Wondershare EdrawMind
マインドマップギャラリー CISSP 学習ノート-2 (従業員の安全とリスク管理の概念)
- 9
CISSP 学習ノート-2 (従業員の安全とリスク管理の概念)
CISSP の第 2 章、人材の安全とリスク管理に関連する主要な知識ポイントとテスト ポイントが詳細に記録されており、いくつかの復習問題が含まれています。
2024-01-23 15:59:36 に編集されました
- おすすめ
- アウトライン
CISSP 学習ノート-2 (従業員の安全とリスク管理の概念)
1-知識ポイントのまとめ
人員のセキュリティポリシーと手順
最も脆弱な要素は、適切なトレーニングを受ければ、重要なセキュリティ資産となり、セキュリティ対策における貴重なパートナーとなることができます。
仕事の内容と責任
職務内容では安全性の問題を考慮する必要があります
従業員に割り当てる必要がある役割を定義し、その役割は権限およびタスクと一致するようにする
責任リストは、アクセス権、許可、特権を割り当てる方法です。
採用ではなく、ライフサイクル全体
候補者の選考と採用
オンボーディング: 雇用契約と戦略
最小限の特権とアクセス権の原則
NDA機密保持契約
従業員の職務の変更、新しい資産へのアクセス、追加の NDA への署名
従業員の監督
仕事のタスクと権限が変動し、権限が多すぎると組織のリスクが増大する
強制休暇
他の従業員は、自分のアカウントを使用して職務を遂行し、悪用、詐欺、または過失を検出し、職務と権限を確認します。
職務の分離、ジョブローテーション、クロストレーニング、強制休暇により、共謀のリスクを軽減できます。
UBA: ユーザー行動分析 UEBA: ユーザーとエンティティの行動分析 従業員の安全ポリシー、手順、トレーニング、および関連する安全監視プログラムを改善できる
分離、譲渡および終了のプロセス
オフボーディング手順は、従業員が別の部門、施設、または物理的な場所に移動するときにも使用される場合があります。
人事異動は解雇・再雇用とみなされる可能性がある
どのプログラムを使用するかを決定する要素は次のとおりです。
同じユーザーアカウントを維持するかどうか
権限を調整するかどうか
新しい仕事の責任は前の職と似ていますか?
履歴がきれいな新しいアカウントが必要ですか?
新しい役職には監査が必要ですか?
サプライヤー、コンサルタント、請負業者の契約と管理
サービス レベル アグリーメント (SLA) を使用すると、サービス レベルが確実に提供されるようになります。
SLA とサプライヤー、コンサルタント、請負業者の管理は、レターとリスク回避を軽減するための重要な部分です
アウトソーシングはリスクを移転または割り当てる対応です
VMS サプライヤー管理システムの機能:
便利な注文
注文分布
オーダートレーニング
統合請求
コンプライアンスポリシーの要件
コンプライアンスのメリット
高品質
一貫性
効率
コストを節約する
コンプライアンス違反による損害
利益
市場占有率
承認
評判
コンプライアンスの強制とは、ポリシー、トレーニング、ベストプラクティス、規制を遵守しなかった場合に制裁や結果を課すことを指します。
コンプライアンス執行責任者
CISO または CEO
従業員のマネージャーおよびスーパーバイザー
監査人および第三者規制当局
プライバシーポリシーの要件
プライバシーの定義
個人を特定できる情報、個人を特定できる情報 (PII) への不正アクセスから積極的に保護します。
個人情報や機密情報への不正アクセスを防止する
同意や知識なしに観察、監視、検査されることを防ぐため
IT 部門はプライバシーを扱います
リスク管理の概念を理解して適用する
概要
最初のリスク管理の結果がセキュリティ戦略策定の基礎となる
その後のリスク管理イベントは、組織のセキュリティ インフラストラクチャの改善と維持に使用されます。
リスク管理コンポーネント:
リスク評価(分析)
発生の可能性を評価する
実際のリリース後に発生した損失
さまざまなリスク管理対策のコストを評価する
上記 3 項目の結果により、リスクの優先度がランク付けされます。
リスク対応
コスト/メリット分析を使用する
リスク管理、安全対策、セキュリティ管理を評価する
選択した対応策をITインフラに導入し、セキュリティポリシー文書に記載する
リスク認識
リスク用語と概念
資産評価
脅威と脆弱性を特定する
リスク評価・分析
定量分析
数学的計算に基づいて実際の金額を使用して資産損失を計算します
定性分析
意見、感情、直観、好み、考え、直感的な反応を考慮して、資産の損失を主観的かつ無形の言葉で表現します。
定性的リスク分析手法
シーン
Delphi テクノロジー
匿名のフィードバックと応答プロセス、アイデアの出所に基づく差別はありません
定量的なリスク分析
ステップ
露出係数EF
潜在的損失とも呼ばれ、パーセンテージで表されます。内部データの使用、統計分析の実行、一般公開への相談、リスク台帳/登録簿の購読、アドバイザーとの協力、リスク管理ソフトウェアの使用
単一損失の期待値 SLE
SLE = 資産価値 (AV) * 露出係数 (EF)
年間発生率ARO
年間予想損失 ALE
ALE=初回損失期待値(SLE)*年間発生率(ARO)=AV*EF*ARO
リスク対応
リスクの軽減(軽減)
安全対策、セキュリティ管理、セキュリティ対策を導入して、脆弱性を軽減または排除したり、脅威を防止したりする
リスク移転
サイバーセキュリティ、保険、アウトソーシングを購入する
リスク抑止
監査の実施、監視カメラ、警告バナーの設置、警備員の活用
リスク回避
代替案を選択してください
リスクの受け入れ
損失を受け入れる
リスクの拒否
リスクを否定または無視する
合計リスク = 脅威 * 脆弱性 * 資産価値 総リスク - 管理ギャップ = 残留リスク
リスク管理は一度限りのことではありません
セキュリティ管理のコストと利点
企業にとっての保護措置の価値 = 保護措置実施前の ALE - 保護措置実施後の ALE - 保護措置の年間コスト ACS
ALE1-ALE2-ACS
最高のセキュリティ対策、最も費用対効果の高い
セキュリティ対策の選択と導入
分類
管理制御
含まれるもの: ポリシー、手順、雇用慣行、身元調査、データの分類とラベル付け、セキュリティ意識とトレーニング、報告とレビュー、作業監督、人事管理とテスト
論理的/技術的制御
含まれるもの: 認証、暗号化、制限されたインターフェイス、アクセス制御リスト、プロトコル、ファイアウォール、ルーター、侵入検知システム、およびしきい値レベル
物理的管理措置
サブトピック
適用可能な制御タイプ
予防管理
IPS
抑止制御
ポリシー、セキュリティ意識向上トレーニング、鍵、フェンス、セキュリティ標識、警備員、アクセス制御玄関、監視カメラ
検出制御
IDS
補償制御
修正制御
制御を復元する
命令制御
セキュリティ管理評価
ベースラインまたは信頼性の期待に照らしてセキュリティ インフラストラクチャの個々のメカニズムを評価する
侵入テストや脆弱性評価の補足として使用可能
完全なセキュリティ評価としても利用可能
監視と測定
リスクの報告と文書化
リスクレジスターの内容
特定されたリスク
これらのリスクの重大度を評価し、優先順位を付けます
リスクを軽減または排除するための対応策を開発する
リスク軽減の進捗状況を追跡する
改善し続ける
リスク成熟度モデル (RMM) 評価 エンタープライズ リスク管理 ERM プログラム
RMMレベル
初期レベル
準備レベル
定義レベル
共通または標準化されたリスクフレームワーク
統合レベル
リスク管理業務をビジネスプロセスに統合
最適化レベル
目標
レガシーリスク
EOL
EOSL
リスクフレームワーク
RMF リスク管理フレームワーク
連邦政府機関に対する必須基準
RMF には 6 つの循環ステージがあります
セキュリティとプライバシーのリスクを管理するためのコンテキストと優先順位を確立することにより、組織レベルおよびシステムレベルの観点から準備します。 RMFの実行
分類 損失の影響の分析に基づいて、システムとシステムが処理、保存、送信する情報を分類します。
選択 システムの初期セットのテザリングを選択し、必要に応じて制御を調整して、リスク評価に基づいて許容可能な水切れまでリスクを軽減します。
実装 コントロールを実装し、それがシステムおよびその動作環境内でどのように使用されるかを説明します。
評価 コントロールを評価して、コントロールが正しく実装されているかどうか、期待どおりに動作しているかどうか、セキュリティとプライバシーの要件を満たす期待どおりの結果が得られているかどうかを判断します。
認可 組織の業務と資産、個人、他の組織、および国に対するリスクが許容されるという判断に基づいて、システムまたは共通コントロールを認可します。
モニタリングには、制御の有効性の評価、システムと動作環境への変更の記録、リスク評価と影響分析の実施、システムのセキュリティとプライバシーの状態に関する報告が含まれます。
CSFサイバーセキュリティフレームワーク
インフラストラクチャおよび商業組織向けに設計
ソーシャルエンジニアリング
ソーシャル エンジニアリング攻撃を防御する最も効果的な方法
ユーザー教育
意識向上トレーニング
原理
権限
脅迫
コンセンサス
希少性
おなじみ
信頼
緊急
情報を教えてもらう
前置詞
フィッシング
スピアフィッシング
フィッシングクジラ
SMSフィッシング
音声フィッシング
スパム
肩のぞき見
請求書詐欺
いたずら
偽造・変装
共連れと肩車
ゴミ箱検索
なりすまし詐欺
ドメイン名の印刷ミス
動きに影響を与える
ハイブリッド戦争
ソーシャルメディア
セキュリティ意識向上、教育、トレーニング プログラムを確立および維持する
安全意識
安全トレーニングの前提条件
トレーニング
教育する
改善する
目標の焦点を、時には個人、時には顧客、時には組織に変える
科目の順序と焦点を変更します。ある時はソーシャル エンジニアリング、次は機器のセキュリティ、そして次は別のテーマになります。
さまざまなプレゼンテーション方法
ロールプレイングを通じて、参加者に攻撃者と防御者を演じさせ、さまざまな人が攻撃と防御に対処するためのアイデアを提供できるようにします。
安全リーダーの育成と奨励
ゲーミフィケーションはトレーニングを強化および改善します
励ましと罰
従業員のトレーニングへの参加を増やす
理解を高める
その他の改善点: キャプチャ ザ フラッグ演習、フィッシングのシミュレート、コンピュータ ベースのトレーニング (CBT)、役割ベースのトレーニング
有効性評価
新しい方法やテクニックを採用する
通常
2-試験のポイント
1. 人は安全にとって重要な要素であることを理解する
2. 職務内容の重要性を理解する
3. 新しい従業員を雇用する場合の安全への影響を理解する
4. オンボーディングとオフボーディングを理解する
5. 最小特権の原則を理解する
6. 機密保持契約 (NDA) の必要性を理解する
7. 従業員の監督を理解する
8. 強制休暇の必要性を理解する
9. UBAとUEBAを理解する
10. 人事異動を理解する
11. 適切な終了戦略を説明する
12. サプライヤー、コンサルタント、請負業者の管理を理解する
13. ポリシーコンプライアンスを理解する
14. プライバシーが IT セキュリティ環境にどのように適合するかを理解する
15. 全体的なリスク管理を定義する能力
16. リスク分析と関連要素を理解する
17. 脅威を評価する方法を知る
18.定性的リスク分析を理解する
19.Delphi テクノロジーを理解する
20. 定量的なリスク分析を理解する
21. ジェスの露出係数 (EF) の概念
22. 単一損失期待値(SLE)の意味と計算方法を理解する
23. 年間発生率 (ARO) について
24. 年間損失期待値 (ALE) の意味と計算を理解する
25. 保護措置の評価式を理解する
26. リスクへの対処方法を理解する
27. 総リスク、参加リスク、管理ギャップについて説明する
28. コントロールの種類を理解する
29. コントロールの種類を理解する
30. セキュリティ制御評価 (SCA) を理解する
31. 安全衛生と測定を理解する
32. リスク報告を理解する
33. 継続的な改善の必要性を理解する
34. リスク成熟度モデルを理解する
35. レガシーリスクを理解する セキュリティリスク
36. リスクフレームワークを理解する
37. ソーシャルエンジニアリングを理解する
38. セキュリティ意識向上トレーニング、トレーニング、教育の実施方法を理解する
39. 安全リーダーを知る
40. ゲーミフィケーションを理解する
41. 定期的なコンテンツのレビューと有効性評価の必要性を理解する
重要な演習
1. 資産 - ビジネス プロセスまたはタスクで使用されるあらゆるもの 脅威 - 組織または特定の資産に悪影響または予期せぬ結果をもたらす可能性のある潜在的なイベント 脆弱性 - 資産の弱点、または保護手段の弱さまたは欠如 露出 - 脅威による資産損失の脆弱性があり、脆弱性が悪用される可能性がある、または悪用される可能性があります。 リスク - 脅威が脆弱性を悪用して資産に損害を与える可能性または確率、および引き起こされる可能性のある損害の重大度
2. セキュリティ会議では、資産価値の定義、脅威のリストの作成、侵害によって引き起こされる具体的な被害レベルの予測、脅威が年間に会社を混乱させる可能性のある回数の決定に重点が置かれます。これは何ですか: 定性的リスク評価 B Delphi テクノロジー C リスク回避 D 定量的なリスク評価
正解:D
3. 有効なリスク定義は次のうちどれですか: A 確率、可能性、偶然の評価 B 脆弱性を排除するか、1 つ以上の特定の脅威から保護するもの C リスク = 脅威 * 脆弱性 D 公開された各インスタンス E 関連する脅威が存在する場合の脆弱性の存在
正解:ACD
4. 会社は新しい Web アプリケーションをパブリック Web サーバーにインストールします。ハッカーは新しいコードを悪用し、システム上でホストされているデータ ファイルにアクセスしました。例証します: 固有のリスク B リスク マトリックス C 定性的評価 D 残留リスク
正解:A リスク管理作業が実行される前に存在するリスク
5. 組織は、SLA およびビジネス パートナー契約 (BPA) に署名する前に満たす必要があるいくつかの組織セキュリティ要件を定義した新しいビジネス パートナーを探しています。 1 つは、組織がリスク成熟度モデルの実装レベルを実証することを要求します。具体的には、共通または標準化されたリスク フレームワークを採用する必要があります。このレベルは以下に属します: 準備レベル B統合レベル C 定義レベル D 最適化レベル
正解:C 初期レベル - カオス 準備レベル - 最初の試み、部門ごとに異なる場合があります 定義レベル - 共通の標準リスクフレームワーク 統合レベル - リスク管理業務はビジネス プロセスに統合され、リスクは戦略的なビジネス上の意思決定の要素と見なされます。 最適化レベル - リスク管理は、単に脅威に対応するよりも目標を達成すること、事故を回避するよりもビジネスの成功に重点を置き、経験から学び、それをリスク管理プロセスに組み込むことができます。
6. リスク管理フレームワーク (RMF) は、情報セキュリティの分類、管理の選択、実装と評価、システムおよび一般的な管理の認可、および一連の 7 つのステップまたは段階を含む、セキュリティおよびプライバシーのリスク管理のための仕様を提供します。 RMF のどの段階で、組織の運営と資産、個人とその領域に対するリスクに基づいて、システムまたは一般的な管理が合理的であるかどうかを判断することに重点を置いていますか? A.分類 B.認可 C.評価 D.モニタリング
正解:B RME ステージ (0) は、組織の業務と資産、個人、他の組織、および国に対するリスクが許容できる (または妥当である) という判断に基づいて、システムまたは共通コントロールを認可することです。 RMF の段階には、(1) 準備、(2) 分類、(3) 選択、(4) 実施、(5) 評価、(6) 投資、および (7) モニタリングが含まれます。 (A) は RMF ステージ (2) であり、損失の影響の分析に基づいて、システムとシステムによって処理、保存、送信される情報の分類を指します。 (C) は RMF ステージ (5) であり、コントロールを評価して、コントロールが正しく実装されているか、期待どおりに動作しているか、セキュリティとプライバシーの要件を満たす期待された結果を生み出しているかどうかを判断します。 ①D) は RMF ステージ (⑦) であり、制御の有効性の評価、システムと動作環境への変更の記録、リスク評価と影響分析の実施、セキュリティとプライバシーの状況の報告など、システムと関連する制御を継続的に監視します。システム。
7. 次のオプションのうち、ソーシャル エンジニアリング攻撃として分類できるものはどれですか? (すべての行をまとめて選択します。) A ユーザーはワークステーションにログインし、階段の吹き抜けにある自動販売機でソーダを購入します。そのユーザーがワークステーションから離れている間、別の人が自分の机に座り、ローカル フォルダー内のすべてのファイルをネットワーク共有にコピーします。 B 危険な新しい病気がインターネット上で蔓延していることを警告する電子メールを受け取りました。このメッセージは、ウイルスの存在を示すため、ハード ドライブ上で特定のファイルを見つけて削除するようアドバイスします。 Web サイト C は、その製品およびサービスへの一時的なアクセスを無料で提供すると主張していますが、アクセス ソフトウェアをダウンロードする前に Web ブラウザやファイアウォールの構成を変更する必要があります。 秘書 D は、後で CEO と会う必要がある顧客を名乗る発信者から電話を受けました。発信者は、CEO に電話できるように CEO の個人の携帯電話番号を知りたいと考えています。
正解:BCD オプション A で説明されているアクティビティは、被害者が立ち去る機会を利用しているだけであり、被害者とのやり取りがないため、日和見的アクセス攻撃であり、ソーシャル エンジニアリング攻撃ではありません。オプション B (いたずら)、C (フィッシング、いたずら、水飲み場攻撃)、D (音声フィッシング) で説明されているアクティビティはすべてソーシャル エンジニアリング攻撃の一部です。
8. 通常、__ は、セキュリティ概念をチームに適用して統合する責任を決定する (または割り当てられる) チームのメンバーです。 仕事の活動において。 __多くの場合、セキュリティ担当者以外の担当者は、より多くのセキュリティ慣行をサポートし、採用するよう他の人に奨励する任務を負っています。 行動の責任。 A.最高情報セキュリティ責任者 B. 安全リーダー C.セーフティカーオペレーター D. 管理人
正解:B 正解はセーフティリーダーです。安全リーダーは通常、安全コンセプトをチームの作業活動に適用して統合することを決定する (または奨励される) チームのメンバーです。安全リーダーは通常、他の人に安全慣行をサポートし、採用するよう促す非セキュリティ担当者です。他の選択肢はどれも正しくありません。CISO または最高セキュリティ責任者は、セキュリティ ログを管理し、資産が所有者から受け入れられて配置されたセキュリティ ログを管理します。所有者が指定したディストリビューションに従って適切なセキュリティを提供する IT コンテナ内で。