5.0 Soulad a hodnocení

Question 1

Které z následujících jsou příklady datové suverenity? Vybrat vše, co platí.

Answer 1

Místní správci nemohou zpracovávat data v zahraničí.

Cloudová aplikace vyžaduje sdílení polohy GPS.

Question 2

Šifrované soubory otevřené v paměti popisují data _____.

Answer 2

při použití

Question 3

Filmový producent sdílí ukázkový klip filmové upoutávky několika uživatelům ke kontrole. Společnost má vlastní aplikaci pro kontrolu a poskytování zpětné vazby ke klipu. Jaký typ ochrany společnost uplatňuje na distribuci filmových upoutávek?

Answer 3

Autorizovaný divák

Question 4

Americká výrobní společnost přesouvá svou IT infrastrukturu do cloudu. Poskytovatel cloudových služeb (CSP) nabízí 99% dostupnost a kapacitu úložiště na vyžádání. Co může výrobní společnost požadovat od CSP, aby zajistila, že data budou dostupná pouze v USA? Vybrat vše, co platí.

Answer 4

Výběr datového centra

Přístup na základě omezení

Question 5

Která z následujících je netechnická bezpečnostní kontrola?

Answer 5

Dohoda o mlčenlivosti

Omezení účelu

Retenční standardy

Question 6

Výrobní společnost chce využívat cloudové služby, ale chce zajistit, aby její produkty a služby byly 100% vyrobeny v USA Při hledání poskytovatele cloudových služeb, co může tato společnost hledat, aby zajistila, že vše bude zpracováno v USA? Vybrat vše, co platí.

Answer 6

Výběr datového centra

Přístup na základě omezení

Question 7

Při péči o kvalitu dat identifikujte osobu, která označuje a uchovává data ve formátu platném pro zákony a předpisy.

Answer 7

Data steward - Správce dat

Question 8

Filmová produkční společnost poslala hudebnímu producentovi kopii reklamního klipu. Smlouva vyžadovala dohodu o mlčenlivosti, aby hudební producent reklamu nesdílel s ostatními. Jakou ochranu mohou filmoví producenti použít, aby zajistili, že hudební producenti dodrží dohodu?

Answer 8

Použijte sociální řešení DRM.

Question 9

Nemocnice sdílí zdravotní údaje s blízkou vysokou školou pro výzkum. Vysokoškolští profesoři mají k těmto datům přístup z webového portálu s přístupem do databáze pacientů nemocnice. Na obou koncových bodech není vyžadováno žádné šifrování ani speciální software. Jak může nemocnice zajistit, aby portál neodhaloval osobní identifikační údaje (PII)?

Answer 9

Maskovat osobní údaje

Question 10

Šifrovaný pevný disk (HDD) v úložišti popisuje data _____.

Answer 10

v klidu

Question 11

Která netechnická kontrola zabezpečení ovlivňuje zásady uchovávání dat?

Answer 11

Minimalizace dat

Question 12

Jaký bezpečnostní mechanismus by filmová produkční společnost běžně vložila do video souboru, aby ochránila jeho obsah?

Answer 12

Vodoznak

Question 13

Vojenská jednotka spolupracuje s dodavatelem na shromažďování informací o řešení zabezpečení IT pro monitorování jejich sítě. Prodejce požaduje dokumentaci o životním prostředí, aby mohl provést řádné posouzení. Které typy dat může armáda povolit prodejci zkontrolovat na základě dohody o mlčenlivosti (NDA)? Vybrat vše, co platí.

Answer 13

Pouze pro oficiální použití

Omezený

Question 14

Nemocnice uchovává kopie softwarového kódu v úložišti Git podle zásad organizace. Kód pomáhá automatizovat informace o zdravotním stavu pacienta a účtování. Proč je nutné, aby společnost uchovávala kopie kódu?

Answer 14

Pro kontrolu verzí

Question 15

Na okraji sítě funguje centrální aplikace prevence ztráty dat (DLP). Správci nyní instalují agenty koncových bodů na pracovní stanice. Jakou ochranu poskytuje tato akce společnosti?

Answer 15

Zamezení kopírování dat na USB flash disk

Question 16

Identifikujte, co je aplikováno na dokument, který je označen jako „Důvěrné“.

Answer 16

Klasifikace

Question 17

Probíhá výzkum řešení prevence ztráty dat (DLP). Pokud používáte podnikové řešení, může architektura DLP zahrnovat server zásad, agenty koncových bodů a síťové agenty. Jak mohou agenti koncových bodů DLP podporovat soukromí a ochranu dat?

Answer 17

Prosazovat zásady klienta

Question 18

Nemocnice provozuje propietární software pro automatizaci informací o zdraví pacientů a účtování. Vývojáři softwaru také uchovávají kopie každé iterace kódu pro případ katastrofy. Určete, jaký další důvod by se vztahoval na uchovávání různých kopií kódu?

Answer 18

Pro kontrolu verzí

Question 19

Která norma ve federálních organizacích Spojených států vyžaduje použití kontrol zabezpečení informací?

Answer 19

FISMA

Question 20

Která technická kontrola zabezpečení by nahradila všechna data nebo jejich část v poli náhodně vygenerovaným tokenem?

Answer 20

Tokenizace

Question 21

Určete nejvhodnější způsob filtrování přístupu uživatelů k důvěrnému souboru ve sdílené složce.

Answer 21

Nakonfigurujte seznam řízení přístupu.

Question 22

V armádě je důvěrnost dat rozdělena do různých úrovní, klasifikovaných různými štítky. Armáda často konzultuje se třetími stranami, aby pochopila, která IT řešení mohou podpořit jejich mise. Podle jaké klasifikace údajů by armáda mohla poskytovat elektronické dokumenty třetím stranám na základě dohody o mlčenlivosti (NDA)? Vybrat vše, co platí.

Answer 22

Pouze pro oficiální použití

Omezený

Question 23

Správci nasadili aplikaci centrální prevence ztráty dat (DLP). Pro integraci s firemní sítí vyžaduje další konfiguraci. Jak mohou správci sítě zabránit ztrátě dat v případech, které zahrnují USB flash disky?

Answer 23

Nainstalujte agenty koncových bodů.

Question 24

Společnosti by měly při výběru renomovaného dodavatele, aby poskytovaly dobré produkty pro zabezpečení IT, provést hloubkovou kontrolu. Co by společnost při provádění tohoto vyhledávání hledala? Vybrat vše, co platí.

Answer 24

Pravidelné aktualizace produktů

Dodržování předpisů

Zajištění bezpečnosti výroby

Řádně zajištěno

Question 25

Společnost navrhuje svůj proces hodnocení rizik, ale potřebuje posoudit své systémy, aby určila nejkritičtější. Tyto systémy se spoléhají na určitá aktiva. V následujícím inventáři vyberte nehmotný majetek, který má společnost zahrnout.

Answer 25

Obchodní pověst

Firemní nápady

Question 26

Jedna společnost zjistila, že její datové centrum má hodnotu aktiv a dat od jejích zákazníků přibližně 500 000 USD. Čas od času je zasáhne bezpečnostní incident, kdy celková délka jedné ztráty (SLE) činí asi 25 000 USD. Pokud vedení určí, že se tyto případy mohou příští rok vyskytnout jednou za měsíc, jaká bude vypočtená roční míra výskytu při výpočtu očekávané roční ztráty (ALE)?

Answer 26

12

Question 27

Hodnotitel provádí audit informačních systémů společnosti, aby ověřil jejich soulad se standardy navrženými Radou pro standardy zabezpečení dat v odvětví platebních karet (PCI DSS). Společnost použila nový bezpečnostní prvek na trhu speciálně pro cloudové platformy k bezpečnému odesílání a přijímání informací o kreditních kartách. Co by hodnotitel potřeboval k přijetí této nové kontroly?

Answer 27

Dokumentace kompenzačních kontrol

Question 28

Zhodnoťte role modrého týmu při účasti na cvičení „válečná hra“. Vybrat vše, co platí.

Answer 28

K detekci útoků

K odražení útoků

Question 29

Společnost nasadila nové bezpečnostní řešení pro ochranu informací o zdraví pacientů v cloudu. Auditor třetí strany prověřil zdroje a sítě společnosti, aby zajistil soulad se standardy Health Insurance Portability and Accountability Act (HIPAA). Co bude hodnotitel požadovat, aby přijal novou bezpečnostní kontrolu jako vyhovující a dostatečnou pro bezpečnost?

Answer 29

Dokumentace kompenzačních kontrol

Question 30

Jaký zdroj musí společnosti použít, aby ověřily, že produkt od dodavatele je vyroben ve Spojených státech?

Answer 30

Program důvěryhodného slévárenství

Question 31

Která metrika dopadu na podnikání určuje nejdelší dobu, po kterou může dojít k výpadku podnikových funkcí, aniž by to způsobilo nenapravitelné obchodní selhání?

Answer 31

Maximální tolerovatelné prostoje

Question 32

Tradiční prvky politiky hesel ji nejen činí bezpečnou, ale také ztěžují uživatelům přístup ke zdrojům lokálně nebo přes síť. Národní institut pro standardy a technologie (NIST) aktualizoval svou speciální publikaci (SP) 800 pokynů, aby vyvážil bezpečnost a správu uživatelských účtů. Které změny prvků tuto schopnost podporují? Vybrat vše, co platí.

Answer 32

Pravidla složitosti by neměla být vynucována.

Politika stárnutí by se neměla prosazovat.

Question 33

Společnost ztratila obchod v důsledku vnějších hackerů, kteří způsobili několik výpadků systému. Management uzavírá dohodu o nákupu řešení pro správu bezpečnostních informací a událostí (SIEM) a chce znát návratnost investic do zabezpečení (ROSI). Které faktory by odpovídaly tomuto ROSI? Vybrat vše, co platí.

Answer 33

Reduction in ALE

Náklady na řešení

Question 34

Které z následujících jsou příklady kvantitativních výpočtů rizik? Vybrat vše, co platí.

Answer 34

Očekávání jedné ztráty

Očekávaná roční ztráta

Question 35

Podle speciální publikace Národního institutu pro standardy a technologie (NIST SP) 800-39 se proces identifikace rizik skládá z které z následujících? Vybrat vše, co platí.

Answer 35

Vytvoření rizikového rámce

Prioritizace systémů

Zmírnění prostřednictvím bezpečnostních kontrol

Vyhodnocení případných změn

Question 36

IT společnost se snaží přesunout část své virtuální infrastruktury do cloudu. Společnost chce rychle migrovat do cloudu, proto se zvažuje řešení cloudového zabezpečení a poskytovatelé služeb třetích stran. Tím se sníží potřeba speciálního školení nebo přehledu o zabezpečení, jak spravovat zabezpečení cloudu. Který z následujících bude rozhodujícím faktorem, pokud bude založen pouze na provozních nákladech?

Answer 36

Návratnost investice do zabezpečení

Question 37

Oddělení IT dokončuje zprávu o zavedení řešení správy bezpečnostních informací a událostí (SIEM), které bude informovat pracovníky IT o možných hrozbách a sníží ztráty způsobené pády systémů v průběhu roku. Management shromažďuje informace ve zprávě, která bude zahrnovat nižší očekávanou roční ztrátu po zavedení řešení spolu s počátečními náklady. Jaké informace bude management v této zprávě nejvíce zajímat?

Answer 37

Návratnost investice do zabezpečení

Question 38

Při navrhování procesu hodnocení rizik musí společnost posoudit své systémy sestavením inventáře svých obchodních procesů a hmotných a nehmotných aktiv a zdrojů každého procesu. Které hmotné aktivum je z tohoto inventáře nejkritičtější pro základní funkce mise (MEF)?

Answer 38

řadiče domén

Question 39

Došlo k nárůstu externích průniků, od útoků odmítnutí služby až po instalaci škodlivého softwaru v místní společnosti. S využitím omezeného rozpočtu se management pokouší rozhodnout o nasazení řešení prevence narušení založené na síti nebo hostiteli. Který z následujících faktorů bude rozhodující, pokud se rozhodnou pouze na základě nákladů na provoz?

Answer 39

Návratnost investice do zabezpečení

Question 40

Zhodnoťte roli červeného týmu při účasti na cvičení „válečná hra“.

Answer 40

Proniknout do sítě

Question 41

Který z následujících typů faktorů může zahrnovat zásady uchovávání údajů? Vybrat vše, co platí.

Answer 41

Nadbytek

Termíny

Krátkodobý

Question 42

Které z následujících může společnost zahrnout do zásad přijatelného uživatele (AUP) pro běžné uživatele? Vybrat vše, co platí.

Answer 42

Vhodné využívání internetových služeb

Použití hlasu přes IP

Zakázat sdílení účtů

Question 43

Společnost dosahuje kapacity úložiště na cloudové platformě. V cloudovém úložišti je hostován souborový server a záložní adresář. Uživatelé minimalizují svou kvótu tím, že ukládají pouze důležitá data. Jaké zásady mohou pomoci zabránit nadměrnému využívání cloudového úložiště?

Answer 43

Zásady uchovávání

Question 44

Společnost předpovídá nadměrné poskytování dat v cloudu během několika příštích týdnů kvůli nárůstu uživatelských a zálohovaných dat. Uživatelům se doporučuje, aby důležitá data ukládali pouze do cloudu. Jaké zásady může společnost aktualizovat, aby omezila ukládání dat?

Answer 44

Zásady uchovávání

Question 45

Když zajistíte, že aplikace může chránit soukromí zdravotních informací pacienta, jak je popsáno v zákoně o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA), jaký proces by prokázal svou užitečnost?

Answer 45

Proces hodnocení

Question 46

Která firemní politika uvádí očekávání ohledně toho, jak by správci IT měli zacházet se zvýšeným přístupem?

Answer 46

Kodex chování

Question 47

Organizace s normativním přístupem k zabezpečení je obvykle řízena faktory dodržování předpisů. Pomocí modelu vyspělosti může společnost, která má definované zásady a postupy, reagovat na bezpečnostní hrozby. Určete úroveň úrovně, kterou by tato společnost dosáhla, na základě normativního rámce zabezpečení.

Answer 47

Úroveň 3

Question 48

Silně střežené datové centrum s ostrahou a kamerami nyní využívá inteligentní dveřní zámek, který vyžaduje společnou přístupovou kartu (CAC). Nový dveřní zámek slouží jako doplněk k celkovému zabezpečení objektu. V jakých ohledech tyto fyzické kontroly nepodporují zabezpečení budovy? Vybrat vše, co platí.

Answer 48

Upozorňují narušitele na pokutu.

Jsou náhradou za hlavní ovládání.

Question 49

Probíhá vyšetřování narušení bezpečnosti a právní zástupce společnosti žádá forenzního vyšetřovatele, aby shromáždil příslušné důkazy o narušení. Společnost si ponechala soudního vyšetřovatele. Jak by měl vyšetřovatel postupovat při soudním procesu?

Answer 49

Hlaste se právníkovi.

Question 50

Společnost používá normativní rámec k implementaci bezpečnostních kontrol. Dospěli k organizaci úrovně 3 a během toho se naučili mnoho lekcí. Projděte si následující popisy a vyberte nejvhodnější prohlášení pro situaci této společnosti.

Answer 50

Společnost má definované zásady a postupy.

Question 51

Nástroj pro správu identity a přístupu nahlásil neznámý místní účet na serveru Windows. Správce zkontroloval místní uživatele a potvrdil existenci účtu. Jak může správce zjistit, zda byl místní účet dříve používán?

Answer 51

Zkontrolujte protokoly zabezpečení.

Ověřte vlastníky dat.

Question 52

Na základě speciální publikace (SP) 800-53 Národního institutu pro standardy a technologie (NIST) vyberte přesné příklady bezpečnostních kontrol, které jsou kategorizovány jako provozní. Vybrat vše, co platí.

Answer 52

Ochranka

Tréninkové programy

Question 53

IT tým obdržel nejnovější zprávu z aplikace správy identit a přístupu (IAM). Správce nyní kontroluje protokoly zabezpečení serveru Windows. Analyzujte scénář a zjistěte, proč správce kontroluje protokoly.

Answer 53

Potvrďte poslední pokusy o přihlášení.

Question 54

Vyberte součásti, které tvoří rámec kybernetické bezpečnosti Národního institutu pro standardy a technologie (NIST). Vybrat vše, co platí.

Answer 54

Jádro

Implementační úrovně

Profily

Question 55

Které z následujících tvrzení o nepřetržitém sledování bezpečnosti jsou pravdivé? Vybrat vše, co platí.

Answer 55

Je to proces neustálého hodnocení rizik.

Zahrnuje rutinní audit práv a oprávnění.

Question 56

Do sítě byla nasazena aplikace, která splňuje standardy lékařského průmyslu a směrnice HIPAA (Health Insurance Portability and Accountability Act). Správa IT je spekulativní a pracuje na ověření funkcí aplikace. Na co je management většinou zaměřen na pochopení více s aplikací?

Answer 56

Soulad se zabezpečením

Question 57

Bezpečnostní oddělení nainstalovalo nové bezpečnostní kontroly pro lepší ochranu přístupu do datového centra. Nyní jsou k dispozici bezpečnostní kamery pro podporu stráží v obvodu datového centra a dveřní zámky nyní vyžadují k odemknutí čipovou kartu. Jak tyto fyzické kontroly přispívají k zabezpečení budovy? Vybrat vše, co platí.

Answer 57

Odrazují narušitele.

Zabraňují neoprávněnému vstupu.

Question 58

Organizace přechází na rámec založený na rizicích, aby lépe pochopila svůj současný stav kybernetické bezpečnosti a zlepšila jej. Jak mohou profily rámce podle vzoru NIST Cybersecurity Framework podporovat bezpečnostní cíle společnosti?

Answer 58

Uveďte cílové výsledky kybernetické bezpečnosti.

Question 59

Při vytváření procesu hodnocení rizik, které z následujících kontrol fyzického zabezpečení musí společnost zvážit u skladu datového centra? Vybrat vše, co platí.

Answer 59

Požární hlásič

Parkovací světla

Question 60

Jaký typ funkce kontroly zabezpečení slouží k eliminaci nebo snížení pravděpodobnosti úspěšného útoku předtím, než k němu dojde?

Answer 60

Preventivní

Question 61

Jaký typ funkce kontroly zabezpečení psychologicky odrazuje od pokusu útočníka o průnik?

Answer 61

Odrazují

Question 62

Tradiční prvky politiky hesel ji nejen činí bezpečnou, ale také ztěžují uživatelům přístup ke zdrojům lokálně nebo přes síť. Národní institut pro standardy a technologie (NIST) aktualizoval svou speciální publikaci (SP) 800 pokynů, aby vyvážil bezpečnost a správu uživatelských účtů. Které změny prvků tuto schopnost podporují? Vybrat vše, co platí.

Answer 62

Pravidla složitosti by neměla být vynucována.

Politika stárnutí by se neměla prosazovat.

Question 63

Narušení bezpečnosti v místní nemocnici se vyšetřuje. Nemocniční poradce si najal vyšetřovatele, aby analyzoval možné důkazy trestného činu. Tým pro reakci na počítačové bezpečnostní incidenty (CSIRT) poskytl následné zprávy (AAR) o incidentu. Jak má vyšetřovatel v případu postupovat?

Answer 63

Hlaste se právníkovi.