Anmeldung
Anmelden

Mindmap-Galerie CISSP-Studiennotizen-1 (Grundsätze und Strategien zur Implementierung von Security Governance)

CISSP-Studiennotizen-1 (Grundsätze und Strategien zur Implementierung von Security Governance)

Die Studiennotizen und die Analyse wichtiger Übungen in Kapitel 1 von CISSP Safety and Risk Management sind voller nützlicher Informationen. Ich hoffe, dass sie für alle hilfreich sind!

Bearbeitet um 2024-01-19 11:22:47

Deu-Martina

Aktuelle Werke Weitere Werke anzeigen>>

CISSP-Studiennotizen-1 (Grundsätze und Strategien zur Implementierung von Security Governance)

Deu-Martina

Aktuelle Werke Weitere Werke anzeigen>>

Für Sie empfohlen
Gliederung

Prävention in der ASLI
- 1
WSTP4Bhw
Rote Linie des Qualitätsmanagements
Deu-Martina
CISSP-Studiennotizen – Domäne 7 (Sicherheitsoperationen)
- 1
Deu-Martina
CISSP-Studiennotizen – Domäne 6 (Sicherheitsbewertung und -tests)
- 1
Deu-Martina
CISSP-Studiennotizen – Domäne 4 (Kommunikation und Netzwerksicherheit)
- 1
Deu-Martina
CISSP-Studiennotizen – Domäne 3 (Sicherheitsarchitektur und -technik)
- 1
Deu-Martina
CISSP-Studiennotizen-21 (Schädlicher Code und Anwendungsangriffe)
- 1
Deu-Martina
CISSP-Studiennotizen-19 (Untersuchung und Ethik)
Deu-Martina
CISSP-Studiennotizen-20 (Softwareentwicklungssicherheit)
- 1
Deu-Martina
CISSP-Studiennotizen-18 (Disaster Recovery Plan)
Deu-Martina

CISSP-Studiennotizen-1 (Grundsätze und Strategien zur Implementierung von Security Governance)

Domäne 1 – Sicherheit und Risikomanagement

CIA-Triplett

Sicherheitskonzepte verstehen und anwenden

Vertraulichkeit:

Ziel – Unbefugten Zugriff auf Daten verhindern oder minimieren, autorisierten Zugriff schützen und gleichzeitig Datenlecks verhindern

Verwandte Konzepte, Bedingungen und Eigenschaften

Empfindlichkeit

Merkmale von Informationen, die bei Datenlecks zu Schäden oder Verlusten führen können

Beurteilung

Urteilen ist ein Entscheidungsverhalten – der Bediener kann Informationslecks beeinflussen oder kontrollieren, um Schäden oder Verluste zu minimieren.

kritisch

Ein Maß für die Kritikalität. Je höher die Stufe, desto größer ist die Notwendigkeit der Vertraulichkeit von Zeitungsinformationen.

verstecken

Der Akt des Verheimlichens oder Verhinderns einer Offenlegung.

Vertraulich

Vertraulichkeit wahren oder Informationslecks verhindern

Privatsphäre

Bewahren Sie vertrauliche Informationen auf, die persönlich identifizierbar sind oder die anderen schaden oder in Verlegenheit bringen könnten

Isolieren

Strenge Zugangskontrolle

Isolierung

der Akt der Trennung zwischen Dingen

Empfindlichkeit, 2 versteckt, 2 getrennt, 1 garantiert

Integrität

Schützen Sie die Zuverlässigkeit und Integrität Ihrer Daten

Vollständigkeit prüfen

Verhindern Sie Änderungen durch Unbefugte

Verhindern Sie unbefugte Änderungen durch autorisierte Personen

Halten Sie das Objekt intern und extern konsistent, damit die Daten des Objekts wirklich die reale Welt widerspiegeln können und die Verbindung mit anderen Objekten effektiv, konsistent und überprüfbar ist

Verwandte Konzepte, Bedingungen und Eigenschaften

Genauigkeit

korrekt und präzise

Authentizität

Spiegelt wirklich die Realität wider

Wirksamkeit

Eigentlich (logisch) richtig

Rechenschaftspflicht

Seien Sie verantwortlich und rechenschaftspflichtig für Handlungen und Ergebnisse

Verantwortlichkeiten

jemanden oder etwas in die Hand nehmen oder kontrollieren

Integrität

Verfügt über alle notwendigen Komponenten und Teile

Vollständigkeit

Vollständiger Umfang, einschließlich aller erforderlichen Elemente

5. Art (Richtigkeit und Vollständigkeit) 2. Verantwortung (Rechenschaftspflicht)

Verfügbarkeit

Autorisierten Subjekten wird in Echtzeit ununterbrochener Zugriff auf Objekte gewährt

Verwandte Konzepte, Bedingungen und Eigenschaften

Verfügbarkeit

Ein Zustand, der vom Subjekt genutzt, erlernt und kontrolliert werden kann

Barrierefreiheit

Ein Subjekt kann mit einer Ressource interagieren, unabhängig von den Fähigkeiten oder Einschränkungen des Subjekts

Aktualität

Schnell, pünktlich und innerhalb einer angemessenen Zeit reagieren

2 kann 1 erreichen

Authentizität

Nichtabstreitbarkeit

DAD, Überschutz, Authentizität, Nichtabstreitbarkeit und AAA-Dienste

DAD-Triple: Lecken, modifizieren, zerstören

überfürsorglich

Überfürsorgliche Vertraulichkeit – begrenzte Verfügbarkeit

Überfürsorgliche Integrität – begrenzte Verfügbarkeit

Überfürsorgliche Verfügbarkeit – Vertraulichkeit und Integrität eingeschränkt

Authentizität

Die Daten sind glaubwürdig und nicht gefälscht

Nichtabstreitbarkeit

AAA

Kernsicherheitsmechanismus Authentifizierung, Autorisierung, Abrechnung

Logo

Identitätszeichen

Authentifizierung

Identität überprüfen

Autorisieren

Zugriffsberechtigung

Prüfung

Protokollieren Sie Ereignisse und Aktivitäten

Buchhaltung (Rechenschaftspflicht)

Überprüfen Sie Compliance und Verstöße anhand von Protokolldateien

Anforderungen an die Rechenschaftspflicht

Schutzmechanismus

Tiefenverteidigung (mehrschichtige Verteidigung)

Mehrere Schutzkontrollen, ein einziger Fehler führt nicht zu einer Gefährdung des Systems oder der Daten

Verwenden Sie eine serielle Schicht, keine parallele Schicht

abstrakt

Ähnliche Elemente werden in Gruppen, Klassen und Rollen eingeordnet und als Sammlungen sicher gesteuert

Einführung von Objektgruppen (Klassen) und Zuweisung von Zugriffs- und Bedienrechten basierend auf Objektgruppen

Daten verstecken

Verhindern Sie, dass Daten verloren gehen oder darauf zugegriffen wird, indem Sie die Daten in einem logischen Speicherbereich ablegen, auf den der Betroffene nicht zugreifen oder ihn lesen kann.

Verhindern Sie unbefugten Zugriff und verhindern Sie, dass Subjekte auf niedriger Ebene auf Daten auf hoher Ebene zugreifen

Merkmale mehrstufiger Sicherheitssysteme

Verschlüsselung

Sicherheitsgrenze

Definieren Sie die vom Subjekt am Objekt ausgeführten Funktionen. Die Sicherheitsgrenzen zwischen verschiedenen Kategorien sind

Es gibt auch Sicherheitsgrenzen zwischen der physischen Umgebung und der logischen Umgebung. Die Sicherheitsgrenzen der physischen Umgebung und der logischen Umgebung entsprechen normalerweise einander.

Sicherheitsgrenzen sollten klar definiert sein

Bei der Umsetzung von Sicherheitsrichtlinien in tatsächliche Kontrollen müssen jede Umgebung und jede Sicherheitsgrenze separat betrachtet, der Wert des zu schützenden Objekts abgewogen und der entsprechende Schutz angepasst werden

Sicherheits-Governance-Grundsätze bewerten und anwenden

Sicherheits-Governance: Die Reihe von Praktiken, die die Sicherheitsbemühungen einer Organisation unterstützen, bewerten, definieren und leiten

Governance durch Dritte: Gesetze, Vorschriften, Branchenstandards, vertragliche Verpflichtungen oder Lizenzanforderungen

Dokumentenprüfung:

Sicherheitsfunktionen verwalten

Sicherheitsfunktionen im Einklang mit der Geschäftsstrategie, den Zielen, der Mission und dem Zweck

Ansatz: Top-down – das Sicherheitsmanagement liegt in der Verantwortung des oberen Managements

Inhalt des Sicherheitsmanagementplans: Definieren Sie Sicherheitsrollen, legen Sie fest, wie die Sicherheit verwaltet wird, wer für die Sicherheit verantwortlich ist und wie die Wirksamkeit der Sicherheit überprüft wird, formulieren Sie Sicherheitsrichtlinien, führen Sie Risikoanalysen durch und führen Sie Sicherheitsschulungen durch

Sicherheitsmanagementplan

Strategischer Plan

Langfristiger Plan, 5 Jahre, inklusive Risikobewertung

taktischer Plan

Mittelfristiger Plan, 1 Jahr, Projektplan, Akquisitionsplan, Rekrutierungsplan, Budgetplan, Wartungsplan, Entwicklungsplan, Supportplan

Operationsplan

kurzfristiger Plan

Organisationsprozess

Organisatorische Rollen und Verantwortlichkeiten

Senior Manager

Sie sind letztendlich für die Aufrechterhaltung der organisatorischen Sicherheit verantwortlich und konzentrieren sich auf den Schutz der Vermögenswerte der Organisation.

Sicherheitsexperten

Implementierer, einschließlich der Erstellung und Durchsetzung von Sicherheitsrichtlinien, haben funktionale Verantwortlichkeiten

Vermögenseigentümer

Depotbank

Benutzer

Wirtschaftsprüfer

Verantwortlich für die Überprüfung und Verifizierung, ob Sicherheitsrichtlinien korrekt umgesetzt werden und ob zugehörige Sicherheitslösungen vollständig sind

Sicherheitskontrollrahmen

Der erste Schritt in der Sicherheitsplanung

Das am weitesten verbreitete Framework: Kontrollziele für Informations- und verwandte Technologien – COBIT

COBIT-Grundsätze

Schaffen Sie Mehrwert für Stakeholder

Ganzheitliche Analyse

dynamisches Governance-System

Trennen Sie Governance und Management

Auf Geschäftsanforderungen zugeschnitten

Führen Sie ein durchgängiges Governance-System ein

Weitere IT-Standards und Richtlinien

NIST SP 800-53 Rev.5

Zentrum für Internetsicherheit-CIS

NIST Risk Management Framework-RMF

NIST Cybersecurity Framework-CSF

ISO/IEC 27000

Bibliothek zur Implementierung der Informationstechnologie-Infrastruktur – ITIL

Sorgfalt und Sorgfaltspflicht

gebotene Sorgfalt

Entwickeln Sie ein formelles Sicherheitsrahmenwerk, das Sicherheitsrichtlinien, Standards, Grundlinien, Richtlinien und Verfahren umfasst

bedeutet zu wissen, was zu tun ist, und einen Plan dafür zu erstellen

Due Diligence

Wenden Sie kontinuierlich Sicherheits-Frameworks auf die IT-Infrastruktur des Unternehmens an

ergreift die richtigen Maßnahmen zur richtigen Zeit

Betriebssicherheit

Kontinuierliche Umsetzung der gebotenen Sorgfalt und Due Diligence durch alle verantwortlichen Parteien innerhalb der Organisation

Sicherheitsrichtlinien, Standards, Verfahren und Richtlinien

Sicherheitsstrategie

Vier Komponenten: Richtlinien, Standards, Leitlinien und Verfahren

Standardisiertes Dokument der obersten Ebene

Sicherheitsstandards, Grundlinien und Richtlinien

Sicherheitsmassnahmen

Bedrohungsmodellierung

Der Sicherheitsprozess zur Identifizierung, Klassifizierung und Analyse von Bedrohungen

Identifizieren Sie Bedrohungen

STRIDE-Klassifizierungsmethode

Spoofing

Manipulation

Verleugnung-Ablehnung

Offenlegung von Informationen

Denial-of-Service-DoS

Erhöhung des Privilegs – Erhöhung des Privilegs

PASTA-Modellierungsmethode

VAST-Visualisierung, Agilität und einfache Bedrohungen

Identifizieren und kartieren Sie potenzielle Angriffe

Führen Sie eine vereinfachte Analyse durch

Fünf Schlüsselkonzepte für eine sichere Zersetzung

Vertrauensgrenze

Datenflusspfad

Eingabepunkt

Privilegierte Operationen

Sicherheitserklärung und Methodendetails

Priorisierung und Reaktion

DREAD-Bewertungssystem

möglichen Schaden

Reproduzierbarkeit

Verfügbarkeit

Betroffene Benutzer

Auffindbarkeit

Wenden Sie risikobasierte Managementkonzepte auf Lieferketten an

2-Prüfungsschwerpunkte

1. Verstehen Sie die CIA-Trias aus Vertraulichkeit, Integrität und Verfügbarkeit

2. Verstehen Sie, wie ID funktioniert

3. Verstehen Sie den Identitätsauthentifizierungsprozess

4. Verstehen Sie, wie Autorisierung in Sicherheitsprogrammen verwendet wird

5. Erklären Sie den Auditprozess

6. Verstehen Sie die Bedeutung der Rechenschaftspflicht

7. Erklären Sie die Nichtabstreitbarkeit

8. Verstehen Sie die Verteidigung im Detail

9. Fähigkeit, abstrakte Konzepte zu erklären

10. Verstehen Sie das Verstecken von Daten

11. Sicherheitsgrenzen verstehen

12. Sicherheits-Governance verstehen

13. Verstehen Sie die Governance durch Dritte

14. Dokumentenprüfung verstehen

15. Verstehen Sie Sicherheitsfunktionen im Einklang mit der Geschäftsstrategie, den Zielen, der Mission und dem Zweck

16. Geschäftsszenarien verstehen

17. Verstehen Sie den Sicherheitsmanagementplan

18. Verstehen Sie die Komponenten einer standardisierten Sicherheitsrichtlinie

19. Organisationsprozesse verstehen

20. Verstehen Sie wichtige Sicherheitsrollen

21. Verstehen Sie die Grundlagen von COBIT

22. Verstehen Sie die gebotene Sorgfalt und Sorgfalt

23. Verstehen Sie die Grundlagen der Bedrohungsmodellierung

24. Verstehen Sie die Risikomanagementkonzepte der Lieferkette

3-Wichtige Übungen und Analyse

1. Welche der folgenden Aussagen zur Sicherheitsgovernance ist richtig: A. Durch die Sicherheitsverwaltung wird sichergestellt, dass die angeforderte Aktivität oder der Zugriff auf das Subjekt angesichts der der authentifizierten Identität gewährten Rechte und Privilegien erreichbar ist. B. Bei der Sicherheitsverwaltung geht es um die Verbesserung der Effizienz. Ähnliche Elemente werden in Gruppen, Klassen oder Rollen platziert und als Sammlung werden Sicherheitskontrollen, Einschränkungen und Berechtigungen zugewiesen. C. Security Governance ist eine Reihe von Dokumenten, die Best Practices für die IT-Sicherheit dokumentieren. Es legt die Ziele und Anforderungen für Sicherheitskontrollen fest und regt dazu an, IT-Sicherheitsideen mit Geschäftszielen abzugleichen. D. Security Governance zielt darauf ab, alle Sicherheitsprozesse und Infrastruktur innerhalb einer Organisation anhand von Wissen und Erkenntnissen aus externen Quellen abzubilden

Richtige Antwort: D Untersuchen Sie die Auswirkungen der Sicherheitsgovernance: 1. Security Governance ist eine Sammlung von Praktiken im Zusammenhang mit der Unterstützung, Bewertung, Definition und Steuerung der Sicherheitsbemühungen einer Organisation 2. Optimal – Vorstandsvorsitzender, kleiner – CEO oder CISO 3. Security Governance zielt darauf ab, alle Sicherheitsprozesse und Infrastruktur innerhalb einer Organisation anhand von Wissen und Erkenntnissen aus externen Quellen abzubilden

2. Eine Organisation befindet sich in einer Phase der Geschäftsexpansion und erlebt eine große Anzahl von Fusionen und Übernahmen. Organisationen sind besorgt über die mit diesen Aktivitäten verbundenen Risiken. Welche der folgenden Risiken sind Beispiele für diese Risiken: A. Unangemessene Offenlegung von Informationen B. Verbesserung der Personalcompliance C. Datenverlust D. Herunterfahren E. Geben Sie ein, um die Beweggründe für Insider-Angriffe zu verstehen F. Keine angemessene Kapitalrendite erzielen

Richtige Antwort: ACDF Untersuchen Sie organisatorische Prozesse, jene bei Akquisitionen, Veräußerungen und Governance-Ausschüssen. 1. Fusionen und Übernahmen – 2. Veräußerung von Vermögenswerten, Reduzierung von Vermögenswerten und Personalabbau – Bereinigung von Vermögenswerten zur Verhinderung von Datenlecks, Löschung und Zerstörung von Speichermedien sowie Austrittsgespräche für Mitarbeiter

3. COBIT-Grundsätze: A. Einführung einer ganzheitlichen Analysemethode B. Einführung eines End-to-End-Governance-Systems C. Mehrwert für Stakeholder schaffen D. Authentizität und Verantwortlichkeit wahren E. Dynamisches Governance-System

Richtige Antwort: ABCE Untersuchen Sie die COBIT-Prinzipien

4. Die richtige Aussage zur Sorgfaltspflicht und Sorgfaltspflicht lautet: A. Unter gebührender Sorgfalt versteht man die Entwicklung von Plänen, Strategien und Verfahren zum Schutz der Interessen der Organisation B. Due Diligence ist die Entwicklung eines formellen Sicherheitsrahmens, der Sicherheitsrichtlinien, Standards, Grundlinien, Richtlinien und Verfahren schützt C. Sorgfalt ist die fortlaufende Anwendung eines Sicherheitsrahmens auf die IT-Infrastruktur der Organisation D. Unter Due Diligence versteht man die Ausübung jener Tätigkeiten, die eine sichere Arbeit gewährleisten E. Due Diligence bedeutet, zu wissen, was zu tun ist, und einen Plan dafür zu erstellen F. Sorgfalt bedeutet, die richtigen Maßnahmen zur richtigen Zeit zu ergreifen

Kämpfe um die Antwort: AD Untersuchungsräume sollten sorgfältig und mit der gebotenen Sorgfalt geprüft werden

5. Baseline – definiert das Mindestmaß an Sicherheit, das jedes System im gesamten Unternehmen erfüllen muss Richtlinie – Ein Dokument, das den von einer Organisation geforderten Sicherheitsumfang definiert, die zu schützenden Vermögenswerte und den erforderlichen Schutzgrad bespricht, den eine Sicherheitslösung bieten muss Standards – definieren verbindliche Anforderungen für die Konsistenz von Hardware, Software, Technologie und Sicherheitskontrollmethoden Verfahren – Ein detailliertes verteiltes Implementierungsdokument, das die spezifischen Aktionen beschreibt, die zur Implementierung eines bestimmten Sicherheitsmechanismus, einer bestimmten Kontrolle oder einer bestimmten Lösung erforderlich sind Anleitung – Bietet Ratschläge zur Umsetzung von Sicherheitsanforderungen und ist eine Anleitung für Sicherheitsexperten und Benutzer

7. Das Entwicklungsteam arbeitet an einem neuen Projekt. In den frühen Phasen der Entwicklung berücksichtigt das Team die Schwachstellen, Bedrohungen und Risiken der Lösung und integriert Schutzmaßnahmen, um unbeabsichtigte Folgen zu verhindern. Dies ist die Art von Bedrohungsmodellierungskonzept: A. Bedrohungsjagd B. Proaktiver Ansatz C. Qualitative Methoden D. Kontradiktorischer Ansatz

Richtige Antwort: B Proaktiver Bedrohungsmodellierungsansatz, auch bekannt als defensiver Ansatz Ein reaktiver oder gegnerischer Ansatz ist die Bedrohungsmodellierung nach der Produkterstellung und -bereitstellung, auch Threat Hunting genannt Qualitative Methoden sind Risikobewertungsmethoden

8. Cs Arbeitgeber bat ihn, eine Dokumentenprüfung der Richtlinien und Verfahren des Drittanbieters durchzuführen. C hat ein Problem mit dem Lieferanten festgestellt: Die Kommunikation war nicht verschlüsselt und eine Multi-Faktor-Authentifizierung war erforderlich. Wie hat C reagiert: A. Einen Bericht schreiben und ihn dem CEO vorlegen B. Stornieren Sie die ATO des Lieferanten C. Bitten Sie Lieferanten, ihre Bedingungen und Anforderungen zu überprüfen D. Lassen Sie die Lieferanten eine NDA unterzeichnen

Richtige Antwort: B

9. Welcher der folgenden Punkte ist ein risikozentrierter Ansatz zur Bedrohungsmodellierung, der darauf abzielt, Gegenmaßnahmen basierend auf dem Wert des zu schützenden Vermögenswerts auszuwählen oder zu entwickeln: A. VAST B. SD3 C C.PASTA D. SCHRITT

Richtige Antwort: C Der Angriffssimulations- und Bedrohungsanalyseprozess PASTA ist ein risikoorientierter Ansatz zur Auswahl bzw. Entwicklung von Schutzmaßnahmen, die sich am Wert der zu schützenden Vermögenswerte orientieren. Visuelle, agile und einfache Bedrohungen VAST ist ein Bedrohungsmodellierungskonzept, das Bedrohungs- und Risikomanagement auf skalierbarer Basis in agile Programmierumgebungen integriert Von Microsoft verwendetes SD3 C, sicheres Design, sichere Standardeinstellung, sichere Bereitstellung und Kommunikation, sicherer Entwicklungslebenszyklus SDL STRIDE ist ein von Microsoft entwickeltes Bedrohungsklassifizierungsschema

10. Der nächste Schritt bei der Bedrohungsmodellierung besteht in der Durchführung einer Reduzierungsanalyse, die auch als Profilierung der Anwendung, des Systems oder der Umgebung bezeichnet wird. Welche der folgenden Schlüsselkomponenten sind bei der Zerlegung zu identifizieren: A. Patch oder Versionsaktualisierung B. Vertrauensgrenzen C. Datenflusspfad D. Verwendung von offenem und geschlossenem Quellcode E. Eingabepunkt F. Privilegierte Operationen G. Sicherheitserklärung und Methodendetails

Richtige Antwort: BCEFG Fünf Schlüsselkonzepte der Zerlegung: Vertrauensgrenzen, Datenflusspfade, Einstiegspunkte, privilegierte Vorgänge und Details zu Sicherheitsansprüchen und -methoden

11. Verwandte Begriffe für die Tiefenverteidigung: Schichtung, Klassifizierung, Partitionierung, Domänenteilung, Isolation, Insel, Segmentierung, Gitterstruktur, Schutzring