ISC3 Flashcards
Which of the following types of layered security mechanisms is best described as the process of enforcing separation either physically or logically?
A. Segmentation
B. Concealment
C. Masking
D. Abstraction
這題問及哪種層級安全機制最能描述為強制進行物理或邏輯分隔的過程。
選項解析:
A. 分割(Segmentation):這是正確答案。分割是透過硬體物理上或軟體邏輯上的方式來實施分隔,以防止不同部分之間的直接互動或侵入。
B. 隱藏(Concealment):隱藏的焦點在於隱藏數據,而不是強制進行物理或邏輯分隔。
C. 屏蔽(Masking):屏蔽是一種數據混淆技術,通常用於保護敏感信息,但不是層級安全的方法。
D. 抽象化(Abstraction):抽象化是隱藏某些複雜性層次的過程,專注於將特定的信息隱藏起來,以避免不必要的曝露,與物理或邏輯分隔無關。
因此,通過選項 A,分割最能描述為強制進行物理或邏輯分隔的層級安全機制。
NIST SP 800-53 the approach that implements controls at the organizational level is referred to as the:
A. Audit and Accountability approach.
B. Common approach.
C. System-Specific approach.
D. Hybrid approach.
【B】
共用方法(Common approach)–organizational level
特定系統方法(System-Specific approach)–information system level
混合方法(Hybrid approach)–混合方法將控制措施部分在組織層面實施,部分在信息系統層面實施,適用於特定組織需要的情況。
The description should include information on the cybersecurity control processes and the suitability of the design and operating effectiveness of the controls.
T or F?
F
The description should include information on the cybersecurity control processes, but the effectiveness of the controls processes should be included in management’s assertion (not the description itself).
说明应包括网络安全控制流程的信息,但控制流程的有效性应包含在管理层的论断中(而不是说明本身)。
Which of the GDPR principles to follow when processing data is best defined as what is relevant, adequate, and limited to what is necessary for the applicable purpose?
A. Accuracy
B. Purpose limitation
C. Data minimization
D. Integrity and confidentiality
這道題目探討了在處理數據時應遵循的 GDPR(通用数据保护条例)原则,並要求辨別其中哪一项原则最好地被定义为相关、充分且限于必要的目的。讓我們來解析一下:
選項 A:准确性(Accuracy)。根据 GDPR,数据必须准确并保持更新。
選項 B:目的限制(Purpose limitation)。根据 GDPR,数据必须为特定的、明确的和合法的目的处理。超出该目的的进一步处理在公共利益档案、科学或历史研究或统计目的下是允许的。
選項 C:数据最小化(Data minimization)。根据 GDPR,数据最小化原则要求数据处理必须是相关的、充分的,并且限于必要的目的。
選項 D:完整性和保密性(Integrity and confidentiality)。根据 GDPR,数据必须安全处理并防止未经授权或非法处理、意外丢失、破坏或损坏。。
因此,選項 C(数据最小化)是正确的,因为它最好地定义了 “相关、充分且限于必要的目的”。
General controls in an information system include each of the following, except:
A. Software acquisition.
B. Logic tests.
C. Information technology infrastructure.
D. Security management.
选择 “B “是正确的。一般控制可确保组织的控制环境得到良好管理并保持稳定。邏輯測試(logic tests)屬於應用控制(application controls)的一部分。這些控制措施通常包括數據輸入檢查、處理檢查、輸出檢查等。
选择 “A “不正确。软件采购以及开发、运行和维护控制都属于一般控制。
选择 “C “不正确。信息技术基础设施当然是一般控制的关键组成部分。
选择 “D “不正确。安全管理控制属于一般控制的范畴。
In all SOC engagements, risk assessment primarily focuses on:
A. Inherent risk.
B. Sampling risk.
C. Detection risk.
D. IT risk.
【A】
在所有的SOC(服務組織控制)審計中,風險評估主要關注固有風險(inherent risk)。固有風險是指在考慮控制措施之前所存在的風險,它影響系統描述的準備以及服務組織控制的有效性。因此,SOC審計的風險評估重點是確定並評估在沒有任何控制措施的情況下,可能會導致重大錯報或偏差的風險。
sampling risk–樣本不能代表總體的風險
detection risk–審計未能發現錯報和偏差的風險
When complementary user entity controls are identified, the scope section of the service auditor’s SOC 1® Type 2 report will be amended to include which of the following?
A. A statement that the engagement includes the evaluation of suitability of the design and operating effectiveness of the complementary user entity controls.
D. A statement that the service auditor did not evaluate the suitability of the design or operating effectiveness of the complementary user entity controls.
正確答案
選項 “D” 是正確的。範圍部分會包括一個聲明,指出補充性使用者實體控制的設計適當性和運行有效性未被納入本次審計範圍內進行評估。
解釋
補充性使用者實體控制:這些控制是指用戶實體需要實施以補充服務組織的控制,從而確保服務系統的有效性。
範圍聲明:在 SOC 1® Type 2 報告中,服務審計師需要明確表示補充性使用者實體控制未被納入審計範圍,這是因為這些控制通常由用戶實體自行管理和實施,而不是由服務組織控制。
What is the purpose of software quarantining?
B. Monitoring and filtering traffic based on predefined rules to prevent unauthorized network access.
C. Automatically isolating actual or suspected viruses from the rest of the company’s network, either through antivirus software or manual review of system logs.
选项 C 正确。病毒隔离涉及隔离病毒,以消除公司网络中的威胁,通常通过防病毒软件自动完成,或在查看系统日志后手动完成。
选项 B 不正确。它描述的是防火墙功能,而不是病毒隔离。
Which database schema, commonly used for dimensional modeling, is best described as one where data is organized into a central fact table with associated dimension tables surrounding it?
A. Flat model
B. Snowflake schema
C. Hierarchical model
D. Star schema
star
+———+
| Fact |
| Table |
+—-+—-+
|
+——-+——–+
| Dim1 (Table) |
+—————-+
| Dim2 (Table) |
+—————-+
| Dim3 (Table) |
+—————-+
snowflake
+———+
| Fact |
| Table |
+—-+—-+
|
+——-+——–+
| Dim1 |
| +————-+
| | Dim1_Part1 |
| +————-+
| | Dim1_Part2 |
+—————-+
| Dim2 |
| +————-+
| | Dim2_Part1 |
| +————-+
| | Dim2_Part2 |
+—————-+
| Dim3 (Table) |
+—————-+
在雪花模式图中,维度被进一步规范化为多个相关表(Dim1_Part1、Dim1_Part2 等),导致查询更复杂,性能可能比星形模式更慢。因此,对于优先考虑简单性和查询性能的维度建模,星形模式(选项 D)通常优于雪花模式(选项 B)。
the purpose of obtaining written representations in a SOC engagement?
C. To confirm the responsibility of the service auditor around the subject matter and assertions related to the engagement
D. To confirm representations given to the service auditor during the engagement and reduce the possibility of a misunderstanding between the service auditor and management
選項D正確指出,管理層的書面表示可以幫助確認在審計過程中所做的陳述,並減少因為理解上的不同而導致的誤解。這些書面表示具有法律和法規意義,有助於明確管理層的責任和服務審計師的角色。
選項C是錯誤的,因為管理層的書面表示不涉及審計師對未糾正錯誤陳述的重要性的信念,也不是用來確認服務審計師的主題事項和斷言的責任。
holistic approach governance system
Governance systems for IT can comprise diverse components.
全面治理系統:信息技术的治理系统可以由不同的部分组成。
COBIT 2019治理系統原則:
1.多樣的組件:治理系統可以包括多樣的組件,以綜合管理信息和技術。
2.企業定制:治理模型應根據企業的具體需求進行定制,以確保最大效益。
3.全面的視角:治理系統應涵蓋組織內所有涉及信息和技術的流程,實現全面的管理和控制。
4.治理與管理的區分:明確區分管理活動和治理系統的職責和功能,確保有效的治理和運營分離。
5.企業價值:治理系統應該通過設計要素優先考慮並定制以確保企業價值最大化。
6.全面的結構:治理系統應該包括所有涉及信息和技術的流程,以便綜合管理和控制。
Devices that have a primary function of enabling other machines in a network to share an IP address so that identities may be hidden are referred to as:
A. Circuit-level gateways.
B. Software-defined wide-area network (SD-WAN) devices.
C. Network address translation firewalls.
D. Application-level gateways.
C. 網絡地址轉換防火牆(Network Address Translation Firewalls)。
解釋:網絡地址轉換防火牆允許私有網絡中的多台設備共享單個公共地址,從而隱藏它們真實的私有地址。這些設備的主要功能是通過將內部私有地址轉換為單個公共地址,使得從外部來看,所有設備都似乎是從同一個地址訪問網絡,從而增強了網絡的安全性和隱私性。
A. 電路級網關(Circuit-level gateways):這種防火牆主要驗證在其網絡中傳輸的數據包的來源
B. 軟件定義廣域網(Software-defined Wide-area Network,SD-WAN)設備:這是一種通過軟件優化來實現的網絡
D. 應用級網關(Application-level gateways):這些設備檢查數據包
Which category best describes an information resource that an organization can work around for several days, but eventual restoration is necessary for ongoing operations?
A. High impact (H)
B. Medium impact (M)
C. Low impact (L)
D. No impact
【B】
high impact –
if the organization cannot operate without the information resource for even a short period of time.
low impact –
if the organization could operate without the information resource for an extended period of tim
All of the following are considered requirements by the Payment Card Industry Data Security Standard (PCI DSS) except which of the following?
C. Applying secure configurations to all system components
D. Enhancing accessibility of stored cardholder data by utilizing shared storage drives between banks, retailers, and customers
选择 “D “是正确的。使用共享存储驱动器供多方访问持卡人数据不是 PCI DSS 的要求。相反,遵守 PCI DSS 的机构必须保护存储的持卡人数据。
C–PCI DSS 要求企业对所有系统组件进行安全配置。
The IT Director at Sunriss Finance Corp. wants to reduce the unnecessary use of sensitive customer data across departments while still meeting operational needs. How can this be achieved?
Options:
A. Speeding up the data deletion process
B. Using shared folders to store confidential information
C. Implementing pseudonymization for data in transit and at rest
D. Preventing confidential information from being captured in the accounting system
C. 对传输中和静态数据实施化名处理
選項C是正確的。假名化可以對傳輸中的數據和靜態數據進行處理,這樣即使數據在內部傳輸,也可以提高機密性控制,減少敏感信息泄露或無意暴露的風險。假名化是對數據進行去識別化處理,將非必要的識別信息替換為假名(例如將客戶替換為客戶Z或供應商100)。這樣可以確保只有與業務部門相關的數據點被傳遞,從而最小化不必要的客戶數據在公司內部的傳播。
As an employee at Company X, you are tasked with designing a data storage system. Company X handles a large volume of structured data, and data quality is a critical concern. Which data storage method would you recommend, and why?
A. Storing data in a relational database for data quality, integrity, and enforcing business rules.
D. Combining both flat files and relational databases for flexibility of use.
选择 “A “是正确的。数据存储是一种专门用于保存信息的技术,有助于授权用户有效、高效地执行业务活动。常见的数据存储类型包括操作数据存储(ODS)、数据仓库、数据集市和数据湖。将数据存储在关系数据库中可确保数据质量、完整性和业务规则的执行,满足组织处理结构化数据的需求。
选择 “D “不正确。将平面文件和关系数据库结合起来以获得灵活性,并不能直接解决使用关系数据库来确保数据质量、完整性和执行业务规则的重点问题,而这些在企业处理结构化数据时至关重要。
Port-scanning attack
A. Port-scanning attack(端口掃描攻擊)
說明:攻擊者掃描系統的開放端口以查找潛在的弱點。
例子:攻擊者使用工具掃描目標伺服器的端口,發現某個端口開放,並試圖利用該端口的漏洞進行攻擊。
The Mitchell & Wilson law firm needs the defendant organization to provide records of command-line entries and DNS queries. Which CIS Control helps with collecting and archiving these records?
A. Control 08: Audit Log Management
B. Control 03: Data Protection
C. Control 05: Account Management
D. Control 06: Access Control Management
Domain name system (DNS)
题目逻辑解释:
题目涉及的是 Mitchell & Wilson 律师事务所在诉讼的 eDiscovery 阶段,要求被告组织提供 命令行输入 和 DNS 查询 的记录。这要求被告组织能够提供详细的日志记录,以便法律调查和要求。
选项 A(控制点 08: 审计日志管理) 涵盖了记录和管理系统活动日志的最佳实践。这包括:
- 记录系统事件(如命令行输入和DNS查询):审计日志管理确保组织能够详细记录用户在系统上的操作,例如输入命令和查询域名。
- 日志存档和管理:这个控制点帮助确保日志数据被妥善保存和管理,以满足法律和合规要求,特别是在eDiscovery过程中需要提供这些记录时。
其他选项与记录和归档日志的最佳实践不直接相关:
- 选项 B(控制点 03: 数据保护) 主要关注如何保护数据而非日志记录。
- 选项 C(控制点 05: 账户管理) 关注用户账户和凭证的管理。
- 选项 D(控制点 06: 访问控制管理) 关注用户访问权限的管理。
因此,选项 A 是最相关的,因为它专注于审计日志管理,确保可以满足记录收集和存档的要求。
Brute-force attack(暴力破解攻擊)
說明:攻擊者使用自動化工具反覆嘗試各種密碼組合以破解用戶帳號。
例子:攻擊者使用軟體工具對某個用戶帳號進行大量的密碼嘗試,直到猜中正確的密碼並獲得未授權的訪問。
An expanded footprint
B. An expanded footprint(擴展的足跡)
說明:組織的業務或網絡範圍增加,包括更多設備或地點。
例子:一家原本只在國內運營的公司開始在多個國家設立辦事處,導致其網絡基礎設施變得更為複雜。
Escalated cyberattacks
A. Escalated cyberattacks(升級的網絡攻擊)
說明:攻擊者對系統或網絡進行更具破壞性或複雜的攻擊。
例子:一家公司在經歷了多次釣魚攻擊後,遭到更大規模的分佈式拒絕服務(DDoS)攻擊,使其網站無法訪問。
Device spoofing(設備欺騙)
C. Device spoofing(設備欺騙)
說明:攻擊者偽造設備的身份以獲得未授權訪問或欺騙系統。
例子:攻擊者偽造一個合法用戶的智能手機,繞過身份驗證系統,進入受保護的網絡。
An organization relied heavily on e-commerce for its transactions. Evidence of the organization’s security awareness manual would be an example of which of the following types of controls?
A. Detective.
B. Preventive.
C. Compliance.
D. Corrective.
选择 “B “是正确的。预防控制是旨在防止潜在问题发生的控制措施。一个严重依赖电子商务的组织可能需要尽可能多的预防性控制措施,因为事后纠正错误可能很困难,甚至不可能。
选择 “A “不正确。一个严重依赖电子商务的组织可能需要尽可能多的预防性控制措施,因为事后纠正错误可能很困难或不可能。当然,也不能忽视侦查控制,因为很难防止所有的错误。
选择 “C “不正确。合规控制似乎是一个杜撰的术语。
选择 “D “不正确。一个严重依赖电子商务的组织可能需要尽可能多的预防性控制,因为事后纠正错误可能很困难或不可能。当然,纠正控制也不容忽视,因为一旦发现错误,就必须妥善纠正。
Each of the following represents a risk or challenge of e-commerce and Web commerce, except:
A. Maintaining privacy and confidentiality of information.
B. An inability to authenticate the identity of buyers and sellers.
C. Incompatible encryption systems resulting in faulty orders.
D. Effecting a secure exchange of money for goods and services provided.
【C】
A.维护信息的隐私性和保密性。
B.无法验证买卖双方的身份。
C.加密系统不兼容导致订单错误。
D.为所提供的商品和服务实现安全的货币交换。
A head developer implements a security measure that hides certain pieces of code so programmers only see what’s relevant to their job. This practice is an example of which type of layered security mechanism?
A. Abstraction
B. Concealment
C. Isolation
D. Segmentation
选择 “A “是正确的。分层安全技术采用了一套多样化的安全措施,包括多种形式的保护工具,从而使一次网络攻击无法危及整个系统。这种多管齐下的方法通常将管理控制与逻辑控制、技术控制和物理访问控制结合起来。
使用分层安全还能实现冗余,这样,如果一种保护措施失效,另一种保护措施也能保护相同的资源。促进冗余和多样化的一种常见做法是抽象化。抽象化是在任务中隐藏某些复杂程度的过程,以便只向执行任务的人员显示执行工作所需的相关信息。
选择 “B “不正确。对于隐藏,重点是隐藏数据,而不是去除潜在的细节和复杂性,以便只显示执行任务所需的关键信息。
选择 “C “不正确。隔离是使用物理或逻辑控制对流程进行分割,使这些流程单独运行,互不影响。它不涉及删除不必要的细节,使员工只能看到其工作所需的信息。
选择 “D “不正确。分段是指在硬件上或在软件逻辑上实施分离的过程。它与去除复杂性或细节以便只显示执行员工工作职能所需的相关信息无关。
Rulert Corp.’s IT department holds annual meetings to discuss cybersecurity trends and policies. Which COSO framework component do these meetings fall under?
A. Risk assessment
B. Control environment
C. Information and communication
D. Control activities
【C】
该框架的信息和沟通部分侧重于使用一致、相关的语言,并以支持内部和外部利益相关者内部控制的方式进行共享。Rulert 的年度会议是向员工通报最新网络安全政策的一种方式,这就是属于 COSO 信息与沟通部分的实践范例。
The Director of Finance wants the lead IT manager to centrally manage access based on a threat ranking for systems. Which two access control models should be used?
A. Mandatory access control; rule-based access control
B. Mandatory access control; risk-based access control
C. Discretionary access control; policy-based access control
D. Discretionary access control; role-based access control
這道題目描述了Ensista Inc.的財務總監希望IT經理根據系統的威脅等級來集中管理訪問控制權限。具體來說,對於不太重要的系統,威脅等級較低;對於可能嚴重影響業務的系統,威脅等級較高。根據這些要求,她應該採用哪兩種訪問控制授權模型?
選項:
A. 強制訪問控制;基於規則的訪問控制
B. 強制訪問控制;基於風險的訪問控制
C. 自由訪問控制;基於策略的訪問控制
D. 自由訪問控制;基於角色的訪問控制
解釋:
選擇 “B” 是正確的。授權模型用於管理對系統的邏輯訪問,以及對IT設備和其他公司資源的物理訪問。一些常見的授權模型包括自由訪問控制(DAC)、非自由訪問控制(強制訪問控制)、基於角色的訪問控制、基於規則的訪問控制、基於策略的訪問控制(PBAC)和基於風險的訪問控制。
非自由(強制)訪問控制允許管理員在整個公司範圍內集中管理規則。基於風險的訪問控制根據訪問資產或應用的風險級別來應用控制。這兩種控制的結合將允許IT經理集中管理訪問權限,並根據每個資產的威脅等級分配權限。
選擇 “A” 是不正確的。基於規則的訪問控制可能會被使用,但在這種情況下,重點是資產的威脅等級。基於規則的訪問控制範圍更廣,可以根據員工類型、設備類型、IP地址或其他多種因素設置規則,而不僅僅是威脅等級。
選擇 “C” 是不正確的。基於策略的訪問控制(PBAC)使用用戶角色和策略的組合,使PBAC具有靈活性,類似於一個框架。雖然可以從中得出適合該場景的解決方案,但控制的重點實際上是資產的威脅等級,而不是廣泛的策略範圍。
選擇 “D” 是不正確的。自由訪問控制是一種去中心化的控制形式,允許公司內的數據擁有者或管理者授予他們管理或控制的數據的訪問權限。這個場景描述的是希望控制權集中,而不是去中心化。
Which of the following is an appropriate combination of delivery methods and job roles for communicating security training and awareness to an organization?
A. Biannual on-demand simulations on labor regulation changes for software engineers
B. Annual live case studies on best practices for VPN connections for security engineers
C. Live sessions on disaster recovery protocols for all new hires
D. On-demand course on executing a phishing simulation campaign for senior management
选项 “B” 是正确的。现场年度案例研究对安全工程师来说是合适的,因为它们提供了关于VPN连接最佳实践的深入知识,并且可以在现场环境中讨论相关问题,增加互动性和学习效果。
A. 针对软件工程师的劳动法规变化的按需模拟,每半年一次
解释:按需模拟的频率和传递方式可能合适,但劳动法规变化与软件工程师的工作无关,更适合人力资源或行政部门。
C. 针对所有新员工的执行灾难恢复协议的现场课程
解释:灾难恢复是与IT安全分析师或工程师相关的专题,针对所有新员工的培训范围过于宽泛,现场课程可能导致更多问题,且成本较高。
D. 针对高层管理人员的按需课程,内容是执行钓鱼模拟活动
解释:高层管理人员可能从战略角度评估钓鱼活动,但不需要具体执行细节的培训,因此这个课程内容不适合他们。
Sunriss Productions wants a SOC report about Precision Business Advisors’ controls over customer personal information and protection against unauthorized access. Which trust services criteria would be most useful?
A. Processing integrity and availability
B. Privacy and security
C. Security and processing integrity
D. Availability and confidentiality
选择 “B “是正确的。隐私涉及个人信息的处理,安全涉及防止未经授权的访问。这符合 Sunriss Productions 的需求。
