Anmeldung
Anmelden

Mindmap-Galerie CISSP-Studiennotizen-2 (Konzepte der Personalsicherheit und des Risikomanagements)

CISSP-Studiennotizen-2 (Konzepte der Personalsicherheit und des Risikomanagements)

Es erfasst detailliert die wichtigsten Wissenspunkte und Testpunkte im Zusammenhang mit Kapitel 2 von CISSP, Personalsicherheit und Risikomanagement, und enthält mehrere Überprüfungsfragen.

Bearbeitet um 2024-01-23 15:59:36

Deu-Martina

Aktuelle Werke Weitere Werke anzeigen>>

Hundert Jahre Einsamkeit Charakter-Beziehungsdiagramm
Einhundert Jahre Einsamkeit ist das Meisterwerk von Gabriel Garcia Marquez. Die Lektüre dieses Buches beginnt mit der Klärung der Beziehungen zwischen den Figuren. Im Mittelpunkt steht die Familie Buendía, deren Wohlstand und Niedergang, interne Beziehungen und politische Kämpfe, Selbstvermischung und Wiedergeburt im Laufe von hundert Jahren erzählt werden.
Hundert Jahre Einsamkeit Charakter-Beziehungsdiagramm
Einhundert Jahre Einsamkeit ist das Meisterwerk von Gabriel Garcia Marquez. Die Lektüre dieses Buches beginnt mit der Klärung der Beziehungen zwischen den Figuren. Im Mittelpunkt steht die Familie Buendía, deren Wohlstand und Niedergang, interne Beziehungen und politische Kämpfe, Selbstvermischung und Wiedergeburt im Laufe von hundert Jahren erzählt werden.
Projektmanagement-Prozess-Vorlage
Projektmanagement ist der Prozess der Anwendung von Fachwissen, Fähigkeiten, Werkzeugen und Methoden auf die Projektaktivitäten, so dass das Projekt die festgelegten Anforderungen und Erwartungen im Rahmen der begrenzten Ressourcen erreichen oder übertreffen kann. Dieses Diagramm bietet einen umfassenden Überblick über die 8 Komponenten des Projektmanagementprozesses und kann als generische Vorlage verwendet werden.

CISSP-Studiennotizen-2 (Konzepte der Personalsicherheit und des Risikomanagements)

Deu-Martina

Aktuelle Werke Weitere Werke anzeigen>>

Für Sie empfohlen
Gliederung

CISSP-Studiennotizen – Domäne 7 (Sicherheitsoperationen)
- 1
Deu-Martina
CISSP-Studiennotizen – Domäne 6 (Sicherheitsbewertung und -tests)
- 1
Deu-Martina
CISSP-Studiennotizen – Domäne 4 (Kommunikation und Netzwerksicherheit)
- 1
Deu-Martina
CISSP-Studiennotizen – Domäne 3 (Sicherheitsarchitektur und -technik)
- 1
Deu-Martina
CISSP-Studiennotizen-21 (Schädlicher Code und Anwendungsangriffe)
- 1
Deu-Martina
CISSP-Studiennotizen-19 (Untersuchung und Ethik)
Deu-Martina
CISSP-Studiennotizen-20 (Softwareentwicklungssicherheit)
- 1
Deu-Martina
CISSP-Studiennotizen-18 (Disaster Recovery Plan)
Deu-Martina
CISSP-Studiennotizen-17 (Vorfallprävention und Reaktion)
Deu-Martina
CISSP-Studiennotizen-15 (Sicherheitsbewertung und -tests)
Deu-Martina

CISSP-Studiennotizen-2 (Konzepte der Personalsicherheit und des Risikomanagements)

1-Zusammenfassung der Wissenspunkte

Richtlinien und Verfahren zur Personalsicherheit

Die am stärksten gefährdeten Elemente können bei entsprechender Schulung zu kritischen Sicherheitsressourcen und wertvollen Partnern bei Sicherheitsbemühungen werden

Stellenbeschreibung und Verantwortlichkeiten

Stellenbeschreibungen sollten Sicherheitsaspekte berücksichtigen

Definieren Sie die Rollen, die den Mitarbeitern zugewiesen werden müssen, und achten Sie darauf, dass die Rollen mit den Berechtigungen und Aufgaben übereinstimmen

Mit der Liste der Verantwortlichkeiten können Sie Zugriffsrechte, Berechtigungen und Privilegien zuweisen

Keine Rekrutierung, voller Lebenszyklus

Kandidatenscreening und Rekrutierung

Onboarding: Arbeitsverträge und Strategien

Das Prinzip der geringsten Privilegien und Zugriffsrechte

NDA-Vertraulichkeitsvereinbarung

Die beruflichen Verantwortlichkeiten des Mitarbeiters ändern sich, er greift auf neue Vermögenswerte zu und unterzeichnet zusätzliche NDAs

Mitarbeiteraufsicht

Arbeitsaufgaben und Privilegien werden verschoben, und zu viele Privilegien erhöhen die organisatorischen Risiken

Zwangsurlaub

Andere Mitarbeiter nutzen ihre Konten, um ihre beruflichen Pflichten zu erfüllen, Missbrauch, Betrug oder Fahrlässigkeit aufzudecken und berufliche Aufgaben und Privilegien zu überprüfen

Durch Aufgabentrennung, Jobrotation, Cross-Training und erzwungene Auszeiten kann das Risiko von Absprachen verringert werden

UBA: Nutzerverhaltensanalyse UEBA: Analyse des Benutzer- und Entitätsverhaltens Kann Personalsicherheitsrichtlinien, -verfahren, Schulungen und damit verbundene Sicherheitsaufsichtsprogramme verbessern

Trennungs-, Übertragungs- und Kündigungsprozess

Offboarding-Verfahren können auch eingesetzt werden, wenn Mitarbeiter in eine andere Abteilung, Einrichtung oder an einen anderen physischen Standort wechseln

Eine Personalversetzung kann als Entlassung/Wiedereinstellung angesehen werden

Zu den Faktoren bei der Entscheidung, welches Programm verwendet werden soll, gehören:

Ob das gleiche Benutzerkonto beibehalten werden soll

ob ihre Berechtigungen angepasst werden sollen

Sind die neuen Aufgabenbereiche mit denen der vorherigen Position vergleichbar?

Benötigen Sie ein neues Konto mit einem sauberen Verlauf?

Ist für die neue Stelle ein Audit erforderlich?

Lieferanten-, Berater- und Auftragnehmervereinbarungen und -kontrollen

Die Verwendung eines Service Level Agreements (SLA) ist eine Möglichkeit, die Bereitstellung von Service Levels sicherzustellen

SLAs und Lieferanten-, Berater- und Auftragnehmerkontrollen sind ein wichtiger Bestandteil der Risikominderung und Risikovermeidung

Outsourcing ist eine Reaktion, bei der Risiken übertragen oder zugewiesen werden

Funktionen des VMS-Lieferantenmanagementsystems:

Bequeme Bestellung

Auftragsverteilung

Schulung bestellen

Einheitliche Abrechnung

Anforderungen der Compliance-Richtlinie

Vorteile der Compliance

gute Qualität

Konsistenz

Effizienz

Kosten sparen

SCHÄDEN AUS COMPLIANCE-VERLETZUNG

profitieren

Marktanteil

Genehmigung

Ruf

Unter Compliance-Durchsetzung versteht man die Verhängung von Sanktionen oder Konsequenzen bei Nichteinhaltung von Richtlinien, Schulungen, Best Practices und Vorschriften

Compliance-Durchsetzungsbeauftragter

CISO oder CEO

Mitarbeitermanager und Vorgesetzte

Wirtschaftsprüfer und externe Aufsichtsbehörden

Anforderungen an die Datenschutzrichtlinie

Datenschutzdefinition

Schützen Sie sich proaktiv vor unbefugtem Zugriff auf personenbezogene Daten, sogenannte Personally Identifiable Information (PII).

Verhindern Sie unbefugten Zugriff auf persönliche oder vertrauliche Informationen

Um zu verhindern, dass Sie ohne Zustimmung oder Wissen beobachtet, überwacht oder inspiziert werden

Der IT-Sektor beschäftigt sich mit Datenschutz

Risikomanagementkonzepte verstehen und anwenden

Überblick

Die Ergebnisse des ersten Risikomanagements sind die Grundlage für die Formulierung von Sicherheitsstrategien

Nachfolgende Risikomanagementereignisse dienen der Verbesserung und Aufrechterhaltung der Sicherheitsinfrastruktur der Organisation

Komponenten des Risikomanagements:

Risikobewertung (Analyse)

Bewerten Sie die Eintrittswahrscheinlichkeit

Verluste, die nach der tatsächlichen Veröffentlichung verursacht wurden

Bewerten Sie die Kosten verschiedener Risikokontrollmaßnahmen

Die Ergebnisse der oben genannten drei Punkte ordnen die Risikoprioritäten.

Risiko-Reaktion

Nutzen Sie eine Kosten-Nutzen-Analyse

Bewerten Sie Risikokontrollen, Schutzmaßnahmen und Sicherheitskontrollen

Setzen Sie ausgewählte entsprechende Maßnahmen in der IT-Infrastruktur ein und beschreiben Sie diese im Sicherheitsrichtliniendokument

Risikobewusstsein

Risikobegriffe und -konzepte

Vermögensbewertung

Identifizieren Sie Bedrohungen und Schwachstellen

Risikobewertung/-analyse

Quantitative Analyse

Berechnen Sie Vermögensverluste anhand des tatsächlichen Geldwerts auf der Grundlage mathematischer Berechnungen

Qualitative Analyse

Stellen Sie Vermögensverluste in subjektiver und immaterieller Hinsicht dar und berücksichtigen Sie dabei Meinungen, Gefühle, Intuition, Vorlieben, Gedanken und Bauchreaktionen

Qualitative Risikoanalysetechniken

Szenen

Delphi-Technologie

Anonymer Feedback- und Antwortprozess, keine Diskriminierung aufgrund der Quelle der Idee

Quantitative Risikoanalyse

Schritt

Belichtungsfaktor EF

Auch potenzieller Verlust genannt, ausgedrückt als Prozentsatz, Nutzung interner Daten, Durchführung statistischer Analysen, Konsultation der Öffentlichkeit, Abonnieren eines Risikobuchs/-registers, Zusammenarbeit mit Beratern, Nutzung von Risikomanagementsoftware

Einzelverlusterwartung SLE

SLE = Vermögenswert (AV) * Risikofaktor (EF)

Jährliche Vorkommensrate ARO

Jährlicher erwarteter Verlust ALE

ALE=First Loss Expectation (SLE)*Annual Occurrence Rate (ARO)=AV*EF*ARO

Risiko-Reaktion

Risikominderung (Reduktion)

Implementieren Sie Schutzmaßnahmen, Sicherheitskontrollen und Sicherheitsgegenmaßnahmen, um Schwachstellen zu reduzieren oder zu beseitigen oder Bedrohungen zu verhindern

Risikoübertragung

Kaufen Sie Cybersicherheit, Versicherungen und Outsourcing

Risikoabschreckung

Führen Sie Audits, Überwachungskameras, Warnbanner durch und setzen Sie Sicherheitspersonal ein

Risikoaversion

Alternative auswählen

Risikoakzeptanz

Verlust akzeptieren

Risikoablehnung

Risiken leugnen oder ignorieren

Gesamtrisiko = Bedrohung * Schwachstelle * Vermögenswert Gesamtrisiko – Kontrolllücke = Restrisiko

Risikomanagement ist kein einmaliges Ereignis

Kosten und Nutzen von Sicherheitskontrollen

Der Wert der Schutzmaßnahme für das Unternehmen = ALE vor Umsetzung der Schutzmaßnahme – ALE nach Umsetzung der Schutzmaßnahme – Jährliche Kosten der Schutzmaßnahme ACS

ALE1-ALE2-ACS

Die besten Sicherheitsmaßnahmen, die kostengünstigste

Sicherheitsmaßnahmen auswählen und umsetzen

Einstufung

Administrative Kontrollen

Dazu gehören: Richtlinien, Verfahren, Einstellungspraktiken, Hintergrundüberprüfungen, Datenklassifizierung und -kennzeichnung, Sicherheitsbewusstsein und -schulung, Berichterstattung und Überprüfung, Arbeitsüberwachung, Personalkontrollen und Tests

Logische/technische Kontrollen

Beinhaltet: Authentifizierung, Verschlüsselung, eingeschränkte Schnittstellen, Zugriffskontrolllisten, Protokolle, Firewalls, Router, Systeme zur Erkennung von Eindringlingen und Schwellenwerte

physikalische Kontrollmaßnahmen

Unterthema

Anwendbare Steuerungstypen

vorbeugende Kontrolle

IPS

Abschreckungskontrolle

Richtlinien, Schulungen zum Sicherheitsbewusstsein, Schlösser, Zäune, Sicherheitsschilder, Sicherheitspersonal, Zugangskontrollfoyers und Sicherheitskameras

Erkennungskontrolle

IDS

Vergütungskontrolle

korrigierende Kontrolle

die Kontrolle wiederherstellen

Befehlskontrolle

Bewertung der Sicherheitskontrolle

Bewerten Sie einzelne Mechanismen der Sicherheitsinfrastruktur anhand von Basislinien oder Zuverlässigkeitserwartungen

Kann als Ergänzung zum Penetrationstest oder zur Schwachstellenbewertung verwendet werden

Auch als vollständige Sicherheitsbewertung erhältlich

Überwachung und Messung

Risikoberichterstattung und -dokumentation

Inhalte des Risikoregisters

Identifizierte Risiken

Bewerten Sie die Schwere dieser Risiken und priorisieren Sie sie

Entwickeln Sie Maßnahmen, um Risiken zu reduzieren oder zu beseitigen

Verfolgen Sie den Fortschritt bei der Risikominderung

weiter verbessern

Risk Maturity Model (RMM) Bewertung des Enterprise Risk Management ERM-Programms

RMM-Ebene

Anfangslevel

Vorbereitungsniveau

Definitionsebene

Gemeinsamer oder standardisierter Risikorahmen

Integrierte Ebene

Die Risikomanagementaktivitäten sind in die Geschäftsprozesse integriert

Optimierungsgrad

Ziele

Altlastenrisiko

EOL

EOSL

Risikorahmen

RMF-Risikomanagement-Framework

Verbindliche Standards für Bundesbehörden

Es gibt sechs zyklische Phasen im RMF

Bereiten Sie sich aus Sicht der Organisation und des Systems vor, indem Sie den Kontext und die Prioritäten für das Management von Sicherheits- und Datenschutzrisiken festlegen RMF ausführen

Klassifizierung Klassifiziert Systeme und die Informationen, die sie verarbeiten, speichern und übertragen, basierend auf einer Analyse der Auswirkungen des Verlusts.

Auswahl Wählen Sie einen anfänglichen Satz von Anbindungen für das System aus und passen Sie die Kontrollen nach Bedarf an, um das Risiko auf der Grundlage der Risikobewertung auf einen akzeptablen Wassertrockenheitsgrad zu reduzieren.

Implementieren Implementieren Sie das Steuerelement und beschreiben Sie, wie es innerhalb des Systems und seiner Betriebsumgebung verwendet wird.

Bewertung: Bewerten Sie die Kontrollen, um festzustellen, ob die Kontrollen korrekt implementiert sind, wie erwartet funktionieren und die erwarteten Ergebnisse liefern, die den Sicherheits- und Datenschutzanforderungen entsprechen.

Autorisierung Autorisiert Systeme oder gemeinsame Kontrollen auf der Grundlage der Feststellung, dass Risiken für den Betrieb und die Vermögenswerte der Organisation, Einzelpersonen, andere Organisationen und Länder akzeptabel sind.

Die Überwachung umfasst die Bewertung der Kontrollwirksamkeit, die Aufzeichnung von Änderungen an Systemen und Betriebsumgebungen, die Durchführung von Risikobewertungen und Auswirkungsanalysen sowie die Berichterstattung über den Sicherheits- und Datenschutzstatus von Systemen

CSF Cyber Security Framework

Entwickelt für Infrastruktur- und kommerzielle Organisationen

soziale Entwicklung

Der effektivste Weg zur Abwehr von Social-Engineering-Angriffen

Benutzerschulung

Aufklärungsarbeit

Prinzip

Behörde

Einschüchterung

Konsens

Knappheit

vertraut

Vertrauen

Dringlichkeit

Informationen erhalten

Präposition

Phishing

Speerfischen

Phishing-Wal

SMS-Phishing

Sprach-Phishing

Spam

Schulterblick

Rechnungsbetrug

Unfug

Fälschung und Verschleierung

Tailgating und Huckepack

Müllsuche

Identitätsbetrug

Falsch gedruckter Domainname

Einfluss auf die Bewegung nehmen

Hybride Kriegsführung

sozialen Medien

Einrichtung und Aufrechterhaltung von Sicherheitsbewusstseins-, Bildungs- und Schulungsprogrammen

Sicherheitsbewusstsein

Voraussetzungen für eine Sicherheitsschulung

Ausbildung

erziehen

Verbessern

Ändern Sie den Fokus der Ziele, manchmal auf den Einzelnen, manchmal auf den Kunden, manchmal auf die Organisation

Ändern Sie die Reihenfolge und den Schwerpunkt der Themen. Einmal geht es um Social Engineering, beim nächsten Mal um Gerätesicherheit und beim nächsten Mal um etwas anderes.

Verschiedene Präsentationsmethoden

Lassen Sie die Teilnehmer im Rollenspiel Angreifer und Verteidiger spielen, sodass verschiedene Personen Ideen für den Umgang mit Angriff und Verteidigung einbringen können.

Entwickeln und fördern Sie Sicherheitsführer

Gamification bereichert und verbessert das Training

Ermutigung und Bestrafung

Erhöhen Sie die Beteiligung Ihrer Mitarbeiter an Schulungen

Verständnis steigern

Weitere Verbesserungen: Capture-the-Flag-Übungen, simuliertes Phishing, computerbasiertes Training (CBT) und rollenbasiertes Training

Wirksamkeitsbewertung

Nehmen Sie neue Methoden und Techniken an

regulär

2-Prüfungsschwerpunkte

1. Verstehen Sie, dass Menschen ein entscheidender Faktor für die Sicherheit sind

2. Verstehen Sie die Bedeutung der Stellenbeschreibung

3. Verstehen Sie die Sicherheitsauswirkungen der Einstellung neuer Mitarbeiter

4. Onboarding und Offboarding verstehen

5. Verstehen Sie das Prinzip der geringsten Privilegien

6. Verstehen Sie die Notwendigkeit von Geheimhaltungsvereinbarungen (NDA)

7. Mitarbeiteraufsicht verstehen

8. Verstehen Sie die Notwendigkeit eines Zwangsurlaubs

9. UBA und UEBA verstehen

10. Personaltransfers verstehen

11. Erklären Sie geeignete Kündigungsstrategien

12. Verstehen Sie die Kontrollen von Lieferanten, Beratern und Auftragnehmern

13. Verstehen Sie die Einhaltung von Richtlinien

14. Verstehen Sie, wie Datenschutz in die IT-Sicherheitslandschaft passt

15. Fähigkeit, das allgemeine Risikomanagement zu definieren

16. Risikoanalyse und damit verbundene Elemente verstehen

17. Wissen, wie man Bedrohungen einschätzt

18. Qualitative Risikoanalyse verstehen

19.Delphi-Technologie verstehen

20. Quantitative Risikoanalyse verstehen

21. Jess Exposure Factor (EF)-Konzept

22. Verstehen Sie die Bedeutung und Berechnungsmethode der Einzelverlusterwartung (SLE).

23. Die jährliche Ereignisrate (ARO) verstehen

24. Verstehen Sie die Bedeutung und Berechnung der jährlichen Verlusterwartung (ALE)

25. Verstehen Sie die Formel zur Bewertung von Schutzmaßnahmen

26. Verstehen, wie man mit Risiken umgeht

27. Erklären Sie das Gesamtrisiko, das Beteiligungsrisiko und die Kontrolllücken

28. Kontrolltypen verstehen

29. Kontrolltypen verstehen

30. Security Control Assessment (SCA) verstehen

31. Verstehen Sie Sicherheit, Gesundheit und Messung

32. Risikoberichterstattung verstehen

33. Verstehen Sie die Notwendigkeit einer kontinuierlichen Verbesserung

34. Verstehen Sie das Risikoreifemodell

35. Verstehen Sie Legacy-Risiken und Sicherheitsrisiken

36. Verstehen Sie den Risikorahmen

37. Social Engineering verstehen

38. Verstehen Sie, wie Schulungen, Schulungen und Schulungen zum Sicherheitsbewusstsein durchgeführt werden

39. Lernen Sie Sicherheitsführer kennen

40. Gamification verstehen

41. Verstehen Sie die Notwendigkeit regelmäßiger Inhaltsüberprüfungen und Wirksamkeitsbewertungen

Wichtige Übungen

1. Vermögenswert – alles, was in einem Geschäftsprozess oder einer Geschäftsaufgabe verwendet wird Bedrohung – jedes potenzielle Ereignis, das nachteilige Auswirkungen oder unbeabsichtigte Folgen für eine Organisation oder einen bestimmten Vermögenswert haben könnte Sicherheitslücke – Eine Schwachstelle eines Vermögenswerts oder die Schwäche oder das Fehlen von Schutzmaßnahmen Gefährdet – Anfällig für Vermögensverlust aufgrund einer Bedrohung, mit der Möglichkeit, dass die Schwachstelle ausgenutzt werden kann oder wird Risiko – Die Wahrscheinlichkeit oder Wahrscheinlichkeit, dass eine Bedrohung eine Schwachstelle ausnutzt, um einem Vermögenswert Schaden zuzufügen, und die Schwere des Schadens, der verursacht werden kann

2. Sicherheitsbesprechungen konzentrieren sich auf die Definition des Vermögenswerts, die Entwicklung einer Liste von Bedrohungen, die Vorhersage des spezifischen Schadensniveaus, das ein Verstoß verursachen würde, und die Bestimmung, wie oft eine Bedrohung das Unternehmen pro Jahr stören könnte. Was ist das: Eine qualitative Risikobewertung B Delphi-Technologie C Risikoaversion D Quantitative Risikobewertung

Richtige Antwort: D

3. Welche der folgenden Risikodefinitionen sind gültig: A Eine Einschätzung der Wahrscheinlichkeit, Wahrscheinlichkeit oder des Zufalls B Alles, was eine Schwachstelle beseitigt oder vor einer oder mehreren spezifischen Bedrohungen schützt C-Risiko = Bedrohung * Schwachstelle D jede exponierte Instanz E Das Vorhandensein von Schwachstellen bei Vorliegen relevanter Bedrohungen

Richtige Antwort: ACD

4. Das Unternehmen installiert eine neue Webanwendung auf einem öffentlichen Webserver. Hacker nutzten den neuen Code aus und verschafften sich Zugriff auf die auf dem System gehosteten Datendateien. veranschaulichen: Ein inhärentes Risiko B-Risikomatrix C Qualitative Beurteilung D Restrisiko

Richtige Antwort: A Risiken, die bestehen, bevor Risikomanagementarbeiten durchgeführt werden

5. Die Organisation ist auf der Suche nach einem neuen Geschäftspartner, der mehrere organisatorische Sicherheitsanforderungen definiert hat, die erfüllt werden müssen, bevor ein SLA und ein Business Partner Agreement (BPA) unterzeichnet werden. Eine davon verlangt von Organisationen, dass sie den Implementierungsgrad eines Risikoreifemodells nachweisen. Insbesondere muss ein gemeinsamer oder standardisierter Risikorahmen verabschiedet werden. Diese Ebene gehört zu: Eine Vorbereitungsstufe B-integriertes Niveau C-Definitionsebene D Optimierungsstufe

Richtige Antwort: C Anfangslevel – Chaos Vorbereitungsniveau – erster Versuch, kann je nach Abteilung unterschiedlich sein Definitionsebene – gemeinsames, standardisiertes Risikorahmenwerk Integrationsebene – Risikomanagementvorgänge sind in Geschäftsprozesse integriert und Risiko wird als Element strategischer Geschäftsentscheidungen betrachtet Optimierungsebene – Das Risikomanagement konzentriert sich auf das Erreichen von Zielen und nicht nur auf die Reaktion auf Bedrohungen, auf den Geschäftserfolg und nicht auf die Vermeidung von Unfällen. Es kann aus Erfahrungen lernen und diese in den Risikomanagementprozess einbeziehen

6. Das Risk Management Framework (RMF) stellt Spezifikationen für das Management von Sicherheits- und Datenschutzrisiken bereit, einschließlich der Klassifizierung der Informationssicherheit, der Kontrollauswahl, Implementierung und Bewertung, der System- und allgemeinen Kontrollautorisierung sowie einer Abfolge von sieben Schritten oder Phasen. Welche Phase von RMF konzentriert sich auf die Feststellung, ob System- oder allgemeine Kontrollen angemessen sind, basierend auf den Risiken für den Betrieb und die Vermögenswerte der Organisation, Einzelpersonen und ihre Bereiche? A. Klassifizierung B.Autorisierung C.Bewertung D.Überwachung

Richtige Antwort: B RME-Stufe (0) ist die Autorisierung von Systemen oder gemeinsamen Kontrollen auf der Grundlage der Feststellung, dass Risiken für den Betrieb und die Vermögenswerte der Organisation, Einzelpersonen, andere Organisationen und Länder akzeptabel (oder angemessen) sind. Die Phasen von RMF umfassen: (1) Vorbereitung, (2) Klassifizierung, (3) Auswahl, (4) Implementierung, (5) Bewertung, (6) Investition und (7) Überwachung. (A) ist die RMF-Stufe (2), die sich auf die Klassifizierung von Systemen und den vom System verarbeiteten, gespeicherten und übermittelten Informationen auf der Grundlage der Analyse der Auswirkungen des Verlusts bezieht. (C) ist die RMF-Stufe (5), in der die Kontrollen bewertet werden, um festzustellen, ob sie korrekt implementiert sind, wie erwartet funktionieren und erwartete Ergebnisse liefern, die den Sicherheits- und Datenschutzanforderungen entsprechen. ①D) ist die RMF-Stufe (⑦), die das System und die zugehörigen Kontrollen kontinuierlich überwacht, einschließlich der Bewertung der Kontrollwirksamkeit, der Aufzeichnung von Änderungen am System und der Betriebsumgebung, der Durchführung von Risikobewertungen und Auswirkungsanalysen sowie der Berichterstattung über den Sicherheits- und Datenschutzstatus des Systems System.

7. Welche der folgenden Möglichkeiten kann als Social-Engineering-Angriff eingestuft werden? (Alle Zeilen gleichzeitig auswählen.) Ein A-Benutzer meldet sich an seinem Arbeitsplatz an und kauft eine Limonade am Automaten im Treppenhaus. Während dieser Benutzer nicht an seinem Arbeitsplatz ist, setzt sich eine andere Person an seinen Schreibtisch und kopiert alle Dateien im lokalen Ordner auf die Netzwerkfreigabe. B Sie erhalten eine E-Mail mit der Warnung, dass sich eine gefährliche neue Krankheit im Internet verbreitet. Diese Meldung weist Sie darauf hin, eine bestimmte Datei auf Ihrer Festplatte zu suchen und zu löschen, da sie auf das Vorhandensein eines Virus hinweist. Website C gibt an, vorübergehend kostenlosen Zugang zu ihren Produkten und Dienstleistungen zu bieten, erfordert jedoch, dass Sie die Konfiguration Ihres Webbrowsers und/oder Ihrer Firewall ändern, bevor Sie die Zugangssoftware herunterladen können. Sekretär D erhielt einen Anruf von einem Anrufer, der behauptete, ein Kunde zu sein, der sich später mit dem CEO treffen müsse. Der Anrufer möchte die persönliche Mobiltelefonnummer des CEO, damit er oder sie den CEO anrufen kann.

Richtige Antwort: BCD Die in Option A beschriebene Aktivität nutzt lediglich die Gelegenheit des Opfers, sich zu entfernen. Es handelt sich um einen opportunistischen Zugriffsangriff und nicht um einen Social-Engineering-Angriff, da keine Interaktion mit dem Opfer stattfindet. Die in den Optionen B (Streich), C (Phishing, Streich, Watering-Hole-Angriff) und D (Voice-Phishing) beschriebenen Aktivitäten sind alle Teil eines Social-Engineering-Angriffs.

8. Typischerweise ist __ das Mitglied des Teams, das über die Verantwortung für die Anwendung und Integration von Sicherheitskonzepten im Team entscheidet (oder ihm zugewiesen wird). bei Arbeitstätigkeiten. __Oftmals wird nicht sicherheitsrelevantes Personal damit beauftragt, andere dazu zu inspirieren, mehr Sicherheitspraktiken zu unterstützen und einzuführen Verhaltenspflichten. A.Chief Information Security Officer B. Sicherheitsleiter C.Sicherheit des Fahrzeugführers D. Depotbank

Richtige Antwort: B Die richtige Antwort ist Sicherheitsführer. Ein Sicherheitsleiter ist normalerweise ein Mitglied eines Teams, das beschließt (oder dazu ermutigt wird), Sicherheitskonzepte in die Arbeitsaktivitäten des Teams anzuwenden und zu integrieren. Ein Sicherheitsleiter ist normalerweise eine Person, die nicht im Sicherheitsbereich tätig ist und andere dazu inspiriert, mehr Sicherheitspraktiken zu unterstützen und einzuführen. Keine der anderen Optionen ist korrekt. Der CISO oder Chief Security Officer verwaltet Sicherheitsprotokolle und überprüft die Prüfprotokolle auf Anzeichen von Verstößen in einem IT-Container, der entsprechend der vom Eigentümer vorgegebenen Verteilung entsprechende Sicherheit bietet.