Wondershare EdrawMind
Galerie de cartes mentales Notes d'étude CISSP - Domaine 1 (Sécurité et gestion des risques)
- 12
Notes d'étude CISSP - Domaine 1 (Sécurité et gestion des risques)
Révision de l'examen CISSP, résumé des points de connaissances et exercices importants sur la sécurité et la gestion des risques du domaine 1, pleins d'informations utiles, les amis dans le besoin se dépêchent de les récupérer !
Modifié à 2024-02-12 08:29:54
- bacteria
This is a mind map about bacteria, and its main contents include: overview, morphology, types, structure, reproduction, distribution, application, and expansion. The summary is comprehensive and meticulous, suitable as review materials.
- Plant asexual reproduction
This is a mind map about plant asexual reproduction, and its main contents include: concept, spore reproduction, vegetative reproduction, tissue culture, and buds. The summary is comprehensive and meticulous, suitable as review materials.
- Reproductive development of animals
This is a mind map about the reproductive development of animals, and its main contents include: insects, frogs, birds, sexual reproduction, and asexual reproduction. The summary is comprehensive and meticulous, suitable as review materials.
Notes d'étude CISSP - Domaine 1 (Sécurité et gestion des risques)
- bacteria
This is a mind map about bacteria, and its main contents include: overview, morphology, types, structure, reproduction, distribution, application, and expansion. The summary is comprehensive and meticulous, suitable as review materials.
- Plant asexual reproduction
This is a mind map about plant asexual reproduction, and its main contents include: concept, spore reproduction, vegetative reproduction, tissue culture, and buds. The summary is comprehensive and meticulous, suitable as review materials.
- Reproductive development of animals
This is a mind map about the reproductive development of animals, and its main contents include: insects, frogs, birds, sexual reproduction, and asexual reproduction. The summary is comprehensive and meticulous, suitable as review materials.
- Recommandé pour vous
- Contour
Connaissances en matière de sécurité des expériences en matière d'électricité, de sécurité de l'eau et de chimie organique
- 8
Notes d'étude CISSP - Domaine 1 (Sécurité et gestion des risques)
Points de connaissance
1.2.Triple CIA
Confidentialité
La confidentialité fait référence à la prévention de l'accès aux actifs informationnels par des entités non autorisées, qu'il s'agisse de personnes ou de processus.
Intégrité (Intéarité)
La protection de l'intégrité empêche les modifications non autorisées des données.
Disponibilité
La disponibilité signifie que les entités investissantes bénéficient d'un accès rapide et ininterrompu aux objets.
Authenticité (Authenticitv)
L'authenticité est un concept de sécurité selon lequel les données sont authentiques ou authentiques à partir de la source qu'elles prétendent contenir : intégrité et non-répudiation.
non-répudiation
La non-répudiation garantit que le sujet d'une activité ou la personne qui a provoqué un événement ne peut pas nier que l'événement s'est produit.
Sécurité équilibrée
Chaque organisation aura des priorités différentes en matière d'examen de la CIA en fonction de sa propre situation.
1.3 Évaluer et appliquer les principes de gouvernance de la sécurité
Les fonctions de sécurité sont alignées sur les stratégies et les objectifs de l'entreprise
Lors de la création de la fonction de sécurité de votre organisation, vous devez d'abord concevoir une stratégie de sécurité cohérente avec la stratégie commerciale globale et l'énoncé de mission de votre organisation. Vous devez développer un ensemble de buts et d'objectifs spécifiques, mesurables, réalisables, pertinents et limités dans le temps pour vous aider à maintenir efficacement la confidentialité, l'intégrité et la disponibilité des systèmes et des informations de l'entreprise sans compromettre la capacité de votre organisation à atteindre ses buts et objectifs commerciaux.
La mise en œuvre d'un programme de sécurité efficace nécessite un examen attentif des besoins de l'entreprise et des voies de bataille organisationnelles, ainsi que des exigences juridiques et de conformité, et nécessite une gouvernance à l'échelle de l'organisation pour gérer l'efficacité des capacités de sécurité.
1.3.1. Processus organisationnels
gouvernance de la sécurité
Comités de gouvernance
Le Conseil de gouvernance est composé de dirigeants responsables de la gestion de tous les risques pour l'organisation, avec pour objectif principal d'assurer la surveillance de la fonction de sécurité de l'organisation tout en garantissant que la fonction de sécurité continue de répondre aux besoins de l'organisation et de ses parties prenantes. Ils examinent les projets en cours et planifiés, les mesures à distance et toute autre question de sécurité pouvant concerner l'ensemble de l'entreprise.
Fusions et acquisitions (M&A)
Chaque acquisition apporte un ensemble unique de circonstances, et les experts en sécurité des deux organisations doivent se réunir pour évaluer les contrôles de sécurité de chaque organisation et déterminer comment éliminer les redondances et assurer le confinement du système.
Points de risque possibles :
•Contenu inconnu : comment les installations informatiques, les contrôles et les processus de sécurité seront-ils intégrés aux systèmes existants ?
• Nouveaux vecteurs d'attaque : si l'organisation actuelle utilise uniquement des systèmes Windows et Linux, l'organisation acquise utilise des systèmes Macos.
•Impact sur les ressources : si la main-d'œuvre existante peut assurer le fonctionnement normal des fonctions existantes. Pouvez-vous recevoir avec succès le nouveau système ?
• Employés mécontents : les employés mécontents constituent une menace interne sérieuse
Contre-mesures :
• Examiner les politiques et procédures de sécurité des informations de l'entreprise.
• Examiner les actifs de données de l'entreprise. et identifier toutes les exigences réglementaires ou de conformité applicables (par exemple, PCl, HIPAA, GDPR, etc.)
• Examiner la politique de sécurité du personnel de l'organisation
•Identifier toutes les applications propriétaires ou personnalisées gérées par l'entreprise et exiger des tests de sécurité des applications statiques et dynamiques pour démontrer leur posture de sécurité.
•Zhouqiu fournit les résultats de tests d'intrusion récents (pentest), notamment des tests de réseau, de système d'exploitation, d'applications et de bases de données.
• Examiner l'utilisation par l'organisation de logiciels tiers et open source pour garantir que le logiciel est sécurisé et correctement sous licence.
1.3.2. Cession
Une cession est la séparation d'une partie d'une entreprise en une organisation indépendante
Mesures qui peuvent être prises :
•Identifier et classer tous les actifs impliqués dans le désinvestissement ; cela comprend les actifs matériels, logiciels et informationnels.
•Dissociez les systèmes concernés de votre infrastructure restante.
•Vérifiez tous les droits d'accès.
• Consultez vos équipes juridiques et de conformité pour vous assurer que vous respectez toutes les exigences réglementaires et de conformité nécessaires concernant la conservation, la suppression des données, etc.
1.3.3. Rôles et responsabilités organisationnels
1.3.3.1 Directeur de la sécurité de l'information (RSSI)
Le responsable de la sécurité de l'information est le cadre supérieur responsable de la gestion globale et de la surveillance du programme de sécurité de l'information au sein d'une organisation.
Le responsable de la sécurité de l'information dirige la stratégie et la vision de sécurité de l'organisation et est en dernier ressort responsable de la sécurité des systèmes et des informations de l'entreprise.
1.3.3.2 Chef de la sécurité (CSO)
Le CSO est un cadre supérieur au sein d'une organisation et est généralement responsable de toutes les questions de sécurité physique et de sécurité du personnel.
De nombreuses organisations ont fusionné les responsabilités du CSO avec le rôle du RSSI.
1.3.4. Cadre de contrôle de sécurité
1.3.4.1 Cadre de contrôle de sécurité
Sont des mesures de protection techniques, opérationnelles ou administratives utilisées par une organisation pour prévenir, détecter, réduire ou contrer les menaces de sécurité.
1.3.4.2 Type de contrôle de sécurité :
Contrôles techniques : protections et contre-mesures basées sur le système telles que les pare-feu, I1DS/PS et la prévention des pertes de données (DLP) •
Contrôles opérationnels : mesures de protection et contre-mesures effectuées principalement par des humains, tels que des agents de sécurité.
Contrôles de gestion : incluent les politiques, procédures et autres contre-mesures pour contrôler les risques liés à la sécurité de l'information.
1.3.4.3 Cadre commun de contrôle de sécurité :
1.3.5. Soyez prudent et responsable
1.3.5.1 Diligence requise
Le principe de prudence fait référence à un comportement raisonnable et prudent visant à protéger la sécurité des informations, y compris le maintien de la confidentialité, de l'intégrité et de la disponibilité des informations, et s'applique à toutes les personnes. Ce principe s’applique à toute personne ou organisation, quel que soit son niveau d’expertise en sécurité de l’information.
1.3.5.2 Diligence raisonnable
La diligence raisonnable fait référence à une série de mesures prises en matière de sécurité de l'information pour garantir que des mesures de sécurité raisonnables ont été mises en œuvre et fonctionnent efficacement. Il s’agit notamment de l’élaboration d’un cadre de sécurité formel, de l’élaboration de politiques de sécurité, de normes, de lignes de base, de lignes directrices et de procédures, etc. À cet égard, il est de la responsabilité de la haute direction de s’assurer que la diligence raisonnable est mise en œuvre.
1.4 Déterminer la conformité et les autres exigences
1.4.1. Normes contractuelles, légales, industrielles et exigences réglementaires
CISSP définit la conformité comme le respect des mandats, y compris l'ensemble des activités qu'une organisation mène pour comprendre et respecter toutes les lois applicables, les exigences réglementaires, les normes industrielles et les accords contractuels. Les professionnels de la sécurité doivent comprendre les différentes lois nationales, régionales et étatiques qui s'appliquent à leur entreprise.
1.4.1.1 « Loi sur la sécurité informatique »
Adoptée par le Congrès américain en 1987, elle a été supprimée et remplacée par la FISMA.
1.4.1.2 « FISMA »
Selon la Federal Information Security Management Act, toutes les agences du gouvernement fédéral américain et les organisations non gouvernementales qui fournissent des services d'information à ces agences sont tenues de mener des évaluations de sécurité basées sur les risques, conformément au cadre de gestion des risques (RMF) du NIST.
1.4.1.3 « SOX »
Réglementation relative au financement des sociétés cotées
1.4.1.4 "PCI-DSS"
Réglementation du secteur des cartes de paiement
1.4.1.5 « SOC »
Signifie contrôle du système et de l'organisation et est un cadre d'audit avec trois types d'audit et de reporting SOC couramment utilisés, nommés SOC1, SOC2 et SOC3.
SOC1 : Audit lié aux états financiers
SOC2 : rapports détaillés d'audit et de conformité, généralement non accessibles au public.
SOC3 : Une version simplifiée de SOC2, accessible au public.
1.4.2. Exigences en matière de confidentialité
Les exigences en matière de confidentialité font référence à la protection de la sécurité et de la confidentialité des informations personnelles pendant le traitement des informations et à la limitation de l'accès aux informations personnelles au champ d'utilisation autorisé de la partie autorisée. Essentiellement, la vie privée fait référence à la protection des informations personnelles identifiables afin de protéger le droit d'un individu à la vie privée.
1.4.2.1Informations personnelles
Informations personnellement identifiables (PII), toute information permettant d'identifier une personne, telle que votre nom, votre adresse, votre numéro de téléphone, votre numéro de carte bancaire, votre permis de conduire et votre numéro de sécurité sociale (carte d'identité), etc.
1.5. Comprendre les enjeux juridiques et réglementaires liés à la sécurité de l'information dans son ensemble
1.5.1. Cybercriminalité et violations de données
1.5.1.1 Cybercriminalité
La cybercriminalité fait référence aux activités criminelles impliquant directement les ordinateurs ou Internet, qui comprennent principalement :
1. Crimes contre les personnes, comme le vol d'identité
2 Violation de la propriété, telle que l'endommagement d'ordinateurs et le vol de propriété intellectuelle
3. Crimes contre le gouvernement, comme le vol d'informations classifiées
1.5.1.2 Fuite de données
Les violations de données constituent un type particulier de cybercriminalité dans lequel des cybercriminels accèdent ou volent des informations sans autorisation. Les organisations touchées par une violation de données peuvent être confrontées à des atteintes à leur réputation, à des incidents de vol d'identité, à des amendes ou à une perte de propriété intellectuelle en raison d'un vol. Le chiffrement est un moyen simple de protéger votre organisation contre les violations de données.
1.5.1.3 Lois américaines pertinentes :
Computer Fraud and Abuse Act (CFAA) : première loi pénale américaine ciblant la cybercriminalité, faisant de nombreux types de piratage informatique un crime fédéral. Les amendements de la CFAA ont rencontré une résistance.
Electronic Communications Privacy Act (ECPA) : empêche le gouvernement américain d'intercepter les communications et de stocker des informations, et le gouvernement doit répondre à des exigences strictes pour obtenir un mandat de perquisition pour les communications électroniques.
Loi sur le vol d’identité et la présomption de dissuasion : fait du vol de la valeur d’une personne un crime fédéral.
1.5.2. Exigences en matière de licences et de propriété intellectuelle (PI)
1.5.2.1 Licence du logiciel
Les logiciels constituent une forme importante de propriété intellectuelle. Les organisations investissent d'importantes ressources financières et humaines dans le développement de logiciels, puis dans leur protection par le biais d'accords de licence. Il existe quatre types courants d'accords de licence :
1Licence contractuelle : utilisez un contrat écrit entre le fournisseur de logiciels et le client décrivant leurs responsabilités respectives.
2 Efficaces dès l'ouverture : Ils deviennent efficaces lorsque l'utilisateur brise le sceau de l'emballage.
3. Cliquez sur Accord : les clients doivent uniquement cliquer sur le bouton "J'accepte" lors de l'achat d'un logiciel ou de leur inscription à des services.
4. Licence de service cloud : accord au clic pour la migration vers le cloud
1.5.2.2 Droits de propriété intellectuelle
Une responsabilité très importante des professionnels de la sécurité de l’information est de protéger la propriété intellectuelle appartenant à leur organisation contre toute utilisation ou divulgation non autorisée.
1.Droits d'auteur
Le droit d'auteur protège les œuvres créatives contre le détournement. Ces œuvres peuvent inclure des catégories telles que les livres, les films, les chansons, la poésie, les créations artistiques et les logiciels informatiques.
La protection du droit d'auteur est automatiquement accordée au créateur au moment de la création, mais veuillez noter que les créations réalisées pendant que vous êtes employé appartiennent à l'employeur. La protection du droit d'auteur dure 70 ans après le décès de l'auteur. Le droit d'auteur est représenté par le symbole du diagramme C illustré ici.
2. Marques déposées
Les marques déposées sont utilisées pour protéger les mots et symboles que vous utilisez pour identifier vos produits et services. Les informations protégées par une marque comprennent les noms de marques, les logos et les slogans. Les marques peuvent exister indéfiniment, mais l'enregistrement doit être renouvelé tous les 10 ans. Les marques déposées sont représentées par le symbole ™M, et une fois le statut d'enregistrement accordé par le gouvernement, elles peuvent être représentées par le symbole R encerclé.
3. Brevets
Les brevets protègent les inventions et confèrent à l'inventeur le droit exclusif d'utiliser son invention pendant un certain temps. Une fois accordés, les droits de brevet durent généralement 20 ans après la date de dépôt. Pour obtenir un brevet, les inventeurs doivent démontrer que leur idée répond à trois critères :
Premièrement, il doit être nouveau ;
Deuxièmement, cela doit être utile ;
Enfin, ce doit être quelque chose qui n’est pas évident ;
4. Secrets commerciaux
Avec un secret commercial, le propriétaire ne parle de l’invention à personne et garde les détails secrets. Tant que l’organisation peut protéger le secret, elle jouit de droits exclusifs sur l’invention. L’inconvénient est que si d’autres découvrent le fonctionnement de l’invention, ils sont libres de l’utiliser. Restreindre les connaissances des personnes au sein de l'organisation qui connaissent les secrets commerciaux grâce à un accord de non-divulgation (NDA).
1.5.3. Contrôles des importations et des exportations
De nombreux pays ont des exigences concernant les types d’informations et de biens qui peuvent traverser les frontières internationales. Les professionnels de la sécurité de l’information doivent comprendre les différents contrôles d’importation et d’exportation qui s’appliquent à leur secteur et s’assurer que leurs activités sont conformes à ces réglementations.
1.5.3.1 Contrôles des importations/exportations aux États-Unis
Le Règlement sur le trafic d'armes (TAR) concerne tout ce qui concerne les articles de défense.
Les réglementations sur l'administration des exportations (EAR) couvrent de nombreuses grandes catégories technologiques, notamment les appareils électroniques et informatiques sensibles, les lasers, la navigation, la technologie marine, etc.
1.5.4. Flux de données transfrontaliers
Les flux de données transfrontaliers visent à contourner les exigences nationales qui empêchent certaines données d'entrer ou de sortir d'un emplacement géographique ou d'une juridiction spécifique. Par exemple : la « loi chinoise sur la cybersécurité » exige que les données des citoyens chinois collectées en Chine soient conservées en Chine et ne puissent être transférées à l'étranger sans l'autorisation du gouvernement chinois.
1.5.5. Confidentialité
Les deux éléments d’informations privées les plus courants sont les informations personnelles identifiables, ou Pll, et les informations de santé protégées, ou PHl.
1.5.5.1 Lois pertinentes sur la confidentialité aux États-Unis
1. « Loi sur la confidentialité »
Réglemente et régit principalement la collecte, la maintenance, l'utilisation et la diffusion des informations personnelles par les agences gouvernementales américaines.
2. Loi sur la portabilité et la responsabilité de l'assurance maladie (HIPAA)
Exige que les hôpitaux, les médecins, les compagnies d’assurance et autres organisations qui traitent ou stockent des informations PHI adoptent des mesures de sécurité strictes.
3. Loi sur la protection de la vie privée en ligne des enfants (COPPA)
Des directives strictes sont en place pour les entreprises en ligne afin de protéger la vie privée des enfants de moins de 13 ans.
4. Loi sur la modernisation des services financiers (GLBA)
Proposer des exigences réglementaires pour que les institutions financières échangent des informations sur les clients. Exige que les agences mettent en œuvre des contrôles de sécurité appropriés pour protéger les données personnelles de leurs clients.
5. Loi sur les technologies de l'information sur la santé pour la santé économique et clinique (HITECH)
Le projet de loi étend les protections de la vie privée de la HIPAA et impose des sanctions plus sévères. Des règles de notification des violations ont également été introduites, exigeant la divulgation aux parties concernées dans les 60 jours suivant une violation.
1.5.5.2 Lois européennes pertinentes sur la protection de la vie privée
1.《Directive sur la protection des données (DPD)>
Elle réglemente le traitement des données personnelles des citoyens européens. Il s'agit de la première loi importante sur la protection de la vie privée dans l'Union européenne et est considérée comme la réglementation de base en matière de protection de la vie privée dans toute l'Europe. A été remplacé par le RGPD ultérieur.
2. Règlement Général sur la Protection des Données (RGPD)
Elle énonce sept principes pour le traitement des données personnelles :
1) Légalité, équité et transparence : obtenir et traiter les données personnelles conformément aux lois applicables, et informer pleinement les utilisateurs de la manière dont leurs données seront utilisées.
2) Limitation de la finalité : Déterminer la finalité « précise, claire et légitime » de la collecte de données et les informer de cette finalité
3) Minimisation des données : collecter et traiter la quantité minimale de données nécessaire pour fournir les services convenus.
4) Exactitude : garantir que les données personnelles restent « exactes et, si nécessaire, mises à jour ».
5) Limitation de conservation : Les données personnelles ne sont conservées que pendant la durée nécessaire à la fourniture des services convenus. Respecter le « droit à l’oubli »
6) Intégrité et confidentialité
7) Responsabilité : les responsables du traitement des données (c'est-à-dire la partie qui stocke et traite les données personnelles) doivent être en mesure de démontrer leur conformité à toutes les exigences.
Remarque : Si votre organisation stocke ou traite les données personnelles des citoyens ou résidents de l'UE, le RGPD s'applique à vous, que votre entreprise soit située ou non dans l'UE. Et exige que les responsables du traitement des données informent les parties concernées dans les 72 heures après avoir pris connaissance d'une violation de données personnelles. Pour le partage transfrontalier d’informations, des clauses contractuelles types ou des règles d’entreprise contraignantes doivent être utilisées.
3. « Safe Harbor » et « Privacy Shield » sont des accords de protection de la vie privée entre les États-Unis et l'Union européenne, et ils ont expiré.
1.6. Comprendre les exigences du type d'enquête
1.6.1. Type de réglage
1.6.1.1 Enquête administrative (administrative)
Une enquête au sein d'une organisation pour trouver la cause profonde d'un problème et le résoudre afin que l'entreprise puisse reprendre ses activités normales.
1.6.1.2 Enquête criminelle (criminelle)
Enquête menée par une agence gouvernementale qui enquête sur les violations des lois pénales.
Norme de preuve la plus élevée : au-delà de tout doute raisonnable.
1.6.1.3 Enquête civile (civile)
Enquête menée par une agence gouvernementale qui enquête sur les violations des lois pénales.
La norme de preuve la plus élevée : au-delà de tout doute raisonnable.
1.6.1.4 Réglementation
Enquêtes menées par des agences gouvernementales sur des violations potentielles du droit administratif, ou par des régulateurs indépendants sur des violations des normes industrielles.
Les enquêtes réglementaires peuvent être de nature civile ou pénale.
1.7. Élaborer, documenter et mettre en œuvre des politiques, des normes, des procédures et des lignes directrices en matière de sécurité
1.7.1. Cadre de politique de sécurité
17.1.1 Politiques de sécurité (Politiques)
Une politique de sécurité est un ensemble d'énoncés qui décrivent très soigneusement les attentes de sécurité à long terme d'une organisation et identifient les principes et les règles qui régissent la protection des systèmes d'information et des données de l'organisation.
•Le respect des politiques est obligatoire et les politiques sont généralement approuvées par le plus haut niveau de l'organisation.
Quelques politiques de sécurité courantes : politique d'utilisation acceptable, politique de contrôle d'accès, politique de gestion des modifications, politique d'accès à distance, politique de reprise après sinistre
1.7.1.2Normes de sécurité (Normes)
Les normes de sécurité précisent les détails spécifiques des contrôles de sécurité qu'une organisation doit suivre, tels que les protocoles de chiffrement approuvés par l'organisation, l'endroit où les données sont stockées, les paramètres de configuration et d'autres détails techniques et opérationnels. Lorsqu'il s'agit de normes de configuration complexes, les normes de l'industrie sont souvent utilisées, comme le Guide de configuration de la sécurité fourni par le Center for Internet Security.
Le respect des normes de sécurité est obligatoire. La ligne de base de sécurité est liée aux normes qui établissent un niveau de sécurité minimum pour un système, un réseau ou un périphérique. Si les exigences de base ne sont pas remplies, il ne peut pas être mis en ligne.
1.7.1.3 Procédures de sécurité (Procédures)
Les procédures de sécurité sont des instructions étape par étape que les employés peuvent suivre lorsqu'ils effectuent des tâches de sécurité spécifiques.
1.7.1.4Consignes de sécurité (directives)
Les guides sont l'endroit où les professionnels de la sécurité fournissent des conseils aux autres membres de l'organisation, y compris les meilleures pratiques en matière de sécurité des informations. Le respect des consignes de sécurité est facultatif.
1.8 Identifier, analyser et prioriser les exigences en matière de continuité des activités (BC)
1.8.1. Analyse d'impact sur les entreprises (AFI)
L'analyse de l'impact sur les activités aide une organisation à identifier ses fonctions commerciales essentielles, à l'aide d'évaluations des risques quantitatives ou qualitatives, et à comprendre l'impact d'une catastrophe sur chaque fonction ; l'analyse de l'impact sur les activités constitue la base principale du plan de continuité des activités (PCA) et de ses exigences.
BlA aide une organisation à déterminer lesquelles de ses fonctions commerciales sont les plus résilientes et lesquelles sont les plus vulnérables.
1.8.1.1 Processus :
1. Commencez par établir votre équipe de projet BC, sa portée et son budget
2. Identifier les fondations commerciales critiques (CBF) et d'autres éléments commerciaux essentiels, y compris
personnel
Processus d'affaires
Systèmes d'information et applications
Autres actifs
3. Réaliser une analyse des risques sur les activités clés :
Identifiez les vulnérabilités existantes
• Potentiel d'événements indésirables
niveau d'influence
1.8.1.2 Méthodes permettant de déterminer le degré d'impact
1. Le temps d'arrêt maximum tolérable (MTD) ou le temps d'arrêt maximum acceptable (MAO) représente la durée totale pendant laquelle les fonctions commerciales critiques ne sont pas disponibles. Le MTD doit être déterminé par le propriétaire du système, qui assume la responsabilité ultime du bon fonctionnement du CBF de l'organisation.
2. L’objectif de temps de récupération (RTO) est la période maximale pendant laquelle une activité critique doit reprendre après une panne pour éviter des conséquences commerciales inacceptables. Le RTO doit être inférieur ou égal à MTD.
3. L'objectif de point de récupération (RPO) est une mesure de la perte de données tolérable, exprimée en périodes de temps.
1.8.2. Élaborer et documenter la portée et le plan.
1.8.2.1 Plan de Continuité des Activités (PCA)
Un plan de continuité des activités est conçu pour protéger les fonctions commerciales critiques et les clients d'une organisation et garantir que l'organisation peut continuer à fonctionner efficacement dans les niveaux de service et les périodes de temps spécifiés pour répondre aux exigences légales et réglementaires, ainsi qu'aux ensembles MTD, RTO et RPO. par l'organisation.
Plan de continuité des activités Phase PCA
Portée et plan du projet
analyse organisationnelle
Identifier les départements et les personnes concernées par le processus PCA
Département des opérations chargé de livrer le cœur de métier aux clients
Services de support clés tels que le personnel informatique, des installations et de maintenance, d'autres équipes
Équipe de sécurité d'entreprise responsable de la sécurité physique
Cadres supérieurs et personnes importantes pour les opérations courantes de l'organisation
Cette analyse sert de base à la sélection de l’équipe BCP et, après confirmation par l’équipe BCP, est utilisée pour guider les étapes ultérieures de développement du BCP.
Choisissez une équipe PCA
Les experts techniques du département, les personnels de sécurité physique et informatique possédant des compétences PCA, les représentants légaux connaissant les responsabilités légales, réglementaires et contractuelles de l'entreprise et les représentants de la haute direction. Les autres membres de l'équipe dépendent de la structure et de la nature de l'organisation.
Besoins en ressources
Exigences légales et réglementaires
Analyse de l'impact des affaires
Le BIA est la partie centrale du BCP et est divisé en 5 étapes
Prioriser
Liste des priorités des fonctionnalités professionnelles
Déterminer MTD, temps d'interruption maximum autorisé
Déterminer le RTO, RTO<MTD
Objectif de point de récupération, RPO
Identification des risques
Évaluation des possibilités
Déterminer l'ARO pour chaque risque
Analyse d'impact
Priorisation des ressources
plan de continuité
Stratégie de développement
Préparation et transformation
personnel
Bâtiment/Installation
Infrastructure
Approbation et mise en œuvre du plan
approbation du plan
Mise en œuvre du plan
Formation et éducation
Documentation PCA
1.8.2.2 Portée générale du PCA
Bien qu’il n’existe pas de norme universelle en matière de PCA, la plupart des plans incluent généralement les éléments suivants :
fonctions commerciales critiques
Menaces, vulnérabilités et risques
Plan de sauvegarde et de récupération des données
Personnel lié à la FBCP
plan de communication
Exigences en matière de tests PCA
1.8.2.3 Exigences et techniques de protection des personnes, des processus et de la technologie
1. Personnel :
Assurer la sécurité des personnes à l’intérieur et à l’extérieur de l’organisation en cas d’urgence est l’objectif principal du BCP. Fournissez une formation et une éducation appropriées pour que les employés sachent comment agir en cas d'urgence.
2 •Processus :
Évaluez les fonctions commerciales critiques et déterminez les ressources nécessaires en cas de sinistre. Élaborer des plans de site de sauvegarde pour les installations et capacités de traitement de données critiques afin d'assurer la continuité des opérations.
3. Technologie :
Anticipez les pannes logicielles et matérielles et développez des contrôles pour réduire les risques. Mettez en œuvre des systèmes de sauvegarde des données et des systèmes redondants, y compris des infrastructures telles que l’électricité, l’eau, les communications et la connectivité réseau.
1.9 Promouvoir et appliquer les politiques et procédures de sécurité du personnel
1.9.1 Sélection et recrutement des candidats
Les employés peuvent constituer le maillon le plus vulnérable de la chaîne de sécurité. Il est important de noter que tous les employés ne donneront pas la priorité aux meilleurs intérêts de l’organisation. Les attaques internes conduisent souvent à des failles de sécurité très dommageables. Par conséquent, la sécurité du personnel devrait être un fondement important d’un plan de cybersécurité :
•Les responsables du recrutement doivent travailler avec les ressources humaines pour documenter clairement et précisément les responsabilités et les descriptions de poste.
•Déterminez la sensibilité ou la classification des rôles pour attribuer les autorisations appropriées.
1.9.1.1 Vérification des antécédents
Contexte éducatif
l'expérience professionnelle
-citoyenneté
-Dossier criminel
tests de dépistage de drogues
Grade
Historique de crédit et financier
activité sur les réseaux sociaux
Remarque : les entreprises étrangères ne prêtent généralement pas attention aux examens physiques (examens de santé physique ordinaires)
1.9.2. Contrats et politiques de travail
1.9.2.1 Accord de confidentialité et accord concurrentiel
Les accords de salariés les plus courants sont les accords de non-divulgation (NDA) et les accords de non-concurrence (NCA).
1• Accord de non-divulgation (NDA)
est un accord qui limite la divulgation d'informations sensibles obtenues par un employé ou un entrepreneur (ou toute autre personne susceptible d'être exposée à des informations sensibles) dans le cadre de son emploi ou de sa relation avec une organisation. Un accord de non-divulgation est conçu pour préserver la confidentialité des données organisationnelles (telles que les secrets commerciaux ou les informations client) et constitue généralement un accord à vie (même après le départ de l'employé de l'entreprise).
2 • Accord de non-concurrence (ANC)
Il s'agit d'une concurrence déloyale qui empêche un employé de concurrencer directement une organisation pendant qu'il est employé et, dans la plupart des cas, pendant un certain temps après avoir quitté l'entreprise. Accords concurrents. Une non-concurrence est un accord à sens unique conçu pour protéger une organisation contre d'anciens employés ou sous-traitants.
1.9.2.2 Exigences organisationnelles
En plus des NDA et des NCA, les employés peuvent être tenus de signer d'autres exigences de l'organisation, telles qu'une politique d'utilisation acceptable (AUP), un code de conduite ou une politique sur les conflits d'intérêts.
1.9.2.3 Intégration : contrats et stratégies de travail
Après avoir rejoint l'entreprise, vous devez d'abord signer un contrat de travail. Selon le poste, vous devrez peut-être signer un accord de non-divulgation (NDA) et un accord de non-concurrence (NCA). Les droits d'accès au système sont attribués en fonction du salarié. position. Ensuite, offrez une formation aux employés, y compris la culture organisationnelle, les stratégies, les processus, les compétences, etc.
1.9.2.4 Supervision des employés
Les gestionnaires doivent périodiquement examiner ou évaluer la description de poste, les tâches, les autorités et les responsabilités de chaque employé tout au long du poste d'un employé pour s'assurer qu'ils répondent toujours aux exigences du poste.
• Dérive des privilèges (dérive des privilèges) : à mesure que le contenu du travail des employés augmente, ils peuvent obtenir des autorisations qui dépassent les exigences du poste.
•Congés obligatoires : exiger que les employés s'absentent de leur travail pendant 1 à 2 semaines et soient remplacés par d'autres employés pour détecter les abus, la fraude ou la négligence.
•Collusion : réduire la probabilité que les employés soient disposés à coopérer dans un système illégal ou abusif grâce à des mesures telles que la séparation des tâches, les congés forcés, la rotation des postes et la formation polyvalente en raison du risque plus élevé de détection.
•Analyse du comportement des utilisateurs et des entités (UEBA) : analyse des utilisateurs et des entités pour aider à optimiser les plans de gestion des personnes.
1.9.2.5 Processus de démission, de mutation et de licenciement
Lorsque les salariés démissionnent, ils doivent prêter attention aux points suivants :
• Désactivez, mais ne supprimez pas, le compte utilisateur d'un employé en même temps ou avant que l'employé ne reçoive un avis de licenciement à des fins d'audit.
• Accent mis sur les responsabilités de la NDA et de la NCA lors des entretiens de sortie.
. Assurez-vous que les employés restituent les biens de l'entreprise, y compris, mais sans s'y limiter, les clés, les cartes d'accès, les téléphones portables, les ordinateurs, etc.
•Désigner du personnel de sécurité pour accompagner les employés dans les zones de travail afin de recycler les effets personnels.
•Informer tout le personnel concerné du départ de l'employé.
1.9.2.6 Accords et contrôles avec les fournisseurs, les consultants et les entrepreneurs
Accords et contrôles avec les fournisseurs, les consultants et les entrepreneurs Le risque multipartite existe lorsque plusieurs entités ou organisations sont impliquées dans un projet. L'accord de niveau de service (SLA) garantit que le niveau de produit ou de service du fournisseur répond aux attentes. S'il ne répond pas aux attentes, une compensation sera impliquée pour garantir la qualité du service. Les fournisseurs, consultants et entrepreneurs sont parfois appelés sous-traitance. Les organisations peuvent également améliorer l’efficacité de la gestion de l’externalisation grâce à un système de gestion des fournisseurs (VMS).
1.9.2.7 Exigences de la politique de conformité
La gestion de la sécurité du personnel doit répondre aux exigences légales et réglementaires, telles que PCI DSS.
1.9.2.8 Exigences de la politique de confidentialité
La gestion de la sécurité du personnel doit également répondre aux exigences des politiques de confidentialité, telles que le RGPD.
1.9.3. Personnel, modalités de mutation et de démission
Le recrutement, le transfert et la cessation d'emploi sont les trois étapes de l'emploi, et chaque étape a ses propres considérations en matière de sécurité.
1.9.3.1 Formation d'intégration
Rappelez aux employés leur obligation de protéger les informations et de se prémunir contre les menaces, et doivent être conscients que leurs actions peuvent être scrutées.
1.9.3.2 Transfert d'emploi
Supprimez les droits d'accès qui ne sont plus nécessaires lors de la réattribution et suivez le principe du moindre privilège.
1.9.3.3 Démission
La démission est divisée en volontaire et involontaire. Lorsqu'un employé part dans de bonnes conditions, il suffit de passer par le processus de séparation de l'organisation.
Si la séparation est involontaire, des mesures appropriées doivent être prises pour protéger les actifs de l'organisation.
• Entretien de sortie, rappel de la NDA signée et d'autres accords pertinents
• Fermer l'accès au système tout en informant les employés du licenciement et en effectuant des vérifications de la liste de contrôle de séparation.
• Informer les employés restants que l'employé licencié ne sera plus autorisé à entrer dans l'organisation.
La checklist de séparation comprend : la révocation des droits d'accès, la récupération des clés, badges, équipements et documents.
1.9.4. Accords et contrôles des fournisseurs, consultants et entrepreneurs.
Les organisations sous-traitent souvent des fonctions telles que l'hébergement de centres de données et le développement d'applications. La signature de NDA et d'autres accords avec ces organisations d'externalisation ou partenaires peut augmenter leur charge de conformité et tenter d'éviter que des tiers provoquent la fuite d'informations sensibles. Voici quelques suggestions de mesures de sécurité :
-Mettre en place le contrôle d'accès
Examen oral de l'échange de documents
Gérer et surveiller les hooks de maintenance (portes dérobées)
Effectuer une évaluation sur place
Examiner les processus et les politiques
Élaborer un accord de niveau de service
19.5.2 Formation politique et sanctions
•Formation des employés : fournir une formation initiale et récurrente aux employés et autres membres du personnel concernés pour garantir le respect de la politique.
• Sensibilisation à la sécurité : Améliorer l'attention et la compréhension de la sécurité de l'information.
•Formation liée à l'emploi : offrir une formation spécifique en fonction des exigences du poste des employés.
•Expliquez clairement les conséquences de la politique : indiquez dans la politique les conséquences potentielles du non-respect, telles que des mesures disciplinaires, une suspension ou un licenciement.
1.9.5. Se conformer aux exigences de la politique
1.9.5.1 Exigences de la politique organisationnelle
•Conformité aux lois et réglementations : garantit que les politiques organisationnelles sont conformes aux lois, réglementations et autres obligations légales applicables.
• Cohérence de la politique : les exigences, les contrôles et les procédures de l'organisation doivent être conformes à la politique.
1.9.6. Exigences de la politique de confidentialité
Les organisations doivent assumer leurs responsabilités juridiques et éthiques pour protéger la vie privée de leurs employés lorsqu'elles traitent des informations sensibles. Ces informations peuvent inclure des vérifications d'antécédents, des numéros de sécurité sociale (numéros d'identification), des informations sur les salaires et des informations sur la santé. Pour garantir l'information
Pour des raisons de sécurité, les organisations doivent couvrir les principes suivants dans leur politique de confidentialité :
•Principe de minimisation : collecter uniquement les informations nécessaires pour mener à bien le processus d'emploi légitime.
• Accès restreint : fournir un accès uniquement à ceux qui ont besoin de connaître ces informations.
•Utiliser le cryptage : utilisez autant que possible la technologie de cryptage pour empêcher la lecture des informations via des canaux anormaux.
1.10 Comprendre et appliquer les concepts de gestion des risques
1. 10.1 Identifier les menaces et les vulnérabilités
Le risque est la probabilité qu'une menace potentielle exploite une vulnérabilité pour avoir un impact négatif sur une organisation, des objectifs ou des actifs, notamment des personnes, des systèmes et des données.
1.10.1.1 Classification des risques
• Les risques inhérents sont ceux qui existent avant la mise en œuvre de mesures de contrôle.
• Le risque résiduel est le niveau de risque qui subsiste après la mise en place des contrôles.
1.10.1.2 Menace :
Personne ou entité susceptible de violer, intentionnellement ou non, la sécurité d'un actif, comme un pirate informatique, un employé mécontent ou une catastrophe naturelle.
1.10.1.3 Vulnérabilités
Les faiblesses ou vulnérabilités du système peuvent créer des risques si elles sont exploitées par des acteurs malveillants.
1.10.1.4 Actifs
Un actif est tout ce qui a de la valeur, qui peut inclure des personnes, des biens et des informations.
1.10.2.Évaluation et analyse des risques
1.10.2.1 Définition de l'évaluation des risques
Le risque est l’intersection entre les menaces, les vulnérabilités et les actifs. L'évaluation des risques est une série d'activités qui comprennent l'identification des menaces et des vulnérabilités potentielles et la détermination de l'impact et de la probabilité que ces menaces exploitent les vulnérabilités identifiées.
1.10.2.2 Étapes pour évaluer le risque :
1. Identification des risques : identifier les actifs et leur valeur pour l'organisation
2. Analyse des risques : déterminer la probabilité qu'une menace exploite une vulnérabilité
3. Évaluation des risques : déterminer l'impact commercial de ces menaces potentielles
4. Traitement des risques : assurer un équilibre économique entre l'impact de la menace et le coût des contre-mesures
1.10.2.3 Identification des risques
Cela commence par identifier les actifs de l'organisation et déterminer la valeur de ces actifs, puis identifier et décrire les vulnérabilités et les menaces qui présentent des risques pour les actifs.
1.10.2.4 Analyse des risques
L'analyse des risques commence par l'évaluation de la vulnérabilité et l'analyse des menaces, en calculant la probabilité que les risques se produisent et en les classant en fonction de leur impact.
1.10.2.4.1 Analyse qualitative des risques
Dans de nombreux cas, la valeur ne peut pas être quantifiée, comme la réputation de l'organisation et la valeur des données, je ne peux donc décider qu'en fonction de mon cerveau. Des contenus tels que la valeur des actifs et le niveau de risque sont identifiés par des niveaux, tels que élevé, moyen, faible, 0-10, système de cent points, etc.
Les techniques d'analyse qualitative des risques comprennent : le brainstorming, le storyboard, les groupes de discussion, les enquêtes, les questionnaires, les entretiens, les scénarios et les techniques Delphi.
1.10.2.4.2 Analyse quantitative des risques
Les principaux processus d'analyse quantitative des risques :
• Inventaire des actifs, attribuer une valeur (AV)
• Faites correspondre les actifs avec les menaces
• Calculez le facteur d'exposition (EF) pour chaque paire actif-menace, qui correspond au pourcentage de perte qu'un actif subirait si une menace spécifique le violait.
• Calculez l'espérance de perte unique (SLE) pour chaque paire de menaces d'actifs, qui correspond au montant d'argent perdu par une menace spécifique une fois l'actif détruit (SLE=AV*EF).
•Calculez le taux d'occurrence annualisé (ARO) pour chaque menace. C'est-à-dire la probabilité qu'une menace spécifique survienne à un actif dans un délai d'un an.
• Calculer l'espérance de perte annualisée (ALE) pour chaque paire actif-menace, c'est-à-dire les dommages causés à l'actif sur un an par une menace spécifique.
Argent perdu (ALE=SLE*ARO)
• Développer des contre-mesures possibles pour chaque paire de menaces d'actifs et calculer les changements dans le coût annualisé de la protection (ACS), ARO, EF et ALE.
•Effectuer une évaluation coûts/avantages de chaque contre-mesure. Sélectionnez la réponse la plus appropriée pour chaque menace, c'est-à-dire ALE_per-ALE_post-ACS, avec pour résultat que les mesures de protection régulières ont de la valeur et que les mesures de protection responsables n'ont aucune valeur.
1.10.3. Réponse aux risques
Il existe quatre grandes catégories de traitement des risques :
1.10.3.1 Prévention des risques (Éviter)
Éliminez les risques identifiés en arrêtant ou en supprimant les activités ou technologies qui contribuent au risque.
1.10.3.2 Atténuation des risques (Atténuer)
Réduire les dommages que les risques peuvent causer en mettant en œuvre des mesures politiques et techniques.
1.10.3.3 Transfert des risques (Transfert)
Également appelée attribution des risques (Risk Assignmen0), la responsabilité et les pertes potentielles liées aux risques sont transférées à un tiers.
Voie courante : souscrire une assurance.
1.10.3.4 Acceptation du risque (Accepter)
Accepter un risque devient une option lorsque le coût pour éviter, atténuer ou transférer le risque dépasse les pertes attendues de la menace réalisée.
1.10.4. Sélection et mise en œuvre des contre-mesures
1.10.4.1 Considérations relatives aux contre-mesures :
•Concernant le personnel :
L'embauche (ou le licenciement), la restructuration organisationnelle et la sensibilisation sont quelques réponses courantes liées aux personnes. Vérification des antécédents, pratiques d'emploi, sensibilisation et formation à la sécurité, etc.
• Liés à la gestion
Les politiques, procédures et autres mesures d’atténuation « basées sur le flux de travail » entrent généralement dans cette catégorie. Quantité, procédures, classification et étiquetage des données, reporting et examen, supervision des travaux.
• Lié à la technologie :
Chiffrement, modifications de configuration et autres modifications matérielles ou logicielles, etc. Méthodes d'authentification, cryptage, interfaces restreintes, listes de contrôle d'accès, protocoles, pare-feu, routeurs, systèmes de détection d'intrusion et niveaux d'élagage.
•Connexes à la physique :
Gardes, barrières nationales, détecteurs de mouvement, portes verrouillées, fenêtres scellées, éclairage, protection des câbles, serrures pour ordinateurs portables, badges, cartes magnétiques, chiens, caméras, hall de contrôle d'accès et alarmes.
1.10.42 Efficacité des contre-mesures
Examiner les perceptions du point de vue de la prévention, de la détection et de la correction pour garantir l’efficacité des contre-mesures aux risques. Par exemple, si le chiffrement ne peut pas résoudre un risque spécifique, essayez une autre approche, par exemple en envisageant une sauvegarde.
1.10.4.3 Rentabilité des contre-mesures
Assurez-vous que le coût des mesures de sécurité est proportionné à la valeur des actifs protégés.
1.10.4.4 Impact sur les activités
Déterminez si la mise en œuvre et l’utilisation de contre-mesures sont trop difficiles pour éviter d’augmenter les risques dus à une utilisation incorrecte.
1.10.5. Types de contrôles applicables
1.10.5.1 Type de contrôle
•Prévention : empêchez les incidents de se produire, tels que les pare-feu, les sauvegardes système, les IPS.
• Détection : identifiez l'activité des événements et les intrus potentiels, tels que 1DS.
•Correction : réparer un composant ou un système après qu'un incident se soit produit, comme l'application d'un correctif.
•Menaces : Dissuadez les attaquants potentiels, comme les clôtures, les chiens policiers.
•Récupération : remettre l'environnement à un état de fonctionnement normal, comme les sauvegardes du système et des données, les sites de récupération après sinistre.
• Compensation : fournir des mesures de contrôle alternatives.
1.10.6. Évaluation des contrôles (sécurité et confidentialité)
Les organisations doivent effectuer régulièrement des évaluations des contrôles de sécurité (SCA) pour garantir que les contrôles de sécurité et de confidentialité restent efficaces.
SCA peut recourir à l’auto-évaluation ou à une évaluation externe par un tiers.
1.10.6.1 Méthode d'évaluation SCA
•Inspection : l'évaluateur demande généralement à l'organisation de fournir une liste de politiques de sécurité, de fichiers de configuration, etc. pour examen, examen, observation, recherche ou analyse, et pour former une opinion préliminaire.
•Entretiens : les évaluateurs rencontrent les principales parties prenantes pour en savoir plus sur les contrôles de sécurité en place et leur fonctionnement.
. Tests : les tests confirment que les contrôles de sécurité sont mis en œuvre comme documenté, sont efficaces et fonctionnent comme prévu.
1.10.7. Surveillance et mesure
•Les contrôles de sécurité doivent être surveillés et quantifiés en permanence pour mesurer leur efficacité et fournir des suggestions d'amélioration.
- Un ensemble d'indicateurs clés de performance (KPI) doit être développé pour quantifier et contrôler les performances à long terme.
1.10.8.
Créez des rapports formels pour communiquer les principales conclusions ou indicateurs aux dirigeants, aux régulateurs et aux autres parties prenantes, détaillant les résultats de chaque contrôle évalué. Les rapports peuvent inclure les éléments suivants :
Audit interne (par exemple auto-évaluation)
• Audits externes (par exemple, régulateurs ou autres audits tiers)
•Changements importants dans le profil de risque de l'organisation
• Modifications majeures des contrôles de sécurité ou de confidentialité
• Failles de sécurité associées ou confirmées (ou autres incidents)
1.10.9. Amélioration continue
À mesure que les menaces et les vulnérabilités évoluent, le programme de sécurité doit maintenir une amélioration continue, renforcer les contrôles et améliorer la posture globale de sécurité des informations de l'organisation. La gestion des risques d'entreprise (ERM) peut être évaluée à l'aide du modèle de maturité des risques (RMM) pour évaluer un processus de gestion des risques mature, durable et reproductible.
1.10.9.1 Modèle de maturité des risques (RMM)
Contient généralement cinq niveaux :
. Ad hoc : utilisation de pratiques ad hoc avec un mauvais contrôle.
•Préliminaire : essayez de suivre le processus de gestion des risques, mais chaque département peut mener des évaluations des risques de manière indépendante.
•Défini : adopter un cadre de risque commun ou standardisé dans toute l'organisation.
•Intégré : les opérations de gestion des risques sont intégrées aux processus métier, en utilisant des mesures pour collecter des données d'efficacité et en traitant le risque comme un élément des décisions commerciales stratégiques.
•Optimisé : se concentrer sur la gestion des risques pour atteindre les objectifs, pas seulement pour répondre aux menaces externes ; Augmenter la planification stratégique pour réussir l'entreprise, et pas seulement pour éviter les accidents : intégrer les leçons apprises dans le processus de gestion des risques.
1.10.10.Cadre de risque
1.10.10.1Cadre de gestion des risques du NIST
Les six étapes du cadre de gestion des risques (RMF) dans NIST800-37Rev.2 :
•Classer par catégories:
Classer tous les systèmes d'information en fonction de leur impact potentiel sur l'organisation en termes de confidentialité, d'intégrité et de disponibilité.
Sélectionner:
Sélectionnez un ensemble de contrôles de base en fonction de la classification et de l’impact.
•Mettre en œuvre
Implémenter les contrôles sélectionnés.
•Évaluer:
Évaluez si les contrôles sont mis en œuvre correctement, fonctionnent comme prévu et produisent les résultats attendus en matière de sécurité.
•Autoriser:
Après l'évaluation, la direction de l'organisation décide d'autoriser ou non l'utilisation du système, en fonction de la capacité des contrôles à faire fonctionner le système dans les limites de la tolérance au risque et de l'acceptation du risque résiduel.
•Moniteur:
Surveiller en permanence l'efficacité des contrôles pour garantir que le système fonctionne dans les limites de la tolérance au risque de l'organisation. Si des problèmes majeurs sont découverts, le cycle peut recommencer à partir de la première étape.
1.11. Comprendre et appliquer les concepts et méthodologies de modélisation des menaces.
1.11.1. Modélisation des menaces
1.11.1.1 Méthodes de modélisation des menaces
Plus la modélisation des menaces est réalisée tôt, plus elle est rentable. Généralement sous les trois aspects suivants
• Axé sur l'attaquant
Déterminez les caractéristiques, les compétences et les motivations des attaquants potentiels, et identifiez les attaquants susceptibles de mener des attaques spécifiques. Élaborer une stratégie de défense.
•Axé sur les actifs :
Identifiez les actifs de valeur pour l’organisation et les attaquants potentiels, et évaluez comment les attaquants pourraient compromettre ces actifs.
• Centré sur le logiciel :
Utilisez des diagrammes architecturaux (tels que des diagrammes de flux de données ou des diagrammes de composition) pour représenter le système, évaluer les attaques potentielles contre chaque composant et déterminer la nécessité, la présence et l'efficacité des contrôles de sécurité.
1.11.1.2 Cadre de modélisation des menaces
1.
STRIDE (Microsoft)
2.
PASTA (Processus de simulation d'attaque et d'analyse des menaces)
3.
NIST 800-154 (Lignes directrices pour la modélisation des menaces des systèmes centrés sur les données)
4. DREAD (obsolète, classement quantitatif des risques des vulnérabilités en cas de dommages, réplicabilité, exploitabilité, utilisateurs concernés, découvrabilité)
5. Autres méthodes de modélisation des menaces
•OCTAVE : se concentre sur le risque opérationnel, les contrôles de sécurité et les technologies de sécurité dans les organisations.
•Trike : est une méthode et un outil open source de modélisation des menaces qui se concentrent sur l'utilisation de modèles de menaces comme outils de gestion des risques.
•CORAS : également open source, il s'appuie principalement sur Unified Modeling Language (UML) pour visualiser les menaces sur le front-end.
• VAST : modélisation visuelle, agile et simple des menaces, une approche qui exploite les concepts agiles
1.11.1.3 Explication détaillée de STRIDE
• Usurpation d'identité
Un attaquant obtient un accès non autorisé en usurpant l'identité de quelqu'un d'autre pour accéder à une application ou à un système.
• Falsification des données (falsification des données)
Un attaquant tente de modifier ou de corrompre les données d'une application ou d'un système pour provoquer des résultats inattendus ou malveillants.
•Répudiation
L'attaquant refuse certaines opérations ou transactions effectuées dans le système afin de pouvoir se soustraire à toute responsabilité ou provoquer des litiges.
•Divulgation d'information
Les attaquants peuvent voler ou accéder à des informations confidentielles du système, notamment les mots de passe des utilisateurs, les informations de carte de crédit, les secrets d'entreprise, etc.
•Déni de service
Les attaquants tentent d'empêcher ou de ralentir l'accès normal des utilisateurs à un système en le rendant indisponible ou en le faisant planter.
•Élévation de privilège
Un attaquant peut passer du statut d'utilisateur normal à celui d'administrateur ou d'un autre utilisateur privilégié en exploitant une vulnérabilité d'une application ou d'un système.
1.11.1.4 Explication détaillée de PASTA
PASTA est une approche de modélisation des menaces basée sur les risques qui combine les objectifs commerciaux avec les exigences techniques, rendant le résultat plus compréhensible pour la haute direction. Contrairement à STRIDE, l’approche PASTA est strictement un cadre d’identification des menaces qui fournit un processus puissant pour identifier et atténuer les menaces.
Le processus PASTA comprend les sept étapes suivantes :
1. Fixez-vous des objectifs
Les objectifs et les besoins commerciaux sont identifiés afin de mieux comprendre la tolérance globale au risque de l'organisation ainsi que les processus commerciaux et les actifs critiques qui peuvent être menacés.
2. Déterminer le périmètre technique
La portée de la technologie et l'architecture de l'application sont définies afin de comprendre les systèmes et composants susceptibles d'être vulnérables aux attaques.
3. Décomposition des applications
Les applications sont divisées en composants plus petits pour mieux comprendre les fonctionnalités, le flux de données et
4. Analyse des menaces
et les relations avec d'autres composants. Cela permet d’identifier les chemins d’attaque possibles et les menaces potentielles. Analysez les menaces qui peuvent avoir un impact sur votre organisation, y compris les menaces internes et externes. Cela peut inclure l’identification des attaquants potentiels, leurs motivations et capacités, ainsi que les moyens d’attaque possibles.
5. Analyse de vulnérabilité
Effectuer une analyse de vulnérabilité du système pour identifier les faiblesses potentielles et les vulnérabilités de sécurité. Cela peut inclure des révisions de code, des tests d'intrusion et d'autres méthodes d'évaluation de la sécurité pour détecter et résoudre les problèmes de sécurité.
6. Énumération des attaques
Selon l'analyse précédente, Lieyang pourrait attaquer le système. Cela permet de mieux comprendre les vecteurs d’attaque et les chemins que les attaquants peuvent exploiter.
7. Analyse des risques et des impacts
Évaluez le risque et l’impact de chaque menace potentielle pour prioriser et élaborer des mesures d’atténuation et des politiques de sécurité appropriées. Cela peut aider les organisations à allouer efficacement les ressources et à se concentrer sur les domaines prioritaires tout en atténuant les risques.
1.12 Application des concepts de gestion des risques de la chaîne d'approvisionnement (SCRM)
1.12.1. Risques liés au matériel, aux logiciels et aux services
Les fournisseurs jouent un rôle essentiel dans les opérations informatiques d’une organisation. Ils sont indispensables aux services d'usine des clients en fournissant des services matériels, logiciels ou de cloud computing. Les professionnels de la sécurité doivent accorder une attention particulière à leurs partenariats commerciaux avec les fournisseurs afin de protéger la confidentialité, l'intégrité et la disponibilité des informations et des systèmes de l'organisation. Ce processus, connu sous le nom de diligence raisonnable des fournisseurs, est conçu pour contourner les problèmes liés à l'achat de matériel. logiciels et les risques liés aux services.
1.12.1.1 Risques possibles liés au matériel :
Image de pièces défectueuses ou non conformes aux normes
Pièces contrefaites ou contrefaites
Image d'un composant électronique contenant un malware au niveau du micrologiciel
1.12.1.2 Risques possibles du logiciel :
Un cheval de Troie a été implanté
Il existe des vulnérabilités dans la bibliothèque de composants utilisée
1.12.1.3 Risques possibles dans le service :
fuite de données
1.12.2. Évaluation et surveillance par des tiers
Les activités de gouvernance et de surveillance doivent inclure des enquêtes de sécurité sur site, des audits de sécurité formels des systèmes tiers et des tests d'intrusion lorsque cela est possible. Pour les nouveaux partenaires tiers, il est essentiel de les évaluer par rapport aux exigences de sécurité de l'organisation, et les lacunes doivent être documentées et surveillées de près.
1.12.3. Exigences minimales de sécurité
À l’instar des lignes de base, les organisations doivent établir des exigences minimales de sécurité (MSRS) pour déterminer les normes de sécurité minimales acceptables que les fournisseurs et les autres participants de la chaîne d’approvisionnement doivent respecter.
MSRS doit couvrir toutes les exigences légales, contractuelles ou réglementaires applicables. Dans le même temps, il est essentiel d'auditer et d'évaluer la performance des tiers en matière de conformité aux MSRS établies et communiquées.
1.12.4. Exigences de niveau de service
Un Service Level Agreement (SLA) est un accord contractuel qui stipule qu'un prestataire de services garantit un certain niveau de service, tel que :
Mesures de performance, disponibilité du service, temps de réponse et autres critères de qualité pertinents. Si les services ne sont pas fournis aux niveaux convenus, il y aura des conséquences pour le prestataire de services (généralement financières)
1.12.5. Cadre
1.12.5.1 Cadre de gestion des risques liés à la chaîne d'approvisionnement :
1.NIST IR 7622
Ce document présente 10 pratiques clés à prendre en compte lors de la gestion des risques liés à la chaîne d'approvisionnement.
2.ISO 28000
15028000.2007 est fortement basé sur le modèle d'amélioration des processus Plan-Do-Check-Act (PDCA) pour optimiser les systèmes de gestion de la sécurité et garantir la conformité organisationnelle aux pratiques de sécurité.
3. Directives du Centre national de cybersécurité du Royaume-Uni (NCSC)
Divisé en 4 étapes (dont 12 principes)
•évaluer le risque
•Établir des contrôles
•Vérifiez les dispositions existantes
•continuer à s'améliorer
1.13. Établir et maintenir un programme de sensibilisation, d'éducation et de formation en matière de sécurité
1.13.1. Proposer des méthodes et techniques de sensibilisation et de formation
Un programme de sensibilisation à la sécurité est un programme formel conçu pour former les utilisateurs à identifier et à répondre aux menaces potentielles pesant sur les informations et les systèmes d'une organisation, comprenant généralement la formation des nouveaux employés, des conférences, des formations assistées par ordinateur et des documents imprimés, et via des simulations d'ingénierie sociale, des mesures de sécurité. les défenseurs des droits de l’homme et la gamification pour attirer davantage l’attention sur les problèmes critiques de sécurité.
1.13.1.1 Ingénierie sociale
L'ingénierie sociale est une tactique de manipulation dans laquelle un attaquant se fait passer pour quelqu'un d'autre pour tenter d'obtenir des informations sensibles.
Le phishing est la forme d’ingénierie sociale la plus courante et une source majeure de risques pour la sécurité.
1.13.1.2 Agent de sécurité
Les champions de la sécurité défendent les meilleures pratiques en matière de sécurité, et ce sont des employés qui ne font pas de la sécurité leur travail principal.
1.13.1.3 Ludification
La gamification est l'application d'éléments de jeu à des situations non ludiques pour engager et éduquer un public cible.
1.13.2. Révision régulière du contenu
La sécurité de l’information est un domaine en évolution, avec des menaces et des vulnérabilités en constante évolution. Par conséquent, pour garantir la pertinence du contenu, vous devez régulièrement examiner et mettre à jour le contenu de vos programmes de sensibilisation, d’éducation et de formation à la sécurité. Il est recommandé que ce document soit révisé et mis à jour au moins une fois par an pour éviter une technologie et une terminologie obsolètes ou non pertinentes.
1.13.3. Évaluation de l'efficacité du programme
1.13.3.1 Indicateurs de formation
Tels que le taux d’achèvement de la formation, le nombre de participants et d’autres brefs indicateurs.
1.13.3.2 Quiz
Les quiz sont un moyen efficace d'évaluer l'efficacité de la formation.
1.13.3.3 Journée de sensibilisation à la sécurité
Les Journées de sensibilisation à la sécurité sont conçues pour accroître la sensibilisation à la sécurité tout en recueillant les opinions et les suggestions des employés sur les programmes de sécurité au moyen de questionnaires anonymes.
1.13.3.4 Évaluation interne
Les méthodes d'évaluation comprennent la collecte des augmentations ou des diminutions du nombre d'incidents de sécurité ou d'incidents de phishing suspectés signalés à la suite de la formation.
Exercices clés
Vous êtes responsable du programme de sensibilisation à la sécurité de votre organisation. En raison des craintes que les changements technologiques puissent rendre le contenu obsolète, quels contrôles peuvent être mis en place pour prévenir ce risque : Une gamification B Formation assistée par ordinateur Examen du contenu C D Mettre en œuvre la formation
Bonne réponse : C Manuel Volume 1 P76 Évaluation de l'efficacité
Froneme- est un expert en sécurité pour un fournisseur de services en ligne américain. Elle a récemment reçu des plaintes de titulaires de droits d'auteur qui avaient stocké sur son service des informations portant atteinte aux droits d'auteur de tiers. Quelle loi dicte l’action que Francine doit entreprendre ? A. Loi sur le droit d'auteur B. Loi de Lamb C. Loi sur le droit d'auteur pour le millénaire numérique Loi D. Gramm-Leach-Bulley
Bonne réponse : C P115 Copyright and Digital Millennium Copyright Act, vous devez vous rappeler le nom détaillé de chaque loi
Juste une question pour le moment
FyAway Travel possède des bureaux dans l'Union européenne (UE) et aux États-Unis et transfère fréquemment des informations personnelles entre ces bureaux. Ils ont récemment reçu une demande d'un client de l'UE visant à résilier leur compte. Quelle exigence du traitement des informations personnelles au titre du Règlement Général sur la Protection des Données (RGPD) prévoit qu'une personne physique peut demander que ses données ne soient plus diffusées ou traitées ? A. Droits d'accès B. Confidentialité dès la conception C. Droit à l'oubli D. Droit à la portabilité des données
Bonne réponse : C n'a pas trouvé
Remee est dans la salle du conseil d'administration : expliquant sa responsabilité dans la révision des contrôles de cybersécurité, règle qui tient les cadres supérieurs personnellement responsables des questions de sécurité de l'information. A. Règles de diligence raisonnable B. Règles de responsabilité personnelle C. Règle de l'homme prudent D. Règles de procédure régulière
Bonne réponse : C n'a pas trouvé La règle de l'homme prudent impose aux cadres supérieurs de veiller à ce qu'une attention appropriée soit maintenue dans leur travail quotidien.
Zhang San a récemment aidé un collègue à se préparer à l'examen CISSP. Au cours du processus, Zhang San a divulgué des informations confidentielles sur l'examen, en violation de l'article 4 des normes éthiques : Promotion et protection de la profession. Qui peut porter plainte contre Zhang San ? R N'importe qui peut porter plainte. B Tout professionnel titulaire d’une certification ou d’une licence peut déposer une plainte. C Seul l’employeur de Zhang San peut porter plainte. D Seul l'employé concerné peut déposer une demande de refus.
Bonne réponse : B n'a pas trouvé
Yolanda est la responsable de la confidentialité d'une institution financière et étudie les exigences privées et publiques liées aux comptes chèques des clients. Laquelle des lois suivantes est la plus susceptible de s’appliquer à cette situation ? Loi AGLBA B. Loi SOX Loi C.HIPAA Loi D.FERPA
Bonne réponse : A n'a pas trouvé La règle de l'homme prudent impose aux cadres supérieurs de veiller à ce qu'une attention appropriée soit maintenue dans leur travail quotidien.
Exporter quelles technologies sont les plus susceptibles de déclencher des lois et réglementations sur le contrôle des exportations ? A. Puce mémoire B. Applications de production bureautique Disque dur C Logiciel de cryptage D
Bonne réponse : D P119
Après avoir terminé vos efforts de planification de la continuité des activités et décidé d'accepter l'un des risques, vous devez ensuite signaler Quoi? A Mettre en œuvre de nouveaux contrôles de sécurité pour réduire les niveaux de risque. B Concevoir un plan de reprise après sinistre. C. Refaire l'évaluation de l'impact sur les activités. D Documentez votre processus de prise de décision.
Bonne réponse : D
Lorsque vous effectuez un examen des contrôles utilisés par les installations de stockage multimédia de votre organisation, vous souhaitez catégoriser correctement chaque contrôle actuellement en place. Laquelle des catégories de contrôle suivantes décrit avec précision la clôture autour d’une installation ? (Sélectionnez tout ce qui s'y rapporte.) A. Contrôle physique B. Contrôle de détection C. Contrôle de dissuasion D. Contrôle préventif
Bonne réponse : ACD
Lequel des principes suivants impose aux individus une norme de diligence proportionnelle à celle à laquelle une personne raisonnable s’attendrait dans des circonstances particulières ? A. Diligence raisonnable B. Séparation des tâches C. Attention requise D. Moindre privilège
Bonne réponse : C
Kelly pense qu'un employé a utilisé des ressources informatiques pour un projet parallèle sans autorisation. avec la direction Quoi? Après consultations, elle a décidé d'ouvrir une enquête administrative. La charge de la preuve à laquelle elle doit répondre dans cette enquête est A. Prépondérance de la preuve B. Au-delà de tout doute raisonnable C. Sans aucun doute D. Il n'y a pas de norme
Bonne réponse : D L'enquête administrative ne relève pas du droit civil, pénal ou administratif, il n'y a donc pas de normes
Keenan Systems a récemment développé un nouveau procédé de fabrication de microprocesseurs. L’entreprise espère concéder cette technologie sous licence à d’autres sociétés, mais souhaite empêcher toute utilisation non autorisée de la technologie. Quel type de protection de la propriété intellectuelle est le plus approprié à cette situation fiscale ? Un brevet B. Secrets commerciaux C. Copyright D. Marque déposée
Bonne réponse : A
Wike a récemment mis en œuvre un système de prévention des intrusions qui a eu un impact sur la prévention des cyberattaques courantes contre son organisation. Quel type de stratégie de gestion des risques Mike poursuit-il ? A. Acceptation du risque B. Évitement des risques C. Atténuation des risques D. Transfert des risques
C
Carl est un agent fédéral qui enquête sur un crime informatique. Il a identifié un agresseur qui se livrait à un comportement illégal et souhaitait intenter une action contre cet individu, ce qui pourrait entraîner une peine de prison. À quelle norme de preuve Carl doit-il répondre ? R. Sans aucun doute B. Prépondérance de la preuve C. Au-delà de tout doute raisonnable D. Prépondérance de la preuve
C
Les organisations suivantes qui effectuent des transactions électroniques ne sont pas automatiquement soumises aux exigences de confidentialité et de sécurité de la HIPAA : Un prestataire de soins de santé B Développeur d'applications de santé et de remise en forme C Centre d’information sur la santé Régime d'assurance maladie D
B Nécessite les hôpitaux, les médecins, les compagnies d'assurance et d'autres organisations qui traitent ou stockent des informations médicales privées Aucun développeur de programme
Acme Bridges développe de nouveaux contrôles pour son service comptable. La direction craignait qu'un cabinet comptable véreux puisse créer un faux fournisseur et émettre un chèque à ce fournisseur en guise de paiement pour des services non rendus. Quel contrôle de sécurité permettrait le mieux d’éviter que cela ne se produise ? A. Congé obligatoire B. Séparation des tâches C. Défense en profondeur D. Rotation des emplois
UN P35
Laquelle des personnes suivantes est généralement chargée d'exécuter les responsabilités opérationnelles en matière de protection des données déléguées par la haute direction, telles que la vérification de l'intégrité des données, la fourniture de tests et la gestion des politiques de sécurité ? A. Gardien des données B. Propriétaire des données C.Utilisateur D. auditeur
UN P157
Alan travaille pour une société de commerce électronique et s'est récemment fait voler du contenu sur un autre site Web et l'a republié sans autorisation. La protection de la propriété intellectuelle de type polyseed est le meilleur moyen de protéger les revenus de l’entreprise d’Alen. A.Secrets commerciaux B. Droit d'auteur C. Marque déposée D. Brevet
B
Tom a activé un pare-feu d'applications auprès de son fournisseur de services d'infrastructure cloud, conçu pour empêcher de nombreux types d'attaques d'applications. Du point de vue de la gestion des risques, quelle mesure Tom essaie-t-il de réduire avec cette contre-mesure ? A.Influence B.OPR C. MTO D. Possibilité
D
Beth, spécialiste des ressources humaines, se prépare à aider au licenciement d'un employé. Voici certaines choses qui ne font généralement pas partie du processus de licenciement : Un entretien de sortie B Récupération de biens Résiliation du compte C D Signer un NCA (accord de non-concurrence)
D
Un commis comptable de Doolittle Industries a récemment été arrêté pour son rôle dans un stratagème de détournement de fonds. L’employé a transféré des fonds de guerre sur son compte personnel, puis a transféré quotidiennement des fonds entre d’autres comptes pour dissimuler la fraude numérique pendant plusieurs mois. Lequel des contrôles suivants pourrait le mieux détecter cette fraude à l’avance ? Une séparation des tâches B. Moindre privilège Profondeur défensive C D congé obligatoire
D
Qui dans une organisation devrait recevoir une formation initiale sur la planification de la continuité des activités ? A. Cadre supérieur B. Personnel occupant des rôles spécifiques en matière de continuité des activités C. Tout le monde dans l'organisation D. Personnel de premiers secours
C
James effectue une évaluation des risques pour son organisation et tente d'attribuer une valeur d'actif aux serveurs du centre de données. La principale préoccupation d'une organisation est de garantir que des fonds suffisants soient disponibles pour la reconstruction au cas où un centre de données serait endommagé ou détruit. Laquelle des méthodes d’évaluation des actifs suivantes serait la plus appropriée dans cette situation ? A. Coût d'achat B. Coût d'amortissement C. Coût de remplacement D. Coût d'opportunité
C
L'organisation de Roger a subi une violation des dossiers de carte de crédit de ses clients. Laquelle des organisations suivantes pourrait choisir d'enquêter sur cette affaire dans le cadre du PCIDSS ? A. Bureau fédéral d'enquête (FBI) B. Agences locales chargées de l'application de la loi Banque C D PCI SSC
C
John a invité les employés clés de chaque unité commerciale à participer à son programme de sensibilisation à la sécurité. Ils sont chargés de partager des informations de sécurité avec leurs pairs et de répondre aux questions liées à la cybersécurité. Quel terme décrit le mieux cette relation ? Un champion de la sécurité Expert en sécurité B C. Résidus de voyage D. Examen par les pairs
UN
Silanco a découvert un enregistreur de frappe caché sur l'ordinateur portable du PDG de l'entreprise. Quel principe de sécurité des informations le clavier est-il le plus susceptible de compromettre ? Une confidentialité B. Complétude C. Disponibilité D. Refuser
UN
Alice aide son organisation à se préparer à évaluer et à adopter une nouvelle gestion des ressources humaines basée sur le cloud. (HRM)) Fournisseur de système. Quelles sont les normes de sécurité minimales les mieux adaptées aux exigences des fournisseurs potentiels ? A Se conformer à toutes les lois et réglementations B. Traiter les informations de la même manière que l’organisation C. Éliminez tous les risques de sécurité identifiés D. Se conformer à la propre politique du fournisseur
B
.HAL Systems a récemment décidé de cesser de fournir des services NTP publics, craignant que ses serveurs NTP ne soient utilisés pour amplifier des attaques DDOS à grande échelle. Quel type d’approche de gestion des risques HAL a-t-il adopté pour ses services NTP ? A. Atténuation des risques B. Acceptation du risque C.Transfert des risques D. Évitement des risques
D L'évitement des risques, une méthode de réponse aux risques, fait référence à l'élimination des risques ou des conditions de survenance du risque grâce à des changements dans les plans visant à protéger les cibles de l'impact des risques. L'évitement des risques ne signifie pas l'élimination complète des risques. Ce que nous voulons éviter, ce sont les pertes que les risques peuvent nous causer. L'atténuation des risques, c'est-à-dire le contrôle des pertes liées aux risques, consiste à réduire le degré de perte en réduisant la probabilité de perte. Adopter des mesures pour réduire la probabilité de survenance du risque, atténuer les conséquences de la survenance du risque et réduire la gravité du risque à un niveau acceptable
Lequel des éléments suivants devrait être inclus dans les lignes directrices d’intervention d’urgence d’une organisation ? A. Liste du personnel d'urgence qui doit être informé B. Accord de continuité des activités à long terme C Lancer le processus d'organisation du site de secours à froid D Coordonnées pour commander du matériel
UN Guide d'intervention d'urgence : 1. Procédures correspondantes 2. Liste des personnes notifiées de l'incident (cadres, membres du BCP) 3. Procédures d'intervention secondaires pour les premiers intervenants en attendant le rassemblement de l'équipe BCP
Becka a récemment signé un contrat avec une installation de traitement de données de sauvegarde afin de fournir un espace à son entreprise en cas de catastrophe. L'installation comprend des circuits CVC, électriques et de communication, mais aucun équipement de pièces de rechange. Quel type d’installation Becka utilise-t-elle ? Un site de veille froide B. Site de secours à chaud Site de secours automatique C D Site de sauvegarde mobile
UN
L'entreprise de Greg a récemment été victime d'une violation de données majeure impliquant les données personnelles de nombreux clients. Quelles réglementations en cas de violation devraient-ils examiner pour garantir que les mesures appropriées sont prises ? A Réglementation en matière de divulgation dans l'État où ils ont leur siège social. B. Réglementations de divulgation des États dans lesquels ils exercent leurs activités. C. Réglementations fédérales en matière de divulgation uniquement. D. Les réglementations en matière d'infraction s'appliquent uniquement aux agences gouvernementales, et non aux entreprises privées.
B
Ben recherche un cadre d'objectifs de contrôle largement accepté à l'échelle mondiale et axé sur les contrôles de sécurité de l'information. Lequel des frameworks suivants est le mieux adapté pour répondre à ses besoins ? A.ITIL B.ISO 27002 MMT C D PMBOK
B Confusion entre CMM et RMM
Le code d'éthique de l'ISC2 s'applique à tout le personnel certifié cissP. Lequel des éléments suivants n'est pas un critère L'un des quatre codes obligatoires dans ? A. Protéger la société, l’intérêt public, la confiance publique nécessaire et les infrastructures. B. Divulgation de violations de la vie privée, de la confiance et de l'éthique. C Fournir des services diligents et compétents au client. D. Faire progresser et protéger la profession.
B
Quel principe de sécurité de l’information stipule que les organisations doivent mettre en œuvre des contrôles de sécurité qui se chevauchent autant que possible ? A Le principe du moindre privilège B Séparation des tâches C. Défense en profondeur D. Sécurité par obscurcissement
C
Ryan est un professionnel de la cybersécurité certifié CIssP travaillant dans des organisations à but non lucratif. Parmi les obligations éthiques suivantes, lesquelles s'appliquent à son travail ? (Sélectionnez tout ce qui s'y rapporte) Code d’éthique de A.(SC)2 B. Code d’éthique de l’organisation C. Code fédéral de déontologie D. RFC 1087
UN B
Ben est responsable de la protection de la sécurité des informations de carte de paiement stockées dans la base de données. La politique l'obligeait à supprimer de force les informations de la base de données, mais pour des raisons opérationnelles, il n'a pas pu le faire. Il a obtenu une exception à la politique et recherche un contrôle compensatoire approprié pour atténuer le risque. Quelle est sa meilleure option ? A. Souscrire une assurance B. Chiffrer le contenu de la base de données C. Supprimer les données D. S'opposer aux exceptions
B
Dans son rôle de développeur de services bancaires en ligne, Lisa a dû soumettre son code pour test et révision. Après avoir suivi ce processus et obtenu l'approbation, un autre employé transfère le code en production. Quel type de gestion de la sécurité ce raccourci décrit-il ? A. Tests de régression B. Révision des codes C. Gestion du changement D. Tests de fuzz
C
Lequel des éléments suivants n’est généralement pas inclus dans le processus de sélection préalable à l’emploi ? A. Dépistage des drogues B. Vérification des antécédents C. Censure des réseaux sociaux D.Évaluation de la santé
D Défi de compétences P34, test de dépistage de drogues, vérification de crédit, vérification du dossier de conduite et test/évaluation de personnalité
Parmi les éléments suivants, lesquels sont généralement considérés comme des risques pour la chaîne d’approvisionnement ? (Sélectionnez tout ce qui s'y rapporte.) A. Altération du matériel par un adversaire avant la livraison au client final B. Un adversaire compromet le serveur Web d'une organisation fonctionnant dans un environnement laas C Les adversaires ont utilisé des attaques d'ingénierie sociale pour cibler les employés du fournisseur ompromisoa Saas afin d'accéder aux comptes clients. D Les adversaires utilisent des botnets pour mener des attaques par déni de service
CA