ebook img

Official (ISC)2 Guide to the CISSP-ISSMP CBK, Second Edition PDF

449 Pages·2015·6.37 MB·English
by  
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview Official (ISC)2 Guide to the CISSP-ISSMP CBK, Second Edition

SECOND Information Technology / Certifcation & Accreditation EDITION OFFICIAL GUIDE TO THE OFFICIAL GUIDE TO THE ® ® ® ® ® ® CISSP -ISSMP CBK CISSP -ISSMP CBK “A CISSP-ISSMP is the best of both worlds—the master of technical and managerial IT, with the added bonus of business acumen that resonates with the C-suite.” —W. Hord Tipton, Former Executive Director, (ISC)2 The Certifed Information Systems Security Professional-Information Systems Security Management Professional (CISSP-ISSMP®) certifcation was developed for CISSPs who are seeking to further their careers and validate their expertise in information systems security management. Candidates for the ISSMP need to demonstrate a thorough understanding of the fve domains of the ISSMP Common Body of Knowledge (CBK®), along with the ability to apply this in-depth knowledge to establish, present, and govern information security programs, while demonstrating management and leadership skills. Supplying an authoritative review of key concepts and requirements, the Ofcial (ISC)2® Guide to the CISSP®-ISSMP® CBK®, Second Edition is both up to date and relevant. This Information Systems book provides a comprehensive review of the fve domains in the ISSMP CBK: Security Lead- ership and Management, Security Lifecycle Management, Security Compliance Management, Security Management Professional Contingency Management, and Law, Ethics, and Incident Management. Numerous illustrated examples and practical exercises are included in this book to demonstrate concepts and real-life scenarios. Endorsed by (ISC)2 and compiled and reviewed by ISSMPs and industry luminaries around the world, this book provides unrivaled preparation The most complete compendium of industry knowledge compiled by the for the exam. Earning your ISSMP is a deserving achievement that should ultimately help to foremost experts in global security. A must-have for those seeking to attain the enhance your career path and give you a competitive advantage. Information Systems Security Management Professional (ISSMP®) credential. Steinberg Edited by Joseph Steinberg, CISSP-ISSAP, ISSMP, CSSLP K16839 ISBN: 978-1-4665-7895-1 90000 9 781466 578951 SECOND EDITION www.allitebooks.com K16839_Cover_final.indd 1 4/10/15 12:34 PM OFFICIAL GUIDE TO THE ® ® ® CISSP-ISSMP CBK www.allitebooks.com ISSMP2015Book1.indb 8 3/17/2015 3:28:14 PM ® 2 OFFICIAL (ISC) GUIDE TO THE ® ® ® CISSP -ISSMPCBK S E C O N D E D I T I O N www.allitebooks.com 2® OTHER BOOKS IN THE (ISC) PRESS SERIES Offcial (ISC)2® Guide to the ISSMP® CBK®, Second Edition Joseph Steinberg, Editor ISBN: 978-1-4665-7895-1 2® ® ® Offcial (ISC) Guide to the CISSP CBK ,Fourth Edition Adam Gordon, Editor ISBN: 978-1-4822-6275-9 Offcial (ISC)2® Guide to the HCISPPSM CBK® Steven Hernandez, Editor ISBN: 978-1-4822-6277-3 2® SM ® Offcial (ISC) Guide to the CCFP CBK Peter Stephenson, Editor ISBN: 978-1-4822-6247-6 2® ® ® Offcial (ISC) Guide to the ISSAP CBK , Second Edition Adam Gordon, Editor ISBN: 978-1-4665-7900-2 2® ® ® Offcial (ISC) Guide to the CAP CBK , Second Edition Patrick D. Howard ISBN: 978-1-4398-2075-9 2® ® ® Offcial (ISC) Guide to the SSCP CBK , Second Edition Harold F. Tipton, Editor ISBN: 978-1-4398-0483-4 Offcial (ISC)2® Guide to the ISSAP® CBK® Harold F. Tipton, Editor ISBN: 978-1-4398-0093-5 CISO Leadership: Essential Principles for Success Todd Fitzgerald and Micki Krause, Editors ISBN: 978-0-8493-7943-X 2® ® ® ® Offcial (ISC) Guide to the CISSP -ISSEP CBK Susan Hansche ISBN: 978-0-8493-2341-X www.allitebooks.com ® 2 OFFICIAL (ISC) GUIDE TO THE ® ® ® CISSP -ISSMPCBK S E C O N D E D I T I O N Edited by Joseph Steinberg, CISSP-ISSAP, ISSMP, CSSLP www.allitebooks.com CRC Press Taylor & Francis Group 6000 Broken Sound Parkway NW, Suite 300 Boca Raton, FL 33487-2742 © 2015 by Taylor & Francis Group, LLC CRC Press is an imprint of Taylor & Francis Group, an Informa business No claim to original U.S. Government works Version Date: 20150414 International Standard Book Number-13: 978-1-4665-7896-8 (eBook - PDF) This book contains information obtained from authentic and highly regarded sources. Reasonable efforts have been made to publish reliable data and information, but the author and publisher cannot assume responsibility for the valid- ity of all materials or the consequences of their use. The authors and publishers have attempted to trace the copyright holders of all material reproduced in this publication and apologize to copyright holders if permission to publish in this form has not been obtained. If any copyright material has not been acknowledged please write and let us know so we may rectify in any future reprint. Except as permitted under U.S. Copyright Law, no part of this book may be reprinted, reproduced, transmitted, or uti- lized in any form by any electronic, mechanical, or other means, now known or hereafter invented, including photocopy- ing, microfilming, and recording, or in any information storage or retrieval system, without written permission from the publishers. For permission to photocopy or use material electronically from this work, please access www.copyright.com (http:// www.copyright.com/) or contact the Copyright Clearance Center, Inc. (CCC), 222 Rosewood Drive, Danvers, MA 01923, 978-750-8400. CCC is a not-for-profit organization that provides licenses and registration for a variety of users. For organizations that have been granted a photocopy license by the CCC, a separate system of payment has been arranged. Trademark Notice: Product or corporate names may be trademarks or registered trademarks, and are used only for identification and explanation without intent to infringe. Visit the Taylor & Francis Web site at http://www.taylorandfrancis.com and the CRC Press Web site at http://www.crcpress.com www.allitebooks.com Contents Foreword ����������������������������������������������������������������������������������������������������������������������������������������ix Introduction ����������������������������������������������������������������������������������������������������������������������������������xi Editors ������������������������������������������������������������������������������������������������������������������������������������������ xvii Contributors ������������������������������������������������������������������������������������������������������������������������������� xix Domain 1 — Security Leadership & Management Security Leadership & Management ��������������������������������������������������������������������������������������������� 1 Mission Statements ������������������������������������������������������������������������������������������������������������������������������������� 5 Business Functions �������������������������������������������������������������������������������������������������������������������������������������� 8 Group Business Processes�������������������������������������������������������������������������������������������������������������������������������� 8 Cultural Expectations �������������������������������������������������������������������������������������������������������������������������������������12 Defne the Security Governance Structure ����������������������������������������������������������������������������18 What Is Security Governance? ���������������������������������������������������������������������������������������������������������������������18 Why Is Security Governance Necessary? ���������������������������������������������������������������������������������������������������18 Security Governance Roles ���������������������������������������������������������������������������������������������������������������������������19 Information Security Concepts ��������������������������������������������������������������������������������������������������������������������20 System Development Life Cycle (SDLC) �����������������������������������������������������������������������������������������������������33 Enterprise System Security Framework �����������������������������������������������������������������������������������������������������34 Service Management Agreements �������������������������������������������������������������������������������������������������������������40 Other Forms of Agreements �������������������������������������������������������������������������������������������������������������������������43 Risk Management Program �������������������������������������������������������������������������������������������������������������������������43 Service Level Agreement Key Performance Indicators ��������������������������������������������������������������������������53 Information System Security Cycles �����������������������������������������������������������������������������������������������������������60 Plan of Action and Milestones ���������������������������������������������������������������������������������������������������������������������62 Managing the Security Organization ��������������������������������������������������������������������������������������������������������64 Roles and Responsibilities �����������������������������������������������������������������������������������������������������������������������������66 v www.allitebooks.com ISSMP2015Book1.indb 5 3/17/2015 3:28:14 PM 2 Official (ISC) Guide to the CISSP®–ISSMP® CBK Security Professional’s Goals are to ������������������������������������������������������������������������������������������������������������73 Security Professional’s Goals are NOT to ���������������������������������������������������������������������������������������������������73 Security Awareness, Education, and Training �����������������������������������������������������������������������������������������77 Domain 2 — Security Lifecycle Management Security Lifecycle Management ������������������������������������������������������������������������������������������������������87 Managing Security in Diferent Methods of Systems Development ����������������91 Systems Development Life Cycle �����������������������������������������������������������������������������������������������������������������91 Approval of Security Design ����������������������������������������������������������������������������������������������������������� 100 Business Unit Priorities �������������������������������������������������������������������������������������������������������������������������������� 100 Hardware �������������������������������������������������������������������������������������������������������������������������������������������������������� 103 Operating System ����������������������������������������������������������������������������������������������������������������������������������������� 107 Networks ��������������������������������������������������������������������������������������������������������������������������������������������������������� 110 Web Servers ���������������������������������������������������������������������������������������������������������������������������������������������������� 121 Other Applications ��������������������������������������������������������������������������������������������������������������������������������������� 126 Project under Development ���������������������������������������������������������������������������������������������������������������������� 127 Security Principles ��������������������������������������������������������������������������������������������������������������������������������������� 130 Service-Oriented Architecture Security �������������������������������������������������������������������������������������������������� 141 System Testing ����������������������������������������������������������������������������������������������������������������������������������������������� 143 Component Testing ������������������������������������������������������������������������������������������������������������������������������������� 143 Integrated System Testing �������������������������������������������������������������������������������������������������������������������������� 143 Penetration Testing �������������������������������������������������������������������������������������������������������������������������������������� 143 Certifcation and Accreditation ���������������������������������������������������������������������������������������������������������������� 144 Prioritizing Threats and Vulnerabilities �������������������������������������������������������������������������������������������������� 148 Domain 3 — Security Compliance Management Security Compliance Management ������������������������������������������������������������������������������������������� 159 The Cyber Domain ����������������������������������������������������������������������������������������������������������������������������������� 163 Business Perspective ������������������������������������������������������������������������������������������������������������������������������������ 163 Compliance ��������������������������������������������������������������������������������������������������������������������������������������������������� 165 Compliance Perspectives ��������������������������������������������������������������������������������������������������������������������������� 167 Enterprise Security Standard ��������������������������������������������������������������������������������������������������������������������� 175 People �������������������������������������������������������������������������������������������������������������������������������������������������������������� 181 Service Level Agreements ��������������������������������������������������������������������������������������������������������������������������� 192 Process ������������������������������������������������������������������������������������������������������������������������������������������������������������� 202 Version Control ��������������������������������������������������������������������������������������������������������������������������������������������� 207 Technology ����������������������������������������������������������������������������������������������������������������������������������������������������� 221 Environment �������������������������������������������������������������������������������������������������������������������������������������������������� 234 Mission Assurance ���������������������������������������������������������������������������������������������������������������������������������������� 238 vi www.allitebooks.com ISSMP2015Book1.indb 6 3/17/2015 3:28:14 PM Contents Domain 4 — Contingency Management Contingency Management �������������������������������������������������������������������������������������������������������������� 249 Contingency Plans ���������������������������������������������������������������������������������������������������������������������������������� 259 Types of Plans ������������������������������������������������������������������������������������������������������������������������������������������������ 259 Policy Development and Strategy Planning ����������������������������������������������������������������������������������������� 262 Business Continuity Plan and Disaster Recovery Plan—Project Planning ����������������������������������� 271 The Business Impact Analysis (BIA) Process ������������������������������������������������������������������������������������������ 273 Planning, Designing, and Development of Plans �������������������������������������������������������������������������������� 277 Risk Assessment and Management �������������������������������������������������������������������������������������������������������� 285 Contingency Management Summary���������������������������������������������������������������������������������������������������� 297 Communications ������������������������������������������������������������������������������������������������������������������������������������������ 308 Survivability ��������������������������������������������������������������������������������������������������������������������������������������������������� 314 Domain 5 — Law, Ethics, and Incident Management Law, Ethics, and Incident Management ��������������������������������������������������������������������������������� 323 Information Security Laws���������������������������������������������������������������������������������������������������������������� 327 Licensing ��������������������������������������������������������������������������������������������������������������������������������������������������������� 329 Intellectual Property ������������������������������������������������������������������������������������������������������������������������������������ 340 Import/Export Laws ������������������������������������������������������������������������������������������������������������������������������������� 348 Liability ������������������������������������������������������������������������������������������������������������������������������������������������������������ 349 Privacy Law ���������������������������������������������������������������������������������������������������������������������������������������������������� 352 Transborder Data Flow ������������������������������������������������������������������������������������������������������������������������������� 356 Security Incident Management Process ������������������������������������������������������������������������������ 367 Interviewing and Fact-Finding ����������������������������������������������������������������������������������������������������������������� 373 Professional Ethics ��������������������������������������������������������������������������������������������������������������������������������������� 377 FAQs ����������������������������������������������������������������������������������������������������������������������������������������������������������������� 383 Appendix A — Answers to Domain Review Questions ��������������������������������������������������������������� 393 Index ������������������������������������������������������������������������������������������������������������������������������������������������������������������������� 427 vii www.allitebooks.com ISSMP2015Book1.indb 7 3/17/2015 3:28:14 PM www.allitebooks.com ISSMP2015Book1.indb 8 3/17/2015 3:28:14 PM

See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.