Wondershare EdrawMind
Galleria mappe mentale Note di studio CISSP-Ambito 1 (Sicurezza e gestione del rischio)
- 10
Note di studio CISSP-Ambito 1 (Sicurezza e gestione del rischio)
Revisione dell'esame CISSP, riepilogo dei punti di conoscenza ed esercizi importanti nella parte di sicurezza e gestione dei rischi del Dominio 1, pieno di informazioni utili, gli amici bisognosi dovrebbero raccoglierlo rapidamente!
Modificato alle 2024-02-12 08:29:54
Note di studio CISSP-Ambito 1 (Sicurezza e gestione del rischio)
- Consigliato per te
- Profilo
Note di studio CISSP-Ambito 1 (Sicurezza e gestione del rischio)
Punti di conoscenza
1.2.Triplice CIA
Riservatezza
La riservatezza si riferisce alla prevenzione dell'accesso al patrimonio informativo da parte di soggetti non autorizzati, siano essi persone o processi.
Integrità (Intearitv)
La protezione dell'integrità impedisce modifiche non autorizzate ai dati.
Disponibilità
Disponibilità significa che alle entità investitrici viene concesso un accesso tempestivo e ininterrotto agli oggetti.
Autenticità (Autenticità)
L'autenticità è un concetto di sicurezza secondo cui i dati sono autentici o genuini dalla fonte che affermano di contenere: integrità e non ripudio.
non ripudio
Il non ripudio garantisce che il soggetto di un'attività o la persona che ha causato un evento non possa negare che l'evento sia avvenuto.
Sicurezza equilibrata
Ciascuna organizzazione avrà priorità diverse nel considerare la CIA in base alle proprie circostanze.
1.3 Valutare e applicare i principi di governance della sicurezza
Le funzioni di sicurezza sono allineate con le strategie e gli obiettivi aziendali
Quando crei la funzione di sicurezza della tua organizzazione, dovresti prima progettare una strategia di sicurezza che sia coerente con la strategia aziendale complessiva e la dichiarazione di intenti della tua organizzazione. È necessario sviluppare una serie di traguardi e obiettivi specifici, misurabili, realizzabili, pertinenti e con scadenza temporale per aiutarvi a mantenere in modo efficace la riservatezza, l'integrità e la disponibilità dei sistemi e delle informazioni aziendali senza compromettere la capacità dell'organizzazione di raggiungere i propri traguardi e obiettivi aziendali.
L'esecuzione di un programma di sicurezza efficace richiede un'attenta considerazione delle esigenze aziendali e dei percorsi di battaglia organizzativi, nonché dei requisiti legali e di conformità, e richiede la governance all'interno dell'organizzazione per gestire l'efficacia delle capacità di sicurezza.
1.3.1. Processi organizzativi
governo della sicurezza
Comitati di governance
Il Consiglio di governance è composto da dirigenti responsabili della gestione di tutti i rischi per l'organizzazione, con l'obiettivo primario di fornire supervisione alla funzione di sicurezza dell'organizzazione, garantendo al tempo stesso che la funzione di sicurezza continui a soddisfare le esigenze sia dell'organizzazione che dei suoi stakeholder. Esaminano i progetti in corso e pianificati, i parametri remoti e qualsiasi altra questione di sicurezza che possa riguardare l'intera azienda.
Fusioni e acquisizioni (M&A)
Ogni acquisizione comporta una serie unica di circostanze e gli esperti di sicurezza di entrambe le organizzazioni dovrebbero riunirsi per valutare i controlli di sicurezza di ciascuna organizzazione e capire come eliminare le ridondanze e garantire il contenimento del sistema.
Possibili punti di rischio:
•Contenuto sconosciuto: come verranno integrati le strutture IT, i controlli di sicurezza e i processi con i sistemi esistenti?
• Nuovi vettori di attacco: se l'organizzazione attuale utilizza solo sistemi Windows e Linux, l'organizzazione acquisita utilizza sistemi Macos.
•Impatto sulle risorse: se la manodopera esistente può garantire il normale funzionamento delle funzioni esistenti. Riuscirai a ricevere con successo il nuovo sistema?
•Dipendenti scontenti: i dipendenti scontenti rappresentano una seria minaccia interna
Contromisure:
•Rivedere le politiche e le procedure aziendali sulla sicurezza delle informazioni
•Rivedere il patrimonio di dati dell'azienda. e identificare eventuali requisiti normativi o di conformità applicabili (ad esempio, PCl, HIPAA, GDPR, ecc.)
•Rivedere la politica di sicurezza del personale dell'organizzazione
•Identificare eventuali applicazioni proprietarie o personalizzate gestite dall'azienda e richiedere test di sicurezza statici e dinamici delle applicazioni per dimostrare il loro livello di sicurezza.
•Zhouqiu fornisce i risultati dei recenti test di penetrazione (pentest), inclusi test di rete, sistema operativo, applicazioni e database.
•Esaminare l'utilizzo da parte dell'organizzazione di software di terze parti e open source per garantire che il software sia sicuro e dotato di licenza adeguata.
1.3.2
Una cessione è la separazione di una parte di un'azienda in un'organizzazione indipendente
Azioni che possono essere intraprese:
•Identificare e classificare tutti i beni coinvolti nella dismissione, compresi hardware, software e risorse informative;
•Disaccoppiare i sistemi interessati dall'infrastruttura rimanente.
•Rivedere tutti i diritti di accesso.
•Consultare i team legali e di conformità per assicurarsi di seguire tutti i requisiti normativi e di conformità necessari relativi alla conservazione, all'eliminazione dei dati, ecc.
1.3.3 Ruoli e responsabilità organizzative
1.3.3.1 Responsabile della sicurezza delle informazioni (CISO)
Il responsabile della sicurezza delle informazioni è il dirigente senior responsabile della gestione complessiva e della supervisione del programma di sicurezza delle informazioni all'interno di un'organizzazione.
Il responsabile della sicurezza delle informazioni guida la strategia e la visione di sicurezza dell'organizzazione ed è il responsabile ultimo della sicurezza dei sistemi e delle informazioni dell'azienda.
1.3.3.2 Responsabile della sicurezza (CSO)
Il CSO è un dirigente senior all'interno di un'organizzazione ed è generalmente responsabile di tutte le questioni relative alla sicurezza fisica e alla sicurezza del personale.
Molte organizzazioni hanno fuso le responsabilità del CSO nel ruolo del CISO
1.3.4. Quadro di controllo della sicurezza
1.3.4.1 Quadro di controllo della sicurezza
Sono misure di protezione tecniche, operative o amministrative utilizzate da un'organizzazione per prevenire, rilevare, ridurre o contrastare le minacce alla sicurezza.
1.3.4.2 Tipo di controllo di sicurezza:
Controlli tecnici: protezioni e contromisure basate sul sistema come firewall, I1DS/PS e prevenzione della perdita di dati (DLP) •
Controlli operativi: misure protettive e contromisure eseguite principalmente da esseri umani, come le guardie di sicurezza.
Controlli di gestione: includono politiche, procedure e altre contromisure per controllare i rischi per la sicurezza delle informazioni.
1.3.4.3 Quadro comune di controllo della sicurezza:
1.3.5. Siate prudenti e responsabili
1.3.5.1 Dovuta diligenza
Il principio di cautela si riferisce a un comportamento ragionevole e prudente per proteggere la sicurezza delle informazioni, compreso il mantenimento della riservatezza, dell'integrità e della disponibilità delle informazioni, e si applica a tutte le persone. Questo principio si applica a qualsiasi persona o organizzazione, indipendentemente dal suo livello di esperienza nella sicurezza delle informazioni.
1.3.5.2 Due Diligence
La due diligence si riferisce a una serie di misure adottate nella sicurezza delle informazioni per garantire che siano state implementate misure di sicurezza ragionevoli e funzionino in modo efficace. Questi includono lo sviluppo di un quadro di sicurezza formale, lo sviluppo di politiche di sicurezza, standard, linee di base, linee guida e procedure e altro ancora. A questo proposito, è responsabilità dell’alta direzione garantire che venga effettuata la due diligence.
1.4 Determinare la conformità e altri requisiti
1.4.1. Norme contrattuali, legali, industriali e requisiti normativi
CISSP definisce la conformità come conformità ai mandati, incluso l'insieme di attività che un'organizzazione conduce per comprendere e soddisfare tutte le leggi applicabili, i requisiti normativi, gli standard di settore e gli accordi contrattuali. I professionisti della sicurezza dovrebbero comprendere le diverse leggi nazionali, regionali e statali che si applicano alla loro attività.
1.4.1.1 "Legge sulla sicurezza informatica"
Approvata dal Congresso degli Stati Uniti nel 1987, è stata rimossa e sostituita dalla FISMA.
1.4.1.2 "FISMA"
Federal Information Security Management Act, tutte le agenzie governative federali e le organizzazioni non governative degli Stati Uniti che forniscono servizi di informazione a queste agenzie sono tenute a condurre valutazioni di sicurezza basate sul rischio in linea con il NIST Risk Management Framework (RMF)
1.4.1.3 "SOX"
La normativa relativa alla finanza delle società quotate
1.4.1.4 "PCI DSS"
Normative per il settore delle carte di pagamento
1.4.1.5 "SOC"
Sta per controllo organizzativo e di sistema ed è un framework di audit con tre tipi di audit e reporting SOC comunemente utilizzati, denominati SOC1, SOC2 e SOC3.
SOC1: Audit relativo al bilancio
SOC2: rapporti dettagliati di audit e conformità, generalmente non aperti al pubblico.
SOC3: una versione semplificata di SOC2, disponibile al pubblico.
1.4.2. Requisiti sulla privacy
I requisiti sulla privacy si riferiscono alla protezione della sicurezza e alla riservatezza delle informazioni personali durante l'elaborazione delle informazioni e alla limitazione dell'accesso alle informazioni personali all'ambito di utilizzo autorizzato della parte autorizzata. In sostanza, la privacy si riferisce alla protezione delle informazioni di identificazione personale per proteggere il diritto alla privacy di un individuo.
1.4.2.1PII
Informazioni di identificazione personale (PII), qualsiasi informazione che possa identificare un individuo, come nome, indirizzo, numero di telefono, numero di carta bancaria, patente di guida e numero di previdenza sociale (carta d'identità), ecc.
1.5. Comprendere le questioni legali e normative relative alla sicurezza delle informazioni nel suo insieme
1.5.1. Crimine informatico e violazione dei dati
1.5.1.1 Criminalità informatica
La criminalità informatica si riferisce ad attività criminali che coinvolgono direttamente i computer o Internet, che includono principalmente:
1. Reati contro le persone, come il furto di identità
2 Violazione della proprietà, come danneggiamento di computer e furto di proprietà intellettuale
3. Crimini contro il governo, come il furto di informazioni riservate
1.5.1.2 Perdita di dati
Le violazioni dei dati sono un tipo speciale di crimine informatico in cui i criminali informatici accedono o rubano le informazioni senza autorizzazione. Le organizzazioni colpite da una violazione dei dati potrebbero dover affrontare danni alla reputazione, episodi di furto di identità, multe o perdita di proprietà intellettuale a causa di furto. La crittografia è un modo semplice per proteggere la tua organizzazione dalle violazioni dei dati.
1.5.1.3 Leggi statunitensi pertinenti:
Computer Fraud and Abuse Act (CFAA): la prima legge penale americana contro la criminalità informatica, che rende molti tipi di hacking un crimine federale. Gli emendamenti della CFAA hanno incontrato resistenza.
Electronic Communications Privacy Act (ECPA): impedisce al governo degli Stati Uniti di intercettare comunicazioni e archiviare informazioni e il governo deve soddisfare severi requisiti per ottenere un mandato di perquisizione per le comunicazioni elettroniche.
Legge sul furto di identità e sulla presunzione di deterrenza: rende il furto del valore di una persona un crimine federale.
1.5.2. Requisiti di licenza e proprietà intellettuale (PI).
1.5.2.1 Licenza software
Il software è una forma importante di proprietà intellettuale. Le organizzazioni investono ingenti risorse finanziarie e umane nello sviluppo del software e quindi nella protezione del software attraverso accordi di licenza. Esistono quattro tipi comuni di accordi di licenza:
1Licenza contrattuale: utilizzare un contratto scritto tra il fornitore del software e il cliente che delinea le rispettive responsabilità
2 Efficaci all'apertura: diventano efficaci quando l'utilizzatore rompe il sigillo della confezione.
3. Fare clic su Contratto: i clienti devono solo fare clic sul pulsante "Accetto" quando acquistano il software o si registrano per i servizi.
4. Licenza del servizio cloud: contratto click-through per la migrazione al cloud
1.5.2.2 Diritti di proprietà intellettuale
Una responsabilità molto importante dei professionisti della sicurezza delle informazioni è proteggere la proprietà intellettuale appartenente alla propria organizzazione dall'uso o dalla divulgazione non autorizzata.
1.Diritto d'autore
Il copyright protegge le opere creative dall'appropriazione indebita. Queste opere possono includere categorie come libri, film, canzoni, poesie, creazioni artistiche e software per computer.
La protezione del copyright viene automaticamente data al creatore al momento della creazione, ma tieni presente che le creazioni che avvengono mentre sei dipendente appartengono al datore di lavoro. La protezione del diritto d'autore dura 70 anni dopo la morte dell'autore. Il copyright è rappresentato dal simbolo del diagramma C mostrato qui.
2.Marchi
I marchi vengono utilizzati per proteggere le parole e i simboli che utilizzi per identificare i tuoi prodotti e servizi. Le informazioni protette da un marchio comprendono nomi di marchi, loghi e slogan. I marchi possono esistere a tempo indeterminato, ma la registrazione deve essere rinnovata ogni 10 anni. I marchi sono rappresentati dal simbolo ™M e, una volta ottenuto lo status di registrazione da parte del governo, possono essere rappresentati dal simbolo R cerchiato.
3.Brevetti
I brevetti proteggono le invenzioni e forniscono all'inventore il diritto esclusivo di utilizzare la propria invenzione per un periodo di tempo. Una volta concessi, i diritti di brevetto durano generalmente 20 anni dalla data di deposito. Per ottenere un brevetto, gli inventori devono dimostrare che la loro idea soddisfa tre criteri:
Innanzitutto deve essere nuovo;
In secondo luogo, deve essere utile;
Infine, deve trattarsi di qualcosa che non sia ovvio;
4. Segreti commerciali
Con un segreto commerciale, il proprietario non racconta a nessuno dell'invenzione e mantiene segreti i dettagli. Finché l'organizzazione può proteggere il segreto, gode dei diritti esclusivi sull'invenzione. Lo svantaggio è che se altri scoprono come funziona l’invenzione, sono liberi di usarla. Limitare la conoscenza di coloro che all'interno dell'organizzazione conoscono segreti commerciali attraverso un accordo di non divulgazione (NDA).
1.5.3 Controlli di importazione ed esportazione
Molti paesi hanno requisiti per i tipi di informazioni e beni che possono attraversare i confini internazionali. I professionisti della sicurezza delle informazioni devono comprendere i vari controlli di importazione ed esportazione che si applicano al loro settore e garantire che le loro attività siano conformi a tali normative.
1.5.3.1 Controlli di importazione/esportazione da parte degli Stati Uniti
Il Regolamento sul traffico di armi (TAR) è tutto ciò che riguarda gli articoli sulla difesa
Le norme sull'amministrazione delle esportazioni (EAR) coprono molte ampie categorie tecnologiche, tra cui elettronica e computer sensibili, laser, navigazione, tecnologia marina e altro ancora.
1.5.4 Flusso di dati transfrontaliero
I flussi di dati transfrontalieri mirano a eludere i requisiti nazionali che limitano l’ingresso o l’uscita di determinati dati da una specifica posizione geografica o giurisdizione. Ad esempio: la "Legge sulla sicurezza informatica" cinese prevede che i dati dei cittadini cinesi raccolti in Cina debbano essere conservati in Cina e non possano essere trasferiti all'estero senza il permesso del governo cinese.
1.5.5
I due elementi più comuni delle informazioni private sono le informazioni di identificazione personale, o Pll, e le informazioni sanitarie protette, o PHl.
1.5.5.1 Leggi rilevanti sulla privacy negli Stati Uniti
1. "Legge sulla Privacy"
Regola e governa principalmente la raccolta, la manutenzione, l'uso e la diffusione delle PII da parte delle agenzie governative statunitensi.
2. Legge sulla portabilità e responsabilità dell'assicurazione sanitaria (HIPAA)
Richiede a ospedali, medici, compagnie assicurative e altre organizzazioni che gestiscono o archiviano informazioni PHI di adottare rigorose misure di sicurezza.
3. Legge sulla protezione della privacy online dei bambini (COPPA)
Sono in vigore linee guida rigorose per le attività online per proteggere la privacy dei bambini di età inferiore a 13 anni.
4. Legge sulla modernizzazione dei servizi finanziari (GLBA)
Proporre requisiti normativi affinché gli istituti finanziari possano scambiare informazioni sui clienti. Richiede alle agenzie di implementare controlli di sicurezza adeguati per proteggere i dati personali dei propri clienti.
5. Legge sull'informatica sanitaria per la salute economica e clinica (HITECH).
Il disegno di legge espande le tutele della privacy dell’HIPAA e impone sanzioni più severe. Sono state inoltre introdotte norme sulla notifica delle violazioni, che richiedono la divulgazione alle parti interessate entro 60 giorni dalla violazione.
1.5.5.2 Leggi pertinenti sulla privacy dell'UE
1.《Direttiva sulla protezione dei dati (DPD)》
Regola il trattamento dei dati personali dei cittadini europei. È la prima importante legge sulla privacy nell'Unione Europea ed è considerata la normativa base sulla privacy in tutta Europa. È stato sostituito dal successivo GDPR.
2. Regolamento generale sulla protezione dei dati (GDPR)
Stabilisce sette principi per il trattamento dei dati personali:
1) Legalità, correttezza e trasparenza: ottenere e trattare i dati personali in conformità con le leggi applicabili e informare pienamente gli utenti su come verranno utilizzati i loro dati.
2) Limitazione dello scopo: determinare lo scopo "specifico, chiaro e legittimo" per la raccolta dei dati e informarli di tale scopo
3) Minimizzazione dei dati: raccogliere ed elaborare la quantità minima di dati necessari per fornire i servizi concordati.
4) Esattezza: garantire che i dati personali rimangano "esatti e, ove necessario, aggiornati".
5) Limitazione della conservazione: I dati personali sono conservati solo per il tempo necessario a fornire i servizi concordati. Rispettare il "diritto all'oblio"
6) Integrità e riservatezza
7) Responsabilità: i titolari del trattamento dei dati (ovvero la parte che archivia e tratta i dati personali) devono essere in grado di dimostrare la conformità a tutti i requisiti.
Nota: se la tua organizzazione archivia o tratta dati personali di cittadini o residenti dell'UE, il GDPR si applica a te, indipendentemente dal fatto che la tua azienda abbia sede nell'UE. E richiede che i titolari del trattamento dei dati informino le parti interessate entro 72 ore dal momento in cui vengono a conoscenza di una violazione dei dati personali. Per la condivisione transfrontaliera delle informazioni è necessario utilizzare clausole contrattuali standard o norme aziendali vincolanti.
3. "Safe Harbor" e "Privacy Shield" sono accordi di protezione della privacy tra gli Stati Uniti e l'Unione Europea, ed entrambi sono scaduti.
1.6. Comprendere i requisiti del tipo di sondaggio
1.6.1. Tipo di regolazione
1.6.1.1 Indagine amministrativa (amministrativa)
Un'indagine all'interno di un'organizzazione per trovare la causa principale di un problema e risolverla in modo che l'azienda possa riprendere le normali operazioni.
1.6.1.2 Indagine penale (penale)
Un'indagine condotta da un'agenzia governativa che indaga sulle violazioni delle leggi penali.
Livello di prova più elevato: oltre ogni ragionevole dubbio.
1.6.1.3 Investigazione civile (civile)
Un'indagine condotta da un'agenzia governativa che indaga sulle violazioni delle leggi penali.
Il più alto standard di prova: oltre ogni ragionevole dubbio.
1.6.1.4 Normativa
Indagini da parte di agenzie governative su potenziali violazioni del diritto amministrativo o di regolatori indipendenti su violazioni degli standard di settore.
Le indagini normative possono essere di natura civile o penale.
1.7. Sviluppare, documentare e implementare politiche, standard, procedure e linee guida di sicurezza
1.7.1. Quadro delle politiche di sicurezza
17.1.1 Politiche di sicurezza (Politiche)
Una politica di sicurezza è un insieme di dichiarazioni che descrivono molto attentamente le aspettative di sicurezza a lungo termine di un'organizzazione e identificano i principi e le regole che governano la protezione dei sistemi informativi e dei dati nell'organizzazione.
•Il rispetto delle politiche è obbligatorio e le politiche sono generalmente approvate dal livello più alto dell'organizzazione.
Alcune politiche di sicurezza comuni: politica di utilizzo accettabile, politica di controllo degli accessi, politica di gestione delle modifiche, politica di accesso remoto, politica di ripristino di emergenza
1.7.1.2Norme di sicurezza (Standard)
Gli standard di sicurezza specificano i dettagli specifici dei controlli di sicurezza che un'organizzazione deve seguire, come i protocolli di crittografia approvati dall'organizzazione, dove vengono archiviati i dati, i parametri di configurazione e altri dettagli tecnici e operativi. Quando si tratta di standard di configurazione complessi, spesso si fa riferimento a standard di settore, come la Guida alla configurazione della sicurezza fornita dal Center for Internet Security.
Il rispetto delle norme di sicurezza è obbligatorio. La linea di base di sicurezza è correlata agli standard che stabiliscono un livello di sicurezza minimo per un sistema, una rete o un dispositivo. Se i requisiti di base non vengono soddisfatti, non può andare online.
1.7.1.3 Procedure di sicurezza (Procedure)
Le procedure di sicurezza sono istruzioni passo passo che i dipendenti possono seguire quando eseguono compiti di sicurezza specifici.
1.7.1.4 Linee guida per la sicurezza (linee guida)
Le guide sono i luoghi in cui i professionisti della sicurezza forniscono consigli ad altri membri dell'organizzazione, comprese le migliori pratiche per la sicurezza delle informazioni. Il rispetto delle linee guida di sicurezza è facoltativo.
1.8 Identificare, analizzare e dare priorità ai requisiti di continuità aziendale (BC).
1.8.1. Analisi dell'Impatto Aziendale (BIA)
L'analisi dell'impatto aziendale aiuta un'organizzazione a identificare le sue funzioni aziendali essenziali, utilizzando valutazioni del rischio quantitative o qualitative, e a comprendere l'impatto di un disastro su ciascuna funzione; l'analisi dell'impatto aziendale fornisce la base principale per il piano di continuità aziendale (BCP) e i suoi requisiti.
BlA aiuta un'organizzazione a determinare quali delle sue funzioni aziendali sono più resilienti e quali sono più vulnerabili.
1.8.1.1 Processo:
1. Inizia definendo il team di progetto, l'ambito e il budget del BC
2. Identificare le basi aziendali critiche (CBF) e altri elementi aziendali essenziali, tra cui
personale
Processo di business
Sistemi e applicazioni informativi
Altre attività
3. Condurre analisi del rischio sulle attività chiave:
Identificare eventuali vulnerabilità esistenti
•Potenziale di eventi avversi
livello di influenza
1.8.1.2 Metodi per determinare il grado di impatto
1. Il tempo di inattività massimo tollerabile (MTD) o il tempo di inattività massimo accettabile (MAO) rappresenta il periodo di tempo totale in cui le funzioni aziendali critiche non sono disponibili. L'MTD deve essere determinato dal proprietario del sistema, che ha la responsabilità ultima del corretto funzionamento del CBF dell'organizzazione.
2. Recovery Time Objective (RTO) è il periodo di tempo massimo che l'azienda critica deve riprendere dopo un'interruzione per evitare conseguenze aziendali inaccettabili. L'RTO deve essere inferiore o uguale a MTD.
3. Recovery Point Objective (RPO) è una misurazione della perdita di dati tollerabile, espressa in periodi di tempo.
1.8.2. Sviluppare e documentare l'ambito e il piano
1.8.2.1 Piano di continuità operativa (BCP)
Un piano di continuità aziendale è progettato per proteggere le funzioni aziendali critiche e i clienti di un'organizzazione e garantire che l'organizzazione possa continuare a operare in modo efficace entro livelli di servizio e periodi di tempo specificati per soddisfare i requisiti legali e normativi, nonché i set MTD, RTO e RPO da parte dell'organizzazione.
Fase BCP del piano di continuità aziendale
Ambito e piano del progetto
analisi organizzativa
Identificare i dipartimenti e le persone interessate al processo BCP
Dipartimento operativo responsabile della fornitura del core business ai clienti
Servizi di supporto chiave come IT, strutture e personale di manutenzione, altri team
Team di sicurezza aziendale responsabile della sicurezza fisica
Senior manager e persone importanti per le operazioni in corso dell'organizzazione
Questa analisi costituisce la base per la selezione del team BCP e, dopo la conferma da parte del team BCP, viene utilizzata per guidare le fasi successive dello sviluppo del BCP.
Scegli una squadra BCP
Gli esperti tecnici del dipartimento, il personale di sicurezza fisica e informatica con competenze BCP, i rappresentanti legali che hanno familiarità con le responsabilità legali, normative e contrattuali dell'azienda e i rappresentanti dell'alta dirigenza. Gli altri membri del team dipendono dalla struttura e dalla natura dell'organizzazione.
Requisiti di risorse
Requisiti legali e normativi
analisi dell’impatto aziendale
La BIA è la parte centrale del BCP ed è divisa in 5 fasi
Dare priorità
Elenco delle priorità delle funzionalità aziendali
Determinare MTD, tempo massimo di interruzione consentito
Determinare RTO, RTO<MTD
Obiettivo del punto di ripristino, RPO
Identificazione del rischio
Valutazione delle possibilità
Determinare l'ARO per ciascun rischio
Analisi d'impatto
Priorità delle risorse
piano di continuità
sviluppo della strategia
Preparazione e lavorazione
personale
Edificio/struttura
infrastruttura
Approvazione e attuazione del piano
approvazione del piano
Attuazione del piano
formazione e istruzione
Documentazione BCP
1.8.2.2 Ambito generale del BCP
Sebbene non esista uno standard BCP universale, la maggior parte dei piani in genere include quanto segue:
funzioni aziendali critiche
Minacce, vulnerabilità e rischi
Piano di backup e ripristino dei dati
Personale correlato all'FBCP
piano di comunicazione
Requisiti dei test BCP
1.8.2.3 Requisiti e tecniche per la protezione di persone, processi e tecnologia
1. Personale:
Garantire la sicurezza delle persone all'interno e all'esterno dell'organizzazione durante le emergenze è l'obiettivo primario di BCP. Fornire formazione e istruzione adeguate in modo che i dipendenti sappiano come agire in caso di emergenza.
2 •Processo:
Valutare le funzioni aziendali critiche e determinare le risorse necessarie in caso di disastro. Sviluppare piani di siti di backup per strutture e capacità di elaborazione dei dati critici per garantire la continuità delle operazioni.
3. Tecnologia:
Anticipare i guasti software e hardware e sviluppare controlli per ridurre i rischi. Implementare il backup dei dati e sistemi ridondanti, comprese infrastrutture quali energia, acqua, comunicazioni e connettività di rete.
1.9 Promuovere e applicare politiche e procedure in materia di sicurezza del personale
1.9.1 Selezione e reclutamento dei candidati
I dipendenti possono rappresentare l’anello più vulnerabile nella catena della sicurezza. È importante notare che non tutti i dipendenti metteranno al primo posto gli interessi dell’organizzazione. Gli attacchi interni spesso portano a violazioni della sicurezza altamente dannose. Pertanto, la sicurezza del personale dovrebbe essere una base importante di un piano di sicurezza informatica:
•I responsabili delle assunzioni dovrebbero collaborare con le Risorse umane per documentare in modo chiaro e accurato le responsabilità e le descrizioni del lavoro.
•Determinare la sensibilità o la classificazione dei ruoli per assegnare le autorizzazioni appropriate.
1.9.1.1 Controllo dei precedenti
Educazione di base
esperienza di lavoro
-cittadinanza
-Fedina penale
test antidroga
Grado
Storia creditizia e finanziaria
attività sui social media
Nota: le società straniere generalmente non prestano attenzione agli esami fisici (esami fisici ordinari)
1.9.2. Contratti e politiche di lavoro
1.9.2.1 Accordo di riservatezza e accordo competitivo
Gli accordi più comuni tra i dipendenti sono gli accordi di non divulgazione (NDA) e gli accordi di non concorrenza (NCA).
1• Accordo di non divulgazione (NDA)
è un accordo che limita la divulgazione di informazioni sensibili ottenute da un dipendente o appaltatore (o altra persona che potrebbe essere esposta a informazioni sensibili) nel corso del proprio impiego o del rapporto con un'organizzazione. Un accordo di non divulgazione è progettato per mantenere la riservatezza dei dati organizzativi (come segreti commerciali o informazioni sui clienti) ed è in genere un accordo a vita (anche dopo che il dipendente ha lasciato l'azienda).
2 • Patto di Non Concorrenza (NCA)
Si tratta di una concorrenza sleale che impedisce a un dipendente di competere direttamente con un'organizzazione mentre è impiegato e, nella maggior parte dei casi, per un certo periodo di tempo dopo aver lasciato l'azienda. Accordi concorrenti. Una non concorrenza è un accordo unidirezionale progettato per proteggere un'organizzazione da ex dipendenti o appaltatori
1.9.2.2 Requisiti organizzativi
Oltre alle NDA e alle NCA, ai dipendenti potrebbe essere richiesto di firmare altri requisiti dell'organizzazione, come una politica di utilizzo accettabile (AUP), un codice di condotta o una politica sul conflitto di interessi.
1.9.2.3 Onboarding: contratti e strategie di lavoro
Dopo essere entrato in azienda, devi prima firmare un contratto di lavoro. A seconda della posizione, potrebbe essere necessario firmare un accordo di non divulgazione (NDA) e un accordo di non concorrenza (NCA). I diritti di accesso al sistema vengono assegnati in base al dipendente posizione. Quindi, fornire formazione ai dipendenti, inclusa la cultura organizzativa, le strategie, i processi, le competenze, ecc.
1.9.2.4 Supervisione dei dipendenti
I manager dovrebbero rivedere o valutare periodicamente la descrizione del lavoro, i compiti, le autorità e le responsabilità di ciascun dipendente per tutta la posizione di un dipendente per garantire che continuino a soddisfare i requisiti della posizione.
•Sviluppo dei privilegi (deriva dei privilegi): man mano che il contenuto lavorativo dei dipendenti aumenta, questi possono ottenere autorizzazioni che superano i requisiti della posizione.
•Ferie obbligatorie: richiedere ai dipendenti di assentarsi dal lavoro per 1-2 settimane e di essere sostituiti da altri dipendenti per individuare abusi, frodi o negligenze.
•Collusione: ridurre la probabilità che i dipendenti siano disposti a collaborare a uno schema illegale o abusivo attraverso misure quali la separazione dei compiti, il congedo forzato, la rotazione del lavoro e la formazione incrociata a causa del rischio maggiore di essere scoperti.
•Analisi del comportamento degli utenti e delle entità (UEBA): analisi di utenti ed entità per aiutare a ottimizzare i piani di gestione delle persone.
1.9.2.5 Dimissioni, trasferimento di lavoro e processo di licenziamento
Quando i dipendenti si dimettono, dovrebbero prestare attenzione ai seguenti punti:
•Disabilitare, ma non eliminare, l'account utente di un dipendente contemporaneamente o prima che il dipendente riceva la notifica di licenziamento a fini di controllo.
•Enfasi sulle responsabilità NDA e NCA durante i colloqui di uscita.
. Garantire che i dipendenti restituiscano i beni aziendali, inclusi ma non limitati a chiavi, carte di accesso, telefoni cellulari, computer, ecc.
•Incaricare il personale di sicurezza di accompagnare i dipendenti nelle aree di lavoro per riciclare gli effetti personali.
• Avvisare tutto il personale interessato della partenza del dipendente.
1.9.2.6 Accordi e controlli con fornitori, consulenti e appaltatori
Accordi e controlli con fornitori, consulenti e appaltatori Il rischio multiparte esiste quando più entità o organizzazioni sono coinvolte in un progetto. L'accordo sul livello di servizio (SLA) garantisce che i prodotti o i livelli di servizio del fornitore soddisfino le aspettative. In caso contrario, sarà previsto un compenso per garantire la qualità del servizio. Fornitori, consulenti e appaltatori vengono talvolta definiti outsourcing. Le organizzazioni possono anche migliorare l'efficienza della gestione dell'outsourcing attraverso un sistema di gestione dei fornitori (VMS).
1.9.2.7 Requisiti della politica di conformità
La gestione della sicurezza del personale deve soddisfare i requisiti legali e normativi, come PCI DSS.
1.9.2.8 Requisiti della politica sulla privacy
La gestione della sicurezza del personale deve anche soddisfare i requisiti delle politiche sulla privacy, come il GDPR.
1.9.3. Personale, trasferimenti di lavoro e procedure di dimissioni
Reclutamento, trasferimento e separazione sono le tre fasi dell'occupazione e ciascuna fase ha le proprie considerazioni sulla sicurezza.
1.9.3.1 Formazione iniziale
Ricordare ai dipendenti il loro obbligo di proteggere le informazioni e proteggersi dalle minacce e di essere consapevoli che le loro azioni potrebbero essere esaminate attentamente.
1.9.3.2 Trasferimento di lavoro
Rimuovere i diritti di accesso che non sono più necessari in caso di riassegnazione e seguire il principio del privilegio minimo.
1.9.3.3 Dimissioni
Le dimissioni si dividono in volontarie e involontarie. Quando un dipendente se ne va in buoni rapporti, è sufficiente sottoporsi alle procedure di separazione dell'organizzazione.
Se la separazione è involontaria, dovrebbero essere intraprese azioni appropriate per proteggere i beni dell'organizzazione
• Colloquio di uscita, promemoria della NDA firmata e altri accordi pertinenti
•Chiudere l'accesso al sistema informando i dipendenti del licenziamento e conducendo controlli sulla lista di controllo della separazione
•Informare i dipendenti rimanenti che il dipendente licenziato non sarà più ammesso all'interno dell'organizzazione
La checklist di separazione prevede: revoca dei diritti di accesso, recupero di chiavi, badge, attrezzature e documenti.
1.9.4. Accordi e controlli con fornitori, consulenti e appaltatori
Le organizzazioni spesso esternalizzano funzioni come l'hosting di data center e lo sviluppo di applicazioni. La firma di NDA e altri accordi con queste organizzazioni di outsourcing o partner può aumentare il loro carico di conformità e cercare di evitare che terze parti causino la fuga di informazioni sensibili. Ecco alcuni suggerimenti sulle misure di sicurezza:
-Implementare il controllo degli accessi
Revisione orale dello scambio di documenti
Gestire e monitorare gli hook di manutenzione (backdoor)
Condurre una valutazione in loco
Rivedere processi e politiche
Sviluppare un accordo sul livello di servizio
19.5.2 Formazione politica e punizione
•Formazione dei dipendenti: fornire formazione iniziale e periodica ai dipendenti e ad altro personale interessato per garantire la conformità alle politiche.
•Consapevolezza della sicurezza: migliorare l'attenzione e la comprensione della sicurezza delle informazioni.
•Formazione relativa al lavoro: fornire formazione specifica in base alle esigenze lavorative dei dipendenti.
•Rendere chiare le conseguenze della politica: indicare nella politica le potenziali conseguenze della non conformità, come azioni disciplinari, sospensione o licenziamento.
1.9.5 Rispettare i requisiti politici
1.9.5.1 Requisiti di politica organizzativa
•Conformità alle leggi e ai regolamenti: garantisce che le politiche organizzative siano conformi alle leggi, ai regolamenti e agli altri obblighi legali applicabili.
• Coerenza della politica: i requisiti, i controlli e le procedure dell'organizzazione devono essere coerenti con la politica.
1.9.6 Requisiti della politica sulla privacy
Le organizzazioni devono attenersi alle responsabilità legali ed etiche per proteggere la privacy dei propri dipendenti quando gestiscono informazioni sensibili. Queste informazioni possono includere controlli dei precedenti, numeri di previdenza sociale (numeri ID), informazioni sullo stipendio e informazioni sanitarie. Per garantire l'informazione
Per motivi di sicurezza, le organizzazioni dovrebbero includere i seguenti principi nella loro politica sulla privacy:
•Principio di minimizzazione: raccogliere solo le informazioni necessarie per completare il legittimo processo di assunzione.
•Accesso limitato: fornisce l'accesso solo a coloro che hanno bisogno di conoscere tali informazioni.
•Utilizzare la crittografia: utilizzare il più possibile la tecnologia di crittografia per impedire che le informazioni vengano lette attraverso canali anomali.
1.10 Comprendere e applicare i concetti di gestione del rischio
1. 10.1 Identificare minacce e vulnerabilità
Il rischio è la probabilità che una potenziale minaccia sfrutti una vulnerabilità per avere un impatto negativo su un'organizzazione, obiettivi o risorse, comprese persone, sistemi e dati.
1.10.1.1 Classificazione dei rischi
•I rischi intrinseci sono quelli che esistono prima dell'implementazione di qualsiasi misura di controllo
•Il rischio residuo è il livello di rischio che rimane dopo l'introduzione dei controlli
1.10.1.2 Minaccia:
Una persona o entità che potrebbe violare intenzionalmente o involontariamente la sicurezza di una risorsa, come un hacker, un dipendente scontento o un disastro naturale.
1.10.1.3 Vulnerabilità
Debolezze o vulnerabilità nel sistema possono creare rischi se sfruttate dagli autori delle minacce.
1.10.1.4 Risorse
Una risorsa è qualsiasi cosa di valore, che può includere persone, proprietà e informazioni.
1.10.2.Valutazione e analisi dei rischi
1.10.2.1 Definizione di valutazione del rischio
Il rischio è l’intersezione tra minacce, vulnerabilità e risorse. La valutazione del rischio è una serie di attività che includono l’identificazione di potenziali minacce e vulnerabilità e la determinazione dell’impatto e della probabilità che tali minacce sfruttino le vulnerabilità identificate.
1.10.2.2 Passaggi per valutare il rischio:
1. Identificazione del rischio: identificare le risorse e il loro valore per l'organizzazione
2. Analisi del rischio: determinare la probabilità che una minaccia sfrutti una vulnerabilità
3. Valutazione del rischio: determinare l'impatto aziendale di queste potenziali minacce
4. Trattamento del rischio: fornire un equilibrio economico tra l'impatto della minaccia e il costo delle contromisure
1.10.2.3 Identificazione del rischio
Inizia identificando le risorse dell'organizzazione e determinando il valore di tali risorse, quindi identificando e descrivendo le vulnerabilità e le minacce che pongono rischi alle risorse.
1.10.2.4 Analisi dei rischi
L’analisi del rischio inizia con la valutazione della vulnerabilità e l’analisi delle minacce, calcolando la probabilità che si verifichino i rischi e classificandoli in base al loro impatto.
1.10.2.4.1 Analisi qualitativa del rischio
In molti casi, il valore non può essere quantificato, come la reputazione dell'organizzazione e il valore dei dati, quindi posso decidere solo in base al mio cervello. Contenuti come il valore dell'asset e il livello di rischio sono identificati da livelli, come alto, medio, basso, 0-10, sistema dei cento punti, ecc.
Le tecniche di analisi qualitativa del rischio includono: brainstorming, storyboard, focus group, sondaggi, questionari, interviste, scenari e tecniche Delphi
1.10.2.4.2 Analisi quantitativa del rischio
I principali processi di analisi quantitativa del rischio:
•Attività di inventario, assegnazione di valore (AV)
•Abbina le risorse alle minacce
•Calcola il fattore di esposizione (EF) per ciascuna coppia risorsa-minaccia, ovvero la percentuale di perdita che una risorsa subirebbe se una minaccia specifica la violasse
• Calcolare la singola aspettativa di perdita (SLE) per ciascuna coppia di minacce per gli asset, ovvero la quantità di denaro persa da una minaccia specifica una volta distrutta l'asset (SLE=AV*EF)
•Calcola il tasso di occorrenza annualizzato (ARO) per ciascuna minaccia. Cioè la probabilità che una minaccia specifica si verifichi per un asset entro un anno
• Calcolare l'aspettativa di perdita annualizzata (ALE) per ciascuna coppia asset-minaccia, ovvero il danno subito dall'asset entro un anno da una minaccia specifica
Denaro perso (ALE=SLE*ARO)
•Sviluppare possibili contromisure per ciascuna coppia di minacce alle risorse e calcolare le variazioni del costo di protezione annualizzato (ACS), ARO, EF e ALE
•Condurre una valutazione costi/benefici di ciascuna contromisura. Selezionare la risposta più appropriata per ciascuna minaccia, ovvero ALE_per-ALE_post-ACS, con il risultato che le misure di protezione regolari hanno valore e il risultato che le misure di protezione responsabili non hanno valore.
1.10.3. Risposta al rischio
Esistono quattro categorie principali di trattamento del rischio:
1.10.3.1 Evitare il rischio (Evitare)
Eliminare i rischi identificati arrestando o rimuovendo le attività o le tecnologie che contribuiscono ai rischi.
1.10.3.2 Mitigazione del rischio (Mitigazione)
Ridurre il danno che i rischi possono causare implementando misure politiche e tecniche.
1.10.3.3 Trasferimento del rischio (Trasferimento)
Chiamata anche assegnazione del rischio (Risk Assignmen0), la responsabilità e le potenziali perdite legate ai rischi vengono trasferite a terzi.
Modo comune: acquistare un'assicurazione.
1.10.3.4 Accettazione del rischio (Accetta)
Accettare un rischio diventa un’opzione quando il costo per evitare, mitigare o trasferire il rischio supera le perdite attese derivanti dalla minaccia realizzata.
1.10.4 Selezione e attuazione delle contromisure
1.10.4.1 Considerazioni sulle contromisure:
•Relativi al personale:
Assunzioni (o licenziamenti), ristrutturazioni organizzative e formazione sulla consapevolezza sono alcune risposte comuni legate alle persone. Controlli dei precedenti, pratiche di impiego, sensibilizzazione e formazione sulla sicurezza, ecc.
•Relativi alla gestione
Politiche, procedure e altre misure di mitigazione “basate sul flusso di lavoro” generalmente rientrano in questa categoria. Quantità, procedure, classificazione ed etichettatura dei dati, reporting e revisione, supervisione del lavoro.
•Relativo alla tecnologia:
Crittografia, modifiche alla configurazione e altre modifiche hardware o software, ecc. Metodi di autenticazione, crittografia, interfacce riservate, elenchi di controllo degli accessi, protocolli, firewall, router, sistemi di rilevamento delle intrusioni e livelli di potatura.
•Relativi alla fisica:
Guardie, barriere nazionali, rilevatori di movimento, porte chiuse, finestre sigillate, illuminazione, protezione cavi, serrature per laptop, badge, carte magnetiche, cani, telecamere, lobby di controllo accessi e allarmi.
1.10.42 Efficacia delle contromisure
Esaminare le percezioni dal punto di vista della prevenzione, rilevamento e correzione per garantire l’efficacia delle contromisure al rischio. Ad esempio, se la crittografia non è in grado di risolvere un rischio specifico, prova un altro approccio, ad esempio considerando il backup.
1.10.4.3 Rapporto costo-efficacia delle contromisure
Assicurarsi che il costo delle misure di sicurezza sia commisurato al valore dei beni da proteggere.
1.10.4.4 Impatto aziendale
Considerare se l’implementazione e l’uso delle contromisure sono troppo difficili per evitare l’aumento dei rischi dovuti ad un uso scorretto.
1.10.5 Tipi di controllo applicabili
1.10.5.1 Tipo di controllo
•Prevenzione: previene il verificarsi di incidenti, come firewall, backup di sistema, IPS.
•Rilevamento: identifica l'attività degli eventi e potenziali intrusi, come 1DS.
•Correzione: riparazione di un componente o sistema dopo che si è verificato un incidente, come l'applicazione di patch.
•Minacce: dissuadere potenziali aggressori, come recinzioni, cani poliziotto.
•Ripristino: ripristino dell'ambiente al normale stato operativo, come backup di dati e sistema, siti di ripristino di emergenza.
•Compensazione: fornire misure di controllo alternative.
1.10.6. Valutazione dei controlli (sicurezza e privacy)
Le organizzazioni dovrebbero condurre valutazioni periodiche del controllo di sicurezza (SCA) per garantire che i controlli di sicurezza e privacy rimangano efficaci.
La SCA può avvalersi di un'autovalutazione o di una valutazione esterna da parte di terzi.
1.10.6.1 Metodo di valutazione SCA
•Ispezione: il valutatore richiede solitamente all'organizzazione di fornire un elenco di politiche di sicurezza, file di configurazione, ecc. per revisione, revisione, osservazione, ricerca o analisi e di formare un parere preliminare.
•Interviste: i valutatori incontrano le principali parti interessate per saperne di più sui controlli di sicurezza in atto e su come funzionano.
. Test: i test confermano che i controlli di sicurezza sono implementati come documentato, sono efficaci e funzionano come previsto.
1.10.7. Monitoraggio e misurazione
•I controlli di sicurezza dovrebbero essere continuamente monitorati e quantificati per misurarne l'efficacia e fornire suggerimenti per il miglioramento.
- Dovrebbe essere sviluppata una serie di indicatori chiave di prestazione (KPI) per quantificare e controllare le prestazioni a lungo termine.
1.10.8
Crea report formali per riportare risultati o indicatori chiave a dirigenti, regolatori e altre parti interessate descrivendo in dettaglio i risultati per ciascun controllo valutato. I rapporti possono includere quanto segue:
Audit interno (ad esempio autovalutazione)
•Audit esterni (ad esempio autorità di regolamentazione o altri audit di terze parti)
• Cambiamenti significativi nel profilo di rischio dell'organizzazione
•Modifiche importanti ai controlli di sicurezza o privacy
• Violazioni della sicurezza correlate o confermate (o altri incidenti)
1.10.9. Miglioramento continuo
Man mano che le minacce e le vulnerabilità cambiano, il programma di sicurezza dovrebbe mantenere un miglioramento continuo, rafforzare i controlli e migliorare la posizione complessiva di sicurezza delle informazioni dell'organizzazione. La gestione del rischio aziendale (ERM) può essere valutata utilizzando il modello di maturità del rischio (RMM) per valutare un processo di gestione del rischio maturo, sostenibile e ripetibile.
1.10.9.1 Modello di Maturità del Rischio (RMM)
Solitamente contiene cinque livelli:
. Ad hoc: utilizzo di pratiche ad hoc con scarso controllo.
•Preliminare: tentativo di seguire il processo di gestione del rischio, ma ciascun dipartimento può condurre valutazioni del rischio in modo indipendente.
•Definito: adottare un quadro di rischio comune o standardizzato in tutta l'organizzazione.
•Integrato: le operazioni di gestione del rischio sono integrate nei processi aziendali, utilizzando metriche per raccogliere dati sull'efficacia e trattando il rischio come un elemento delle decisioni aziendali strategiche.
•Ottimizzato: concentrarsi sulla gestione del rischio per raggiungere gli obiettivi, non solo per rispondere alle minacce esterne. Aumentare la pianificazione strategica per raggiungere il successo aziendale, non solo per evitare incidenti: incorporare le lezioni apprese nel processo di gestione del rischio.
1.10.10.Quadro dei rischi
1.10.10.1 Quadro di gestione del rischio NIST
Le sei fasi del Risk Management Framework (RMF) nel NIST800-37Rev.2:
•Classificare:
Classificare tutti i sistemi informativi in base al loro potenziale impatto sull'organizzazione in termini di riservatezza, integrità e disponibilità.
Selezionare:
Selezionare un insieme di controlli di base in base alla classificazione e all'impatto.
•Strumento
Implementare i controlli selezionati.
•Valutare:
Valutare se i controlli sono implementati correttamente, funzionano come pianificato e producono i risultati attesi in termini di sicurezza.
•Autorizzare:
Dopo la valutazione, la leadership dell'organizzazione decide se autorizzare l'uso del sistema, sulla base della capacità dei controlli di gestire il sistema entro la tolleranza al rischio e l'accettazione del rischio residuo.
•Tenere sotto controllo:
Monitorare continuamente l'efficacia dei controlli per garantire che il sistema operi entro la tolleranza al rischio dell'organizzazione. Se vengono scoperti problemi importanti, il ciclo può ricominciare dal primo passaggio.
1.11. Comprendere e applicare concetti e metodologie di modellazione delle minacce
1.11.1. Modellazione delle minacce
1.11.1.1 Metodi di modellazione delle minacce
Quanto prima viene eseguita la modellazione delle minacce, tanto più conveniente risulta essere. Generalmente dai seguenti tre aspetti
•Concentrato sull'attaccante
Determinare le caratteristiche, le competenze e le motivazioni del potenziale aggressore e identificare gli aggressori che potrebbero effettuare attacchi specifici. Sviluppare una strategia di difesa.
•Focalizzata sulle risorse:
Identificare le risorse di valore per l'organizzazione e i potenziali aggressori e valutare in che modo gli aggressori potrebbero compromettere le risorse.
•Incentrato sul software:
Utilizzare diagrammi architettonici (come diagrammi di flusso di dati o diagrammi di composizione) per rappresentare il sistema, valutare potenziali attacchi contro ciascun componente e determinare la necessità, la presenza e l'efficacia dei controlli di sicurezza.
1.11.1.2 Quadro di modellazione delle minacce
1.
STRIDE (Microsoft)
2.
PASTA (Processo per la simulazione di attacchi e l'analisi delle minacce)
3.
NIST 800-154 (Linee guida per la modellazione delle minacce dei sistemi incentrati sui dati)
4. DREAD (deprecato, classificazione quantitativa del rischio delle vulnerabilità derivanti da danni, replicabilità, sfruttabilità, utenti interessati, rilevabilità)
5. Altri metodi di modellazione delle minacce
•OCTAVE: Si concentra sul rischio operativo, sui controlli di sicurezza e sulla tecnologia di sicurezza nelle organizzazioni.
•Trike: è un metodo e uno strumento di modellazione delle minacce open source che si concentra sull'utilizzo dei modelli delle minacce come strumenti di gestione del rischio.
•CORAS: anch'esso open source, si basa principalmente su Unified Modeling Language (UML) per visualizzare le minacce sul front-end
•VAST: Visual, Agile e Simple Threat Modeling, un approccio che sfrutta concetti agili
1.11.1.3 Spiegazione dettagliata di STRIDE
• Spoofing dell'identità
Un utente malintenzionato ottiene l'accesso non autorizzato spacciandosi per l'identità di qualcun altro per ottenere l'accesso a un'applicazione o a un sistema
• Manomissione dei dati (manomissione dei dati)
Un utente malintenzionato tenta di alterare o corrompere i dati in un'applicazione o in un sistema per provocare risultati imprevisti o dannosi
•Ripudio
L'aggressore nega determinate operazioni o transazioni eseguite nel sistema per evitare responsabilità o causare controversie.
•Rivelazione di un 'informazione
Gli aggressori possono rubare o accedere a informazioni riservate dal sistema, comprese password utente, informazioni sulla carta di credito, segreti aziendali e altro ancora.
•Negazione del servizio
Gli aggressori tentano di impedire o rallentare il normale accesso degli utenti a un sistema rendendolo non disponibile o bloccandolo.
•Elevazione dei privilegi
Un utente malintenzionato può elevarsi da utente normale ad amministratore o altro utente privilegiato sfruttando un'applicazione o una vulnerabilità del sistema.
1.11.1.4 PASTA spiegazione dettagliata
PASTA è un approccio basato sul rischio alla modellazione delle minacce che combina obiettivi aziendali con requisiti tecnici, rendendo il risultato più comprensibile al senior management. A differenza di STRIDE, l’approccio PASTA è strettamente un framework di identificazione delle minacce che fornisce un potente processo per identificare e mitigare le minacce.
Il processo PASTA si compone delle seguenti sette fasi:
1. Stabilisci obiettivi
Gli obiettivi e le esigenze aziendali vengono identificati per comprendere meglio la tolleranza al rischio complessiva dell'organizzazione e i processi e le risorse aziendali critici che potrebbero essere a rischio.
2. Determinare l'ambito tecnico
L'ambito della tecnologia e l'architettura dell'applicazione vengono definiti al fine di comprendere i sistemi e i componenti che potrebbero essere vulnerabili agli attacchi
3. Scomposizione dell'applicazione
Le applicazioni sono suddivise in componenti più piccoli per comprendere meglio la funzionalità di ciascun componente, il flusso di dati e
4. Analisi delle minacce
e le relazioni con gli altri componenti. Ciò aiuta a identificare possibili percorsi di attacco e potenziali minacce. Analizza le minacce che potrebbero avere un impatto sulla tua organizzazione, comprese le minacce interne ed esterne. Ciò può includere l’identificazione di potenziali aggressori, le loro motivazioni e capacità e i possibili mezzi di attacco.
5. Analisi delle vulnerabilità
Condurre un'analisi delle vulnerabilità del sistema per identificare potenziali punti deboli e vulnerabilità della sicurezza. Ciò può includere revisioni del codice, test di penetrazione e altri metodi di valutazione della sicurezza per individuare e risolvere problemi di sicurezza.
6. Enumerazione degli attacchi
Secondo l’analisi precedente, Lieyang potrebbe attaccare il sistema. Ciò aiuta a comprendere meglio i vettori di attacco e i percorsi che gli aggressori potrebbero sfruttare.
7. Analisi dei rischi e degli impatti
Valutare il rischio e l'impatto di ogni potenziale minaccia per stabilire le priorità e sviluppare misure di mitigazione e politiche di sicurezza adeguate. Ciò può aiutare le organizzazioni ad allocare in modo efficace le risorse e concentrarsi su aree di interesse, mitigando al tempo stesso i rischi
1.12 Applicazione dei concetti di gestione del rischio della catena di fornitura (SCRM).
1.12.1. Rischi legati ad hardware, software e servizi
I fornitori svolgono un ruolo fondamentale nelle operazioni informatiche di un'organizzazione. Sono indispensabili ai servizi di fabbrica dei clienti fornendo servizi hardware, software o di cloud computing. I professionisti della sicurezza devono prestare molta attenzione alle partnership commerciali con i fornitori per proteggere la riservatezza, l'integrità e la disponibilità delle informazioni e dei sistemi dell'organizzazione. Questo processo, noto come due diligence del fornitore, è progettato per aggirare i problemi relativi all'approvvigionamento di hardware. software e rischi relativi ai servizi.
1.12.1.1 Possibili rischi dell'hardware:
Immagine di parti difettose o non conformi agli standard
Parti contraffatte o contraffatte
Immagine di un componente elettronico contenente malware a livello di firmware
1.12.1.2 Possibili rischi del software:
È stato impiantato il cavallo di Troia
Sono presenti vulnerabilità nella libreria dei componenti utilizzata
1.12.1.3 Possibili rischi nel servizio:
perdita di dati
1.12.2 Valutazione e monitoraggio da parte di terzi
Le attività di governance e supervisione dovrebbero includere indagini sulla sicurezza in loco, controlli formali di sicurezza di sistemi di terze parti e test di penetrazione, ove possibile. Per i nuovi partner di terze parti, è fondamentale valutarli rispetto ai requisiti di sicurezza dell'organizzazione e le lacune devono essere documentate e monitorate attentamente.
1.12.3. Requisiti minimi di sicurezza
Analogamente alle linee di base, le organizzazioni dovrebbero stabilire i requisiti minimi di sicurezza (MSRS) per determinare gli standard minimi di sicurezza accettabili che i fornitori e gli altri partecipanti alla catena di fornitura devono soddisfare.
MSRS coprirà tutti i requisiti legali, contrattuali o normativi applicabili. Allo stesso tempo, è fondamentale verificare e valutare le prestazioni delle terze parti nel rispetto degli MSRS stabiliti e comunicati.
1.12.4 Requisiti del livello di servizio
Un Service Level Agreement (SLA) è un accordo contrattuale che stabilisce che un fornitore di servizi garantisce un determinato livello di servizio, come ad esempio:
Metriche delle prestazioni, disponibilità del servizio, tempi di risposta e altri criteri di qualità rilevanti. Se i servizi non vengono forniti ai livelli concordati, ci saranno conseguenze per il fornitore di servizi (solitamente finanziarie)
1.12.5
1.12.5.1 Quadro per affrontare i rischi della catena di fornitura:
1.NIST IR 7622
Questo documento delinea 10 pratiche chiave che dovrebbero essere prese in considerazione quando si affrontano i rischi della catena di fornitura.
2.ISO 28000
15028000.2007 si basa fortemente sul modello di miglioramento dei processi Plan-Do-Check-Act (PDCA) per ottimizzare i sistemi di gestione della sicurezza e garantire la conformità organizzativa con le pratiche di sicurezza.
3. Orientamenti del Centro nazionale per la sicurezza informatica (NCSC) del Regno Unito
Diviso in 4 fasi (di cui 12 principi)
•valutare il rischio
•Stabilire controlli
•Verificare le disposizioni esistenti
•continuare a migliorare
1.13. Stabilire e mantenere un programma di sensibilizzazione, istruzione e formazione sulla sicurezza
1.13.1 Proporre metodi e tecniche di sensibilizzazione e formazione
Un programma di sensibilizzazione alla sicurezza è un programma formale progettato per educare gli utenti a identificare e rispondere a potenziali minacce alle informazioni e ai sistemi di un'organizzazione, in genere comprendendo formazione per nuovi dipendenti, conferenze, formazione assistita da computer e materiali stampati e attraverso simulazioni di ingegneria sociale, sicurezza sostenitori e ludicizzazione per aumentare l’attenzione sui problemi critici di sicurezza.
1.13.1.1 Ingegneria sociale
L'ingegneria sociale è una tattica di manipolazione in cui un utente malintenzionato finge di essere qualcun altro nel tentativo di ottenere informazioni sensibili.
Il phishing è la forma più comune di ingegneria sociale e una delle principali fonti di rischi per la sicurezza.
1.13.1.2 Guardia di sicurezza
I campioni della sicurezza sono sostenitori delle migliori pratiche di sicurezza e si tratta di dipendenti che non fanno della sicurezza il loro lavoro principale.
1.13.1.3 Ludicizzazione
La gamification è l’applicazione di elementi di gioco a situazioni non di gioco per coinvolgere ed educare un pubblico target.
1.13.2 Revisione regolare dei contenuti
La sicurezza delle informazioni è un campo in evoluzione, con minacce e vulnerabilità in costante cambiamento. Pertanto, per garantire che i contenuti siano pertinenti, è necessario rivedere e aggiornare regolarmente il contenuto dei programmi di sensibilizzazione, istruzione e formazione sulla sicurezza. Si consiglia di rivederlo e aggiornarlo almeno una volta all'anno per evitare tecnologie e terminologie obsolete o irrilevanti.
1.13.3 Valutazione dell'efficacia del programma
1.13.3.1 Indicatori formativi
Come il tasso di completamento della formazione, il numero di partecipanti e altri indicatori sintetici.
1.13.3.2 Quiz
I quiz sono un modo efficace per valutare l'efficacia della formazione.
1.13.3.3 Giornata di sensibilizzazione sulla sicurezza
Le giornate di sensibilizzazione sulla sicurezza sono progettate per aumentare la consapevolezza sulla sicurezza raccogliendo opinioni e suggerimenti dei dipendenti sui programmi di sicurezza attraverso questionari anonimi.
1.13.3.4 Valutazione Interna
I metodi di valutazione includono la raccolta degli aumenti o delle diminuzioni del numero di incidenti di sicurezza o di sospetti incidenti di phishing segnalati a seguito della formazione.
Esercizi chiave
Sei responsabile del programma di sensibilizzazione sulla sicurezza della tua organizzazione A causa del timore che i cambiamenti tecnologici possano rendere i contenuti obsoleti, quali controlli possono essere messi in atto per prevenire questo rischio: Una ludicizzazione B Formazione basata sul computer Revisione dei contenuti C D Implementare la formazione
Risposta corretta: C Libro di testo Volume 1 P76 Valutazione dell'efficacia
Froneme- è un esperto di sicurezza per un fornitore di servizi online americano. Recentemente ha ricevuto reclami da titolari di copyright che avevano archiviato informazioni sul suo servizio che violavano i diritti d'autore di terze parti. Quale legge impone l'azione che Francine deve intraprendere? A. Legge sul diritto d'autore B. Legge di Lamb C. Legge sul copyright del Millennio digitale D. Legge Gramm-Leach-Bulley
Risposta corretta: C P115 Copyright e Digital Millennium Copyright Act, è necessario ricordare il nome dettagliato di ciascuna legge
Solo una domanda al momento
FyAway Travel ha uffici nell'Unione Europea (UE) e negli Stati Uniti e trasferisce frequentemente informazioni personali tra questi uffici. Recentemente hanno ricevuto una richiesta da un cliente dell'UE di chiudere il proprio account. Quale requisito per il trattamento dei dati personali ai sensi del Regolamento generale sulla protezione dei dati (GDPR) prevede che un soggetto possa richiedere che i suoi dati non siano più diffusi o trattati? A. Diritti di accesso B. Privacy fin dalla progettazione C. Diritto all'oblio D. Diritto alla portabilità dei dati
Risposta corretta: C non ho trovato
Remee è nella sala del consiglio: spiega la loro responsabilità nella revisione dei controlli di sicurezza informatica, norma che ritiene i dirigenti senior personalmente responsabili per le questioni relative alla sicurezza delle informazioni A. Regole di dovuta diligenza B.Norme sulla responsabilità personale C. Il governo dell'uomo prudente D. Norme sul giusto processo
Risposta corretta: C non ho trovato La regola dell'uomo prudente attribuisce ai dirigenti senior la responsabilità di garantire che venga mantenuta un'attenzione adeguata nel loro lavoro quotidiano.
Zhang San ha recentemente assistito un collega nella preparazione per l'esame CISSP. Durante il processo, Zhang San ha fatto trapelare informazioni riservate sull'esame, violando l'Articolo 4 degli Standard etici: Promozione e protezione della professione Chi può presentare accuse di etica contro Zhang San? R Chiunque può sporgere denuncia. B Qualsiasi professionista in possesso di una certificazione o licenza può sporgere denuncia. C Solo il datore di lavoro di Zhang San può sporgere denuncia. D Solo il dipendente interessato può sporgere denuncia.
Risposta corretta: B non ho trovato
Yolanda è il responsabile della privacy di un istituto finanziario e sta effettuando ricerche sui requisiti pubblici e privati relativi ai conti correnti dei clienti. Quale delle seguenti leggi è più probabile che si applichi a questa situazione? Legge AGLBA B. Legge SOX Legge C.HIPAA Legge D.FERPA
Risposta corretta: A non ho trovato La regola dell'uomo prudente attribuisce ai dirigenti senior la responsabilità di garantire che venga mantenuta un'attenzione adeguata nel loro lavoro quotidiano.
Quali tecnologie hanno maggiori probabilità di essere esportate per attivare leggi e regolamenti sul controllo delle esportazioni? A. Chip di memoria B. Applicazioni di produzione per ufficio Disco rigido C Software di crittografia D
Risposta corretta: D P119
Dopo aver completato le attività di pianificazione della continuità aziendale e aver deciso di accettare uno dei rischi, è necessario eseguire la reportistica successiva Che cosa? A Implementare nuovi controlli di sicurezza per ridurre i livelli di rischio. B Progettare un piano di ripristino di emergenza. C. Rieseguire la valutazione dell'impatto aziendale. D Documentare il processo decisionale.
Risposta corretta: D
Quando si esegue una revisione dei controlli utilizzati dalle strutture di archiviazione multimediale della propria organizzazione, è necessario classificare correttamente ciascun controllo attualmente in atto. Quale delle seguenti categorie di controllo descrive accuratamente la recinzione attorno a una struttura? (Seleziona tutte le risposte pertinenti.) A. Controllo fisico B.Controllo del rilevamento C. Controllo della deterrenza D. Controllo preventivo
Risposta corretta: ACD
Quale dei seguenti principi impone agli individui uno standard di cura commisurato a quello che una persona ragionevole si aspetterebbe in particolari circostanze? A. Due diligence B. Separazione dei compiti C. La dovuta diligenza D. Privilegio minimo
Risposta corretta: C
Kelly ritiene che un dipendente abbia utilizzato risorse informatiche per un progetto parallelo senza autorizzazione. con la direzione Che cosa? Dopo le consultazioni, ha deciso di avviare un'indagine amministrativa. L'onere della prova che deve affrontare in questa indagine lo è A. Preponderanza delle prove B. Oltre ogni ragionevole dubbio C. Senza dubbio D. Non esiste uno standard
Risposta corretta: D Le indagini amministrative non sono diritto civile, penale o amministrativo, quindi non esistono standard
Keenan Systems ha recentemente sviluppato un nuovo processo di produzione dei microprocessori. L'azienda spera di concedere in licenza la tecnologia ad altre società, ma vuole impedirne l'uso non autorizzato. Quale tipo di protezione della proprietà intellettuale è più appropriata per questa situazione fiscale? A.Brevetto B. Segreti commerciali C. Diritto d'autore D. Marchio
Risposta corretta: A
Wike ha recentemente implementato un sistema di prevenzione delle intrusioni che ha avuto un impatto sulla prevenzione degli attacchi informatici comuni alla sua organizzazione. Che tipo di strategia di gestione del rischio sta perseguendo Mike? A. Accettazione del rischio B.Evitamento del rischio C. Mitigazione del rischio D. Trasferimento del rischio
C
Carl è un agente federale che indaga su un crimine informatico. Ha identificato un aggressore che teneva una condotta illegale e voleva intentare una causa contro l'individuo che avrebbe potuto portare a una pena detentiva. Quale standard di prova deve soddisfare Carl? R. Senza dubbio B. Preponderanza delle prove C. Oltre ogni ragionevole dubbio D. Preponderanza delle prove
C
Le seguenti organizzazioni che effettuano transazioni elettroniche non sono automaticamente soggette ai requisiti di privacy e sicurezza dell'HIPAA: Un operatore sanitario B Sviluppatore di app per salute e fitness C Centro di raccolta delle informazioni sanitarie Piano di assicurazione sanitaria D
B Richiede che ospedali, medici, compagnie assicurative e altre organizzazioni elaborino o archivino informazioni mediche private Nessuno sviluppatore di programmi
Acme Bridges sta sviluppando nuovi controlli per il suo reparto contabilità. La direzione era preoccupata che una società di contabilità disonesta potesse creare un falso fornitore ed emettere un assegno a favore di quel fornitore come pagamento per servizi non eseguiti. Quale controllo di sicurezza aiuterebbe meglio a evitare che ciò accada? A. Congedo obbligatorio B. Separazione dei compiti C. Difesa in profondità D. Rotazione del lavoro
UN P35
Quale delle seguenti persone è generalmente responsabile dell'esecuzione delle responsabilità operative di protezione dei dati delegate dal senior management, come la verifica dell'integrità dei dati, la fornitura di test e la gestione delle politiche di sicurezza? A. Custode dei dati B. Titolare dei dati C.Utente D. revisore dei conti
UN P157
Alan lavora per un'azienda di e-commerce e recentemente alcuni contenuti sono stati rubati da un altro sito Web e ripubblicati senza autorizzazione. Il tipo di protezione della proprietà intellettuale polyseed è il modo migliore per proteggere il reddito dell’azienda di Alen. A.Segreti commerciali B. Diritto d'autore C. Marchio D. Brevetto
B
Tom ha abilitato un firewall applicativo del suo fornitore di servizi di infrastruttura cloud, progettato per prevenire molti tipi di attacchi alle applicazioni. Dal punto di vista della gestione del rischio, quale parametro Tom sta cercando di ridurre con questa contromisura? A.Influenza B.RPO C.MTO D. Possibilità
D
Beth, una specialista delle risorse umane, si sta preparando ad assistere nel licenziamento di un dipendente. Ecco alcune cose che in genere non fanno parte del processo di licenziamento: Un'intervista d'uscita B Recupero immobiliare Chiusura del conto C D Firmare un NCA (accordo di non concorrenza)
D
Un impiegato contabile della Doolittle Industries è stato recentemente arrestato per il suo ruolo in un piano di appropriazione indebita. Il dipendente ha trasferito fondi di guerra sul suo conto personale e poi ha trasferito fondi tra altri conti ogni giorno per coprire la frode digitale per diversi mesi. Quale dei seguenti controlli potrebbe rilevare meglio questa frode in anticipo? Una separazione dei compiti B. Privilegio minimo C profondità difensiva D congedo obbligatorio
D
Chi in un'organizzazione dovrebbe ricevere la formazione iniziale sulla pianificazione della continuità aziendale? A. Dirigente senior B. Personale con specifici ruoli di continuità aziendale C. Tutti nell'organizzazione D. Personale di primo soccorso
C
James sta effettuando una valutazione dei rischi per la sua organizzazione e sta cercando di assegnare un valore patrimoniale ai server nel data center. La preoccupazione principale di un'organizzazione è garantire che siano disponibili fondi sufficienti per la ricostruzione nel caso in cui un data center venga danneggiato o distrutto. Quale dei seguenti metodi di valutazione degli asset sarebbe più appropriato in questa situazione? A. Costo di acquisto B. Costo di ammortamento C. Costo di sostituzione D.costo opportunità
C
L'organizzazione di Roger ha subito una violazione dei dati delle carte di credito dei clienti. Quale delle seguenti organizzazioni potrebbe scegliere di indagare sulla questione secondo i termini del PCIDSS? A. Federal Bureau of Investigation (FBI) B. Forze dell'ordine locali Banca C D PCI SSC
C
John ha invitato i dipendenti chiave di ciascuna unità aziendale a collaborare al suo programma di sensibilizzazione sulla sicurezza. Sono responsabili della condivisione delle informazioni sulla sicurezza con i loro colleghi e della risposta alle domande relative alla sicurezza informatica. Quale termine descrive meglio questa relazione? Un campione della sicurezza Esperto di sicurezza B C. Residuo del viaggio D. Revisione tra pari
UN
Silanco ha scoperto un keylogger nascosto sul laptop dell'amministratore delegato dell'azienda. Quale principio di sicurezza delle informazioni è più probabile che la tastiera sia progettata per indebolire? Una riservatezza B. Completezza C. Disponibilità D. Nega
UN
Alice sta aiutando la sua organizzazione a prepararsi a valutare e adottare una nuova gestione delle risorse umane basata su cloud (HRM)) Fornitore di sistema. Quali sono gli standard minimi di sicurezza che meglio si adattano alle esigenze dei possibili fornitori? A Rispettare tutte le leggi e i regolamenti B. Elaborare le informazioni allo stesso modo dell'organizzazione C. Eliminare tutti i rischi per la sicurezza identificati D. Rispettare la politica del fornitore
B
.HAL Systems ha recentemente deciso di interrompere la fornitura di servizi NTP pubblici a causa del timore che i suoi server NTP potessero essere utilizzati per amplificare attacchi DDOS su larga scala. Che tipo di approccio alla gestione del rischio ha adottato HAL per i suoi servizi NTP? A. Mitigazione del rischio B. Accettazione del rischio C. Trasferimento del rischio D.Evitamento del rischio
D L'evitamento del rischio, un metodo di risposta al rischio, si riferisce all'eliminazione dei rischi o delle condizioni per il verificarsi del rischio attraverso cambiamenti nei piani per proteggere gli obiettivi dall'impatto dei rischi. Evitare il rischio non significa eliminarlo completamente. Ciò che vogliamo evitare sono le perdite che i rischi potrebbero causarci. La mitigazione del rischio, il controllo delle perdite del rischio, consiste nel ridurre il grado di perdita riducendo la probabilità di perdita. Adottare misure per ridurre la probabilità che si verifichi il rischio, mitigare le conseguenze del verificarsi del rischio e ridurre la gravità del rischio a un livello accettabile
Quale dei seguenti componenti dovrebbe essere incluso nelle linee guida per la risposta alle emergenze di un'organizzazione? A. Elenco del personale di emergenza da avvisare B. Accordo di continuità aziendale a lungo termine C Avviare il processo di organizzazione del sito di standby a freddo D Informazioni di contatto per ordinare l'attrezzatura
UN Guida alla risposta alle emergenze: 1. Procedure corrispondenti 2. Elenco delle persone informate dell'incidente (dirigenti, membri del BCP) 3. Procedure di risposta secondaria per i primi soccorritori in attesa che la squadra del BCP si riunisca
Becka ha recentemente firmato un contratto con una struttura di elaborazione dati di backup per fornire spazio alla sua azienda in caso di disastro. La struttura comprende circuiti HVAC, elettrici e di comunicazione, ma nessuna attrezzatura con pezzi di ricambio. Che tipo di struttura utilizza Becka? Un sito in standby freddo B. Sito di standby caldo C sito hot standby D Sito di backup mobile
UN
L'azienda di Greg ha recentemente subito una grave violazione dei dati che ha coinvolto i dati personali di molti clienti. Quali norme in materia di violazione dovrebbero rivedere per garantire che vengano adottate misure adeguate? A Norme in materia di divulgazione nello stato in cui hanno sede. B. Norme in materia di trasparenza degli stati in cui operano. C. Solo norme federali sulla divulgazione. D. Le norme sulla violazione si applicano solo agli enti governativi, non alle imprese private.
B
Ben è alla ricerca di un quadro di obiettivi di controllo ampiamente accettato a livello globale e incentrato sui controlli di sicurezza delle informazioni. Quale dei seguenti framework è più adatto a soddisfare le sue esigenze? A.ITIL B.ISO 27002 CMM D PMBOK
B Confusione tra CMM e RMM
Il Codice Etico ISC2 si applica a tutto il personale certificato cissP. Quale dei seguenti non è un criterio Uno dei quattro codici obbligatori in ? A. Proteggere la società, l’interesse pubblico, la necessaria fiducia pubblica e le infrastrutture. B. Divulgazione di violazioni della privacy, della fiducia e dell'etica. C Fornire servizi diligenti e competenti al cliente. D. Promuovere e proteggere la professione.
B
Quale principio della sicurezza delle informazioni afferma che le organizzazioni dovrebbero implementare controlli di sicurezza sovrapposti quando possibile? A Il principio del privilegio minimo B Separazione dei compiti C. Difesa in profondità D. Sicurezza attraverso l'offuscamento
C
Ryan è un professionista della sicurezza informatica certificato CIssP che lavora in organizzazioni no-profit. Quale dei seguenti obblighi etici si applica al suo lavoro? (seleziona tutto ciò che si applica) Il Codice Etico di A.(SC)2 B. Codice Etico dell’Organizzazione C. Codice deontologico federale D. RFC 1087
AB
Ben è responsabile della protezione della sicurezza delle informazioni sulle carte di pagamento archiviate nel database. La politica gli imponeva di cancellare con la forza le informazioni dal database, ma per ragioni operative non è stato in grado di farlo. Ha ottenuto una deroga alla policy e sta cercando un adeguato controllo compensativo per mitigare il rischio. Qual è la sua migliore opzione? A. Acquistare un'assicurazione B. Crittografare il contenuto del database C. Eliminare i dati D. Opporsi alle eccezioni
B
Nel suo ruolo di sviluppatrice di servizi bancari online, Lisa ha dovuto inviare il suo codice per testarlo e rivederlo. Dopo aver seguito questo processo e aver ottenuto l'approvazione, un altro dipendente sposta il codice in produzione. Che tipo di gestione della sicurezza descrive questa abbreviazione? A. Test di regressione B. Revisione del codice C.Gestione del cambiamento D. Test fuzz
C
Quale dei seguenti elementi non è generalmente incluso nel processo di screening pre-assunzione? A. Test antidroga B. Controllo dei precedenti C. Censura dei social media D. Valutazione sanitaria
D P34 Sfida delle competenze, test antidroga, controllo del credito, controllo dei precedenti di guida e test/valutazione della personalità
Quali dei seguenti sono generalmente considerati rischi della catena di fornitura? (Seleziona tutte le risposte pertinenti.) A. Manomissione dell'hardware da parte di un avversario prima della consegna al cliente finale B. Un avversario compromette il server Web di un'organizzazione in esecuzione in un ambiente laas C Gli avversari hanno utilizzato attacchi di ingegneria sociale per prendere di mira i dipendenti del fornitore ompromisoa Saas per ottenere l'accesso agli account dei clienti D Gli avversari utilizzano le botnet per condurre attacchi denial-of-service
AC