Analityk ds. cyberbezpieczeństwa
Zgodność i ocena
1. Organizacja Victori obawia się, że użytkownicy końcowi nie rozumieją poziomów ochrony bezpieczeństwa, które mają zastosowanie do każdego rodzaju informacji, z którymi mają do czynienia. Jaka kontrola bezpieczeństwa najlepiej zaspokoi tę potrzebę?
A. Własność
B. Klasyfikacja
C. Retencja
D. Poufność
2. Ken dowiaduje się, że grupa APT atakuje jego organizację. Jaki termin najlepiej opisuje tę sytuację?
A. Ryzyko
B. Zagrożenie
C. Środek zaradczy
D. Podatność
3. Walt ocenia swoją organizację pod kątem ram bezpieczeństwa HIPAA. Reguła bezpieczeństwa HIPAA pozwala organizacji wybrać kontrole, które są odpowiednie dla środowiska biznesowego organizacji. Jaki termin najlepiej opisuje to podejście?
A. Nakazowy
B. Minimalny
C. Opcjonalne
D. Oparte na ryzyku
4. Które z poniższych działań jest najmniej prawdopodobne podczas procesu identyfikacji ryzyka?
A. Segmentacja sieci
B. Analiza zagrożeń
C. Skanowanie podatności
D. Oceny systemu
5. Jakie dwa czynniki mają największą wagę przy określaniu powagi ryzyka?
A. Prawdopodobieństwo i wielkość
B. Prawdopodobieństwo i prawdopodobieństwo
C. Wielkość i wpływ
D. Wpływ i kontrola
6. Badanie w tle przed zatrudnieniem jest przykładem jakiego rodzaju kontroli bezpieczeństwa?
A. Detektyw
B. Zapobiegawcze
C. Naprawcze
D. Kompensacja
7. Roland otrzymał raport z oceny bezpieczeństwa od zewnętrznego oceniającego, który wskazał, że jedna z aplikacji internetowych organizacji jest podatna na atak przekierowania OAuth. Jakiego typu ataku ta luka umożliwiłaby osobie atakującej przeprowadzenie?
A. Eskalacja uprawnień
B. Skrypty między witrynami
C. Wstrzyknięcie SQL
D. Podszywanie się
8. Niedawno Manish sprawdził, że kasy fiskalne w jego sklepach detalicznych drukują na paragonach tylko cztery ostatnie cyfry numerów kart kredytowych, zastępując wszystkie pozostałe cyfry gwiazdkami. Pokwitowanie zawiera nazwisko i podpis klienta. Jaki rodzaj kontroli wdrożył?
A. Tokenizacja
B. Oczyszczanie
C. Maskowanie
D. Deidentyfikacja
9. Renee przeprowadza due diligence potencjalnego sprzedawcę. Które z poniższych źródeł informacji byłoby dla niej najbardziej przydatne?
A. Broszura marketingowa
B. Rozmowa z zespołem ds. bezpieczeństwa dostawcy
C. Wyniki niezależnego audytu
D. Lista stosowanych standardów bezpieczeństwa
10. Który z poniższych celów jest najmniej istotny dla programów zgodności z HIPAA?
A. Poufność
B. Prywatność
C. Niezaprzeczalność
D. Dostępność
Pytania 11-13 odnoszą się do następującego scenariusza. Gary niedawno przeprowadził kompleksowy przegląd bezpieczeństwa swojej organizacji. Zidentyfikował 25 głównych zagrożeń dla organizacji i realizuje różne strategie zarządzania ryzykiem dla każdego z nich. W niektórych przypadkach używa wielu strategii, aby zająć się pojedynczym ryzykiem. Jego celem jest zmniejszenie ogólnego poziomu ryzyka tak, aby mieściło się ono w zakresie tolerancji ryzyka jego organizacji.
11. Gary postanawia, że organizacja powinna zintegrować źródło informacji o zagrożeniach z zaporą sieciową. Jaki to rodzaj strategii zarządzania ryzykiem?
A. Ograniczanie ryzyka
B. Akceptacja ryzyka
C. Przenoszenie ryzyka
D. Unikanie ryzyka
12. Gary odkrywa, że jego organizacja przechowuje stare pliki w usłudze w chmurze, które są wystawione na świat. Usuwa te pliki. Jaki to rodzaj strategii zarządzania ryzykiem?
A. Ograniczanie ryzyka
B. Akceptacja ryzyka
C. Przenoszenie ryzyka
D. Unikanie ryzyka
13. Gary współpracuje ze swoim zespołem finansowym nad zakupem polisy ubezpieczeniowej od odpowiedzialności cybernetycznej, aby pokryć finansowe skutki naruszenia danych. Jakiej strategii zarządzania ryzykiem używa?
A. Ograniczanie ryzyka
B. Akceptacja ryzyka
C. Przenoszenie ryzyka
D. Unikanie ryzyka
14. Sadiq jest dyrektorem ds. informatyki w średniej firmie i obawia się, że ktoś z zespołu IT może defraudować fundusze organizacji, modyfikując zawartość bazy danych w nieautoryzowany sposób. Jaka grupa mogłaby to zbadać, zapewniając najlepszą równowagę między kosztami, efektywnością i niezależnością?
A. Ocena wewnętrzna przez kierownika IT
B. Audyt wewnętrzny
C. Audyt zewnętrzny
D. Egzekwowanie prawa
15. Deepa niedawno zaakceptowała nowe stanowisko analityka cyberbezpieczeństwa w prywatnym banku. Która z poniższych regulacji będzie miała największy wpływ na jej program cyberbezpieczeństwa?
A. HIPAA
B. GLBA
C. FERPA
D. SOX
16. Alfonso sprawdza, w jaki sposób jego organizacja wykorzystuje dane osobowe i zapewnia, że są one zgodne z ujawnieniami zawartymi w ich polityce prywatności. Jaki termin najlepiej opisuje to działanie?
A. Przechowywanie danych
B. Usuwanie danych
C. Minimalizacja danych
D. Ograniczenie celu
17. Florian opracowuje strategię szyfrowania dla swojej organizacji. Wybiera długość klucza szyfrowania i decyduje, że wybierze krótszy klucz, aby zminimalizować zużycie procesora. Długość klucza jest zgodna ze standardami bezpieczeństwa jego organizacji, ale nie jest to maksymalna długość klucza obsługiwana przez urządzenie. Organizacja jest podmiotem objętym ustawą HIPAA. Które z poniższych stwierdzeń najlepiej opisuje to podejście?
A. Wprowadza to niepotrzebny poziom zagrożenia bezpieczeństwa, ponieważ nie wykorzystuje pełnych funkcji bezpieczeństwa urządzenia.
B. Jest to akceptowalny kompromis inżynieryjny.
C. Takie podejście prawdopodobnie narusza zasady bezpieczeństwa organizacji.
D. Niezależnie od tego, czy podejście narusza wewnętrzne zasady organizacji, prawdopodobnie jest to naruszenie HIPAA.
18. Brandy pracuje w organizacji, która przyjmuje strategię zarządzania usługami ITIL. Która podstawowa działalność ITIL obejmuje zarządzanie bezpieczeństwem jako proces?
A. Strategia obsługi
B. Projektowanie usług
C. Przejście usługi
D. Obsługa serwisowa
19. Jaki rodzaj ćwiczenia gromadzi zespoły w celu zaplanowania reakcji na hipotetyczną sytuację bez faktycznego aktywowania działań związanych z reagowaniem na incydent?
A. Przegląd listy kontrolnej
B. Ćwiczenie na stole
C. Test pełnego przerwania
D. Test równoległy
20. Oskar korzysta z usług dostawcy infrastruktury jako usługi (IaaS) i napotyka ograniczenia dotyczące regionów, z których może korzystać w ramach tej usługi. Jego organizacja obawia się, że umieszczanie danych w centrach danych znajdujących się na terenie Unii Europejskiej podlegałoby unijnemu Ogólnemu Rozporządzeniu o Ochronie Danych (RODO). Jakich problemów dotyczy ta polityka?
A. Minimalizacja danych
B. Suwerenność danych
C. Ograniczenie celu
D. Przechowywanie danych
21. Które z poniższych zdarzeń z najmniejszym prawdopodobieństwem wywoła przegląd programu bezpieczeństwa informacji organizacji?
A. Incydent bezpieczeństwa
B. Zmiany w zobowiązaniach dotyczących zgodności
C. Zmiany w składzie zespołu
D. Zmiany w procesach biznesowych
22. Która z poniższych strategii zarządzania ryzykiem najprawdopodobniej ograniczy prawdopodobieństwo wystąpienia ryzyka?
A. Akceptacja ryzyka
B. Unikanie ryzyka
C. Przenoszenie ryzyka
D. Ograniczanie ryzyka
23. Roger jest CISO średniej firmy produkcyjnej. Jego szefowa, CIO, wróciła niedawno ze spotkania zarządu, na którym przeprowadziła dogłębną dyskusję na temat cyberbezpieczeństwa. Jeden z członków zarządu, zaznajomiony z normami Międzynarodowej Organizacji Normalizacyjnej (ISO) w zakresie kontroli jakości produkcji, zapytał, czy istnieje norma ISO obejmująca cyberbezpieczeństwo. Która norma jest najbardziej odpowiednia dla pytania dyrektora?
A. ISO 9000
B. ISO 17799
C. ISO 27001
D. ISO 30170
Pytania 24-26 odnoszą się do następującego scenariusza: Martin opracowuje infrastrukturę bezpieczeństwa dla nowego przedsięwzięcia biznesowego, które rozpoczyna jego organizacja. Firma będzie opracowywać nowe produkty, które są uważane za tajemnice handlowe, a niezwykle ważne jest, aby plany dotyczące tych produktów nie wpadły w ręce konkurencji.
24. Martin chciałby podjąć kroki w celu potwierdzenia wiarygodności pracowników i uniknięcia sytuacji, w których pracownicy mogą być podatni na próby szantażu uzyskania planów. Która z poniższych kontroli byłaby najskuteczniejsza, aby osiągnąć ten cel?
A. Zapora sieciowa
B. System DLP
C. Dochodzenie w tle
D. Umowa o zachowaniu poufności
25. Martin chciałby zainstalować kontrolę sieci, która blokowałaby potencjalną eksfiltrację poufnych informacji z obiektu przedsięwzięcia. Która z poniższych kontroli byłaby najskuteczniejsza, aby osiągnąć ten cel?
A. IPS
B. System DLP
C. Zapora
D. IDS
26. Kilku pracowników będzie musiało podróżować z poufnymi informacjami na swoich laptopach. Martin obawia się, że jeden z tych laptopów może zostać zgubiony lub skradziony. Która z poniższych kontroli najlepiej chroni dane na skradzionych urządzeniach?
A. FDE
B. Silne hasła
C. Blokada kablowa
D. IPS
27. Saanvi chciałoby zmniejszyć prawdopodobieństwo naruszenia danych, które ma wpływ na wrażliwe dane osobowe. Która z poniższych kontroli z największym prawdopodobieństwem pozwoli osiągnąć ten cel?
A. Minimalizacja ilości zatrzymywanych danych i liczby miejsc ich przechowywania
B. Ograniczenie celów, do których dane mogą być wykorzystywane
C. Zakup ubezpieczenia od ryzyka cybernetycznego
D. Instalowanie nowej zapory
28. Kwame niedawno zakończył ocenę ryzyka i obawia się, że poziom ryzyka szczątkowego przekracza tolerancję ryzyka jego organizacji. Co powinien zrobić dalej?
A. Porozmawiaj ze swoim przełożonym
B. Wdrożenie nowych kontroli bezpieczeństwa
C. Zmodyfikuj procesy biznesowe, aby zmniejszyć ryzyko
D. Usuń dane z systemów
29. Która z poniższych nie jest jedną z czterech domen celów kontroli COBIT?
A. Planuj i organizuj
B. Nabyć i wdrożyć
C. Projekt i bezpieczeństwo
D. Dostarczanie i wsparcie
30. Mia odkrywa, że pracownik prowadzi działalność dodatkową w swoim biurze, korzystając z zasobów technologicznych firmy. Jaka polityka najprawdopodobniej zawierałaby informacje istotne dla tej sytuacji?
A. Umowa o zachowaniu poufności
B. AUP
C. Własność danych
D. Klasyfikacja danych
Pytania 31-36 odnoszą się do następującego scenariusza. Alan jest menedżerem ds. ryzyka w Acme University, instytucji szkolnictwa wyższego zlokalizowanej w zachodnich Stanach Zjednoczonych. Jest zaniepokojony zagrożeniem, że trzęsienie ziemi zniszczy główne centrum danych jego organizacji. Niedawno przeprowadził analizę kosztów wymiany i ustalił, że centrum danych jest wyceniane na 10 milionów dolarów. Po konsultacji z sejsmologami, Alan ustalił, że trzęsienie ziemi jest spodziewane w obszarze centrum danych raz na 200 lat. Specjaliści i architekci centrum danych pomogli mu ustalić, że trzęsienie ziemi prawdopodobnie spowodowałoby uszkodzenie obiektu o wartości 5 milionów dolarów.
31. W oparciu o informacje zawarte w tym scenariuszu, jaki jest współczynnik narażenia (EF) dla wpływu trzęsienia ziemi na centrum danych Uniwersytetu Acme?
A. 10%
B. 25%
C. 50%
D. 75%
32. W oparciu o informacje zawarte w tym scenariuszu, jaka jest roczna częstość występowania (ARO) trzęsienia ziemi w centrum danych?
A. 0,0025
B. 0,005
C. 0,01
D. 0,015
33. Na podstawie informacji z tego scenariusza, jaka jest roczna oczekiwana oczekiwana strata (ALE) w przypadku trzęsienia ziemi w centrum danych?
A. 25 000 $
B. 50 000 $
C. 250 000 $
D. 500 000 $
34. Odnosząc się do poprzedniego scenariusza, jeśli organizacja Alana zdecyduje się przenieść centrum danych do lokalizacji, w której trzęsienia ziemi nie stanowią zagrożenia, jaką strategię zarządzania ryzykiem stosuje?
A. Ograniczanie ryzyka
B. Unikanie ryzyka
C. Akceptacja ryzyka
D. Przenoszenie ryzyka
35. Odnosząc się do poprzedniego scenariusza, jeśli organizacja zdecyduje się nie przenosić centrum danych, ale zamiast tego zakupi polisę ubezpieczeniową na pokrycie kosztów wymiany centrum danych, jaką strategię zarządzania ryzykiem stosuje?
A. Ograniczanie ryzyka
B. Unikanie ryzyka
C. Akceptacja ryzyka
D. Przenoszenie ryzyka
36. Odnosząc się do poprzedniego scenariusza, załóżmy, że organizacja uzna, że relokacja jest zbyt trudna, a ubezpieczenie za drogie. Zamiast tego postanawiają, że będą kontynuować pomimo ryzyka trzęsienia ziemi i poradzą sobie z uderzeniem, jeśli ono nastąpi. Jakiej strategii zarządzania ryzykiem używają?
A. Ograniczanie ryzyka
B. Unikanie ryzyka
C. Akceptacja ryzyka
D. Przenoszenie ryzyka
37. Według schematu klasyfikacji danych rządu USA, który z poniższych jest najniższym poziomem informacji niejawnych?
A. Szeregowy
B. Ściśle tajne
C. Poufne
D. Tajemnica
38. W przypadku korzystania z systemu zapobiegania utracie danych (DLP), które z poniższych stwierdzeń najlepiej opisuje cel oznaczania danych za pomocą klasyfikacji?
A. Systemy DLP mogą dynamicznie dostosowywać klasyfikacje do zmieniających się potrzeb.
B. Systemy DLP mogą używać etykiet do stosowania odpowiednich zasad bezpieczeństwa.
C. Systemy DLP mogą używać etykiet do przeprowadzania kontroli dostępu do plików.
D. Systemy DLP mogą używać etykiet do wykonywania zadań minimalizacji danych.
39. Carlos przygotowuje politykę haseł dla swojej organizacji i chciałby, aby była w pełni zgodna z wymaganiami Payment Card Industry Data Security Standard (PCI DSS). Jaka jest minimalna długość hasła wymagana przez PCI DSS?
A. 7 znaków
B. 8 znaków
C. 10 znaków
D. 12 znaków
40. Colin chciałby wdrożyć kontrolę bezpieczeństwa w swoim dziale księgowości, która jest specjalnie zaprojektowana do wykrywania przypadków oszustw, które mogą wystąpić pomimo obecności innych kontroli bezpieczeństwa. Który z poniższych elementów sterujących najlepiej odpowiada potrzebom Colina?
A. Rozdzielenie obowiązków
B. Najmniejszy przywilej
C. Podwójna kontrola
D. Obowiązkowe wakacje
41. Singh chciałby zastosować szyfrowanie w celu ochrony danych przesyłanych z jego serwera internetowego do zdalnych użytkowników. Jaka technologia najlepiej spełni tę potrzebę?
A. SSL
B. DLP
C. FDE
D. TLS
42. Rob jest audytorem przeglądającym proces płatności stosowany przez firmę do wydawania czeków sprzedawcom. Zauważa, że Helen, księgowa personelu, jest osobą odpowiedzialną za tworzenie nowych dostawców. Norm, inny księgowy, jest odpowiedzialny za wydawanie płatności dla dostawców. Helen i Norm są przeszkoleni, aby zapewnić sobie nawzajem wsparcie. Jaki problem bezpieczeństwa, jeśli w ogóle, istnieje w tej sytuacji?
A. Najmniejsze naruszenie przywilejów
B. Naruszenie rozdziału obowiązków
C. Naruszenie podwójnej kontroli
D. Brak problemu
43. Mei niedawno zakończyła przegląd zarządzania ryzykiem i stwierdziła, że organizacja jest podatna na atak typu man-in-the-middle. Po rozmowie z jej menedżerem wspólnie zdecydowali, że akceptacja ryzyka jest najwłaściwszą strategią. Co powinna zrobić Mei?
A. Wdrożenie dodatkowych kontroli bezpieczeństwa
B. Zaprojektuj plan naprawczy
C. Powtórz ocenę wpływu na biznes
D. Udokumentuj decyzję
44. Robin planuje przeprowadzić u niej ocenę ryzyka organizacji. Obawia się, że przeprowadzenie oceny będzie trudne, ponieważ musi uwzględnić informacje zarówno o aktywach materialnych, jak i niematerialnych. Jaka byłaby dla niej najskuteczniejsza strategia oceny ryzyka?
A. Ilościowa ocena ryzyka
B. Jakościowa ocena ryzyka
C. Połączenie ilościowej i jakościowej oceny ryzyka
D. Ani ilościowa ani jakościowa ocena ryzyka
45. Organizacja Barry′ego prowadzi ćwiczenie bezpieczeństwa, a Barry został wyznaczony do prowadzenia operacji ofensywnych. Jaki termin najlepiej opisuje rolę Barry′ego w tym procesie?
A. Czerwona drużyna
B. Czarna drużyna
C. Niebieska drużyna
D. Drużyna białych
46. Organizacja Vlada niedawno przeszła atak, w którym starszy administrator systemu wykonał kilka złośliwych poleceń, a następnie usunął pliki dziennika rejestrujące jego aktywność. Która z poniższych kontroli najlepiej złagodzi ryzyko ponownego wystąpienia tej aktywności w przyszłości?
A. Rozdzielenie obowiązków
B. Kontrola dwuosobowa
C. Rotacja stanowisk
D. Świadomość bezpieczeństwa
47. Organizacja Vlada niedawno przeszła audyt bezpieczeństwa, w wyniku którego ustalono, że organizacja nie usuwa niezwłocznie kont powiązanych z użytkownikami, którzy opuścili organizację. Doprowadziło to do co najmniej jednego incydentu związanego z bezpieczeństwem, w którym usunięty użytkownik zalogował się do systemu korporacyjnego i pobrał poufne informacje. Jaka kontrola zarządzania tożsamością i dostępem najlepiej chroniłaby przed tym ryzykiem?
A. Automatyczne wyrejestrowywanie
B. Kwartalne przeglądy kont użytkowników
C. Rozdział obowiązków
D. Kontrola dwuosobowa
48. Jay jest CISO w swojej organizacji i jest odpowiedzialny za przeprowadzanie okresowych przeglądów informacji organizacji polityki bezpieczeństwa. Polityka została napisana trzy lata temu i przeszła kilka drobnych korekt po audytach i ocenach. Która z poniższych czynności byłaby najrozsądniejszą częstotliwością przeprowadzania formalnych przeglądów polityki?
A. Miesięcznie
B. Kwartalne
C. Rocznie
D. Co pięć lat
49. Terri przeprowadza ocenę ryzyka dla swojej organizacji. Która z poniższych czynności miałaby normalnie miejsce jako pierwsza?
A. Identyfikacja ryzyka
B. Obliczanie ryzyka
C. Ograniczanie ryzyka
D. Zarządzanie ryzykiem
50. Ang wybiera technologię szyfrowania do użycia w szyfrowaniu zawartości dysku USB. Która z poniższych technologii najlepiej spełniłaby jego potrzeby?
A. TLS
B. DES
C. AES
D. SSL
51. Organizacja Suki posiada politykę, która zabrania jej prowadzenia jakichkolwiek interesów z jakimkolwiek klientem, który poddałby ich warunkom Ogólnego Rozporządzenia o Ochronie Danych (RODO). Która z poniższych kontroli najlepiej pomogłaby im osiągnąć ten cel?
A. Szyfrowanie
B. Tokenizacja
C. Wymagania dotyczące dostępu geograficznego
D. Suwerenność danych
52. Vivian chciałaby móc zidentyfikować pliki, które powstały w jej organizacji, ale zostały później skopiowane. Jaka kontrola bezpieczeństwa najlepiej osiągnęłaby ten cel?
A. Szyfrowanie
B. Maskowanie danych
C. Znak wodny
D. Tokenizacja
53. Kai próbuje ustalić, czy może zniszczyć pamięć podręczną starych zapisów, które odkrył. Jaki rodzaj polityki najbardziej bezpośrednio odpowiedziałby na jego pytanie?
A. Własność danych
B. Klasyfikacja danych
C. Minimalizacja danych
D. Przechowywanie danych
54. Ogrodzenia to szeroko stosowana kontrola bezpieczeństwa, którą można opisać kilkoma różnymi rodzajami kontroli. Który z poniższych typów sterowania najmniej opisuje ogrodzenie?
A. Odstraszający
B. naprawcze
C. Zapobiegawcze
D. Fizyczne
55. Ian opracowuje schemat autoryzacji dla wdrożenia przez swoją organizację nowego systemu księgowego. Rozważa wprowadzenie kontroli, która wymagałaby, aby dwóch księgowych zatwierdziło każde żądanie płatności powyżej 100 000 USD. Jaką zasadę bezpieczeństwa stara się wyegzekwować Ian?
A. Bezpieczeństwo przez ukrywanie
B. Najmniejszy przywilej
C. Rozdział obowiązków
D. Podwójna kontrola
56. Która z poniższych struktur najlepiej pomaga organizacjom w projektowaniu procesów IT, które idealnie do siebie pasują?
A. NIST CSF
B. ITIL
C. COBIT
D. ISO 27001
57. Carmen współpracuje z nowym sprzedawcą nad projektem testu penetracyjnego. Chciałaby się upewnić, że dostawca nie przeprowadza żadnych fizycznych włamań w ramach swoich testów. Gdzie Carmen powinna udokumentować ten wymóg?
A. Zasady zaangażowania
B. Umowa o poziomie usług
C. Umowa o zachowaniu poufności
D. Umowa kontrahenta
58. Która z poniższych kategorii najlepiej opisuje informacje chronione przez HIPAA?
A. Dane osobowe
B. SPI
C. PHI
D. PCI DSS
59. Jaka rola w programie zarządzania danymi ponosi ostateczną odpowiedzialność za ochronę poufnych informacji?
A. Właściciel danych
B. Właściciel systemu
C. Właściciel firmy
D. Powiernik danych
60. Lakshman bada techniki zarządzania danymi wykorzystywane do ochrony poufnych informacji w bazie danych swojej organizacji i natrafia na przedstawioną tutaj tabelę bazy danych. Jaka technika zarządzania danymi jest najprawdopodobniej używana?
A. Maskowanie
B. Szyfrowanie
C. Minimalizacja
D. Tokenizacja
61. Lakshman kontynuuje eksplorację bazy danych i znajduje kolejną kopię tabeli w innym systemie, który przechowuje informacje, jak pokazano tutaj. Jaka technika została najprawdopodobniej zastosowana w tym systemie?
A. Maskowanie
B. Szyfrowanie
C. Minimalizacja
D. Tokenizacja
62. Po przejrzeniu systemów Lakshman odkrywa wydrukowaną listę pracowników zawierającą informacje pokazane na tym obrazie. Jaki rodzaj ochrony danych został najprawdopodobniej zastosowany w tym raporcie?
A. Maskowanie
B. Szyfrowanie
C. Minimalizacja
D. Tokenizacja
63. Rada dyrektorów firmy Kate zatrudniła niedawno niezależną firmę do przeglądu stanu kontroli bezpieczeństwa organizacji i poświadczenia tych wyników przed zarządem. Jaki termin najlepiej opisuje to zaangażowanie?
A. Ocena
B. Przegląd kontroli
C. Analiza luk
D. Audyt
64. Gavin opracowuje dokument, który zawiera szczegółowy, krok po kroku proces, który użytkownicy mogą śledzić, aby połączyć się z VPN ze zdalnych lokalizacji. Alternatywnie użytkownicy mogą poprosić dział IT o pomoc w skonfigurowaniu połączenia. Jaki termin najlepiej opisuje ten dokument?
A. Polityka
B. Procedura
C. Standardowy
D. Wytyczne
65. Która z poniższych nie jest jedną z pięciu podstawowych funkcji bezpieczeństwa zdefiniowanych przez Ramy Cyberbezpieczeństwa NIST?
A. Odpowiedz
B. Odzyskiwanie
C. Ochrona
D. Recenzja
66. Która z poniższych kontroli bezpieczeństwa została zaprojektowana w celu zapewnienia ciągłości obowiązków związanych z bezpieczeństwem?
A. Planowanie sukcesji
B. Rozdział obowiązków
C. Obowiązkowe wakacje
D. Podwójna kontrola
67. Po przeprowadzeniu przeglądu bezpieczeństwa Oskar ustalił, że jego organizacja nie wykonuje regularnych kopii zapasowych krytycznych danych. Jaki termin najlepiej opisuje rodzaj luki kontrolnej, jaka istnieje w organizacji Oskara?
A. Zapobiegawcze
B. naprawcze
C. Detektyw
D. Odstraszający
68. Tim pomaga swojej organizacji przenieść zasoby do chmury. Przeprowadza analizę due diligence dostawcy usług IaaS w organizacji. Które z poniższych zagrożeń najprawdopodobniej zmniejszy ten wysiłek?
A. Błędna konfiguracja grupy zabezpieczeń
B. Błędna konfiguracja systemu operacyjnego
C. Eksfiltracja danych
D. Żywotność dostawcy
69. Carla dokonuje przeglądu polityki bezpieczeństwa cybernetycznego stosowanej przez jej organizację. Jaką politykę może wprowadzić jako zabezpieczenie przed awarią, aby uwzględnić sytuacje związane z zachowaniem pracowników, w których nie ma bezpośredniego zastosowania żadna inna polityka?
A. Polityka monitorowania danych
B. Polityka zarządzania kontem
C. Kodeks postępowania
D. Polityka własności danych
70. Który z poniższych elementów nie jest zwykle zawarty we wniosku o wyjątek od polityki bezpieczeństwa?
A. Opis kontroli kompensacyjnej
B. Opis ryzyk związanych z wyjątkiem
C. Proponowana zmiana polityki bezpieczeństwa
D. Biznesowe uzasadnienie wyjątku
71. Organizacja Mike′a przyjęła standard COBIT i Mike chciałby znaleźć sposób na mierzenie postępów w realizacji. Który z poniższych komponentów COBIT jest przydatny jako narzędzie oceny?
A. Opisy procesów
B. Cele kontroli
C. Wytyczne dotyczące zarządzania
D. Modele dojrzałości
72. Jaka polityka powinna zawierać postanowienia dotyczące usuwania dostępu użytkownika po rozwiązaniu umowy?
A. Polityka własności danych
B. Polityka klasyfikacji danych
C. Polityka przechowywania danych
D. Polityka zarządzania kontem
73. Suki jest CISO w dużej grupie szpitalnej non-profit. Która z poniższych regulacji najbardziej bezpośrednio dotyczy sposobu, w jaki jej organizacja obsługuje dokumentację medyczną?
A. HIPAA
B. FERPA
C. GLBA
D. SOX
Pytania 74-76 odnoszą się do następującego scenariusza: Karen jest CISO głównego producenta części przemysłowych. Obecnie przeprowadza ocenę kontroli finansowych firmy, z naciskiem na wdrożenie praktyk bezpieczeństwa, które zmniejszą prawdopodobieństwo kradzieży z firmy.
74. Karen chciałaby zapewnić, że ta sama osoba fizyczna nie będzie w stanie jednocześnie utworzyć nowego sprzedawcy w systemie i autoryzować płatności na rzecz tego sprzedawcy. Obawia się, że osoba, która mogłaby wykonać obie te czynności, byłaby w stanie wysyłać płatności do fałszywych dostawców. Jaki rodzaj kontroli powinna wdrożyć Karen?
A. Obowiązkowe wakacje
B. Rozdział obowiązków
C. Rotacja stanowisk
D. Kontrola dwuosobowa
75. Dział księgowości stosuje politykę wymagającą podpisów dwóch osób na czekach o wartości powyżej 5000 USD. Jaki rodzaj kontroli mają na swoim miejscu?
A. Obowiązkowe wakacje
B. Rozdział obowiązków
C. Rotacja stanowisk
D. Kontrola dwuosobowa
76. Karen chciałaby również wdrożyć kontrole, które pomogłyby wykryć potencjalne nadużycia ze strony obecnych pracowników. Która z poniższych kontroli z najmniejszym prawdopodobieństwem wykryje nadużycia?
A. Obowiązkowe wakacje
B. Badania kontekstowe
C. Rotacja stanowisk
D. Recenzje użytkowania Privilege
77. Chris jest zaniepokojony możliwością, że byli pracownicy ujawnią poufne dane osobowe klientów osobom nieupoważnionym. Jaki jest najlepszy mechanizm, który Chris może wykorzystać do zarządzania tym ryzykiem?
A. Umowa o zachowaniu poufności
B. AUP
C. Polityka prywatności
D. Polityka własności danych
78. Kevin prowadzi ćwiczenie bezpieczeństwa dla swojej organizacji, które wykorzystuje zarówno operacje ofensywne, jak i defensywne. Jego rolą jest pełnienie funkcji moderatora ćwiczenia i rozstrzyganie sporów. Jaką rolę gra Kevin?
A. Biały zespół
B. Drużyna czerwona
C. Drużyna szwajcarska
D. Niebieska drużyna
79. Dan jest dyrektorem ds. bezpieczeństwa informacji (CISO) w banku w Stanach Zjednoczonych. Jakie prawo najbardziej bezpośrednio reguluje dane osobowe klientów, którymi zajmuje się jego bank?
A. HIPAA
B. PCI DSS
C. GLBA
D. SOX
80. Bohai jest zaniepokojony dostępem do konta głównego usługi w chmurze, której jego firma używa do zarządzania transakcjami płatniczymi. Postanawia wdrożyć nowy proces uwierzytelniania wieloskładnikowego do tego konta, w którym osoba z zespołu IT ma hasło do konta, a osoba w grupie księgowej ma token. Jakiej zasady bezpieczeństwa używa Bohai?
A. Podwójna kontrola
B. Rozdział obowiązków
C. Najmniejszy przywilej
D. Bezpieczeństwo przez ukrywanie
81. Tina przygotowuje się do testu penetracyjnego i współpracuje z nowym dostawcą. Chce się upewnić, że sprzedawca dokładnie rozumie, jakie czynności techniczne są dozwolone w ramach testu. Gdzie powinna udokumentować te wymagania?
A. MOA
B. Umowa
C. RoE
D. SLA
82. Azra przegląda projekt polityki bezpieczeństwa informacji Domer Doodads i stwierdza, że zawiera ona następujące stwierdzenia. Które z tych stwierdzeń lepiej byłoby umieścić w innym dokumencie?
A. Domer Doodads wyznacza dyrektora ds. bezpieczeństwa informacji jako osobę ponoszącą główną odpowiedzialność za bezpieczeństwo informacji.
B. Główny Urzędnik ds. Bezpieczeństwa Informacji jest upoważniony do tworzenia określonych wymagań wdrażających niniejszą politykę.
C. Każdy dostęp do systemów finansowych musi korzystać z uwierzytelniania wieloskładnikowego dla połączeń zdalnych.
D. Domer Doodads uważa, że cyberbezpieczeństwo i zgodność mają kluczowe znaczenie dla firmy.
83. Ben przeprowadza ocenę programu cyberbezpieczeństwa organizacji przy użyciu NIST Cybersecurity Framework. Jest szczególnie zainteresowany uczestnictwem zewnętrznym organizacji i stwierdza, że organizacja dobrze rozumie, w jaki sposób odnosi się do klientów w kwestiach cyberbezpieczeństwa, ale nie ma jeszcze dobrego zrozumienia podobnych relacji z dostawcami. Jaka ocena poziomu jest odpowiednia dla tego środka?
A. Częściowe
B. Informowanie o ryzyku
C. Powtarzalne
D. Adaptacyjny
84. Który z poniższych dokumentów ramowych polityki bezpieczeństwa nigdy nie zawiera obowiązkowej zgodności pracowników?
A. Polityka
B. Wytyczne
C. Procedura
D. Standardowy
85. Kaitlyn jest w czerwonej drużynie podczas ćwiczenia z ochrony i ma pytanie, czy dane działanie jest dopuszczalne zgodnie z regulaminem ćwiczenia. Kto byłby najbardziej odpowiednią osobą, aby odpowiedzieć na jej pytanie?
A. Czerwony lider zespołu
B. Lider zespołu białych
C. Niebieski lider zespołu
D. Kaitlyn powinna działać bez porady z zewnątrz.
86. Quinn napotyka dokument zawierający informacje, które nie są przeznaczone do użytku poza jego firmą, ale generalnie nie spowodowałyby żadnych poważnych szkód, gdyby zostały przypadkowo ujawnione. Jaka klasyfikacja danych byłaby najbardziej odpowiednia dla tego dokumentu?
A. Wewnętrzne
B. Wrażliwe
C. Bardzo wrażliwy
D. Publiczny
Pytania 87-91 odnoszą się do następującego scenariusza. Seamus przeprowadza ocenę wpływu na działalność swojej organizacji. Próbuje określić ryzyko związane z atakiem typu "odmowa usługi" na centrum danych jego organizacji. Seamus konsultował się z różnymi ekspertami w danej dziedzinie i ustalił, że atak nie spowoduje trwałego uszkodzenia sprzętu, aplikacji lub danych. Podstawowa szkoda miałaby postać utraconych dochodów. Seamus uważa, że organizacja przegra 75 000 USD przychodów podczas udanego ataku. Seamus skonsultował się również ze swoim dostawcą zarządzania zagrożeniami, który rozważył prawdopodobieństwo udanego ataku na jego organizację i ustalił, że istnieje 10% szansy na udany atak w ciągu najbliższych 12 miesięcy.
87. Jaki jest ARO dla tej oceny?
A. 0,8%
B. 10%
C. 12%
D.100%
88. Jaki jest SLE dla tego scenariusza?
A. 625$
B. 6 250 USD
ok. 7500 USD
D. 75 000 USD
89. Jakie jest ALE dla tego scenariusza?
A. 625$
B. 6 250 USD
ok. 7500 USD
D. 75 000 USD
90. Seamus rozważa zakup systemu ochrony przed atakami DDoS, który zmniejszyłby prawdopodobieństwo udanego ataku. Jaki rodzaj kontroli rozważa?
A. Detektyw
B. naprawcze
C. Zapobiegawcze
D. Odstraszający
91. Seamus chce się upewnić, że potrafi dokładnie opisać audytorom kategorię usługi ochrony DDoS. Który termin najlepiej opisuje kategorię tego formantu?
A. Kompensacja
B. Fizyczne
C. Operacyjny
D. Techniczne
92. Organizacja Piper obsługuje informacje o kartach kredytowych i w związku z tym podlega standardowi Payment Card Industry Data Security Standard (PCI DSS). Jaki termin najlepiej opisuje ten standard?
A. Nakazowy
B. Minimalny
C. Opcjonalne
D. Oparte na ryzyku
93. Gdy Piper próbuje wdrożyć wymagania PCI DSS, odkrywa, że nie jest w stanie spełnić jednego z wymagań z powodu ograniczeń technicznych w swoim systemie punktów sprzedaży. Decyduje się na współpracę z regulatorami w celu wdrożenia drugiej warstwy izolacji logicznej, aby chronić ten system przed Internetem, aby umożliwić jego ciągłą pracę pomimo niespełnienia jednego z wymagań. Jaki termin najlepiej opisuje rodzaj kontroli wdrożonej przez firmę Piper?
A. Kontrola fizyczna
B. Kontrola operacyjna
C. Kontrola kompensacji
D. Kontrola odstraszająca
94. Kiedy Piper wdraża tę nową technologię izolacji, jakiego rodzaju działania związane z zarządzaniem ryzykiem podejmuje?
A. Akceptacja ryzyka
B. Unikanie ryzyka
C. Przenoszenie ryzyka
D. Ograniczanie ryzyka
95. Jaka jest właściwa kolejność poziomów NIST Cybersecurity Framework, od najmniej dojrzałej do najbardziej dojrzałej?
A. Częściowy; Powtarzalne; Poinformowany o ryzyku; Adaptacyjny
B. Poinformowany o ryzyku; Częściowy; Adaptacyjny; Powtarzalne
C. Poinformowany o ryzyku; Częściowy; Powtarzalne; Adaptacyjny
D. Częściowy; Poinformowany o ryzyku; Powtarzalne; Adaptacyjny
96. Ruth pomaga liderowi biznesowemu określić odpowiednie osoby, z którymi należy się skonsultować w sprawie udostępniania informacji organizacji zewnętrznej. Która z poniższych zasad prawdopodobnie zawierałaby dla niej najistotniejsze wskazówki?
A. Polityka przechowywania danych
B. Polityka bezpieczeństwa informacji
C. Polityka walidacji danych
D. Polityka własności danych
97. Samantha prowadzi dochodzenie w sprawie incydentu związanego z cyberbezpieczeństwem, w którym użytkownik wewnętrzny użył swojego komputera do udziału w ataku typu "odmowa usługi" na stronę trzecią. Jaki rodzaj zasad został najprawdopodobniej naruszony?
A. AUP
B. SLA
C. BCP
D. Polityka klasyfikacji informacji
98. Ryan opracowuje listę dozwolonych algorytmów szyfrowania do użytku w jego organizacji. Jaki rodzaj dokumentu byłby najbardziej odpowiedni dla tej listy?
A. Polityka
B. Standardowy
C. Wytyczne
D. Procedura
99. Julie odświeża program cyberbezpieczeństwa swojej organizacji za pomocą NIST Cybersecurity Framework. Chciałaby użyć szablonu opisującego, jak konkretna organizacja może podejść do spraw cyberbezpieczeństwa. Który element NIST Cybersecurity Framework najlepiej spełniłby potrzeby Julie?
A. Scenariusze ramowe
B. Rdzeń szkieletowy
C. Warstwy implementacji ram
D. Profile Ramowe
100. Jakie typy organizacji są wymagane do przyjęcia standardu ISO 27001 dla cyberbezpieczeństwa?
A. Organizacje opieki zdrowotnej
B. Firmy świadczące usługi finansowe
C. Instytucje edukacyjne
D. Żadne z powyższych
101. Podczas projektowania systemu autoryzacji zarządzania tożsamością i dostępem Katie podjęła kroki w celu zapewnienia, że członkowie zespołu ds. bezpieczeństwa, którzy mogą zatwierdzać wnioski o dostęp do bazy danych, sami nie mają dostępu do bazy danych. Jaką zasadę bezpieczeństwa egzekwuje Katie w sposób najbardziej bezpośredni?
A. Najmniejszy przywilej
B. Rozdział obowiązków
C. Podwójna kontrola
D. Bezpieczeństwo przez ukrywanie
102. Która z poniższych kontroli jest przydatna zarówno w celu ułatwienia ciągłości operacji, jak i odstraszania od oszustw?
A. Planowanie sukcesji
B. Podwójna kontrola
C. Trening przekrojowy
D. Rozdział obowiązków
103. Który z poniższych wymagań jest często nakładany przez organizacje jako sposób na osiągnięcie pierwotnego celu kontroli, gdy zatwierdzają wyjątek w polityce bezpieczeństwa?
A. Dokumentacja zakresu
B. Ograniczony czas trwania
C. Kontrola kompensacji
D. Uzasadnienie biznesowe
104. Jaka podstawowa działalność jest reprezentowana przez X w pokazanym tutaj cyklu życia ITIL?
A. Ciągłe doskonalenie usług
B. Projektowanie usług
C. Obsługa serwisowa
D. Przejście usługi
105. Berta dokonuje przeglądu procedur bezpieczeństwa związanych z korzystaniem przez jej firmę z usługi płatności online w chmurze. Ustawiła uprawnienia dostępu do tej usługi, aby ta sama osoba nie mogła dodawać środków na konto i przelewać środków z konta. Jaka zasada bezpieczeństwa jest najściślej związana z działaniem Berty?
A. Najmniejszy przywilej
B. Bezpieczeństwo przez ukrywanie
C. Rozdział obowiązków
D. Podwójna kontrola
106. Thomas znalazł się w samym środku sporu pomiędzy dwoma różnymi jednostkami w jego biznesie, które kłócą się o to, czy jedna jednostka może analizować dane zebrane przez drugą. Jaki rodzaj polityki najprawdopodobniej zawierałby wskazówki dotyczące tej kwestii?
A. Polityka własności danych
B. Polityka klasyfikacji danych
C. Polityka przechowywania danych
D. Polityka zarządzania kontem
107. Mara projektuje nowy system eksploracji danych, który będzie analizował logi kontroli dostępu pod kątem oznak nietypowych prób logowania. Wszelkie podejrzane logowania zostaną automatycznie zablokowane w systemie. Jaki rodzaj sterowania projektuje Mara?
A. Kontrola fizyczna
B. Kontrola operacyjna
C. Kontrola zarządcza
D. Kontrola techniczna
108. Który z poniższych elementów najrzadziej występuje w polityce przechowywania danych?
A. Minimalny okres przechowywania danych
B. Maksymalny okres przechowywania danych
C. Opis informacji do zachowania
D. Klasyfikacja elementów informacji
109. Która z poniższych kwestii byłaby lepiej sklasyfikowana jako kwestia prywatności, a nie kwestia bezpieczeństwa?
A. Wykorzystanie informacji do celów innych niż pierwotnie ujawnione
B. Niezałatana luka na serwerze WWW
C. Niewłaściwe uprawnienia do plików dla grupy pracowników
D. Przypadkowe zniszczenie nośnika kopii zapasowej
Odpowiedzi
1. B. Chociaż wiele kontroli bezpieczeństwa może odnosić się do tego celu, najbardziej bezpośrednio powiązanym z nich jest klasyfikacja danych. Dzięki klasyfikacji danych organizacja będzie w stanie jasno komunikować wymagania dotyczące ochrony dla różnych rodzajów informacji.
2. B. Grupa zaawansowanych trwałych zagrożeń (APT) jest przykładem zewnętrznego zagrożenia dla organizacji. Jeśli istnieje również jakaś luka w zabezpieczeniach organizacji, która może pozwolić APT na pomyślne zaatakowanie organizacji, wówczas istnieje ryzyko.
3. D. Podejście to jest oparte na ryzyku, ponieważ pozwala organizacji zająć się standardem w oparciu o środowisko biznesowe. Standard nakazowy, taki jak PCI DSS, nie zapewnia takiej elastyczności. HIPAA jest nadal prawem, które zawiera wymagania dotyczące bezpieczeństwa, więc nie jest właściwe opisywanie go jako opcjonalnego lub minimalnego.
4. A. Segmentacja sieci to działanie ograniczające ryzyko. Analiza zagrożeń, skanowanie podatności i ocena systemów to cenne narzędzia pomagające organizacji identyfikować zagrożenia.
5. A. Dwa czynniki, które określają powagę ryzyka, to jego prawdopodobieństwo i wielkość. Impact jest synonimem wielkości. Prawdopodobieństwo jest synonimem prawdopodobieństwa. Kontrole to technika łagodzenia ryzyka, którą można zastosować w celu zmniejszenia wielkości i/lub prawdopodobieństwa po określeniu dotkliwości ryzyka.
6. B. Ta kontrola przeszłości ma miejsce przed zatrudnieniem. Dlatego jest to kontrola prewencyjna, mająca na celu uniemożliwienie organizacji zatrudnienia kogoś, kto mógłby pozować na zagrożenie bezpieczeństwa.
7. D. Przekierowania OAuth to atak polegający na uwierzytelnianiu, który pozwala atakującemu podszywać się pod innego użytkownika.
8. C. Jest to przykład maskowania danych, polegającego na usuwaniu wystarczającej liczby cyfr z poufnych informacji, aby uczynić je niewrażliwymi. Tokenizacja zastąpiłaby dotychczasowy numer niepowiązanym numerem. Oczyszczenie całkowicie usunie dane. Dane nie są deidentyfikowane, ponieważ na paragonie widnieje nazwa klienta.
9. C. Wszystkie te źródła informacji mogą być przydatne podczas oceny Renee, ale najbardziej przydatnym elementem byłyby wyniki niezależnej oceny bezpieczeństwa, która ocenia mechanizmy bezpieczeństwa dostawcy.
10. C. Reguła bezpieczeństwa HIPAA w szczególności dotyczy poufności, integralności i dostępności chronionych informacji zdrowotnych. Zasada prywatności HIPAA reguluje prywatność tych informacji. Nie ma określonej reguły dotyczącej niezaprzeczalności.
11. A. Wykorzystanie źródła danych wywiadowczych o zagrożeniach do blokowania połączeń na zaporze zmniejsza prawdopodobieństwo pomyślnego ataku, a zatem jest działaniem łagodzącym ryzyko.
12. D. Gary zmienia praktyki biznesowe, aby całkowicie wyeliminować ryzyko. Jest to zatem przykład unikania ryzyka.
13. C. Najczęstszym przykładem przeniesienia ryzyka jest zakup ubezpieczenia - przeniesienie odpowiedzialności na osobę trzecią.
14. B. Audyt wewnętrzny zapewnia możliwość przeprowadzenia dochodzenia z wykorzystaniem zasobów wewnętrznych, co zazwyczaj obniża koszty. Audytorzy zewnętrzni byliby zwykle dość kosztowni i zapewnialiby pewien stopień niezależności, który jest niepotrzebny w przypadku dochodzenia wewnętrznego. Menedżer IT nie byłby dobrym kandydatem do przeprowadzenia oceny, ponieważ może być zamieszany w defraudację lub mieć bliskie relacje z pracownikami, których to dotyczy. Na tym etapie nie ma potrzeby angażowania organów ścigania, co naraża firmę na niepotrzebną kontrolę i potencjalne zakłócenia biznesowe.
15. B. Ustawa Gramm-Leach-Bliley (GLBA) zawiera regulacje dotyczące programów cyberbezpieczeństwa w instytucjach finansowych, w tym w bankach. Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) obejmuje świadczeniodawców, ubezpieczycieli i biura informacyjne dotyczące zdrowia. Ustawa o rodzinnych prawach edukacyjnych i prywatności (FERPA) ma zastosowanie do instytucji edukacyjnych. Ustawa Sarbanes-Oxley (SOX) ma zastosowanie do spółek notowanych na giełdzie.
16. D. Jest to przykład ograniczenia celu: zapewnienie, że informacje są wykorzystywane wyłącznie do ujawnionych celów. Nie jest to przechowywanie ani usuwanie danych, ponieważ Alfonso nie podejmuje żadnych decyzji o przechowywaniu lub usuwaniu danych. Podobnie nie jest to minimalizacja danych, ponieważ nie decyduje się na niezbieranie informacji lub odrzucanie niepotrzebnych informacji.
17. B. Jest to rodzaj kompromisu inżynieryjnego, który inżynierowie bezpieczeństwa muszą regularnie dokonywać. Poziom szyfrowania, który wybiera Florian, spełnia standardy organizacji i nie ma powodu, aby sądzić, że wprowadza niepotrzebne ryzyko bezpieczeństwa lub zgodności.
18. B. Struktura Information Technology Infrastructure Library (ITIL) umieszcza zarządzanie bezpieczeństwem w podstawowej działalności projektowania usług. Inne procesy w projektowaniu usług to koordynacja projektu, zarządzanie katalogiem usług, zarządzanie poziomem usług, zarządzanie dostępnością, zarządzanie wydajnością, zarządzanie ciągłością usług IT oraz zarządzanie dostawcami.
19. B. Ćwiczenie na stole gromadzi zespół w jednym miejscu, aby przejść przez reakcję na hipotetyczny incydent. Przegląd listy kontrolnej nie gromadzi zespołu ani nie wykorzystuje scenariusza. Testy równoległe i pełne testy przerwań wiążą się z uruchomieniem procedur reagowania na incydenty.
20. B. Suwerenność danych oznacza, że dane podlegają prawu jurysdykcji, w której są przechowywane, przetwarzane lub przekazywane. To jest sprawa, która dotyczy organizacji Oskara. Nie ma dyskusji na temat minimalizacji gromadzonych lub przechowywanych danych ani ograniczania celów, w których informacje mogą być wykorzystywane.
21. C. Zmiany w członkach zespołu mogą spowodować, że ktoś zainicjuje przegląd, ale bardziej prawdopodobne jest, że przegląd zostanie zainicjowany na podstawie zmian w procesach chronionych przez program bezpieczeństwa, wymagania kontrolne (takie jak zobowiązania dotyczące zgodności) lub awaria kontroli (np. incydent bezpieczeństwa).
22. B. To trudne pytanie, ponieważ dwie opcje - unikanie ryzyka i ograniczanie ryzyka - mogą ograniczać prawdopodobieństwo wystąpienia ryzyka. Jednak unikanie ryzyka jest bardziej prawdopodobne, ponieważ eliminuje okoliczności, które stworzyły ryzyko, podczas gdy ograniczanie ryzyka wprowadza po prostu kontrole w celu zmniejszenia prawdopodobieństwa lub wpływu ryzyka. Akceptacja ryzyka nie zmienia prawdopodobieństwa ani wielkości ryzyka. Przeniesienie ryzyka ogranicza potencjalną skalę poprzez przeniesienie odpowiedzialności finansowej na inną organizację, ale nie wpływa na prawdopodobieństwo.
23. C. ISO 27001 to aktualna norma regulująca wymagania dotyczące cyberbezpieczeństwa. ISO 9000 to seria standardów zarządzania jakością. Norma ISO 17799 obejmowała kwestie bezpieczeństwa informacji, ale jest przestarzała i została wycofana. ISO 30170 obejmuje język programowania Ruby.
24. C. Wszystkie te kontrole byłyby skutecznymi sposobami zapobiegania utracie informacji. Jednak tylko dochodzenie w tle może ujawnić informacje, które mogą narazić potencjalnego pracownika na szantaż.
25. B. Wszystkie wymienione kontrole to kontrole bezpieczeństwa sieci. Spośród wymienionych, system zapobiegania utracie danych (DLP) został specjalnie zaprojektowany w celu identyfikacji i blokowania eksfiltracji poufnych informacji i byłby najlepszą kontrolą, aby osiągnąć cel Martina. Systemy zapobiegania włamaniom (IPS) mogą być w stanie wykonywać tę funkcję w ograniczonym zakresie, ale nie jest to ich intencją. Systemy wykrywania włamań (IDS) są jeszcze bardziej ograniczone, ponieważ są tylko kontrolami detektywistycznymi i nie zapobiegają eksfiltracji informacji. Zapory nie są przeznaczone do tego celu.
26. A. Szyfrowanie całego dysku (FDE) uniemożliwia każdemu, kto wejdzie w posiadanie urządzenia, dostęp do zawartych w nim danych, dzięki czemu jest to idealna kontrola do osiągnięcia celu Martina. Silne hasła można ominąć, uzyskując bezpośredni dostęp do dysku. Blokady kablowe nie są skuteczne w przypadku urządzeń używanych przez podróżnych. Systemy zapobiegania włamaniom to techniczne środki kontroli, które nie mają wpływu na osobę, która uzyskała fizyczny dostęp do urządzenia.
27. A. To pytanie zmusza cię do wyboru spośród kilku dobrych opcji, podobnie jak wiele pytań na egzaminie. Możemy wykluczyć ubezpieczenie, ponieważ nie zmienia to prawdopodobieństwa wystąpienia ryzyka. Wszystkie pozostałe trzy opcje zmniejszają prawdopodobieństwo, ale najlepszym wyborem jest minimalizacja ilości przechowywanych danych i liczby lokalizacji, w których są przechowywane, ponieważ usuwa to dane z potencjalnego naruszenia.
28. A. Kwame powinien podjąć działania w celu poinformowania kierownictwa o czynnikach ryzyka i ułatwić opartą na ryzyku dyskusję na temat możliwych kierunków działania. Powinien to zrobić przed podjęciem bardziej agresywnych działań.
29. C. W standardzie COBIT nie ma wyraźnej domeny bezpieczeństwa. Cztery domeny COBIT to Planuj i organizuj, nabywaj i wdrażaj, dostarczaj i wspieraj oraz monitoruj i oceniaj.
30. B. Polityka dopuszczalnego użytkowania (AUP) organizacji powinna zawierać informacje o tym, co stanowi dopuszczalne i niedopuszczalne wykorzystanie zasobów firmy. Ta polityka powinna zawierać informacje, które pomogą pokierować kolejnymi krokami Mii.
31. C. Współczynnik narażenia (EF) to procent obiektu, który według menedżerów ryzyka ulegnie uszkodzeniu, jeśli ryzyko się zmaterializuje. Oblicza się ją, dzieląc kwotę szkody przez wartość aktywów. W tym przypadku jest to 5 milionów dolarów szkód podzielonych przez 10 milionów dolarów wartości obiektu, czyli 50%.
32. B. Roczna stopa występowania (ARO) to liczba przypadków, w których analitycy ryzyka spodziewają się wystąpienia ryzyka w danym roku. W tym przypadku analitycy spodziewają się trzęsienia ziemi raz na 200 lat, czyli 0,005 razy w roku.
33. A. Roczna oczekiwana oczekiwana strata (ALE) jest obliczana poprzez pomnożenie oczekiwanych strat w skali roku (SLE) przez roczny wskaźnik występowania (ARO). W tym przypadku SLE wynosi 5 000 000 USD, a ARO 0,005. Pomnożenie tych liczb razem daje ALE 25 000 $.
34. B. Przeniesienie centrum danych do miejsca, w którym trzęsienia ziemi nie stanowią zagrożenia, jest przykładem unikania ryzyka, ponieważ pozwala całkowicie uniknąć ryzyka. Gdyby lokalizacja miała po prostu mniejsze ryzyko trzęsienia ziemi, ta strategia byłaby ograniczaniem ryzyka.
35. D. Zakup ubezpieczenia jest zawsze przykładem przeniesienia ryzyka, ponieważ przenosi ryzyko z podmiotu nabywającego polisę na zakład ubezpieczeń.
36. C. Akceptacja ryzyka to świadoma decyzja, aby nie podejmować żadnych innych działań związanych z zarządzaniem ryzykiem i po prostu kontynuować normalną działalność pomimo ryzyka.
37. C. Poziomy klasyfikacji w ramach schematu klasyfikacji informacji rządu USA to, w porządku rosnącym, Poufne, Tajne i Ściśle tajne. Prywatny nie jest rządem klasyfikacji.
38. B. Celem systemu DLP jest wykrywanie i blokowanie nieautoryzowanych transferów informacji poza organizację. Zdanie, które najlepiej opisuje ten cel, to fakt, że mogą oni używać etykiet do stosowania odpowiednich zasad bezpieczeństwa.
39. A. PCI DSS ma dość krótki wymóg minimalnej długości hasła. Wymóg 8.2.3 stanowi, że hasła muszą mieć co najmniej siedem znaków i muszą zawierać kombinację znaków alfabetycznych i numerycznych.
40. D. Obowiązkowe wakacje mają na celu zmuszenie osób do spędzenia czasu poza biurem, aby pod ich nieobecność wyszła na jaw nieuczciwa działalność. Inne wymienione tutaj mechanizmy kontrolne (oddzielenie obowiązków, najmniejsze uprawnienia i podwójna kontrola) mają na celu zapobieganie oszustwom, a nie ich wykrywanie.
41. D. Transport Layer Security (TLS) to obecny standard szyfrowania danych podczas przesyłania. Secure Sockets Layer (SSL) wcześniej spełniał tę potrzebę, ale nie jest już uważany za bezpieczny. Szyfrowanie całego dysku (FDE) służy do ochrony danych w spoczynku, a systemy zapobiegania utracie danych (DLP) nie stosują szyfrowania do całego ruchu internetowego.
42. B. Ta sytuacja narusza zasadę rozdziału obowiązków. Wydaje się, że firma zaprojektowała mechanizmy kontrolne w celu oddzielenia tworzenia dostawców od wystawiania płatności, co jest dobrą praktyką ograniczania oszustw. Jednak fakt, że są przeszkoleni do tworzenia kopii zapasowych, oznacza, że mają uprawnienia przypisane do naruszania tej zasady.
43. D. Po zaakceptowaniu ryzyka organizacja nie podejmuje żadnych działań poza udokumentowaniem przyjętego ryzyka. Wdrożenie dodatkowych kontroli bezpieczeństwa lub opracowanie planu naprawczego nie byłoby akceptacją ryzyka, ale pasowałoby do kategorii ograniczania ryzyka. Nie ma potrzeby powtarzania oceny wpływu na biznes.
44. C. Robin osiągnąłby najlepsze wyniki, łącząc elementy ilościowej i jakościowej oceny ryzyka. Ilościowa ocena ryzyka doskonale sprawdza się w analizie ryzyk materialnych, finansowych, podczas gdy jakościowa ocena ryzyka jest dobra w przypadku ryzyk niematerialnych. Połączenie tych dwóch technik daje pełny obraz ryzyka.
45. A. W ćwiczeniu z zakresu bezpieczeństwa drużyna czerwona jest odpowiedzialna za operacje ofensywne, podczas gdy drużyna niebieska jest odpowiedzialna za operacje defensywne. Drużyna biała służy jako sędziowie neutralni, natomiast drużyna fioletowa łączy elementy drużyny czerwonej i drużyny niebieskiej.
46. A. Rozdzielenie obowiązków jest najskuteczniejszym sposobem ograniczenia tego ryzyka. Administratorzy, którzy mają dostęp do wykonywania uprzywilejowanych działań w systemach, nie powinni mieć również możliwości zmiany plików dziennika. Kontrola dwuosobowa mogłaby działać, ale byłaby bardzo kłopotliwa. Rotacja stanowisk i świadomość bezpieczeństwa nie rozwiązałyby tego ryzyka.
47. A. Automatyczne wyrejestrowanie wiąże usuwanie kont użytkowników z systemami zasobów ludzkich. Po zamknięciu użytkownika w systemie kadrowym infrastruktura zarządzania tożsamością i dostępem automatycznie usuwa konto. Kwartalne przeglądy dostępu użytkowników mogą zidentyfikować konta, które powinny zostać wyłączone, ale zajęłoby to dużo czasu, więc nie są najlepszym rozwiązaniem problemu. Rozdzielenie obowiązków i dwuosobowa kontrola mają na celu ograniczenie uprawnień konta użytkownika i nie pozbawiają dostępu.
48. C. Roczne przeglądy polityk bezpieczeństwa są standardem branżowym i są wystarczające, chyba że zachodzą szczególne okoliczności, takie jak nowa polityka lub poważne zmiany w środowisku. Przeglądy miesięczne lub kwartalne zdarzałyby się zbyt często, podczas gdy czekanie na przegląd przez pięć lat prawdopodobnie przeoczy ważne zmiany w środowisku.
49. A. Pierwszym krokiem w przeprowadzaniu oceny ryzyka jest podjęcie procesu identyfikacji ryzyka.
50. C. Advanced Encryption Standard (AES) to bezpieczny, nowoczesny algorytm szyfrowania, który jest odpowiedni dla danych w spoczynku. Zastępuje standard szyfrowania danych (DES), który nie jest już uważany za bezpieczny. Technologie SSL i TLS służą do przesyłania danych. 51. C. RODO ma zastosowanie do mieszkańców Unii Europejskiej (UE). Chociaż kontrola suwerenności danych jest ważna dla wykluczenia organizacji z zakresu RODO, suwerenność danych nie ogranicza niektórych klientów do prowadzenia interesów z organizacją. Wymagania dotyczące dostępu geograficznego mogą uniemożliwić potencjalnym klientom dostęp do zasobów jej organizacji z terenu Unii Europejskiej.
52. C. Technologia znaków wodnych stosuje niewidzialny identyfikator do dokumentu, który ma przetrwać kopiowanie i modyfikację. Znak wodny może służyć do udowodnienia pochodzenia pliku.
53. D. Najważniejszą polityką w tym przypadku jest polityka organizacji dotycząca przechowywania danych, która powinna określać standardy przechowywania dokumentacji przed zniszczeniem lub usunięciem.
54. B. Ogrodzenia to kontrole prewencyjne, ponieważ wysokie ogrodzenie może uniemożliwić intruzowi dostęp do zabezpieczonego obiektu. Są również odstraszającymi kontrolami, ponieważ obecność ogrodzenia może zniechęcić intruza do próby uzyskania dostępu. Są to fizyczne kontrole bezpieczeństwa, ponieważ ograniczają fizyczny dostęp. Nie są to kontrole korygujące, ponieważ nie odgrywają żadnej roli po wystąpieniu fizycznego włamania.
55. D. Czasami trudno jest odróżnić przypadki najmniejszego przywileju, rozdziału obowiązków i podwójnej kontroli. Najmniejszy przywilej oznacza, że pracownik powinien mieć tylko prawa dostępu niezbędne do wykonywania swojej pracy. Tak nie jest w tym scenariuszu, ponieważ księgowi muszą mieć możliwość zatwierdzania płatności. Rozdzielenie obowiązków ma miejsce, gdy ten sam pracownik nie ma uprawnień do wykonywania dwóch różnych czynności, które w połączeniu mogą zagrażać bezpieczeństwu. W tym przypadku tak nie jest, ponieważ obaj pracownicy wykonują tę samą czynność: zatwierdzają płatność. Podwójna kontrola ma miejsce, gdy dwóch pracowników musi wspólnie autoryzować to samo działanie. Tak jest w tym scenariuszu. Bezpieczeństwo przez ukrycie ma miejsce, gdy bezpieczeństwo kontroli zależy od tajności jej mechanizmu.
56. B. Biblioteka infrastruktury informatycznej (ITIL) została specjalnie zaprojektowana, aby oferować zestaw zgodnych procesów informatycznych.
57. A. Zasady zaangażowania w test penetracyjny określają czynności, które są (i nie są) dozwolone podczas testu. Carmen powinna uwzględnić swoje wymagania w zasadach zaangażowania w test penetracyjny.
58. C. Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) nakazuje ochronę chronionych informacji zdrowotnych (PHI). Wrażliwe dane osobowe (SPI) i informacje umożliwiające identyfikację osoby (PII) mogą podlegać ustawie HIPAA, ale niekoniecznie. Informacje o kartach płatniczych są objęte standardem Payment Card Industry Data Security Standard (PCI DSS).
59. A. Właściciele danych ponoszą ostateczną odpowiedzialność za ochronę informacji znajdujących się pod ich opieką, nawet jeśli osobiście nie wdrażają kontroli bezpieczeństwa ani nie zarządzają nimi.
60. D. Dane te wydają się tokenizowane, ponieważ numery ubezpieczenia społecznego (SSN) zostały zastąpione polem sekwencyjnym. Jest to znak rozpoznawczy, że liczby nie są generowane losowo i prawdopodobnie można je odwrócić za pomocą tabeli wyszukiwania.
61. B. Znaki w polu Numer ubezpieczenia społecznego (SSN) wydają się być niesekwencyjne i arbitralne. Najprawdopodobniej dane te zostały zaszyfrowane i wymagają klucza deszyfrującego w celu odzyskania zawartości pola SSN.
62. A. W niniejszym raporcie pierwsze pięć cyfr numeru ubezpieczenia społecznego (SSN) zostało zastąpionych znakami X. Jest to wyraźny przykład maskowania danych.
63. D. Do opisania tego zlecenia można racjonalnie użyć dowolnego z tych terminów. Jednak termin audyt najlepiej opisuje ten wysiłek ze względu na formalny charakter przeglądu i fakt, że rada o to poprosiła.
64. B. Procedura oferuje krok po kroku proces zakończenia działania w zakresie cyberbezpieczeństwa. Instrukcje VPN, które tworzy Gavin, najlepiej można opisać za pomocą tego terminu.
65. D. Pięć funkcji bezpieczeństwa opisanych w Ramach Cyberbezpieczeństwa NIST to identyfikacja, ochrona, wykrywanie, reagowanie i odzyskiwanie.
66. A. Planowanie sukcesji ma na celu stworzenie puli rezerwowych kandydatów gotowych do objęcia stanowisk, gdy pojawi się wakat. Jest to ważna kontrola ciągłości. Inne kontrole bezpieczeństwa mogą mieć przypadkowy efekt uboczny w postaci narażenia pracowników na inne obowiązki, ale nie są zaprojektowane do osiągnięcia tego celu.
67. B. Kopie zapasowe są używane do odzyskiwania operacji po incydencie związanym z bezpieczeństwem. Dlatego najlepiej opisać je jako kontrole korygujące.
68. D. Analiza due diligence dostawcy ma na celu zidentyfikowanie słabych punktów wynikających z relacji z dostawcą. W środowisku infrastruktury jako usługi (IaaS) klient jest odpowiedzialny za zarządzanie bezpieczeństwem danych przechowywanych w środowisku, aby zapobiec ich eksfiltracji. Klient jest również odpowiedzialny za konfigurację systemu operacyjnego i grupy zabezpieczeń. Analiza due diligence dostawcy może ujawnić problemy z rentownością dostawców, które mogą mieć wpływ na przyszłą dostępność dostawców.
69. C. Kodeks postępowania lub etyki organizacji opisuje oczekiwane zachowanie pracowników i podmiotów stowarzyszonych i służy jako zabezpieczenie w sytuacjach, które nie zostały szczegółowo omówione w polityce.
70. C. Żądania wyjątku od polityki bezpieczeństwa zwykle nie zawierają proponowanej zmiany polityki. Wyjątki to udokumentowane odstępstwa od polityki wynikające z określonych wymagań technicznych i/lub biznesowych. Nie zmieniają pierwotnej polityki, która obowiązuje dla systemów nie objętych wyjątkiem.
71. D. Chociaż wszystkie komponenty COBIT są przydatne dla organizacji dążącej do wdrożenia ram COBIT, tylko modele dojrzałości oferują narzędzie oceny, które pomaga organizacji ocenić jej postępy.
72. D. Zasady zarządzania kontem opisują cykl życia konta od udostępnienia poprzez aktywne użytkowanie i likwidację, w tym usunięcie dostępu po rozwiązaniu. Zasady dotyczące własności danych jasno określają własność informacji utworzonych lub wykorzystywanych przez organizację. Zasady klasyfikacji danych opisują strukturę klasyfikacji stosowaną przez organizację oraz proces stosowany do prawidłowego przypisywania klasyfikacji do danych. Zasady przechowywania danych określają, jakie informacje będą przechowywane przez organizację oraz jak długo różne kategorie informacji będą przechowywane przed zniszczeniem.
73. A. Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) obejmuje postępowanie z chronionymi informacjami zdrowotnymi (PHI) przez świadczeniodawców, ubezpieczycieli i biura informacyjne dotyczące informacji zdrowotnych. Ustawa Gramm-Leach-Bliley (GLBA) zawiera regulacje dotyczące programów cyberbezpieczeństwa w instytucjach finansowych, w tym w bankach. Ustawa o rodzinnych prawach edukacyjnych i prywatności (FERPA) ma zastosowanie do instytucji edukacyjnych. Ustawa Sarbanes-Oxley (SOX) ma zastosowanie do spółek notowanych na giełdzie.
74. B. Rozdział obowiązków jest zasadą, która uniemożliwia jednostkom posiadanie dwóch różnych przywilejów, które w połączeniu mogą być nadużywane. Przykładem kontroli dwuosobowej jest rozdzielenie możliwości tworzenia dostawców i autoryzacji płatności.
75. D. Kontrola dwuosobowa to zasada, która wymaga współdziałania dwóch różnych pracowników w celu wykonania jednej delikatnej czynności. Wymaganie dwóch podpisów na czeku jest przykładem kontrolki dwuosobowej.
76. B. Obowiązkowe urlopy i plany rotacji pracy są w stanie wykryć nadużycia, wymagając nieobecności pracownika w jego normalnych obowiązkach i narażając go na innych pracowników. Przeglądy korzystania z uprawnień pozwalają kierownikowi na sprawdzenie działań pracownika z uprzywilejowanym dostępem do systemu i wykrycie nadużycia tych uprawnień. Dochodzenia w tle ujawniają przeszłe czyny i nie byłyby pomocne w wykrywaniu aktywnego oszustwa. Są one również zazwyczaj wykonywane tylko dla nowych pracowników.
77. A. Wszystkie wymienione tutaj mechanizmy mogą być wykorzystywane do ochrony prywatnych informacji. Jednak zasady dopuszczalnego użytkowania, zasady ochrony prywatności i zasady dotyczące własności danych to zasady wewnętrzne, które nie byłyby wiążące dla byłych pracowników. Aby zarządzać tym ryzykiem, organizacja Chrisa powinna zlecić wszystkim pracownikom podpisanie umów o zachowaniu poufności (NDA), które pozostają wiążące po zakończeniu stosunku pracy.
78. A. Rolą białej drużyny jest kontrolowanie ćwiczenia, służąc jako neutralna strona ułatwiająca wydarzenia i łagodząca spory. Drużyna czerwona odpowiada za operacje ofensywne, a drużyna niebieska odpowiada za operacje defensywne. Termin "drużyna szwajcarska" nie jest używany w ćwiczeniach z zakresu bezpieczeństwa.
79. C. Ustawa Gramm-Leach-Bliley (GLBA) reguluje postępowanie z poufnymi informacjami o klientach przez instytucje finansowe w Stanach Zjednoczonych. Payment Card Industry Data Security Standard (PCI DSS) reguluje informacje o kartach kredytowych i może mieć zastosowanie do banku Dana, ale jest to zobowiązanie umowne, a nie prawo. Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) reguluje chronione informacje zdrowotne. Ustawa Sarbanes-Oxley (SOX) reguluje sprawozdawczość finansową spółek notowanych na giełdzie.
80. A. Jest to przykład podwójnej kontroli (lub kontroli dwuosobowej), gdzie wykonanie wrażliwej czynności (zalogowanie się do systemu płatniczego) wymaga współpracy dwóch osób. Rozdzielenie obowiązków jest powiązane, ale wiązałoby się z niedopuszczeniem tej samej osoby do wykonywania dwóch czynności, które w połączeniu mogą być szkodliwe.
81. C. Zasady zaangażowania (RoE) do testów penetracyjnych określają dopuszczalne i niedopuszczalne czynności testerów. Jeśli istnieją jakiekolwiek systemy, techniki lub informacje, które są niedostępne, należy to wyraźnie zaznaczyć w RoE.
82. C. Normalnym jest, że w polityce bezpieczeństwa informacji można znaleźć stwierdzenia, które deklarują znaczenie cyberbezpieczeństwa dla organizacji, wyznaczają konkretną osobę odpowiedzialną za funkcję cyberbezpieczeństwa i przyznają tej osobie władzę nad cyberbezpieczeństwem. Specyficzne wymagania, takie jak wymaganie uwierzytelniania wieloskładnikowego dla systemów finansowych, byłyby lepiej umieszczone w standardzie niż w polityce.
83. B. W wysiłkach partycypacji zewnętrznej opartych na wiedzy o ryzyku organizacja rozumie swoją rolę w większym ekosystemie w odniesieniu do swoich własnych zależności lub osób zależnych, ale nie obu. To opisuje sytuację w scenariuszu Bena.
84. B. Wytyczne są z definicji poradami fakultatywnymi. Zasady i standardy są zawsze obowiązkowe. Procedury mogą być obowiązkowe lub opcjonalne, w zależności od kontekstu organizacyjnego.
85. B. Biały zespół jest odpowiedzialny za interpretację zasad i rozstrzyganie sporów podczas ćwiczenia bezpieczeństwa. Biały lider zespołu byłby najbardziej odpowiednią osobą z tej listy, aby odpowiedzieć na pytanie Kaitlyn.
86. A. Dokumenty, które nie są przeznaczone do publicznego udostępnienia, ale nie spowodowałyby znacznych szkód w przypadku przypadkowego lub celowego udostępnienia, należy klasyfikować jako dokumenty wewnętrzne.
87. B. Roczny wskaźnik występowania (ARO) jest obliczany jako liczba przypadków, w których należy spodziewać się ataku w danym roku. Może to być wyrażone w postaci dziesiętnej lub procentowej. Scenariusz mówi nam, że w danym roku istnieje 10% szansa na atak. To mógłby być opisany jako ARO 10% lub 0,1.
88. D. Pojedyncza oczekiwana strata (SLE) to ilość szkód, które mają wystąpić w wyniku pojedynczego udanego ataku. W tym przypadku scenariusz zapewnia te informacje jako 75 000 USD.
89. C. Roczna oczekiwana oczekiwana strata (ALE) to kwota szkód oczekiwanych w danym roku. Oblicza się ją przez pomnożenie SLE (75 000 USD) przez ARO (10%) w celu uzyskania ALE (7500 USD).
90. C. Ustalenie pojedynczej najlepszej kategorii dla kontroli jest zawsze trudne, ponieważ wiele kontroli może przecinać kategorie pod względem ich przeznaczenia. W tym przypadku mówi się nam, że kontrola istnieje w celu zmniejszenia prawdopodobieństwa ataku, czyniąc z niej kontrolę prewencyjną.
91. D. Usługa łagodzenia ataków DDoS podejmuje działania w celu zmniejszenia obciążenia sieci poprzez blokowanie niepożądanego ruchu. Jest to interwencja techniczna i najlepiej ją opisać jako kontrolę techniczną.
92. A. PCI DSS zawiera wiele wyraźnych wymagań, które mają zastosowanie niezależnie od środowiska operacyjnego i dlatego najlepiej można ją opisać jako kontrolę nakazową.
93. C. PCI DSS umożliwia organizacjom, które nie mogą spełnić określonego wymogu PCI DSS, wdrożenie kontroli kompensacyjnej, która łagodzi ryzyko. To jest proces, który Piper postępuje w tym scenariuszu.
94. D. Celem tej kontroli jest zmniejszenie prawdopodobieństwa ataku. Wdrażanie kontroli zaprojektowanych w celu zmniejszenia prawdopodobieństwa lub wielkości ryzyka jest działaniem łagodzącym ryzyko.
95. D. Właściwa kolejność warstw NIST Cybersecurity Framework (od najmniej dojrzałej do najbardziej dojrzałej) jest: Częściowa; Poinformowany o ryzyku; Powtarzalne; Adaptacyjny.
96. D. Udostępnianie danych poza organizację zwykle wymaga zgody właściciela danych. Ruth powinna zapoznać się z polityką dotyczącą własności danych, aby uzyskać pomoc w ustaleniu tożsamości odpowiednich właścicieli danych, z którymi powinna się skonsultować.
97. A. To działanie jest prawie na pewno naruszeniem polityki dopuszczalnego użytkowania (AUP) organizacji, która powinna zawierać zapisy opisujące właściwe wykorzystanie sieci i zasobów obliczeniowych należących do organizacji.
98. B. Normy opisują konkretne środki kontroli bezpieczeństwa, które muszą być wdrożone w organizacji. Ryan nie zamieściłby listy algorytmów w dokumencie dotyczącym polityki wysokiego poziomu, a informacje te są zbyt ogólne, aby mogły być przydatne jako procedura. Wytyczne nie są obowiązkowe, więc nie miałyby zastosowania w tym scenariuszu.
99. D. Profile Ramowe opisują, jak konkretna organizacja może podejść do funkcji bezpieczeństwa objętych Ramowym Rdzeniem. Framework Core to zestaw pięciu funkcji bezpieczeństwa, które mają zastosowanie we wszystkich branżach i sektorach: identyfikacja, ochrona, wykrywanie, reagowanie i odzyskiwanie. Poziomy wdrożeń ramowych oceniają, w jaki sposób organizacja jest przygotowana do realizacji celów cyberbezpieczeństwa.
100. D. ISO 27001 jest standardem dobrowolnym i nie ma żadnych przepisów ani regulacji wymagających jej przyjęcia przez organizacje opieki zdrowotnej, firmy świadczące usługi finansowe lub instytucje edukacyjne.
101. B. Czasami trudno jest odróżnić przypadki najmniejszego przywileju, rozdziału obowiązków i podwójnej kontroli. Najmniejszy przywilej oznacza, że pracownik powinien mieć tylko prawa dostępu niezbędne do wykonywania swojej pracy. Chociaż może to być prawdą w tym scenariuszu, nie masz wystarczających informacji, aby to określić, ponieważ nie wiesz, czy dostęp do bazy danych pomógłby zespołowi ds. bezpieczeństwa w wykonywaniu jego obowiązków. Rozdzielenie obowiązków ma miejsce, gdy ten sam pracownik nie ma uprawnień do wykonywania dwóch różnych czynności, które w połączeniu mogą zagrażać bezpieczeństwu. Jest tak w tym przypadku, ponieważ członek zespołu, który miał możliwość zarówno zatwierdzania dostępu, jak i dostępu do bazy danych, może być w stanie przyznać sobie dostęp do bazy danych. Podwójna kontrola ma miejsce, gdy dwóch pracowników musi wspólnie autoryzować to samo działanie. Bezpieczeństwo przez ukrycie ma miejsce, gdy bezpieczeństwo kontroli zależy od tajności jej mechanizmu.
102. C. Zarówno planowanie sukcesji, jak i szkolenia krzyżowe służą ułatwieniu ciągłości działania poprzez tworzenie puli kandydatów na wolne stanowiska pracy. Spośród nich tylko szkolenia krzyżowe obejmują aktywne angażowanie innych osób w procesy operacyjne, co może również pomóc w wykrywaniu oszustw. Podwójna kontrola i rozdział obowiązków to kontrole, które zapobiegają oszustwom, ale nie ułatwiają ciągłości działania.
103. C. Organizacje mogą wymagać wszystkich tych pozycji jako części zatwierdzonego wniosku o wyjątek. Jednak dokumentacja zakresu, czasu trwania wyjątku i uzasadnienia biznesowego ma na celu jasne opisanie i uzasadnienie żądania wyjątku. Z drugiej strony kontrola kompensacyjna ma na celu zapewnienie, że organizacja spełnia intencje i rygor pierwotnego wymagania.
104. A. Działalność w zakresie ciągłego doskonalenia usług (CSI) w ITIL ma na celu podniesienie jakości i efektywności usług IT. Jest to działalność parasolowa, która otacza wszystkie inne działania ITIL.
105. C. To jest przykład podziału obowiązków. Ktoś, kto ma możliwość przelewania środków na konto i dokonywania płatności, może zainicjować bardzo duży transfer środków, więc Berta podzieliła te obowiązki na różne role. Rozdzielenie obowiązków wykracza poza najmniejsze przywileje poprzez celową zmianę pracy w celu zminimalizowania dostępu, jaki ma dana osoba, zamiast przyznawania jej pełnych uprawnień niezbędnych do wykonywania ich pracy. Nie jest to przykład podwójnej kontroli, ponieważ pojedyncza osoba może nadal wykonywać każdą akcję.
106. A. Zasady dotyczące własności danych jasno określają własność informacji stworzonych lub wykorzystywanych przez organizację. Zasady klasyfikacji danych opisują strukturę klasyfikacji stosowaną przez organizację oraz proces stosowany do prawidłowego przypisywania klasyfikacji do danych. Zasady przechowywania danych określają, jakie informacje będą przechowywane przez organizację oraz jak długo różne kategorie informacji będą przechowywane przed zniszczeniem. Zasady zarządzania kontem opisują cykl życia konta od udostępnienia przez aktywne użytkowanie i likwidację.
107. D. Automatyczne blokowanie logowania jest czynnością techniczną, a zatem jest to kontrola techniczna. Kontrole fizyczne to kontrole bezpieczeństwa, które wpływają na świat fizyczny. Kontrole operacyjne obejmują procesy, które wdrożyliśmy w celu bezpiecznego zarządzania technologią. Kontrole zarządcze to mechanizmy proceduralne, które organizacja stosuje w celu wdrożenia dobrych praktyk zarządzania bezpieczeństwem.
108. D. Zasady przechowywania danych opisują, jakie informacje organizacja będzie przechowywać i jak długo różne kategorie informacji będą przechowywane przed zniszczeniem, w tym minimalny i maksymalny okres przechowywania. Klasyfikacja danych byłaby objęta polityką klasyfikacji danych.
109. A. Wykorzystywanie informacji w celu innym niż ten, który został ujawniony podmiotom, narusza zasadę ograniczenia celu prywatności. Wszystkie inne problemy w tym scenariuszu stanowią naruszenia bezpieczeństwa, ale niekoniecznie są to kwestie związane z prywatnością.
