Wondershare EdrawMind
Galleria mappe mentale Note di studio CISSP-2 (Concetti di sicurezza del personale e gestione dei rischi)
- 9
Note di studio CISSP-2 (Concetti di sicurezza del personale e gestione dei rischi)
Registra in dettaglio i punti di conoscenza chiave e i punti di test relativi al capitolo 2 del CISSP, Sicurezza del personale e gestione dei rischi, e prevede diverse domande di revisione.
Modificato alle 2024-01-23 15:59:36
Note di studio CISSP-2 (Concetti di sicurezza del personale e gestione dei rischi)
- Consigliato per te
- Profilo
Mappa mentale della gestione del progetto PMP (Capitolo 3, Gestione dell'ambito del progetto).
- 12
Note di studio CISSP-1 (Principi e strategie per l'implementazione della governance della sicurezza)
- 17
Note di studio CISSP-2 (Concetti di sicurezza del personale e gestione dei rischi)
1-Riepilogo dei punti di conoscenza
Politiche e procedure di sicurezza del personale
Gli elementi più vulnerabili, con una formazione adeguata, possono diventare risorse critiche per la sicurezza e partner preziosi negli sforzi di sicurezza
Descrizione del lavoro e responsabilità
Le descrizioni dei lavori dovrebbero considerare le questioni di sicurezza
Definire i ruoli che devono essere assegnati ai dipendenti e i ruoli sono coerenti con privilegi e attività
L'elenco delle responsabilità è il modo per assegnare diritti di accesso, autorizzazioni e privilegi
Non reclutamento, ciclo di vita completo
Selezione e reclutamento dei candidati
Onboarding: contratti e strategie di lavoro
Il principio del privilegio minimo e dei diritti di accesso
Accordo di riservatezza NDA
Le responsabilità lavorative del dipendente cambiano, accedono a nuove risorse, firmano ulteriori NDA
Supervisione dei dipendenti
Le mansioni lavorative e i privilegi andranno alla deriva e troppi privilegi aumenteranno i rischi organizzativi
congedo obbligatorio
Altri dipendenti utilizzano i propri account per svolgere le proprie mansioni lavorative, rilevare abusi, frodi o negligenze e verificare mansioni e privilegi lavorativi
La separazione dei compiti, la rotazione del lavoro, la formazione incrociata e le ferie forzate possono ridurre il rischio di collusione
UBA: analisi del comportamento degli utenti UEBA: analisi del comportamento degli utenti e delle entità Può migliorare le politiche, le procedure, la formazione e i relativi programmi di supervisione della sicurezza del personale
Processo di separazione, trasferimento e risoluzione
Le procedure di offboarding possono essere utilizzate anche quando i dipendenti si spostano in un dipartimento, struttura o luogo fisico diverso
Il trasferimento del personale può essere considerato licenziamento/riassunzione
I fattori da considerare per decidere quale programma utilizzare includono:
Se mantenere lo stesso account utente
se modificare le proprie autorizzazioni
Le nuove responsabilità lavorative sono simili alla posizione precedente?
Hai bisogno di un nuovo account con una cronologia pulita?
La nuova posizione lavorativa richiede un audit?
Accordi e controlli con fornitori, consulenti e appaltatori
L'utilizzo di un accordo sul livello di servizio (SLA) è un modo per garantire che vengano forniti i livelli di servizio
Gli SLA e i controlli su fornitori, consulenti e appaltatori sono una parte importante per mitigare le lettere e evitare i rischi
L’outsourcing è una risposta che trasferisce o assegna il rischio
Funzioni del sistema di gestione dei fornitori VMS:
Ordinazione conveniente
distribuzione degli ordini
Ordinare la formazione
Fatturazione unificata
Requisiti della politica di conformità
Vantaggi della conformità
alta qualità
consistenza
efficienza
risparmiare sui costi
DANNI DA VIOLAZIONE DELLA COMPLIANCE
profitto
quota di mercato
Approvazione
reputazione
L'applicazione della conformità si riferisce all'imposizione di sanzioni o conseguenze per il mancato rispetto di politiche, formazione, migliori pratiche e regolamenti
Dirigente per l'applicazione della conformità
CISO o amministratore delegato
Dirigenti e supervisori dei dipendenti
Revisori e regolatori di terze parti
Requisiti della politica sulla privacy
definizione di privacy
Proteggere proattivamente dall'accesso non autorizzato alle informazioni di identificazione personale e alle informazioni di identificazione personale (PII)
Impedire l'accesso non autorizzato a informazioni personali o riservate
Per evitare di essere osservati, monitorati o ispezionati senza consenso o conoscenza
Il settore IT si occupa di privacy
Comprendere e applicare i concetti di gestione del rischio
Panoramica
I risultati della prima gestione del rischio costituiscono la base per la formulazione delle strategie di sicurezza
Gli eventi successivi di gestione del rischio vengono utilizzati per migliorare e mantenere l'infrastruttura di sicurezza dell'organizzazione
Componenti della gestione del rischio:
Valutazione del rischio (analisi)
Valutare la probabilità che si verifichi
Perdite causate dopo il rilascio effettivo
Valutare i costi delle varie misure di controllo del rischio
I risultati dei tre elementi precedenti classificano le priorità di rischio.
risposta al rischio
Utilizzare l'analisi costi/benefici
Valutare i controlli del rischio, le tutele e i controlli di sicurezza
Implementare le misure corrispondenti selezionate nell'infrastruttura IT e descriverle nel documento sulla politica di sicurezza
Consapevolezza del rischio
Termini e concetti di rischio
Valutazione delle risorse
Identificare minacce e vulnerabilità
Valutazione/analisi del rischio
Analisi quantitativa
Calcola le perdite patrimoniali utilizzando il valore monetario effettivo sulla base di calcoli matematici
Analisi qualitativa
Rappresentare le perdite patrimoniali in termini soggettivi e intangibili, tenendo conto di opinioni, sentimenti, intuizione, preferenze, pensieri e reazioni istintive
Tecniche di analisi qualitativa del rischio
Scene
Tecnologia Delphi
Processo di feedback e risposta anonimo, nessuna discriminazione basata sulla fonte dell'idea
Analisi quantitativa del rischio
fare un passo
fattore di esposizione EF
Chiamata anche perdita potenziale, espressa in percentuale, utilizzare dati interni, eseguire analisi statistiche, consultare il pubblico, iscriversi a un registro/registro dei rischi, collaborare con consulenti, utilizzare software di gestione del rischio
aspettativa di perdita singola SLE
SLE = Valore patrimoniale (AV) * Fattore di esposizione (EF)
Tasso di occorrenza annuale ARO
Perdita annua attesa ALE
ALE=Attesa di prima perdita (SLE)*Tasso di occorrenza annuale (ARO)=AV*EF*ARO
risposta al rischio
Mitigazione del rischio (riduzione)
Implementare misure di salvaguardia, controlli di sicurezza e contromisure di sicurezza per ridurre o eliminare le vulnerabilità o prevenire le minacce
trasferimento del rischio
Acquista sicurezza informatica, assicurazioni, outsourcing
deterrenza del rischio
Implementare controlli, telecamere di sicurezza, striscioni di avvertimento, utilizzare personale di sicurezza
Avversione al rischio
Seleziona alternativa
accettazione del rischio
accettare la perdita
rischio di rifiuto
Negare o ignorare il rischio
Rischio totale = minaccia * vulnerabilità * valore patrimoniale Rischio totale - gap di controllo = rischio residuo
La gestione del rischio non è un evento isolato
Costi e benefici dei controlli di sicurezza
Valore della misura di protezione per l'azienda = ALE prima dell'attuazione della misura di protezione - ALE dopo l'attuazione della misura di protezione - Costo annuo della misura di protezione ACS
ALE1-ALE2-ACS
Le migliori misure di sicurezza, le più convenienti
Selezionare e implementare contromisure di sicurezza
Classificazione
Controlli amministrativi
Include: politiche, procedure, pratiche di assunzione, controlli dei precedenti, classificazione ed etichettatura dei dati, consapevolezza e formazione sulla sicurezza, reporting e revisione, supervisione del lavoro, controlli e test del personale
Controlli logico/tecnici
Include: autenticazione, crittografia, interfacce riservate, elenchi di controllo degli accessi, protocolli, firewall, router, sistemi di rilevamento delle intrusioni e livelli di soglia
misure di controllo fisico
sottoargomento
Tipi di controllo applicabili
controllo preventivo
IPS
Controllo della deterrenza
Politiche, formazione sulla sensibilizzazione alla sicurezza, serrature, recinzioni, segnaletica di sicurezza, guardie di sicurezza, ingressi di controllo degli accessi e telecamere di sicurezza
controllo del rilevamento
ID
Controllo della compensazione
controllo correttivo
ripristinare il controllo
Controllo delle istruzioni
Valutazione del controllo di sicurezza
Valutare i singoli meccanismi dell'infrastruttura di sicurezza rispetto ai valori di riferimento o alle aspettative di affidabilità
Può essere utilizzato come supplemento ai test di penetrazione o alla valutazione della vulnerabilità
Disponibile anche come valutazione completa della sicurezza
Monitoraggio e misurazione
Reporting e documentazione sui rischi
Contenuti del registro dei rischi
Rischi identificati
Valutare la gravità di questi rischi e dare loro la priorità
Sviluppare risposte per ridurre o eliminare i rischi
Tieni traccia dei progressi nella mitigazione del rischio
continuare a migliorare
Valutazione del modello di maturità del rischio (RMM) Programma ERM di gestione del rischio aziendale
Livello RMM
livello iniziale
Livello preparatorio
livello di definizione
Quadro di rischio comune o standardizzato
Livello integrato
Le operazioni di gestione del rischio sono integrate nei processi aziendali
Livello di ottimizzazione
Obiettivi
rischio ereditario
EOL
EOSL
quadro di rischio
Quadro di gestione del rischio RMF
Norme obbligatorie per le agenzie federali
Ci sono sei fasi cicliche in RMF
Prepararsi da una prospettiva organizzativa e a livello di sistema stabilendo il contesto e le priorità per la gestione dei rischi per la sicurezza e la privacy Esegui RMF
Classificazione Classifica i sistemi e le informazioni che elaborano, archiviano e trasmettono sulla base di un'analisi dell'impatto della perdita.
Selezione Selezionare una serie iniziale di collegamenti per il sistema e personalizzare i controlli secondo necessità per ridurre il rischio a un livello accettabile di asciugatura dell'acqua in base alla valutazione del rischio.
Implementare Implementare il controllo e descrivere come verrà utilizzato all'interno del sistema e del suo ambiente operativo.
Valutazione Valutare i controlli per determinare se i controlli sono implementati correttamente, funzionano come previsto e producono i risultati attesi che soddisfano i requisiti di sicurezza e privacy.
Autorizzazione Autorizza sistemi o controlli comuni in base alla determinazione che i rischi per le operazioni e le risorse dell'organizzazione, gli individui, altre organizzazioni e i paesi sono accettabili.
Il monitoraggio include la valutazione dell'efficacia del controllo, la registrazione delle modifiche ai sistemi e agli ambienti operativi, la conduzione di valutazioni dei rischi e analisi di impatto e la rendicontazione sullo stato di sicurezza e privacy dei sistemi
Quadro di sicurezza informatica del CSF
Progettato per infrastrutture e organizzazioni commerciali
Ingegneria sociale
Il modo più efficace per difendersi dagli attacchi di ingegneria sociale
Educazione dell'utente
formazione di sensibilizzazione
principio
autorità
intimidazione
consenso
scarsità
familiare
Fiducia
urgenza
ottenere informazioni
preposizione
Phishing
Spear-phishing
balena phishing
Phishing via SMS
Phishing vocale
spam
sbirciatina sulla spalla
Frode in fatture
dispetto
Contraffazione e mascheramento
Tailgating e piggybacking
Ricerca nel cestino
frode d'identità
Nome di dominio stampato male
influenzare il movimento
guerra ibrida
mezzi di comunicazione sociale
Stabilire e mantenere programmi di sensibilizzazione, istruzione e formazione sulla sicurezza
coscienza della sicurezza
Prerequisiti per la formazione sulla sicurezza
formazione
educare
Migliorare
Cambiare il focus degli obiettivi, a volte l’individuo, a volte il cliente, a volte l’organizzazione
Cambiare l'ordine e il focus degli argomenti Una volta si tratta di ingegneria sociale, la volta successiva è la sicurezza delle apparecchiature e la volta successiva è qualcos'altro.
Vari metodi di presentazione
Attraverso il gioco di ruolo, lascia che i partecipanti interpretino gli attaccanti e i difensori, consentendo a persone diverse di fornire idee per affrontare attacco e difesa.
Sviluppare e incoraggiare i leader della sicurezza
La gamification potenzia e migliora la formazione
incoraggiamento e punizione
Aumentare la partecipazione dei dipendenti alla formazione
aumentare la comprensione
Altri miglioramenti: esercizi Capture the flag, phishing simulato, formazione basata su computer (CBT) e formazione basata sui ruoli
valutazione dell’efficacia
Adottare nuovi metodi e tecniche
regolare
2-Punti chiave dell'esame
1. Comprendere che le persone sono un elemento critico per la sicurezza
2. Comprendere l'importanza della descrizione del lavoro
3. Comprendere le implicazioni sulla sicurezza derivanti dall'assunzione di nuovi dipendenti
4. Comprendere l'onboarding e l'offboarding
5. Comprendere il principio del privilegio minimo
6. Comprendere la necessità di accordi di non divulgazione (NDA)
7. Comprendere la supervisione dei dipendenti
8. Comprendere la necessità del congedo obbligatorio
9. Comprendere UBA e UEBA
10. Comprendere i trasferimenti di personale
11. Spiegare le strategie di terminazione appropriate
12. Comprendere i controlli su fornitori, consulenti e appaltatori
13. Comprendere la conformità alle policy
14. Comprendere come la privacy si inserisce nel panorama della sicurezza IT
15. Capacità di definire la gestione complessiva del rischio
16. Comprendere l'analisi del rischio e gli elementi correlati
17. Sapere come valutare le minacce
18. Comprendere l'analisi qualitativa del rischio
19.Comprendere la tecnologia Delphi
20. Comprendere l'analisi quantitativa del rischio
21. Concetto di fattore di esposizione Jess (EF).
22. Comprendere il significato e il metodo di calcolo della singola perdita attesa (SLE)
23. Comprendere il tasso di occorrenza annuale (ARO)
24. Comprendere il significato e il calcolo dell'aspettativa di perdita annuale (ALE)
25. Comprendere la formula per valutare le misure di protezione
26. Comprendere come gestire i rischi
27. Spiegare il rischio totale, il rischio di partecipazione e le lacune di controllo
28. Comprendere i tipi di controllo
29. Comprendere i tipi di controllo
30. Comprendere la valutazione del controllo di sicurezza (SCA)
31. Comprendere la salute e la misurazione della sicurezza
32. Comprendere il reporting del rischio
33. Comprendere la necessità di un miglioramento continuo
34. Comprendere il modello di maturità del rischio
35. Comprendere i rischi legacy Rischi per la sicurezza
36. Comprendere il quadro dei rischi
37. Comprendere l'ingegneria sociale
38. Comprendere come implementare la formazione, la formazione e l'istruzione sulla sensibilizzazione alla sicurezza
39. Conosci i leader della sicurezza
40. Comprendere la gamification
41. Comprendere la necessità di revisioni regolari dei contenuti e valutazioni dell'efficacia
Esercizi importanti
1. Risorsa: qualsiasi cosa utilizzata in un processo o attività aziendale Minaccia: qualsiasi evento potenziale che potrebbe avere effetti negativi o conseguenze indesiderate su un'organizzazione o una risorsa specifica Vulnerabilità - Una debolezza di un asset, oppure la debolezza o l'assenza di misure di protezione Esposto: vulnerabile alla perdita di risorse a causa di una minaccia, con la possibilità che la vulnerabilità possa o venga sfruttata Rischio: la probabilità che una minaccia sfrutti una vulnerabilità per causare danni a una risorsa e la gravità del danno che potrebbe essere causato
2. Le riunioni sulla sicurezza si concentrano sulla definizione del valore delle risorse, sullo sviluppo di un elenco di minacce, sulla previsione del livello specifico di danno che una violazione potrebbe causare e sulla determinazione del numero di volte in cui una minaccia potrebbe disturbare l'azienda all'anno. Che cos'è questo: Una valutazione qualitativa del rischio B Tecnologia Delphi Avversione al rischio C D Valutazione quantitativa del rischio
Risposta corretta: D
3. Quali delle seguenti sono definizioni di rischio valide: A Una valutazione di probabilità, verosimiglianza o caso B Tutto ciò che elimina una vulnerabilità o protegge da una o più minacce specifiche Rischio C = minaccia * vulnerabilità D ogni istanza esposta E L'esistenza di vulnerabilità in presenza di minacce rilevanti
Risposta corretta: ACD
4. L'azienda installa una nuova applicazione web su un server web pubblico. Gli hacker hanno sfruttato il nuovo codice e hanno ottenuto l'accesso ai file di dati ospitati sul sistema. illustrare: Un rischio intrinseco Matrice del rischio B C Valutazione qualitativa D rischio residuo
Risposta corretta: A Rischi che esistono prima che venga eseguita qualsiasi attività di gestione del rischio
5. L'organizzazione è alla ricerca di un nuovo partner commerciale che abbia definito diversi requisiti di sicurezza organizzativa che devono essere soddisfatti prima di firmare uno SLA e un accordo con il partner commerciale (BPA). Uno richiede alle organizzazioni di dimostrare i livelli di implementazione di un modello di maturità del rischio. Nello specifico, è necessario adottare un quadro di rischio comune o standardizzato. Questo livello appartiene a: Un livello preparatorio Livello integrato B Livello di definizione C Livello di ottimizzazione D
Risposta corretta: C Livello iniziale: caos Livello preparatorio: tentativo iniziale, può differire per ciascun dipartimento Livello di definizione: quadro di rischio comune e standard Livello di integrazione: le operazioni di gestione del rischio sono integrate nei processi aziendali e il rischio è considerato un elemento nelle decisioni strategiche aziendali Livello di ottimizzazione: la gestione del rischio si concentra sul raggiungimento degli obiettivi piuttosto che sulla semplice risposta alle minacce, sul successo aziendale piuttosto che sull'evitare gli incidenti, e può imparare dall'esperienza e incorporarla nel processo di gestione del rischio
6. Il Risk Management Framework (RMF) fornisce specifiche per la gestione dei rischi per la sicurezza e la privacy, tra cui la classificazione della sicurezza delle informazioni, la selezione, l'implementazione e la valutazione dei controlli, l'autorizzazione generale e del sistema di controllo e una sequenza di sette passaggi o fasi. Quale fase del RMF si concentra sulla determinazione se i controlli generali o di sistema sono ragionevoli in base ai rischi per le operazioni e le risorse dell'organizzazione, per gli individui e per le loro aree? A.Classificazione B.Autorizzazione C.Valutazione D.Monitoraggio
Risposta corretta: B Lo stadio RME (0) è l'autorizzazione di sistemi o controlli comuni basati sulla determinazione che i rischi per le operazioni e i beni dell'organizzazione, gli individui, altre organizzazioni e i paesi sono accettabili (o ragionevoli). Le fasi del RMF includono: (1) preparazione, (2) classificazione, (3) selezione, (4) implementazione, (5) valutazione, (6) investimento e (7) monitoraggio. (A) è la fase RMF (2), che si riferisce alla classificazione dei sistemi e alle informazioni elaborate, archiviate e trasmesse dal sistema sulla base dell'analisi dell'impatto della perdita. (C) è la fase RMF (5), che valuta i controlli per determinare se sono implementati correttamente, funzionando come previsto e producendo i risultati attesi che soddisfano i requisiti di sicurezza e privacy. ①D) è la fase RMF (⑦), che monitora continuamente il sistema e i relativi controlli, inclusa la valutazione dell'efficacia dei controlli, la registrazione delle modifiche al sistema e all'ambiente operativo, la conduzione di valutazioni dei rischi e analisi di impatto e la rendicontazione sullo stato di sicurezza e privacy del sistema.
7. Quale delle seguenti opzioni può essere classificata come attacco di ingegneria sociale? (Seleziona tutte le righe insieme.) A Un utente accede alla propria postazione di lavoro e acquista una bibita dal distributore automatico nella tromba delle scale. Mentre l'utente è lontano dalla propria postazione di lavoro, un'altra persona si siede alla propria scrivania e copia tutti i file nella cartella locale nella condivisione di rete. B Ricevi un'e-mail che ti avvisa che una nuova pericolosa malattia si sta diffondendo su Internet. Questo messaggio ti avvisa di trovare un file specifico sul tuo disco rigido e di eliminarlo perché indica la presenza di un virus. Il sito Web C dichiara di fornire accesso temporaneo gratuito ai propri prodotti e servizi, ma richiede di modificare la configurazione del browser Web e/o del firewall prima di poter scaricare il software di accesso. Il segretario D ha ricevuto una chiamata da un chiamante che affermava di essere un cliente che avrebbe dovuto incontrare più tardi il CEO. Chi chiama desidera il numero di cellulare personale del CEO per poterlo chiamare.
Risposta corretta: BCD L'attività descritta nell'opzione A consiste semplicemente nello sfruttare l'opportunità della vittima di allontanarsi. Si tratta di un attacco di accesso opportunistico e non di un attacco di ingegneria sociale perché non vi è alcuna interazione con la vittima. Le attività descritte nelle opzioni B (scherzo), C (phishing, scherzo, attacco wateringhole) e D (phishing vocale) fanno tutte parte di un attacco di ingegneria sociale.
8. In genere, __ è il membro del team che decide (o gli viene assegnata) la responsabilità di applicare e integrare i concetti di sicurezza nel team nelle attività lavorative. __Spesso il personale non addetto alla sicurezza ha il compito di ispirare gli altri a supportare e adottare maggiori pratiche di sicurezza Responsabilità di condotta. A.Responsabile responsabile della sicurezza delle informazioni B. Responsabile della sicurezza C. Misuratore per auto di sicurezza D. Custode
Risposta corretta: B La risposta corretta è leader della sicurezza. Un leader della sicurezza è solitamente un membro di un team che decide (o è incoraggiato) ad applicare e integrare i concetti di sicurezza nelle attività lavorative del team. Un leader della sicurezza è solitamente una persona non specializzata nella sicurezza che ispira gli altri a supportare e adottare più pratiche di sicurezza. e responsabilità comportamentali. Nessuna delle altre opzioni è corretta. Il CISO o il Chief Security Officer definisce e implementa la sicurezza in tutta l'organizzazione. Il revisore della sicurezza gestisce i registri di sicurezza ed esamina gli audit trail per rilevare eventuali segnali di violazione in un contenitore informatico che offra adeguata sicurezza secondo la distribuzione specificata dal titolare.