Wondershare EdrawMind
Galerie de cartes mentales Notes d'étude CISSP-2 (Concepts de sécurité du personnel et de gestion des risques)
- 3
Notes d'étude CISSP-2 (Concepts de sécurité du personnel et de gestion des risques)
Il enregistre en détail les points de connaissances clés et les points de test liés au chapitre 2 du CISSP, Sécurité du personnel et gestion des risques, et comporte plusieurs questions de révision.
Modifié à 2024-01-23 15:59:36
- bacteria
This is a mind map about bacteria, and its main contents include: overview, morphology, types, structure, reproduction, distribution, application, and expansion. The summary is comprehensive and meticulous, suitable as review materials.
- Plant asexual reproduction
This is a mind map about plant asexual reproduction, and its main contents include: concept, spore reproduction, vegetative reproduction, tissue culture, and buds. The summary is comprehensive and meticulous, suitable as review materials.
- Reproductive development of animals
This is a mind map about the reproductive development of animals, and its main contents include: insects, frogs, birds, sexual reproduction, and asexual reproduction. The summary is comprehensive and meticulous, suitable as review materials.
Notes d'étude CISSP-2 (Concepts de sécurité du personnel et de gestion des risques)
- bacteria
This is a mind map about bacteria, and its main contents include: overview, morphology, types, structure, reproduction, distribution, application, and expansion. The summary is comprehensive and meticulous, suitable as review materials.
- Plant asexual reproduction
This is a mind map about plant asexual reproduction, and its main contents include: concept, spore reproduction, vegetative reproduction, tissue culture, and buds. The summary is comprehensive and meticulous, suitable as review materials.
- Reproductive development of animals
This is a mind map about the reproductive development of animals, and its main contents include: insects, frogs, birds, sexual reproduction, and asexual reproduction. The summary is comprehensive and meticulous, suitable as review materials.
- Recommandé pour vous
- Contour
Notes d'étude CISSP-2 (Concepts de sécurité du personnel et de gestion des risques)
1-Résumé des points de connaissances
Politiques et procédures de sécurité du personnel
Les éléments les plus vulnérables, avec une formation appropriée, peuvent devenir des atouts de sécurité essentiels et des partenaires précieux dans les efforts de sécurité.
Description du poste et responsabilités
Les descriptions de poste doivent tenir compte des questions de sécurité
Définir les rôles qui doivent être attribués aux employés, et les rôles sont cohérents avec les privilèges et les tâches
La liste des responsabilités est le moyen d'attribuer des droits d'accès, des autorisations et des privilèges
Pas de recrutement, cycle de vie complet
Sélection et recrutement des candidats
Intégration : contrats de travail et stratégies
Le principe du moindre privilège et des droits d’accès
Accord de confidentialité NDA
Les responsabilités professionnelles de l'employé changent, accèdent à de nouveaux actifs, signent des NDA supplémentaires
Surveillance des employés
Les tâches de travail et les privilèges dériveront, et trop de privilèges augmenteront les risques organisationnels
congé obligatoire
D'autres employés utilisent leurs comptes pour effectuer leurs tâches, détecter les abus, la fraude ou la négligence et vérifier les tâches et privilèges professionnels.
La séparation des tâches, la rotation des postes, la formation polyvalente et les congés forcés peuvent réduire les risques de collusion.
UBA : Analyse du comportement des utilisateurs UEBA : Analyse du comportement des utilisateurs et des entités Peut améliorer les politiques, procédures, formations et programmes de surveillance de la sécurité du personnel en matière de sécurité du personnel
Processus de séparation, de transfert et de licenciement
Les procédures de départ peuvent également être utilisées lorsque les employés déménagent dans un autre service, une autre installation ou un autre emplacement physique.
Le transfert de personnel peut être considéré comme un licenciement/une réembauche
Les facteurs permettant de décider quel programme utiliser incluent :
S'il faut conserver le même compte utilisateur
s'il faut ajuster leurs autorisations
Les nouvelles responsabilités du poste sont-elles similaires à celles du poste précédent ?
Avez-vous besoin d'un nouveau compte avec un historique vierge ?
Le nouveau poste nécessite-t-il un audit ?
Accords et contrôles avec les fournisseurs, les consultants et les entrepreneurs
L'utilisation d'un accord de niveau de service (SLA) est un moyen de garantir que les niveaux de service sont fournis
Les SLA et les contrôles des fournisseurs, des consultants et des entrepreneurs constituent un élément important de l'atténuation des lettres et de l'évitement des risques.
L'externalisation est une réponse qui transfère ou attribue des risques
Fonctions du système de gestion des fournisseurs VMS :
Commande pratique
répartition des commandes
Commander une formation
Facturation unifiée
Exigences de la politique de conformité
Avantages de la conformité
haute qualité
cohérence
efficacité
économiser des coûts
DOMMAGES DUS À UN MANQUEMENT DE CONFORMITÉ
profit
part de marché
Approbation
réputation
L'application de la conformité fait référence à l'imposition de sanctions ou de conséquences en cas de non-respect des politiques, des formations, des meilleures pratiques et des réglementations.
Responsable de l'application de la conformité
RSSI ou PDG
Gestionnaires et superviseurs d'employés
Auditeurs et régulateurs tiers
Exigences de la politique de confidentialité
définition de la confidentialité
Protégez-vous de manière proactive contre tout accès non autorisé aux informations personnelles identifiables, aux informations personnelles identifiables (PII).
Empêcher l'accès non autorisé aux informations personnelles ou confidentielles
Pour éviter d'être observé, surveillé ou inspecté sans consentement ou connaissance
Le secteur informatique s'occupe de la vie privée
Comprendre et appliquer les concepts de gestion des risques
Aperçu
Les résultats de la première gestion des risques constituent la base de la formulation de stratégies de sécurité
Les événements ultérieurs de gestion des risques sont utilisés pour améliorer et maintenir l'infrastructure de sécurité de l'organisation.
Composantes de gestion des risques :
Évaluation des risques (analyse)
Évaluer la probabilité d’occurrence
Pertes causées après la libération effective
Évaluer les coûts de diverses mesures de contrôle des risques
Les résultats des trois éléments ci-dessus classent les priorités en matière de risque.
réponse au risque
Utiliser l’analyse coûts/avantages
Évaluer les contrôles des risques, les mesures de protection et les contrôles de sécurité
Déployer les mesures correspondantes sélectionnées dans l'infrastructure informatique et les décrire dans le document de politique de sécurité
Sensibilisation aux risques
Termes et concepts de risque
Évaluation des actifs
Identifier les menaces et les vulnérabilités
Évaluation/analyse des risques
Analyse quantitative
Calculer les pertes d'actifs en utilisant la valeur monétaire réelle basée sur des calculs mathématiques
Analyse qualitative
Représenter les pertes d'actifs en termes subjectifs et intangibles, en tenant compte des opinions, des sentiments, de l'intuition, des préférences, des pensées et des réactions instinctives.
Techniques d’analyse qualitative des risques
Scènes
Technologie Delphes
Processus de feedback et de réponse anonyme, aucune discrimination basée sur la source de l'idée
Analyse quantitative des risques
étape
facteur d'exposition EF
Également appelée perte potentielle, exprimée en pourcentage, utiliser des données internes, effectuer des analyses statistiques, consulter le public, s'abonner à un grand livre/registre des risques, travailler avec des conseillers, utiliser un logiciel de gestion des risques.
espérance de perte unique SLE
SLE = Valeur de l'actif (AV) * Facteur d'exposition (EF)
Taux d'occurrence annuel ARO
Perte annuelle attendue ALE
ALE=Attente de première perte (SLE)*Taux d'occurrence annuel (ARO)=AV*EF*ARO
réponse au risque
Atténuation des risques (réduction)
Mettre en œuvre des protections, des contrôles de sécurité et des contre-mesures de sécurité pour réduire ou éliminer les vulnérabilités ou prévenir les menaces
transfert de risque
Achetez de la cybersécurité, de l'assurance et de l'externalisation
dissuasion des risques
Mettre en œuvre des audits, des caméras de sécurité, des bannières d'avertissement, utiliser du personnel de sécurité
L'aversion au risque
Sélectionnez une alternative
acceptation du risque
accepter la perte
risque de rejet
Nier ou ignorer le risque
Risque total = menace * vulnérabilité * valeur de l'actif Risque total - écart de contrôle = risque résiduel
La gestion des risques n’est pas un événement ponctuel
Coûts et avantages des contrôles de sécurité
La valeur de la mesure de protection pour l'entreprise = ALE avant mise en œuvre de la mesure de protection - ALE après mise en œuvre de la mesure de protection - Coût annuel de la mesure de protection ACS
ALE1-ALE2-ACS
Les meilleures mesures de sécurité, les plus rentables
Sélectionner et mettre en œuvre des contre-mesures de sécurité
Classification
Contrôles administratifs
Comprend : les politiques, les procédures, les pratiques d'embauche, la vérification des antécédents, la classification et l'étiquetage des données, la sensibilisation et la formation à la sécurité, les rapports et les examens, la supervision du travail, les contrôles et les tests du personnel.
Contrôles logiques/techniques
Comprend : authentification, cryptage, interfaces restreintes, listes de contrôle d'accès, protocoles, pare-feu, routeurs, systèmes de détection d'intrusion et niveaux de seuil
mesures de contrôle physique
sous-thème
Types de contrôle applicables
contrôle préventif
IPS
Contrôle de dissuasion
Politiques, formation de sensibilisation à la sécurité, serrures, clôtures, panneaux de sécurité, agents de sécurité, foyers de contrôle d'accès et caméras de sécurité
contrôle de détection
ID
Contrôle des rémunérations
contrôle correctif
restaurer le contrôle
Contrôle des instructions
Évaluation du contrôle de sécurité
Évaluer les mécanismes individuels de l'infrastructure de sécurité par rapport aux références ou aux attentes en matière de fiabilité
Peut être utilisé en complément des tests d’intrusion ou de l’évaluation de la vulnérabilité
Également disponible sous forme d’évaluation de sécurité complète
Surveillance et mesure
Rapports et documentation sur les risques
Contenu du registre des risques
Risques identifiés
Évaluer la gravité de ces risques et les prioriser
Développer des réponses pour réduire ou éliminer les risques
Suivre les progrès de l’atténuation des risques
continuer à s'améliorer
Évaluation du modèle de maturité des risques (RMM) Gestion des risques d'entreprise Programme GRE
Niveau RMM
niveau initial
Niveau préparatoire
niveau de définition
Cadre de risque commun ou standardisé
Niveau intégré
Les opérations de gestion des risques sont intégrées aux processus métiers
Niveau d'optimisation
Objectifs
risque hérité
EOL
EOSL
cadre de risque
Cadre de gestion des risques du CMR
Normes obligatoires pour les agences fédérales
Il y a six étapes cycliques dans RMF
Se préparer d'un point de vue organisationnel et au niveau du système en établissant le contexte et les priorités pour gérer les risques de sécurité et de confidentialité. Exécuter RMF
Classification Classifie les systèmes et les informations qu'ils traitent, stockent et transmettent sur la base d'une analyse de l'impact de la perte.
Sélection Sélectionnez un ensemble initial de connexions pour le système et adaptez les contrôles si nécessaire pour réduire le risque jusqu'à un séchage d'eau acceptable en fonction de l'évaluation des risques.
Mettre en œuvre Mettre en œuvre le contrôle et décrire comment il sera utilisé dans le système et son environnement d'exploitation.
Évaluation Évaluer les contrôles pour déterminer si les contrôles sont correctement mis en œuvre, fonctionnent comme prévu et produisent les résultats attendus qui répondent aux exigences de sécurité et de confidentialité.
Autorisation Autorise les systèmes ou les contrôles communs sur la base d'une détermination selon laquelle les risques pour les opérations et les actifs de l'organisation, les individus, d'autres organisations et les pays sont acceptables.
La surveillance comprend l'évaluation de l'efficacité des contrôles, l'enregistrement des modifications apportées aux systèmes et aux environnements d'exploitation, la réalisation d'évaluations des risques et d'analyses d'impact, ainsi que la création de rapports sur l'état de sécurité et de confidentialité des systèmes.
Cadre de cybersécurité CSF
Conçu pour les infrastructures et les organisations commerciales
ingénierie sociale
Le moyen le plus efficace de se défendre contre les attaques d’ingénierie sociale
Formation des utilisateurs
formation de sensibilisation
principe
autorité
intimidation
consensus
rareté
familier
confiance
urgence
Obtenir des informations
préposition
Hameçonnage
Hameçonnage
baleine de phishing
Phishing par SMS
Phishing vocal
courrier indésirable
coup d'oeil à l'épaule
Fraude à la facture
sottises
Contrefaçon et déguisement
Talonnage et ferroutage
Recherche de poubelle
vol d'identité
Nom de domaine mal imprimé
influencer le mouvement
guerre hybride
réseaux sociaux
Établir et maintenir des programmes de sensibilisation, d'éducation et de formation à la sécurité
conscience de la sécurité
Conditions préalables à la formation en sécurité
entraînement
éduquer
Améliorer
Changer l'orientation des objectifs, parfois l'individu, parfois le client, parfois l'organisation
Changez l’ordre et l’orientation des sujets. Une fois, c’est l’ingénierie sociale, la prochaine fois, c’est la sécurité des équipements, et la prochaine fois, c’est autre chose.
Diverses méthodes de présentation
Grâce à des jeux de rôle, laissez les participants jouer le rôle d'attaquants et de défenseurs, permettant à différentes personnes de donner des idées pour faire face à l'attaque et à la défense.
Développer et encourager les leaders en sécurité
La gamification enrichit et améliore la formation
encouragement et punition
Augmenter la participation des employés à la formation
accroître la compréhension
Autres améliorations : exercices de capture du drapeau, phishing simulé, formation informatisée (CBT) et formation basée sur les rôles
évaluation de l'efficacité
Adopter de nouvelles méthodes et techniques
régulier
2-Points clés de l'examen
1. Comprendre que les personnes sont un élément essentiel de la sécurité
2. Comprendre l'importance de la description de poste
3. Comprendre les implications en matière de sécurité de l'embauche de nouveaux employés
4. Comprendre l'intégration et le départ
5. Comprendre le principe du moindre privilège
6. Comprendre la nécessité d'accords de non-divulgation (NDA)
7. Comprendre la supervision des employés
8. Comprendre la nécessité d'un congé obligatoire
9. Comprendre UBA et UEBA
10. Comprendre les transferts de personnel
11. Expliquer les stratégies de résiliation appropriées
12. Comprendre les contrôles des fournisseurs, des consultants et des entrepreneurs
13. Comprendre la conformité aux politiques
14. Comprendre comment la confidentialité s'intègre dans le paysage de la sécurité informatique
15. Capacité à définir la gestion globale des risques
16. Comprendre l'analyse des risques et les éléments associés
17. Savoir évaluer les menaces
18. Comprendre l'analyse qualitative des risques
19.Comprendre la technologie Delphi
20. Comprendre l’analyse quantitative des risques
21. Concept du facteur d'exposition Jess (EF)
22. Comprendre la signification et la méthode de calcul de l'espérance de perte unique (SLE)
23. Comprendre le taux d'occurrence annuel (ARO)
24. Comprendre la signification et le calcul de l'espérance de perte annuelle (ALE)
25. Comprendre la formule d'évaluation des mesures de protection
26. Comprendre comment gérer les risques
27. Expliquer le risque total, le risque de participation et les lacunes de contrôle
28. Comprendre les types de contrôle
29. Comprendre les types de contrôle
30. Comprendre l'évaluation du contrôle de sécurité (SCA)
31. Comprendre la santé et la mesure de la sécurité
32. Comprendre le reporting des risques
33. Comprendre la nécessité d’une amélioration continue
34. Comprendre le modèle de maturité des risques
35. Comprendre les risques hérités Risques de sécurité
36. Comprendre le cadre de risque
37. Comprendre l’ingénierie sociale
38. Comprendre comment mettre en œuvre une formation, une formation et une éducation en matière de sensibilisation à la sécurité
39. Apprenez à connaître les leaders en matière de sécurité
40. Comprendre la gamification
41. Comprendre la nécessité de révisions régulières du contenu et d'évaluations de l'efficacité
Exercices importants
1. Actif - tout ce qui est utilisé dans un processus ou une tâche métier Menace : tout événement potentiel susceptible d'avoir des effets négatifs ou des conséquences inattendues sur une organisation ou un actif spécifique. Vulnérabilité - Une faiblesse d'un actif, ou la faiblesse ou l'absence de mesures de protection Exposé - Vulnérable à la perte d'actifs due à une menace, avec la possibilité que la vulnérabilité puisse ou soit exploitée Risque - la probabilité qu'une menace exploite une vulnérabilité pour causer des dommages à un actif et la gravité des dommages qui peuvent être causés
2. Les réunions de sécurité se concentrent sur la définition de la valeur des actifs, l'élaboration d'une liste de menaces, la prévision du niveau spécifique de préjudice qu'une violation causerait et la détermination du nombre de fois qu'une menace pourrait perturber l'entreprise par an. Qu'est-ce que c'est ça: Une évaluation qualitative des risques Technologie Delphi Aversion pour le risque D Évaluation quantitative des risques
Bonne réponse : D
3. Parmi les définitions de risque suivantes, lesquelles sont valides : A Une évaluation de la probabilité, de la vraisemblance ou du hasard B Tout ce qui élimine une vulnérabilité ou protège contre une ou plusieurs menaces spécifiques Risque C = menace * vulnérabilité D chaque instance exposée E L'existence de vulnérabilités en présence de menaces pertinentes
Bonne réponse : ACD
4. L'entreprise installe une nouvelle application Web sur un serveur Web public. Les pirates ont exploité le nouveau code et ont accédé aux fichiers de données hébergés sur le système. illustrer: Un risque inhérent Matrice de risque B C Évaluation qualitative D risque résiduel
Bonne réponse : A Risques qui existent avant que tout travail de gestion des risques ne soit effectué
5. L'organisation recherche un nouveau partenaire commercial qui a défini plusieurs exigences de sécurité organisationnelles qui doivent être respectées avant de signer un SLA et un accord de partenariat commercial (BPA). La première exige que les organisations démontrent les niveaux de mise en œuvre d’un modèle de maturité des risques. Plus précisément, un cadre de risque commun ou standardisé doit être adopté. Ce niveau appartient à : Un niveau préparatoire Niveau intégré B Niveau de définition C Niveau d'optimisation D
Bonne réponse : C Niveau initial - Chaos Niveau préparatoire - première tentative, peut différer pour chaque département Niveau de définition – cadre de risque commun et standard Niveau d'intégration : les opérations de gestion des risques sont intégrées aux processus métier et le risque est considéré comme un élément dans les décisions commerciales stratégiques. Niveau d'optimisation : la gestion des risques se concentre sur la réalisation des objectifs plutôt que sur la simple réponse aux menaces, sur la réussite de l'entreprise plutôt que sur la prévention des accidents, et peut tirer les leçons de l'expérience et l'intégrer dans le processus de gestion des risques.
6. Le cadre de gestion des risques (RMF) fournit des spécifications pour la gestion des risques liés à la sécurité et à la vie privée, y compris la classification de la sécurité de l'information, la sélection, la mise en œuvre et l'évaluation des contrôles, l'autorisation du système et des contrôles généraux, ainsi qu'une séquence de sept étapes ou étapes. Quelle phase du RMF vise à déterminer si le système ou les contrôles généraux sont raisonnables en fonction des risques pour les opérations et les actifs de l'organisation, les individus et leurs domaines ? A.Classification B.Autorisation C.Évaluation D. Surveillance
Bonne réponse : B L'étape RME (0) est l'autorisation de systèmes ou de contrôles communs basée sur la détermination que les risques pour les opérations et les actifs de l'organisation, les individus, d'autres organisations et les pays sont acceptables (ou raisonnables). Les étapes du CMR comprennent : (1) la préparation, (2) la classification, (3) la sélection, (4) la mise en œuvre, (5) l'évaluation, (6) l'investissement et (7) le suivi. (A) est l'étape RMF (2), qui fait référence à la classification des systèmes et des informations traitées, stockées et transmises par le système sur la base de l'analyse de l'impact de la perte. (C) est l'étape RMF (5), qui évalue les contrôles pour déterminer s'ils sont correctement mis en œuvre, fonctionnent comme prévu et produisent les résultats attendus qui répondent aux exigences de sécurité et de confidentialité. ①D) est l'étape RMF (⑦), qui surveille en permanence le système et les contrôles associés, notamment en évaluant l'efficacité des contrôles, en enregistrant les modifications apportées au système et à l'environnement d'exploitation, en effectuant des évaluations des risques et des analyses d'impact, et en rendant compte de l'état de sécurité et de confidentialité du système. système.
7. Laquelle des options suivantes peut être classée comme une attaque d’ingénierie sociale ? (Sélectionnez toutes les lignes ensemble.) A Un utilisateur se connecte à son poste de travail et achète un soda au distributeur automatique situé dans la cage d'escalier. Pendant que cet utilisateur est absent de son poste de travail, une autre personne s'assoit à son bureau et copie tous les fichiers du dossier local sur le partage réseau. B Vous recevez un e-mail vous avertissant qu'une nouvelle maladie dangereuse se propage sur Internet. Ce message vous conseille de rechercher un fichier spécifique sur votre disque dur et de le supprimer car il indique la présence d'un virus. Le site Web C prétend fournir un accès temporaire gratuit à ses produits et services, mais vous oblige à modifier la configuration de votre navigateur Web et/ou de votre pare-feu avant de pouvoir télécharger le logiciel d'accès. Le secrétaire D a reçu un appel d'un appelant prétendant être un client qui devrait rencontrer le PDG plus tard. L'appelant demande le numéro de téléphone portable privé du PDG afin de pouvoir appeler le PDG.
Bonne réponse : BCD L'activité décrite dans l'option A profite simplement de la possibilité pour la victime de s'en aller. Il s'agit d'une attaque d'accès opportuniste et non d'une attaque d'ingénierie sociale car il n'y a aucune interaction avec la victime. Les activités décrites dans les options B (farce), C (hameçonnage, farce, attaque de point d'eau) et D (hameçonnage vocal) font toutes partie d'une attaque d'ingénierie sociale.
8. Généralement, __ est le membre de l'équipe qui décide (ou se voit attribuer) la responsabilité d'appliquer et d'intégrer les concepts de sécurité dans l'équipe. dans les activités de travail. __Souvent du personnel non chargé de la sécurité chargé d'inspirer les autres à soutenir et à adopter davantage de pratiques de sécurité et Responsabilités de conduite. A. Responsable de la sécurité de l'information B. Responsable de la sécurité C. Compteur de voiture de sécurité D. Dépositaire
Bonne réponse : B La bonne réponse est leader en matière de sécurité. Un responsable de la sécurité est généralement un membre d'une équipe qui décide (ou est encouragé) d'appliquer et d'intégrer des concepts de sécurité dans les activités de travail de l'équipe. Un responsable de la sécurité est généralement une personne non liée à la sécurité qui incite les autres à soutenir et à adopter davantage de pratiques de sécurité. et les responsabilités comportementales. Aucune des autres options n'est correcte. Le RSSI ou le responsable de la sécurité définit et met en œuvre la sécurité dans toute l'organisation. L'auditeur de sécurité gère les journaux de sécurité et examine les pistes d'audit pour détecter les signes de violations. dans un conteneur informatique offrant une sécurité appropriée selon la distribution spécifiée par le propriétaire.