Certified Secure Challenges - Over challenges en dergelijke

CISSP exam - legal & regulations domain

16-03-2012, 10:19 door JohanHofmans, 7 reacties
Een vraag over het CISSP examen.
Het domain legal & regulations bevat zeer veel referenties en content over US wetten.
Hier en daar lees ik dat in de examens buiten US er weinig of geen vragen zijn over dit onderwerp.
Reden kunnen uiteraard zijn dat de US wetten in Europa niet van toepassing zijn.
Heeft iemand daar meer info over?
Alvast bedankt.
Reacties (7)
16-03-2012, 10:29 door Anoniem
Ik heb hier geen vragen over gehad met mijn CISSP examen.
Maar voor alle zekerheid (en het kan nooit kwaad) zou je wel het 'standaard' lijstje met wetten en de toepassing moeten weten, zodat je een wet kan koppelen aan de financiële wereld of gezondheid e.d.
16-03-2012, 11:05 door Overcome
Door Anoniem: Ik heb hier geen vragen over gehad met mijn CISSP examen.
Maar voor alle zekerheid (en het kan nooit kwaad) zou je wel het 'standaard' lijstje met wetten en de toepassing moeten weten, zodat je een wet kan koppelen aan de financiële wereld of gezondheid e.d.

Goeie tip. Ga er niet vanuit dat je geen vragen over wet- en regelgeving krijgt, want ik heb ze wel gekregen.

Ik ben nu voor het ISSMP examen bezig en heb voor het wetgeving deel erg veel aan de website http://itlaw.wikia.com/wiki/The_IT_Law_Wiki. Het geeft de achtergrond van de wetgeving in behapbare stukken. Onthoud met name de hoofdlijnen en richt je op de wetten zoals die in Shon haar boek worden genomed, waaronder

- GLBA
- SOX
- HIPAA
- Privacy Act
- OECD richtlijnen
- ECPA
- ...

Als je informatie wilt hebben over gerelateerde wetgeving, kun je je pijlen altijd nog richten op de Wiretap Act, CAN-SPAM, DMCA, Trademark Act, Copyright Act, CFAA (Computer Fraud and Abuse Act), Patent Law etc.
16-03-2012, 12:02 door Anoniem
Een belangrijk concept voor wat betreft Amerikaanse wetgeving is dat deze vaak geïnd is op het beschermen van het individu tegen zijn / haar overheid, of zoals met de HIPAA privacy rule, tegen organisaties. Dit zijn zogenaamde verticale wetten, dit in tegenstelling tot wetten die voor burgers onderling gelden, de horizontale wetten.
Onthoud de lijst van Overcome en weet welk probleem deze wetten proberen op te lossen. Ik weet niet of dit tegenwoordig aan CISSP is toegevoegd maar wellicht zou je ook naar PCI kunnen kijken.
Zelf heb ik veel gebruik gemaakt van wikipedia.
16-03-2012, 14:16 door Anoniem
Geeft de waarde van dit soort certificering aan. Wij hebben het maar hechten er nauwelijks waarde aan.
16-03-2012, 15:38 door Anoniem
Doordat men te weinig wijst op de zeer beperkte hoeveelheid daadwerkelijk security TECHNISCHE kennis die er in deze certificering zit, vooral oppervlakkig conceptueel, ontstaat het gevaar dat mensen serieus genomen worden op basis van hun certificering. Ik heb VELE personen verder mogen opleiden bij een grote organisatie waar ik mensen met dergelijke certificeringen binnen kreeg en de resultaten waren erg wisselend. Mensen met een heel technische achtergrond bleven soms veel te technisch binnen de eigen specialisatie kliederen en namen, ten onrechte aan, dat men ook wel de andere specialisaties voldoende diepgaand begreep. Met als resultaat soms volledig verkeerde toepassing van de concepten. De sterk bedrijfskundig georiënteerde personen misten vaak het inzicht in de onderliggende technisch realiteit. Mensen met voldoende zelf kennis en relativeringsvermogen zijn dan nog het veiligst. Die realiseren zich de eigen beperkingen en ook de politieke realiteit van de organisatie waarin men zit. Interne politiek is geen onderdeel van het curriculum. En dat is heel erg jammer! Want security is vaak zeer politiek...

Een echte allround security expert is ZEER zeldzaam en absoluut een vakidioot anders hou je het niet bij. En dan nog is deze vaak afhankelijk van een netwerk van andere security experts binnen de diverse deelgebieden om de bleeding edge bij te houden. IT is door ome Bill zo versimpeld aan de user interface dat de complexiteit zo goed verborgen is dat de gemiddelde user / manager het allemaal wel zelf denkt te weten. Security in de echte wereld is COMPLEX EN MOEILIJK want in de echte wereld is het landschap heterogeen en zijn er duizenden hackers die tegenwoordig de laatste vulnerablities verkopen voor geld. Waar vroeger die kennis gedeeld werd. Bovendien moet security werkbaar blijven en betaalbaar. Het moet door een organisatie geslikt worden via mensen die security als een hoop gezeur betrachten. Interne politiek moet overruled worden om echte security af te dwingen. Dat vereist management commitment en ballen...

Wil de eerste CEO met security ballen opstaan? :)

Zolang trouwens "virusjes" als sinowal nog steeds vrolijk door alle antivirus tools heen vliegen bij de eerste poging (www.nu.nl) mogen ook de security experts nog wel eens goed gaan nadenken over betere oplossingen. Als de politiek wil investeren in innovatie mag men wel eens proberen een veilig OS en compiler op markt te brengen die programmeurs van applicaties behoed voor 0 days.

Dan ga ik me zeker certificeren in dat OS!

My two cents
16-03-2012, 17:07 door Anoniem
@15:48:
Het is zelfs in de meeste mate politiek. En het is ook niet afhankelijk van disciplines.
Een CEO heeft geen CISSP nodig hoor, trouwens. (Zeker niet in 1000+) al is het handig.

Maar security begint bij mensen, niet bij techniek.
Zie het nu.nl drama, zie het niet naleven van procedures bij diginotar, zie makkelijke paswoorden, ziee....
Dat heeft allemaal alleen met gedragswetenschap te maken en dat is geen Informatie Technologie...
Wat mij betreft.....

Want zelfs de meeste technische gebreken en daaraan verbonden risico's zijn alleen exploiteerbaar door onoplettendheid.
Al zijn er natuurlijk uitzonderingen. Maar techniek groeit nu eenmaal harder dan bewustzijn.

Waarom geen sociaal informaticus opleiding ipv CISSP?
16-03-2012, 19:59 door cowboysec
Door Anoniem: Doordat men te weinig wijst op de zeer beperkte hoeveelheid daadwerkelijk security TECHNISCHE kennis die er in deze certificering zit, vooral oppervlakkig conceptueel, ontstaat het gevaar dat mensen serieus genomen worden op basis van hun certificering. Ik heb VELE personen verder mogen opleiden bij een grote organisatie waar ik mensen met dergelijke certificeringen binnen kreeg en de resultaten waren erg wisselend. Mensen met een heel technische achtergrond bleven soms veel te technisch binnen de eigen specialisatie kliederen en namen, ten onrechte aan, dat men ook wel de andere specialisaties voldoende diepgaand begreep. Met als resultaat soms volledig verkeerde toepassing van de concepten. De sterk bedrijfskundig georiënteerde personen misten vaak het inzicht in de onderliggende technisch realiteit. Mensen met voldoende zelf kennis en relativeringsvermogen zijn dan nog het veiligst. Die realiseren zich de eigen beperkingen en ook de politieke realiteit van de organisatie waarin men zit. Interne politiek is geen onderdeel van het curriculum. En dat is heel erg jammer! Want security is vaak zeer politiek...

Een echte allround security expert is ZEER zeldzaam en absoluut een vakidioot anders hou je het niet bij. En dan nog is deze vaak afhankelijk van een netwerk van andere security experts binnen de diverse deelgebieden om de bleeding edge bij te houden. IT is door ome Bill zo versimpeld aan de user interface dat de complexiteit zo goed verborgen is dat de gemiddelde user / manager het allemaal wel zelf denkt te weten. Security in de echte wereld is COMPLEX EN MOEILIJK want in de echte wereld is het landschap heterogeen en zijn er duizenden hackers die tegenwoordig de laatste vulnerablities verkopen voor geld. Waar vroeger die kennis gedeeld werd. Bovendien moet security werkbaar blijven en betaalbaar. Het moet door een organisatie geslikt worden via mensen die security als een hoop gezeur betrachten. Interne politiek moet overruled worden om echte security af te dwingen. Dat vereist management commitment en ballen...

Wil de eerste CEO met security ballen opstaan? :)

Zolang trouwens "virusjes" als sinowal nog steeds vrolijk door alle antivirus tools heen vliegen bij de eerste poging (www.nu.nl) mogen ook de security experts nog wel eens goed gaan nadenken over betere oplossingen. Als de politiek wil investeren in innovatie mag men wel eens proberen een veilig OS en compiler op markt te brengen die programmeurs van applicaties behoed voor 0 days.

Dan ga ik me zeker certificeren in dat OS!

My two cents

Zeer goede weergave van security in de alledaagse ICT-praktijk; ik zou het niet beter kunnen verwoorden; thx
Cowboysec
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.