Wondershare EdrawMind
Galleria mappe mentale Note di studio CISSP-1 (Principi e strategie per l'implementazione della governance della sicurezza)
- 17
Note di studio CISSP-1 (Principi e strategie per l'implementazione della governance della sicurezza)
Le note di studio e l'analisi di esercizi importanti nel Capitolo 1 Sicurezza e gestione dei rischi del CISSP sono piene di informazioni utili. Spero che possano essere utili a tutti!
Modificato alle 2024-01-19 11:22:47
Note di studio CISSP-1 (Principi e strategie per l'implementazione della governance della sicurezza)
- Consigliato per te
- Profilo
![Istituzione e attuazione del sistema di gestione della sicurezza degli elementi di gestione della sicurezza [Versione pratica]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594747/2024-6-1/1717213881/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Istituzione e attuazione del sistema di gestione della sicurezza degli elementi di gestione della sicurezza [Versione pratica]
- 6
![Dischi di rottura per impianti di sicurezza [Riepilogo Normativa]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594747/2024-6-1/1717214770/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
![Valvola di sicurezza del dispositivo di sicurezza [versione con principio di funzionamento]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594747/2024-6-1/1717214925/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Valvola di sicurezza del dispositivo di sicurezza [versione con principio di funzionamento]
- 14
![Valvole di sicurezza per impianti di sicurezza [Riepilogo normativa]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594747/2024-6-1/1717214959/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
![Predisposizione procedure operative [Versione integrata leggi e regolamenti]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594747/2024-6-1/1717246787/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Conoscenze sulla sicurezza degli esperimenti sull'elettricità, sull'acqua e sulla chimica organica
- 6
Note di studio CISSP-1 (Principi e strategie per l'implementazione della governance della sicurezza)
Ambito 1 – Sicurezza e gestione dei rischi
Tripletta della CIA
Comprendere e applicare i concetti di sicurezza
Riservatezza:
Obiettivo: prevenire o ridurre al minimo l'accesso non autorizzato ai dati, proteggere l'accesso autorizzato prevenendo al contempo la fuga di dati
Concetti, condizioni e caratteristiche correlati
sensibilità
Caratteristiche delle informazioni che potrebbero causare danni o perdite in caso di fuga di dati
giudizio
Il giudizio è un comportamento decisionale: l'operatore può influenzare o controllare la fuga di informazioni per ridurre al minimo danni o perdite.
criticità
Una misura di criticità. Più alto è il livello, maggiore è la necessità di riservatezza delle informazioni dei giornali.
nascondere
L'atto di nascondere o impedire la divulgazione.
Confidenziale
Mantenere le cose riservate o prevenire la fuga di informazioni
privacy
Conservare le informazioni riservate che consentono l'identificazione personale o che potrebbero causare danni o imbarazzo ad altri
Isolato
Controllo rigoroso degli accessi
isolamento
l'atto di separazione tra le cose
Sensibilità, 2 nascoste, 2 separate, 1 garantita
integrità
Proteggi l'affidabilità e l'integrità dei dati
Controlla la completezza
Prevenire modifiche da parte di soggetti non autorizzati
Impedire modifiche non autorizzate da parte di soggetti autorizzati
Mantieni l'oggetto coerente internamente ed esternamente in modo che i dati dell'oggetto possano realmente riflettere il mondo reale e la connessione con altri oggetti sia efficace, coerente e verificabile
Concetti, condizioni e caratteristiche correlati
precisione
corretto e preciso
autenticità
Rispecchia davvero la realtà
efficacia
Effettivamente (logicamente) corretto
responsabilità
Essere responsabili e rendere conto delle azioni e dei risultati
Responsabilità
prendere in carico o controllare qualcuno o qualcosa
integrità
Ha tutti i componenti e le parti necessarie
Completezza
Ambito completato, inclusi tutti gli elementi richiesti
5. Natura (accuratezza e completezza) 2. Responsabilità (accountability)
Disponibilità
Ai soggetti autorizzati viene concesso l'accesso in tempo reale e ininterrotto agli oggetti
Concetti, condizioni e caratteristiche correlati
Disponibilità
Uno stato che può essere utilizzato, appreso e controllato dal soggetto
accessibilità
Un soggetto può interagire con una risorsa indipendentemente dalle sue capacità o limitazioni
tempestività
Sollecito, puntuale e rispondi entro un tempo ragionevole
2 possono raggiungere 1
autenticità
non ripudio
DAD, ipertutela, autenticità, non ripudio e servizi AAA
La tripla DAD: divulgare, modificare, distruggere
iperprotettivo
Riservatezza iperprotettiva - disponibilità limitata
Integrità iperprotettiva: disponibilità limitata
Disponibilità iperprotettiva: riservatezza e integrità limitate
autenticità
I dati sono credibili e non falsificati
non ripudio
AAA
meccanismo di sicurezza fondamentale Autenticazione, autorizzazione, contabilità
logo
Marchio d'identità
Autenticazione
Verificare l'identità
Autorizzare
permesso di accesso
verifica
Registra eventi e attività
Contabilità (responsabilità)
Verifica conformità e violazioni tramite file di log
Requisiti di responsabilità
meccanismo di protezione
Difesa in profondità (difesa a più livelli)
Controlli di protezione multipli, un guasto non porterà all'esposizione del sistema o dei dati
Utilizzare un livello seriale, non un livello parallelo
astratto
Elementi simili vengono inseriti in gruppi, classi e ruoli e vengono controllati in modo sicuro come raccolte
Presentazione dei gruppi di oggetti (classi) e assegnazione dei diritti di accesso e dei diritti operativi in base ai gruppi di oggetti
dati nascosti
Prevenire la fuga o l'accesso ai dati inserendo i dati in uno spazio di archiviazione logico a cui il soggetto non può accedere o leggere.
Prevenire l'accesso non autorizzato e limitare l'accesso dei soggetti di basso livello ai dati di alto livello
Caratteristiche dei sistemi di sicurezza multilivello
crittografia
confine di sicurezza
Definire le funzioni svolte dal soggetto sull'oggetto. I confini di sicurezza tra le diverse categorie sono
Esistono anche confini di sicurezza tra l'ambiente fisico e l'ambiente logico. I confini di sicurezza dell'ambiente fisico e dell'ambiente logico solitamente corrispondono tra loro.
I confini di sicurezza dovrebbero essere chiaramente definiti
Quando si traducono le politiche di sicurezza in controlli effettivi, ogni ambiente e confine di sicurezza deve essere considerato separatamente, il valore dell’oggetto da proteggere deve essere soppesato e la protezione corrispondente deve essere abbinata
Valutare e applicare i principi di governance della sicurezza
Governance della sicurezza: l'insieme di pratiche che supportano, valutano, definiscono e guidano gli sforzi di sicurezza di un'organizzazione
Governance di terze parti: leggi, regolamenti, standard di settore, obblighi contrattuali o requisiti di licenza
Revisione dei documenti:
Gestire le funzionalità di sicurezza
Funzionalità di sicurezza allineate alla strategia aziendale, agli obiettivi, alla missione e allo scopo
Approccio: dall'alto verso il basso: la gestione della sicurezza è responsabilità del top management
Contenuto del piano di gestione della sicurezza: definire i ruoli di sicurezza, stabilire come gestire la sicurezza, chi è responsabile della sicurezza e come verificarne l'efficacia, formulare politiche di sicurezza, eseguire analisi dei rischi ed educazione alla sicurezza
piano di gestione della sicurezza
Piano strategico
Piano a lungo termine, 5 anni, compresa la valutazione del rischio
piano tattico
Piano a medio termine, 1 anno, piano di progetto, piano di acquisizione, piano di reclutamento, piano di budget, piano di manutenzione, piano di sviluppo, piano di supporto
Piano operativo
piano a breve termine
processo organizzativo
Ruoli e responsabilità organizzative
capo direttore
Essere in ultima analisi responsabile del mantenimento della sicurezza organizzativa e concentrarsi sulla protezione delle risorse organizzative.
professionisti della sicurezza
Gli implementatori, inclusa la scrittura e l'applicazione delle politiche di sicurezza, hanno responsabilità funzionali
proprietario del bene
custode
utente
revisore dei conti
Responsabile della revisione e della verifica se le politiche di sicurezza sono implementate correttamente e se le relative soluzioni di sicurezza sono complete
quadro di controllo della sicurezza
Il primo passo nella pianificazione della sicurezza
Il framework più utilizzato: Control Objectives for Information and Related Technology - COBIT
Principi COBIT
Creare valore per gli stakeholder
Analisi olistica
sistema di governance dinamico
Separare la governance dal management
Su misura per le esigenze aziendali
Adottare un sistema di governance end-to-end
Altri standard e linee guida IT
NIST SP 800-53 Rev.5
Centro per la sicurezza Internet-CIS
Quadro di gestione del rischio del NIST-RMF
NIST Cybersecurity Framework-CSF
ISO/IEC27000
Libreria-ITIL per l'implementazione dell'infrastruttura informatica
La dovuta attenzione e la dovuta diligenza
dovuta cura
Sviluppare un quadro di sicurezza formale che includa politiche, standard, linee di base, linee guida e procedure di sicurezza
è sapere cosa fare e fare un piano per farlo
diligenza dovuta
Applicare continuamente framework di sicurezza all’infrastruttura IT dell’organizzazione
sta intraprendendo l'azione giusta al momento giusto
Sicurezza operativa
Attuazione continua della dovuta attenzione e due diligence da parte di tutte le parti responsabili all’interno dell’organizzazione
Politiche, standard, procedure e linee guida di sicurezza
strategia di sicurezza
Quattro componenti: politiche, standard, linee guida e procedure
Documento di livello superiore standardizzato
Standard di sicurezza, linee di base e linee guida
procedure di sicurezza
Modellazione delle minacce
Il processo di sicurezza volto a identificare, classificare e analizzare le minacce
Identificare le minacce
Metodo di classificazione STRIDE
Spoofing
Manomissione
Negazione-Ripudio
Rivelazione di un 'informazione
Denial of Service-DoS
Elevazione del privilegio-Elevazione del privilegio
Metodo di modellatura della PASTA
Visualizzazione VASTA, agilità e minacce semplici
Identificare e mappare potenziali attacchi
Eseguire un'analisi semplificata
Cinque concetti chiave per una decomposizione sicura
confine di fiducia
percorso del flusso di dati
punto di ingresso
Operazioni privilegiate
Dichiarazione di sicurezza e dettagli sul metodo
Prioritizzazione e risposta
Sistema di valutazione DREAD
potenziale danno
Riproducibilità
disponibilità
Utenti interessati
rilevabilità
Applicare concetti di gestione basata sul rischio alle catene di fornitura
2-Punti chiave dell'esame
1. Comprendere la triade della CIA composta da riservatezza, integrità e disponibilità
2. Comprendi come funziona l'ID
3. Comprendere il processo di autenticazione dell'identità
4. Comprendere come viene utilizzata l'autorizzazione nei programmi di sicurezza
5. Spiegare il processo di audit
6. Comprendere l'importanza della responsabilità
7. Spiegare il non ripudio
8. Comprendere la difesa in modo approfondito
9. Capacità di spiegare concetti astratti
10. Comprendere l'occultamento dei dati
11. Comprendere i confini di sicurezza
12. Comprendere la governance della sicurezza
13. Comprendere la governance di terze parti
14. Comprendere la revisione dei documenti
15. Comprendere le capacità di sicurezza in linea con la strategia aziendale, gli obiettivi, la missione e lo scopo
16. Comprendere gli scenari aziendali
17. Comprendere il piano di gestione della sicurezza
18. Comprendere i componenti di una politica di sicurezza standardizzata
19. Comprendere i processi organizzativi
20. Comprendere i ruoli chiave della sicurezza
21. Comprendere le basi di COBIT
22. Comprendere la dovuta diligenza e la dovuta diligenza
23. Comprendere le basi della modellazione delle minacce
24. Comprendere i concetti di gestione del rischio della catena di fornitura
3-Esercizi e analisi importanti
1. Per quanto riguarda la governance della sicurezza, quale delle seguenti affermazioni è corretta: R. La governance della sicurezza garantisce che l'attività richiesta o l'accesso al soggetto sia realizzabile tenendo conto dei diritti e dei privilegi concessi all'identità autenticata. B. La governance della sicurezza mira a migliorare l’efficienza. Elementi simili vengono inseriti in gruppi, classi o ruoli e, come raccolta, vengono assegnati controlli di sicurezza, restrizioni e autorizzazioni. C. La governance della sicurezza è un insieme di documenti che documentano le migliori pratiche di sicurezza IT. Specifica gli obiettivi e i requisiti per i controlli di sicurezza e incoraggia la mappatura delle idee di sicurezza IT sugli obiettivi aziendali. D. La governance della sicurezza mira a mappare tutti i processi e le infrastrutture di sicurezza all'interno di un'organizzazione rispetto alle conoscenze e alle informazioni acquisite da fonti esterne
Risposta corretta: D Esaminare le implicazioni della governance della sicurezza: 1. La governance della sicurezza è un insieme di pratiche relative al supporto, alla valutazione, alla definizione e alla direzione degli sforzi di sicurezza di un’organizzazione 2. Ottimale: dirigente del consiglio di amministrazione, più piccolo: amministratore delegato o CISO 3. La governance della sicurezza mira a mappare tutti i processi e le infrastrutture di sicurezza all'interno di un'organizzazione rispetto alle conoscenze e alle informazioni acquisite da fonti esterne
2. Un'organizzazione è in un periodo di espansione aziendale e sta subendo un gran numero di fusioni e acquisizioni. Le organizzazioni sono preoccupate per i rischi associati a queste attività. Quali dei seguenti sono esempi di questi rischi: A. Divulgazione inappropriata di informazioni B. Migliorare la compliance del personale C. Perdita di dati D. Spegnimento E. Entra per comprendere le motivazioni degli attacchi interni F. Non ottenere un ritorno sull'investimento adeguato
Risposta corretta: ACDF Esaminare i processi organizzativi, quelli su acquisizioni, cessioni e comitati di governance. 1. Fusioni e acquisizioni- 2. Dismissione di risorse, riduzione delle risorse e licenziamento dei dipendenti: purificare le risorse per prevenire fughe di dati, eliminare e distruggere i supporti di archiviazione e, per i dipendenti, colloqui di uscita
3. Principi COBIT: A. Adottare un metodo di analisi olistica B. Adottare un sistema di governance end-to-end C. Creare valore per gli stakeholder D. Mantenere l'autenticità e la responsabilità E. Sistema di governance dinamico
Risposta corretta: ABCE Esaminare i principi COBIT
4. La dichiarazione corretta sulla dovuta cura e due diligence è: R. La dovuta attenzione è lo sviluppo di piani, strategie e procedure per proteggere gli interessi dell'organizzazione B. La due diligence è lo sviluppo di un quadro formale di sicurezza che protegge le politiche, gli standard, le linee guida, le linee guida e le procedure di sicurezza C. La dovuta attenzione è l'applicazione continua di un quadro di sicurezza all'infrastruttura IT dell'organizzazione D. La due diligence è la pratica di quelle attività che mantengono il lavoro sicuro E. La due diligence significa sapere cosa fare e elaborare un piano per farlo F. La dovuta attenzione significa intraprendere l'azione giusta al momento giusto
Lotta per la risposta: AD Le sale d’esame dovrebbero essere esaminate con cura e dovuta diligenza
5. Baseline: definisce il livello minimo di sicurezza che ogni sistema dell'organizzazione deve soddisfare Politica: un documento che definisce l'ambito di sicurezza richiesto da un'organizzazione, discute le risorse che devono essere protette e il grado di protezione necessario che una soluzione di sicurezza deve fornire Standard: definiscono i requisiti obbligatori per la coerenza di hardware, software, tecnologia e metodi di controllo della sicurezza Procedura: un documento dettagliato di implementazione distribuita che descrive le azioni specifiche richieste per implementare uno specifico meccanismo, controllo o soluzione di sicurezza Guida: fornisce consigli su come implementare i requisiti di sicurezza ed è una guida pratica per professionisti e utenti della sicurezza
6.
7. Il team di sviluppo sta lavorando a un nuovo progetto. Nelle prime fasi di sviluppo, il team considera le vulnerabilità, le minacce e i rischi della soluzione e integra le protezioni per prevenire conseguenze indesiderate. Questo è il tipo di concetto di modellazione delle minacce: A. Caccia alla minaccia B. Approccio proattivo C. Metodi qualitativi D. Approccio contraddittorio
Risposta corretta: B Approccio proattivo alla modellazione delle minacce, noto anche come approccio difensivo Un approccio reattivo o contraddittorio è la modellazione delle minacce dopo la creazione e l'implementazione del prodotto, noto anche come caccia alle minacce I metodi qualitativi sono metodi di valutazione del rischio
8. Il datore di lavoro di C gli ha chiesto di condurre una revisione della documentazione delle politiche e delle procedure del fornitore terzo. C ha scoperto un problema con il fornitore: la comunicazione non era crittografata ed era richiesta l'autenticazione a più fattori. Come ha risposto C: A. Scrivere un rapporto e presentarlo al CEO B. Annullare l'ATO del fornitore C. Chiedere ai fornitori di rivedere i loro termini e requisiti D. Chiedere ai fornitori di firmare la NDA
Risposta corretta: B
9. Quale dei seguenti è un approccio incentrato sul rischio alla modellazione delle minacce che cerca di selezionare o sviluppare contromisure in base al valore del bene da proteggere: A.VAST B. SD3 C C.PASTA D. PASSAGGIO
Risposta corretta: C Il processo di simulazione degli attacchi e analisi delle minacce PASTA è un approccio focalizzato sul rischio progettato per selezionare o sviluppare misure di protezione rilevanti per il valore dei beni da proteggere. Minacce visive, agili e semplici VAST è un concetto di modellazione delle minacce che integra la gestione delle minacce e dei rischi in ambienti di programmazione agili su base scalabile SD3 C utilizzato da Microsoft, sicuro fin dalla progettazione, sicuro per impostazione predefinita, distribuzione e comunicazione sicure, ciclo di vita di sviluppo sicuro SDL STRIDE è uno schema di classificazione delle minacce sviluppato da Microsoft
10. Il passaggio successivo nella modellazione delle minacce consiste nell'eseguire un'analisi di riduzione, nota anche come profilazione dell'applicazione, del sistema o dell'ambiente. Quali dei seguenti sono componenti chiave da identificare quando si esegue la scomposizione: A. Patch o aggiornamento della versione B. Confini della fiducia C. Percorso del flusso di dati D. Utilizzo del codice sorgente aperto e chiuso E. Punto di ingresso F. Operazioni privilegiate G. Dichiarazione di sicurezza e dettagli sul metodo
Risposta corretta: BCEFG Cinque concetti chiave di scomposizione: confini di fiducia, percorsi del flusso di dati, punti di ingresso, operazioni privilegiate e dettagli sulle dichiarazioni e sui metodi di sicurezza
11. Termini correlati alla difesa in profondità: stratificazione, classificazione, partizionamento, divisione di domini, isolamento, isola, segmentazione, struttura reticolare, anello di protezione