Применять базовые концепции операций по обеспечению безопасности

Решение вопросов охраны и безопасности персонала

Безопасная настройка ресурсов

Внедрить защиту ресурсов

Услуги облачного хостинга

Проведение управления конфигурацией CM

Управление исправлениями и устранение уязвимостей

Поймите разницу между необходимостью знать и принципом наименьших привилегий. Необходимость знать и принцип наименьших привилегий — это два стандартных принципа ИТ-безопасности, которым следуют в безопасной сетевой среде. Принципы служебной необходимости и минимальных привилегий ограничивают доступ к данным и системам, так что пользователи и другие субъекты имеют доступ только к тому, что им нужно. Этот ограниченный доступ помогает предотвратить инциденты безопасности и помогает ограничить влияние инцидента, если он произойдет. Если организация не придерживается этих принципов, инциденты безопасности нанесут организации больший ущерб.

Поймите разделение обязанностей и ротацию должностей. Разделение обязанностей — это основной принцип безопасности, который гарантирует, что ни один человек не будет иметь доступа к критически важным функциям или критическим элементам системы. Благодаря ротации должностей сотрудники могут переключаться на разные должности или назначаться задачам разным сотрудникам. Сговор – это когда несколько людей работают вместе для совершения несанкционированного или незаконного действия. При отсутствии сговора эти стратегии могут предотвратить мошенничество путем ограничения индивидуального поведения.

Поймите важность мониторинга привилегированных операций. Хотя привилегированным пользователям доверяют, они могут злоупотреблять своими привилегиями. Поэтому необходимо следить за выделением и использованием всех привилегий. Целью мониторинга привилегированных операций является обеспечение того, чтобы доверенные сотрудники не злоупотребляли предоставленными им привилегиями. Поскольку злоумышленники часто используют привилегии при атаке, мониторинг привилегированных операций также может обнаружить некоторые атаки. Расширенное управление привилегиями ограничивает время, в течение которого пользователь имеет расширенные привилегии.

Понимание соглашений об уровне обслуживания. Организация заключает соглашения об уровне обслуживания с внешними организациями, такими как поставщики. Соглашение об уровне обслуживания определяет ожидаемые показатели производительности, например максимальное время простоя. Соглашения об уровне обслуживания часто включают положения о штрафных санкциях в случае, если поставщик не оправдает ожиданий.

Обратите внимание на безопасность персонала. Системы принуждения позволяют охранникам бить тревогу в чрезвычайных ситуациях, а планы управления чрезвычайными ситуациями помогают организациям подготовиться к стихийным бедствиям. Сотрудники должны осознавать риски во время путешествий, особенно при поездке в другую страну. Программы обучения и повышения осведомленности в области безопасности гарантируют, что сотрудники понимают эти риски и способы их снижения.

Понимать концепции конфигурации безопасности. Безопасная конфигурация ресурсов включает в себя обеспечение безопасного развертывания ресурсов и их безопасное обслуживание на протяжении всего их жизненного цикла. Управление активами отслеживает материальные активы (оборудование и программное обеспечение) и нематериальные активы (такие как патенты, товарные знаки, репутация компании и авторские права).

Узнайте, как управлять и защищать медиа. Технология управления носителями отслеживает носители, на которых хранятся конфиденциальные данные. Носители информации защищены на протяжении всего срока их существования и уничтожаются, когда они больше не нужны.

Поймите разницу между SaaS, PaaS и IaaS. Модель «Программное обеспечение как услуга» (SaaS) предоставляет полнофункциональные приложения, доступ к которым обычно осуществляется через Интернет. Модель «Платформа как услуга» (PaaS) предоставляет пользователям вычислительную инфраструктуру, включая оборудование, производственные системы и операционную среду. Модель «Инфраструктура как услуга» (IaaS) предоставляет базовые вычислительные ресурсы, такие как серверы, хранилища и сетевые ресурсы.

Выявление проблем безопасности в службах облачного хостинга. Услуги облачного хостинга включают облачное хранилище или любые ресурсы, доступ к которым осуществляется через облако. Хранение данных в облаке увеличивает риск, поэтому могут потребоваться дополнительные меры для защиты данных, в зависимости от их ценности.

При аренде облачного сервиса важно понимать, кто отвечает за обслуживание и безопасность. Поставщики облачных услуг предлагают минимальное обслуживание и безопасность в модели LaaS.

Интерпретация управления конфигурацией и контролем изменений. Сбои в работе бизнеса и многие другие инциденты можно предотвратить с помощью эффективного плана управления конфигурацией и изменениями. Управление конфигурацией гарантирует, что системы будут использовать одинаковые конфигурации, а также что конфигурации системы известны и доступны для записи. Базовое состояние гарантирует, что развернутые системы имеют одинаковую базовую версию или одну и ту же точку запуска, а зеркалирование является общим методом базовой линии. Управление изменениями помогает предотвратить несанкционированные изменения, тем самым уменьшая сбои в работе бизнеса и предотвращая нарушения безопасности. Процесс управления изменениями определяет запрос, утверждение, тестирование и запись изменений. Контроль версий использует теги или систему нумерации для отслеживания изменений в версиях программного обеспечения.

Понимание управления исправлениями. Управление исправлениями обеспечивает актуальность систем с использованием текущих исправлений. Следует признать, что эффективный план управления исправлениями включает в себя оценку, тестирование, утверждение и развертывание исправлений. Кроме того, в ходе системного аудита будет проверено, были ли в системе установлены утвержденные исправления. Управление исправлениями часто сочетается с управлением изменениями и конфигурациями, чтобы гарантировать, что содержание документации отражает изменения. Без эффективного плана управления исправлениями организации часто сталкиваются с сбоями и инцидентами, вызванными известными проблемами, которые можно было предотвратить.

Объясните управление уязвимостями. Управление уязвимостями включает регулярное сканирование уязвимостей и периодические оценки уязвимостей. Сканеры уязвимостей могут обнаруживать известные бреши и уязвимости в безопасности, такие как неисправленные или слабые пароли. Управление уязвимостями может создавать отчеты, указывающие на уязвимости в системе и обеспечивающие эффективную проверку плана управления исправлениями. Оценка уязвимостей включает не только техническое сканирование, но также анализ и аудит обнаружения уязвимостей.

Какой принцип безопасности касается знания и владения конфиденциальной информацией как аспекта профессии? А. Принцип наименьших привилегий Б. Разделение обязанностей C. Знай по необходимости D. По требованию

Организация гарантирует, что пользователям предоставляется доступ только к тем данным, которые необходимы для выполнения конкретных рабочих задач, которым пользователи должны следовать. в принципе? А. Принцип наименьших привилегий Б. Разделение обязанностей C. Знай по необходимости D.Ротация должностей

В чем заключается концепция предоставления пользователям только тех прав и разрешений, которые им необходимы для выполнения своих должностных обязанностей? А. Знай по необходимости Б. Обязательный отпуск C. Принцип наименьших привилегий D. Соглашение об уровне обслуживания (SLA)

Необходимость знать относится к требованию доступа и владения данными для выполнения конкретных рабочих задач. Принцип наименьших привилегий неэффективен в сфере ИТ-безопасности, включая права и разрешения.

Крупные организации, использующие домены Microsoft, хотят ограничить продолжительность действия пользователями повышенных привилегий. Какая из следующих концепций операций безопасности поддерживает эту цель? А. Принцип наименьших привилегий Б. Разделение обязанностей C. Знай по необходимости D. Управление привилегированными учетными записями

Администратор назначает разрешения для базы данных. Какой уровень доступа по умолчанию администраторы должны предоставлять новым пользователям организации? А. Читать Б.Изменить С. полный доступ D. Нет прав доступа

Вы хотите использовать принцип минимальных привилегий при создании новых учетных записей в вашем отделе разработки программного обеспечения. Что из следующего вам следует сделать? А. Создайте каждую учетную запись только с теми правами и разрешениями, которые необходимы сотруднику для выполнения своей работы. Б. Предоставьте каждой учетной записи полные права и разрешения на доступ к серверу отдела разработки программного обеспечения. C. Создайте учетную запись без каких-либо прав и разрешений. D. Добавьте учетную запись в локальную группу администраторов на компьютере нового сотрудника.

Ваша организация разделила функцию аудита высокого уровня на отдельные рабочие задачи, а затем поручила эти задачи трем администраторам. Ни один администратор не может выполнять все задачи. Какой принцип безопасности описывает этот подход? А. Ротация должностей Б. Обязательный отпуск C.Разделение обязанностей D.Принцип наименьших привилегий

Финансовые учреждения обычно заставляют сотрудников менять должности каждые шесть месяцев. Какие принципы безопасности они принимают? А. Ротация должностей Б. Разделение обязанностей C. Обязательный отпуск D.Принцип наименьших привилегий

Что из перечисленного является основной причиной, по которой организации применяют политику отпусков? А. Ротация должностных обязанностей Б. Выявление мошенничества C. Повышение производительности труда сотрудников D. Уменьшить стресс сотрудников

Ваша организация заключила договор со сторонним поставщиком на размещение облачных серверов. Руководство ожидает, что сможет оштрафовать сторонних поставщиков, если они не выполнят свои договорные обязательства, связанные с работоспособностью и простоем. Какая из следующих мер является лучшим вариантом для удовлетворения этого требования? А.МОУ Б.ИСА С. Соглашение об уровне обслуживания Д.СЭД

Какая из следующих моделей облачных сервисов обеспечивает организации наибольший контроль и требует от организации выполнения всего обслуживания операционных систем и приложений? А. Инфраструктура как услуга (laas) Б. Платформа как услуга (Paas) C. Программное обеспечение как услуга (Saas) D.Общественный

Какая из следующих моделей облачных служб позволяет пользователям получать доступ к электронной почте через веб-браузер? A. Инфраструктура как услуга (laaS) Б. Платформа как услуга (Paas) C. Программное обеспечение как услуга (SaaS) D.Общественный

ИТ-отделы часто используют образы при развертывании новых систем. Какой из следующих вариантов является основным преимуществом использования зеркал? A. Обеспечьте основу для управления конфигурацией. Б. Увеличьте время отклика управления исправлениями. C. Уменьшение уязвимостей неисправленных систем D. Предоставить документы об изменениях

Администратор сервера недавно изменил конфигурацию сервера для повышения производительности. К сожалению, когда сценарий автоматизации запускается раз в неделю, изменения приводят к перезагрузке сервера. После нескольких часов устранения неполадок наконец было установлено, что проблема не в скрипте, а в хэндовере. Какие меры можно предпринять, чтобы этого не произошло? А. Управление уязвимостями Б. Управление исправлениями C. Управление изменениями D. Блокировать все скрипты

Какие из следующих шагов будут включены в процесс управления изменениями? (Выберите три) А. Если изменение улучшит производительность, внедрите его немедленно. Б. Запросить изменение C. Создайте план отката изменения. D. Запись изменений

Новый ИТ-директор узнал, что в организации отсутствует план управления изменениями. ИТ-директор настоял на немедленной реализации плана управления изменениями. Какой из следующих вариантов является основной целью программы управления изменениями? А. Безопасность персонала Б. Разрешить откат изменений C. Убедитесь, что изменения не снижают безопасность D. Аудит привилегированного доступа

Системы внутри организации настроены на автоматическое получение и обновление исправлений. После получения патча 55 систем автоматически перезагрузились и загрузились со стоп-ошибкой. Какая из следующих мер позволит предотвратить эту проблему без ущерба для безопасности? A. Отключите настройки автоматического применения патчей Б. Внедрить процесс управления исправлениями для утверждения всех исправлений. C. Убедитесь, что система регулярно проверяет исправления. D. Внедрите процесс управления исправлениями и тестируйте исправления перед их развертыванием.

Администраторы безопасности хотят убедиться, что в существующих системах установлены последние исправления. Какой из следующих вариантов является лучшим способом убедиться, что в вашей системе установлены необходимые исправления? А. Система управления исправлениями Б. Сканер патчей C. Тестер проникновения D. Тестер фаззинга

Недавно серверы вашей организации подверглись атаке, что привело к сбоям в работе бизнеса. Вам необходимо проверить свою систему на наличие известных проблем, которые злоумышленник может использовать для атаки на другие системы в вашей сети. Что из следующего является лучшим вариантом для удовлетворения этого требования? А. Отслеживание версий Б. Сканер уязвимостей C. Аудит безопасности D. Проверка безопасности

Какой из следующих процессов, скорее всего, перечисляет все угрозы безопасности в системе? А. Управление конфигурацией Б. Управление исправлениями C. Список аппаратных средств D. Сканирование уязвимостей