로그인
로그인

마인드 맵 갤러리 CISSP 연구 노트-1(보안 거버넌스 구현 원칙 및 전략)

CISSP 연구 노트-1(보안 거버넌스 구현 원칙 및 전략)

CISSP 안전 및 위험 관리 1장의 연구 노트와 중요한 연습 분석은 모든 사람에게 유용한 정보로 가득 차 있기를 바랍니다.

2024-01-19 11:22:47에 편집됨

슈퍼직장인

최근 작업 더 많은 작업 보기>>

(III) 저산소 유도 인자 프롤릴 하이드 록 실라 제 억제제
이것은 (III) 저산소증-유도 인자 프롤릴 하이드 록 실라 제 억제제에 대한 마인드 맵이며, 주요 함량은 다음을 포함한다 : 저산소증-유도 인자 프롤릴 하이드 록 실라 제 억제제 (HIF-PHI)는 신장 빈혈의 치료를위한 새로운 소형 분자 경구 약물이다. 1. HIF-PHI 복용량 선택 및 조정. Rosalasstat의 초기 용량, 2. HIF-PHI 사용 중 모니터링, 3. 부작용 및 예방 조치.
Kuka 산업용 로봇의 개발 및 Kuka 산업 로봇의 모션 제어 명령
이것은 Kuka Industrial Robots의 개발 및 Kuka Industrial Robot의 모션 제어 지침에 대한 마인드 맵입니다. 주요 내용에는 쿠카 산업 로봇의 역사, 쿠카 산업 로봇의 특성, 쿠카 산업 로봇의 응용 분야, 2. 포장 프로세스에서 쿠카 로봇은 빠르고 일관된 포장 작업을 달성하고 포장 효율성을 높이며 인건비를 줄입니다. 2. 인건비 감소 : 자동화는 운영자에 대한 의존성을 줄입니다. 3. 조립 품질 향상 : 정확한 제어는 인간 오류를 줄입니다.
1.1 컴퓨터 네트워크 요약
408 컴퓨터 네트워크가 너무 어렵습니까? 두려워하지 마세요! 나는 피를 구토하고 지식 맥락을 명확히하는 데 도움이되는 매우 실용적인 마인드 맵을 분류했습니다. 컨텐츠는 매우 완전합니다. 네트워크 아키텍처에서 응용 프로그램 계층, TCP/IP 프로토콜, 서브넷 디비전 및 기타 핵심 포인트에 이르기까지 원칙을 철저히 이해하는 데 도움이 될 수 있습니다. 📈 명확한 논리 : Mindmas 보물, 당신은 드문 기회가 있습니다. 서둘러! 이 마인드 맵을 사용하여 408 컴퓨터 네트워크의 학습 경로에서 바람과 파도를 타고 성공적으로 해변을 얻으십시오! 도움이 필요한 친구들과 공유해야합니다!

CISSP 연구 노트-1(보안 거버넌스 구현 원칙 및 전략)

슈퍼직장인

최근 작업 더 많은 작업 보기>>

추천 사항
개요

OSG9 2장 직원 안전 및 위험 관리 개념
- 5
슈퍼직장인
CISSP 연구 노트 - 영역 5(ID 액세스 관리)
- 11
슈퍼직장인
CISSP 연구 노트 - 영역 3(보안 아키텍처 및 엔지니어링)
- 20
슈퍼직장인
CISSP 연구 노트-20(소프트웨어 개발 보안)
- 19
슈퍼직장인
CISSP 연구 노트-16(보안 운영 관리)
- 24
슈퍼직장인
CISSP 연구 노트 - 영역 1(보안 및 위험 관리)
- 31
슈퍼직장인
CISSP 연구 노트-3(비즈니스 연속성 계획)
- 11
슈퍼직장인
CISSP 연구 노트-2(인사 안전 및 위험 관리의 개념)
- 9
슈퍼직장인
CISSP-AIO-소프트웨어 보안 개발
- 13
슈퍼직장인
CISSP 학습 마인드 맵
- 5
Riley_

CISSP 연구 노트-1(보안 거버넌스 구현 원칙 및 전략)

도메인 1 - 보안 및 위험 관리

CIA 삼중항

보안 개념 이해 및 적용

기밀성:

목표 - 데이터에 대한 무단 접근을 방지하거나 최소화하기 위해, 데이터 유출을 방지하면서 승인된 접근을 보호합니다.

관련 개념, 조건 및 특성

유효성

주체가 사용하고, 학습하고, 제어할 수 있는 상태

접근성

주체는 주체의 능력이나 제한에 관계없이 리소스와 상호 작용할 수 있습니다.

적시

신속하고 시간을 잘 지키며 합리적인 시간 내에 응답합니다.

2는 1에 도달할 수 있다

확실성

부인방지

DAD, 과잉보호, 진정성, 부인방지 및 AAA 서비스

DAD 트리플: 누출, 수정, 파괴

보호 이상

과잉보호 기밀성 - 제한된 가용성

과잉보호 무결성 - 제한된 가용성

과잉 보호 가용성 - 제한된 기밀성 및 무결성

확실성

데이터는 신뢰할 수 있고 위조되지 않았습니다.

부인방지

AAA

핵심 보안 메커니즘 인증, 승인, 회계

심벌 마크

아이덴티티 마크

입증

신원 확인

승인하다

접근 권한

심사

이벤트 및 활동 기록

부기(책임)

로그 파일을 통해 규정 준수 및 위반 확인

책임 요구 사항

보호 메커니즘

심층방어(다층방어)

다중 보호 제어, 한 번의 실패로 인해 시스템이나 데이터가 노출되지 않습니다.

병렬 레이어가 아닌 직렬 레이어 사용

추상적인

유사한 요소는 그룹, 클래스 및 역할에 배치되며 컬렉션으로 안전하게 제어됩니다.

객체그룹(클래스)을 도입하고, 객체그룹에 따른 접근권한 및 운용권한 부여

데이터 숨기기

주체가 접근하거나 읽을 수 없는 논리적인 저장 공간에 데이터를 배치하여 데이터의 유출이나 접근을 방지합니다.

무단 접근을 방지하고 낮은 수준의 주체가 높은 수준의 데이터에 접근하는 것을 제한합니다.

다단계 보안 시스템의 특징

암호화

보안 경계

객체에 대해 주체가 수행하는 기능을 정의합니다. 서로 다른 범주 간의 안전 경계는 다음과 같습니다.

물리적 환경과 논리적 환경 사이에도 보안 경계가 있습니다. 물리적 환경과 논리적 환경의 보안 경계는 일반적으로 서로 일치합니다.

보안 경계는 명확하게 정의되어야 합니다.

보안 정책을 실제 통제로 전환할 때 각 환경과 보안 경계를 별도로 고려하고, 보호해야 할 객체의 가치를 평가하고, 해당 보호가 일치해야 합니다.

보안 거버넌스 원칙 평가 및 적용

보안 거버넌스: 조직의 보안 노력을 지원, 평가, 정의 및 안내하는 일련의 관행입니다.

제3자 거버넌스: 법률, 규정, 산업 표준, 계약 의무 또는 라이선스 요구 사항

문서 검토:

보안 기능 관리

비즈니스 전략, 목표, 임무 및 목적에 부합하는 보안 기능

접근 방식: 하향식 - 안전 관리는 상위 경영진의 책임입니다.

보안 관리 계획 내용 : 보안 역할 정의, 보안 관리 방법, 보안 책임자 및 보안 유효성 검증 방법 규정, 보안 정책 수립, 위험 분석 및 보안 교육 수행

안전관리 계획

전략 계획

위험 평가를 포함한 장기 계획, 5년

전술 계획

중기계획, 1년, 사업계획, 인수계획, 채용계획, 예산계획, 유지관리계획, 개발계획, 지원계획

운영계획

단기 계획

조직 프로세스

조직의 역할과 책임

고위 관리자

조직 보안 유지에 궁극적인 책임을 지며 조직 자산 보호에 중점을 둡니다.

보안 전문가

보안 정책 작성 및 시행을 포함한 구현자는 기능적 책임을 가집니다.

자산 소유자

후견인

사용자

감사

보안 정책이 올바르게 구현되었는지, 관련 보안 솔루션이 완성되었는지 검토하고 검증하는 역할을 담당합니다.

보안 제어 프레임워크

보안 계획의 첫 번째 단계

가장 널리 사용되는 프레임워크: 정보 및 관련 기술에 대한 제어 목표 - COBIT

COBIT 원칙

이해관계자를 위한 가치 창출

전체적인 분석

다이나믹한 거버넌스 시스템

관리와 거버넌스 분리

비즈니스 요구에 맞게 조정

End-to-End 거버넌스 시스템 채택

기타 IT 표준 및 지침

NIST SP 800-53 개정판 5

인터넷보안센터-CIS

NIST 위험 관리 프레임워크-RMF

NIST 사이버보안 프레임워크-CSF

ISO/IEC 27000

정보 기술 인프라 구현 라이브러리-ITIL

상당한 주의와 상당한 주의

적절한 주의

보안 정책, 표준, 기준선, 지침 및 절차를 포함하는 공식적인 보안 프레임워크를 개발합니다.

무엇을 해야할지 알고 그에 대한 계획을 세우는 것입니다.

실사

조직의 IT 인프라에 보안 프레임워크를 지속적으로 적용

적시에 적절한 조치를 취하고 있습니다.

운영 보안

조직 내 모든 책임 당사자가 지속적으로 주의를 기울이고 실사를 실시합니다.

보안 정책, 표준, 절차 및 지침

보안 전략

4가지 구성 요소: 정책, 표준, 지침 및 절차

표준화된 최상위 문서

보안 표준, 기준선 및 지침

안전 절차

위협 모델링

위협을 식별, 분류, 분석하는 보안 프로세스

위협 식별

STRIDE 분류 방법

스푸핑

변조

거부-부인

정보 공개

서비스 거부-DoS

권한 승격 - 권한 승격

파스타 모델링 방법

VAST 시각화, 민첩성 및 단순 위협

잠재적 공격 식별 및 매핑

단순화된 분석 수행

안전한 분해를 위한 5가지 핵심 개념

신뢰 경계

데이터 흐름 경로

입력 포인트

특권 작업

보안 선언문 및 방법 세부정보

우선순위 및 대응

DREAD 등급 시스템

잠재적 피해

재현성

유효성

영향을 받는 사용자

발견 가능성

공급망에 위험 기반 관리 개념 적용

2회 시험 요점

1. 기밀성, 무결성 및 가용성으로 구성된 CIA 3요소를 이해합니다.

2. ID 작동 방식 이해

3. 신원인증 과정의 이해

4. 보안 프로그램에서 인증이 어떻게 사용되는지 이해

5. 감사 프로세스를 설명하세요.

6. 책임의 중요성을 이해하세요

7. 부인방지를 설명하라

8. 방어에 대한 심층적인 이해

9. 추상적 개념을 설명하는 능력

10. 데이터 은닉 이해하기

11. 안전 경계 이해

12. 보안 거버넌스 이해

13. 타사 거버넌스 이해

14. 서류심사의 이해

15. 비즈니스 전략, 목표, 임무 및 목적에 부합하는 보안 기능을 이해합니다.

16. 비즈니스 시나리오 이해

17. 안전관리 계획을 이해한다.

18. 표준화된 보안 정책의 구성 요소를 이해합니다.

19. 조직 프로세스 이해

20. 주요 보안 역할 이해

21. COBIT의 기본을 이해한다

22. 상당한 주의와 상당한 주의를 이해하십시오.

23. 위협 모델링의 기본 이해

24. 공급망 위험 관리 개념 이해

3-중요한 연습 및 분석

1. 보안 거버넌스에 관한 다음 설명 중 올바른 것은 무엇입니까? A. 보안 거버넌스는 인증된 신원에 부여된 권리와 특권을 고려하여 요청된 활동 또는 주체에 대한 액세스가 달성 가능하도록 보장합니다. B. 보안 거버넌스는 효율성을 향상시키는 것입니다. 유사한 요소가 그룹, 클래스 또는 역할에 배치되고 컬렉션으로 보안 제어, 제한 사항 및 권한이 할당됩니다. C. 보안 거버넌스는 IT 보안 모범 사례를 문서화한 일련의 문서입니다. 이는 보안 제어에 대한 목표와 요구 사항을 지정하고 IT 보안 아이디어를 비즈니스 목표에 매핑하도록 권장합니다. D. 보안 거버넌스는 외부 소스에서 얻은 지식 및 통찰력을 기준으로 조직 내의 모든 보안 프로세스 및 인프라를 매핑하는 것을 목표로 합니다.

정답 : D 보안 거버넌스의 의미를 검토합니다. 1. 보안 거버넌스는 조직의 보안 노력을 지원, 평가, 정의 및 지시하는 것과 관련된 관행의 모음입니다. 2. 최적 - 이사회 임원, 소규모 - CEO 또는 CISO 3. 보안 거버넌스는 외부 소스에서 얻은 지식과 통찰력을 바탕으로 조직 내의 모든 보안 프로세스와 인프라를 매핑하는 것을 목표로 합니다.

2. 조직이 사업 확장 기간에 있으며 다수의 인수합병이 진행되고 있습니다. 조직은 이러한 활동과 관련된 위험에 대해 우려하고 있습니다. 다음 중 이러한 위험의 예는 무엇입니까? 가. 부적절한 정보공개 B. 직원 규정 준수 개선 다. 데이터 손실 D. 폐쇄 E. 내부자 공격의 동기를 이해하기 위해 입장 F. 적절한 투자 수익을 얻지 못함

정답:ACDF 인수, 매각, 거버넌스 위원회 등 조직 프로세스를 검토합니다. 1. 합병 및 인수- 2. 자산분할, 자산감소 및 직원감축 - 데이터 유출, 저장매체 삭제 및 파기 방지를 위한 자산정화 및 직원 퇴사면담

3. COBIT 원칙: 가. 종합적인 분석방법을 채택한다. 나. 엔드투엔드 거버넌스 시스템 도입 C. 이해관계자를 위한 가치 창출 D. 진정성과 책임성을 유지하라 E. 동적 거버넌스 시스템

정답: ABCE COBIT 원칙 검토

4. 상당한 주의와 상당한 주의에 대한 올바른 설명은 다음과 같습니다. A. 적절한 주의는 조직의 이익을 보호하기 위한 계획, 전략 및 절차를 개발하는 것입니다. B. 실사는 보안 정책, 표준, 기준선, 지침 및 절차를 보호하는 공식적인 보안 프레임워크를 개발하는 것입니다. C. 적절한 주의는 조직의 IT 인프라에 보안 프레임워크를 지속적으로 적용하는 것입니다. D. 실사는 안전한 작업을 유지하는 활동을 실천하는 것입니다. E. 실사는 무엇을 해야 할지 알고 그에 대한 계획을 세우는 것입니다. F. 적절한 주의는 적절한 시기에 올바른 조치를 취하는 것입니다.

답을 위해 싸우세요: AD 시험실은 주의 깊게 조사되어야 하며 실사를 거쳐야 합니다.

5. 기준 - 조직 전체의 모든 시스템이 충족해야 하는 최소 보안 수준을 정의합니다. 정책 - 조직에서 요구하는 보안 범위를 정의하고, 보호해야 하는 자산과 보안 솔루션이 제공해야 하는 필요한 보호 수준을 논의하는 문서입니다. 표준 - 하드웨어, 소프트웨어, 기술 및 보안 제어 방법의 일관성에 대한 필수 요구 사항을 정의합니다. 절차 - 특정 보안 메커니즘, 제어 또는 솔루션을 구현하는 데 필요한 특정 조치를 설명하는 상세한 분산 구현 문서 지침 - 보안 요구 사항을 구현하는 방법에 대한 조언을 제공하고 보안 전문가 및 사용자를 위한 방법 가이드입니다.

7. 개발팀은 새로운 프로젝트를 진행 중입니다. 개발 초기 단계에서 팀은 솔루션의 취약성, 위협 및 위험을 고려하고 보호 기능을 통합하여 의도하지 않은 결과를 방지합니다. 이것은 일종의 위협 모델링 개념입니다. A. 위협 사냥 나. 적극적인 접근 다. 정성적 방법 D. 적대적 접근

정답: B 방어적 접근 방식이라고도 알려진 사전 예방적 위협 모델링 접근 방식 대응적 또는 적대적 접근 방식은 위협 사냥이라고도 알려진 제품 생성 및 배포 후 위협 모델링입니다. 정성적 방법은 위험 평가 방법입니다.

8. C의 고용주는 제3자 공급업체의 정책 및 절차에 대한 문서 검토를 수행하도록 요청했습니다. C는 공급업체의 문제를 발견했습니다. 통신이 암호화되지 않았고 다중 요소 인증이 필요했습니다. C는 어떻게 대응했습니까? 가. 보고서를 작성하여 대표이사에게 제출 B. 공급업체의 ATO 취소 C. 공급업체에게 약관 및 요구 사항을 검토하도록 요청합니다. D. 공급업체가 NDA에 서명하도록 하세요.

정답: B

9. 다음 중 보호되는 자산의 가치를 기반으로 대책을 선택하거나 개발하려는 위협 모델링에 대한 위험 중심 접근 방식은 무엇입니까? A.VAST 나.SD3C C.파스타 D. 스트라이드

정답: C 공격 시뮬레이션 및 위협 분석 프로세스 PASTA는 보호할 자산의 가치와 관련된 보호 조치를 선택하거나 개발하도록 설계된 위험 중심 접근 방식입니다. 시각적, 민첩성 및 단순 위협 VAST는 위협 및 위험 관리를 확장 가능한 기반으로 민첩한 프로그래밍 환경에 통합하는 위협 모델링 개념입니다. Microsoft에서 사용하는 SD3 C, 설계상 보안, 기본 보안, 배포 및 통신 보안, 개발 수명주기 보안 SDL STRIDE는 Microsoft에서 개발한 위협 분류 체계입니다.

10. 위협 모델링의 다음 단계는 애플리케이션, 시스템 또는 환경 프로파일링이라고도 알려진 축소 분석을 수행하는 것입니다. 다음 중 분해를 수행할 때 식별해야 할 주요 구성 요소는 무엇입니까? A. 패치 또는 버전 업데이트 B. 신뢰 경계 C. 데이터 흐름 경로 D. 공개 및 비공개 소스 코드 사용 E. 입력 포인트 F. 특권 작업 G. 보안정책 및 방법 세부사항

정답 : BCEFG 분해의 5가지 주요 개념: 신뢰 경계, 데이터 흐름 경로, 진입점, 권한 있는 작업, 보안 주장 및 방법의 세부 사항

11. 심층방어 관련 용어: 계층화, 분류, 분할, 도메인 분할, 격리, 아일랜드, 분할, 격자 구조, 보호 링