actifs, la gestion des accès, l'ingénierie de la sécurité, les tests de sécurité et la sécurité du réseau.
En conséquence, vous pouvez vous attendre à être embauché en tant que consultant en sécurité, auditeur en sécurité, consultant en sécurité ou ingénieur en système de sécurité après avoir obtenu votre CISSP. En tant que CISSP, vous créerez des politiques et des processus pour sécuriser les réseaux de sécurité de l'information au travail. Vous intégrerez les processus nécessaires pour sécuriser les actifs contre les menaces externes dans les réseaux informatiques.
En réalité, le CISSP est une certification précieuse et passionnante pour les professionnels de l'informatique. Une fois que vous l'aurez, vous serez sûr d'avoir gagné la crédibilité et l'approbation requises pour une gestion réussie de la sécurité de l'information. En conséquence, vous pourrez évoluer dans votre travail et gagner plus d'argent.
Mais la certification n'est pas gratuite. Le mot « frais de travail » n'est peut-être pas le plus approprié. Vous investirez dans quelque chose qui vous offrira des perspectives d'emploi nouvelles et améliorées.
Un aperçu complet du coût de l'examen CISSP
Coût de la certification CISSP : frais de cours
Commençons par les frais de cours, qui sont inclus dans le prix CISSP.
La première étape dans la poursuite de votre certification CISSP est de vous inscrire à un cours de certification CISSP. L'auto-apprentissage n'est ni conseillé ni efficace pour réussir l'examen CISSP, vous devez donc suivre le cours.
Le contenu du cours CISSP est unique par rapport à de nombreuses autres certifications informatiques. Il couvre des sujets qui sont rarement abordés ou traités dans les opérations informatiques quotidiennes.
Par conséquent, vous devez vous inscrire à un cours de certification CISSP approfondi. Autrement dit, le cours doit couvrir de manière exhaustive tous les sujets spécifiés. Vous devriez également avoir accès à du matériel de pratique, tels que des tests pratiques CISSP et d'autres informations utiles, pour vous aider à vous préparer à l'examen.
Les coûts du cours de certification CISSP varient selon les pays et, dans certaines situations, selon la ville. Même si vous recherchez les prix des cours CISSP dans votre région, vous découvrirez qu'il existe de nombreux prestataires de formation avec des gammes de prix variables.
Nous avons enquêté sur le coût du cours de certification CISSP dans un certain nombre de pays, et les résultats sont présentés ci-dessous. Le tableau ci-dessous compare les frais de cours CISSP bas et élevés dans divers pays.
Cours CISSP en classe
- Les États-Unis et le Canada : 2000 2800 $ US – XNUMX XNUMX $ US
- Pakistan / Inde : 300 US$ – 600 US$
- UE : 2600 3200 USD – XNUMX XNUMX USD
- Arabie Saoudite / Emirats Arabes Unis : 800 US$ – 1300 US$
- Australie et Nouvelle-Zélande : 2000 US$ – 2600 US$
Si vous souhaitez apprendre dans une salle de classe, il existe plusieurs prestataires de formation CISSP dans votre région. Ils peuvent dispenser régulièrement une formation CISSP, et certains peuvent également fournir une formation individuelle spécialisée.
Vous pouvez leur parler de vos alternatives et choisir celle qui vous convient le mieux. Malheureusement, la formation CISSP en classe est d'un coût prohibitif. Cette forme de formation est beaucoup plus chère que les options d'apprentissage en ligne en direct et à votre rythme. Par conséquent, ce type de formation peut augmenter le total de vos frais d'examen CISSP.
Apprentissage en ligne à votre rythme
En plus de la formation en classe, les cours CISSP sont disponibles en ligne pour un apprentissage à votre rythme. C'est un excellent choix pour les personnes qui ont une disponibilité limitée pendant la journée et un horaire de travail chargé. Avec l'apprentissage en ligne à votre rythme, vous pouvez regarder des cours vidéo quand vous le souhaitez. Vous n'êtes pas non plus obligé de vous rendre au centre de formation. Nous proposons une formation certifiante CISSP.
Le coût de la formation CISSP en ligne à votre rythme varie considérablement. Un cours CISSP coûte 300 $, bien qu'il soit parfois offert pour 900 $.
Avez-vous remarqué le changement de prix ? Étant donné que les cours en ligne à votre rythme sont moins chers que les cours en classe et même les formations en ligne en direct, le choix de cette option entraînera un coût global de l'examen de certification CISSP moins élevé. Par conséquent, si vous pensez que cette méthode d'apprentissage est parfaite pour vous, elle en vaut également la peine.
Formation en direct en ligne
De nombreux établissements d'enseignement offrent également des cours CISSP. Dans un cours en direct, vous pouvez être le seul dans la salle, ou vous pouvez avoir d'autres étudiants en ligne avec vous. Ce sera une session interactive où vous pourrez poser des questions et recevoir des réponses rapides.
Le coût des cours en ligne en direct varie également considérablement. Un cours de formation CISSP en ligne peut coûter entre 600 et 1500 dollars américains.
Frais d'examen de certification CISSP
Les frais d'examen sont la deuxième composante des frais de certification CISSP. L'examen CISSP est actuellement au prix de 699 $. Ce prix changera le 1er mai 2022. Les nouveaux frais d'examen CISSP passeront de 699 USD à 749 USD après cette date.
Peu importe où vous postulez à l'examen, les frais seront les mêmes. PearsonVue, un centre de test ISC2 agréé, fournit tous les examens ISC2. Pour vous inscrire à votre examen, vous pouvez payer PearsonVUE en ligne ou dans l'un de leurs magasins franchisés dans votre région.
Coût de l'examen de certification CISSP : temps de préparation
Le temps passé à étudier pour l'examen CISSP n'est pas inclus dans les frais de certification CISSP. Le temps que vous passez à étudier pour l'examen, en revanche, vous coûtera de l'argent.
Le temps, c'est de l'argent, et vous pourriez avoir besoin de jusqu'à 70 heures pour étudier complètement pour l'examen CISSP. Un professionnel de l'informatique peut avoir besoin de 50 à 60 heures pour se préparer à l'examen, mais une personne sans expérience informatique approfondie peut avoir besoin de 60 à 70 heures.
Combien de temps faudra-t-il pour terminer la planification ? C'est un risque ! Tout dépend du temps dont vous disposez chaque jour ou chaque semaine pour étudier en vue de l'examen CISSP. Les individus ont terminé leur préparation en aussi peu qu'un mois et aussi longtemps que six mois.
Des critères supplémentaires, tels que l'expérience de travail antérieure, le niveau de compétence et le désir d'obtenir une certification le plus rapidement possible, déterminent le temps qu'il faut pour terminer vos cours.
En conséquence, vous consacrerez beaucoup de temps à la préparation de l'examen CISSP. Considérez ce temps comme faisant partie du coût de la certification CISSP.
Le CISSP est-il un examen difficile ?
C'est un examen difficile. Bien que les taux de réussite au CISSP ne soient pas rendus publics, il est largement admis qu'ils sont nettement inférieurs à 50 %.
Puis-je réussir le CISSP en 3 mois ?
Si vous souhaitez réussir votre examen CISSP en 3 mois, vous pouvez opter pour la voie étendue (3 mois ou plus, 2 heures par jour, avec un accent sur les week-ends). Ne manquez aucun matériel lorsque vous étudiez, car vous pourriez omettre quelque chose que vous aurez besoin de savoir plus tard.
Le CISSP est-il pour les débutants ?
CISSP n'est pas pour les débutants. Le CISSP est créé pour les experts en sécurité qui ont travaillé sur le terrain pendant un certain temps, sont actuellement employés dans un rôle impliquant la sécurité de l'information et souhaitent en savoir plus sur le leadership et les opérations de cybersécurité.
Combien d'années le CISSP est-il valide ?
La certification CISSP est valable trois ans.
En conclusion,
Le CISSP est une certification mondialement reconnue en sécurité de l'information. Dans le monde moderne d'aujourd'hui, les professionnels ayant une compréhension approfondie et approfondie de la manière de protéger les actifs informatiques, les applications et les informations contre les attaques sont très demandés. Les CISSP sont les professionnels les plus qualifiés pour traiter les problèmes de sécurité de l'information.
Dans cet article, les trois composantes des frais de certification CISSP ont été abordées : les frais de cours CISSP, le coût de l'examen CISSP et le temps de préparation.
Vous aurez un plan financier clair et un calendrier d'études pour votre future profession si vous avez un coût prévu pour l'obtention de votre certification. Meilleurs vœux!
Articles Relatifs
- Les vidages d'examen sont-ils votre meilleur outil de préparation pour Certbolt Cisco 300-420 ENSLD ?
- ENTREPRISES DE MARKETING DE RÉSEAU : Top meilleures entreprises (mis à jour)
- COMMENT DEVENIR COMPTABLE EN GESTION AGRÉÉ : Guide détaillé
- Liste de vérification de l'assurance-vie : ce dont vous aurez besoin pour obtenir une couverture en 2023
- CERTIFICATION GOOGLE ADS : présentation détaillée
Bibliographie
