Sicherheitsprinzipien

Question 1

CIA-Triade

Answer 1

im Sicherheit zu definieren, ist es üblich geworden, Vertraulichkeit, Integrität und Verfügbarkeit, auch als CIA-Triade bekannt, zu verwenden.

als Sicherheitsexperte werden Sie alle ihre Komponenten – Vertraulichkeit, Integrität und Verfügbarkeit – nutzen, um die Ihnen anvertrauten Informationen zu schützen.

Question 2

Vertraulichkeit (confidentiality)

Answer 2

Vertraulichkeit bezieht sich darauf, autorisierten Zugriff auf Informationen zu gewähren und gleichzeitig Informationen vor unzulässiger Offenlegung zu schützen.

Die Eigenschaft von Daten oder Informationen, wenn sie unbefugten Personen oder Prozessen nicht zur Verfügung gestellt oder offengelegt 泄露werden.

Question 3

Integrität

Answer 3

Integrität ist die Eigenschaft von Informationen, die so aufgezeichnet, verwendet und gepflegt werden, dass ihre Vollständigkeit, Genauigkeit, interne Konsistenz und Nützlichkeit für einen bestimmten Zweck gewährleistet保障 sind.
Integrität stellt sicher, dass diese Informationen nicht beschädigt oder ohne die Erlaubnis des Eigentümers der Informationen geändert werden.

Das Eigentum, dass Daten nicht unbefugt verändert wurden.

Question 4

PII (Persönlich identifizierbare Informationen)

Answer 4

PII ist ein Begriff, der sich auf den Bereich der Vertraulichkeit bezieht. Es bezieht sich auf alle Daten über eine Person, die verwendet werden könnten, um sie zu identifizieren.

Question 5

PHI ( geschützte Gesundheitsinformationen)

Answer 5

Informationen zum eigenen Gesundheitszustand

Question 6

Verfügbarkeit 

Answer 6

Das Kernkonzept der Verfügbarkeit besteht darin, dass Daten für autorisierte Benutzer zugänglich sind, wann und wo sie benötigt werden, und zwar in der erforderlichen Form und im erforderlichen Format. Dies bedeutet nicht, dass Daten oder Systeme zu 100 % verfügbar sind. Stattdessen erfüllen die Systeme und Daten die Anforderungen des Unternehmens an zeitnahen und zuverlässigen Zugriff.

Gewährleistung des rechtzeitigen und zuverlässigen Zugriffs auf und Nutzung von Informationen durch autorisierte Benutzer.

Question 7

die Authentifizierung

Answer 7

Der Prozess der Überprüfung oder des Nachweises der Identität des Benutzers wird als Authentifizierung bezeichnet. um die Identität des Anforderers nachzuweisen.
Es gibt drei gängige Authentifizierungsmethoden:
1) Wissensbasiert: Passwörter
2) Token-basiert: Tokens, Speicherkarten, Smartcards
3) Merkmalsbasiert: Biometrie, messbare Merkmale

Zugriffskontrollprozess, der einen oder mehrere Identifikationsfaktoren vergleicht, um zu validieren, dass die von einem Benutzer oder einer Entität beanspruchte Identität dem System bekannt ist.

Question 8

SFA ( Single-Factor Authentication )

Answer 8

Verwendung nur von einem der 3 vergügbaren Faktoren:
- was, dass sie wissen
- was, dass sie haben
- was, dass sie sind
um den angeforderten Authentifizierungsproze durchzuführen

Question 9

MFA ( Multi-Faktor-Authentifizierung )

Answer 9

Verwendung von 2 der mehere untertschiedlichen Instanzen der 3 Authenfizierungsfaktoren zur Identitätsprüfung

Question 10

Nichtablehnung

Answer 10

In der heutigen Welt des E-Commerce und der elektronischen Transaktionen gibt es Möglichkeiten, sich als andere auszugeben oder eine Handlung abzulehnen

Die Unfähigkeit, eine Aktion abzulehnen, z. B. das Senden einer E-Mail-Nachricht.

Question 11

DSGVO ( Datenschutz-Grundverordnung)

Answer 11

der Europäischen Union, die für alle Organisationen im In- und Ausland gilt, um Privatphäre zu unterstützen

Question 12

HIPAA (Health Insurance Portability and Accountability Act)

Answer 12

wie die Vertraulichkeit medizinischer Informationen gewahrt werden muss.

Question 13

Privatphäre

Answer 13

Das Recht einer Person, die Verbreitung von Informationen über sich selbst zu kontrollieren.

Question 14

Genehmigung

Answer 14

Das Recht oder die Erlaubnis, die einer Systeminstanz gewährt wird, um auf eine Systemressource zuzugreifen.

Question 15

Bedrohungen (Vulnerabilty)

Answer 15

Eine Schwachstelle ist eine Lücke oder Schwachstelle im Schutz eines Unternehmens für seine wertvollen Vermögenswerte, einschließlich Informationen. die ist etwas oder jemand, der darauf abzielt, eine Schwachstelle auszunutzen, um Schutzbemühungen zu vereiteln. 破坏. Eine Person oder Organisation, die vorsätzlich Maßnahmen ergreift, um ein Ziel auszunutzen.

Question 16

Vermögenswert

Answer 16

es ist etwas, das geschützt werden muss

Question 17

Schwachstellen

Answer 17

ist eine inhärente Schwäche oder ein Fehler in einem System oder einer Komponente, die, wenn sie ausgelöst oder darauf reagiert wird, das Eintreten eines Risikoereignisses verursachen könnte.

Question 18

Auswirkung

Answer 18

ist das Ausmaß des Schadens, der voraussichtlich aus den Folgen einer unbefugten 未经授权 Offenlegung 披露von Informationen, einer unbefugten Änderung von Informationen, einer unbefugten Zerstörung von Informationen oder des Verlusts von Informationen oder der Verfügbarkeit von Informationssystemen resultieren wird.

Question 19

Minderung

Answer 19

Maßnahmen ergreifen, um die Auswirkungen eines Ereignisses zu verhindern oder zu verringern.

Question 20

Übertragung

Answer 20

Gefahrübergang auf einen Dritten.

Question 21

Vermeidung

Answer 21

Beenden der riskanten Aktivität, um die Wahrscheinlichkeit zu beseitigen, dass ein Ereignis eintritt

Question 22

Annahme

Answer 22

Ignorieren der Risiken und Fortsetzen riskanter Aktivitäten. Wenn ein Unternehmen beschließt, ein Risiko zu ignorieren und mit einer riskanten Aktivität fortzufahren.

Question 23

Verletzlichkeit

Answer 23

Eine inhärente Schwäche oder ein Fehler

Question 24

Anlage

Answer 24

Etwas Wertvolles, das Eigentum einer Organisation ist, einschließlich physischer Hardware und geistigem Eigentum.

Question 25

Sicherheitskontrollen

Answer 25

beziehen sich auf die
- physischen,
- technischen und
- administrativen Mechanismen, die als Sicherheitsvorkehrungen oder Gegenmaßnahmen dienen, die für ein Informationssystem vorgeschrieben sind, um die Vertraulichkeit, Integrität und Verfügbarkeit des Systems und seiner Informationen zu schützen.

Question 26

Verwaltungskontrolle

Answer 26

Richtlinie zur akzeptablen Nutzung
Notfallverfahren
Sensibilisierungsschulung für Mitarbeiter

Question 27

Physische Kontrolle

Answer 27

Ausweisleser
Stop-Schild am Parkplatz
Türschloss: Dadurch können Informationen in einem Archiv vor Einsichtnahme durch Unbefugte geschützt (Vertraulichkeit) sowie Dokumente vor Veränderung geschützt werden (Integrität).

Question 28

Technische Kontrolle

Answer 28

Zugriffskontrollliste

Question 29

Feuerlöscher

Answer 29

Dieser ist abstrakt, könnte aber mit der Verfügbarkeit verknüpft werden, denn je früher er funktioniert, desto mehr Daten bleiben verfügbar.

Question 30

Kennwortrichtlinie

Answer 30

Dies kann Vertraulichkeit bieten, indem Daten vor unbefugtem Zugriff und Integrität vor unbefugten Änderungen geschützt werden. Es könnte sogar erweitert werden, um Verfügbarkeit bereitzustellen, wenn mehr als eine Person einen gemeinsamen Notfallzugriff auf Informationen benötigt.

Question 31

Verschlüsselung

Answer 31

Dies wird normalerweise mit Integrität in Verbindung gebracht, um Dateien vor Manipulation zu schützen oder Unleugbarkeit zu gewährleisten. Es wird auch häufig verwendet, um Daten während der Übertragung vor neugierigen Blicken zu schützen, so dass es auch die Vertraulichkeit unterstützen könnte. 

Question 32

Generator

Answer 32

Dies schützt die Verfügbarkeit, indem der kontinuierliche Zugriff auf Systeme während eines Stromausfalls sichergestellt wird.

Question 33

Biometrie

Answer 33

Dies würde im Allgemeinen mit Vertraulichkeit und Identitätsmanagement in Verbindung gebracht, könnte aber für alle drei argumentiert werden, genauso wie eine Passwortrichtlinie.

Question 34

Vorschriften und Gesetze (Regulation)

Answer 34

Vorschriften werden üblicherweise in Form von Gesetzen erlassen, in der Regel von der Regierung (nicht zu verwechseln mit Governance) und sind in der Regel mit Geldstrafen für die Nichteinhaltung verbunden.
Vorschriften und damit verbundene Bußgelder und Strafen können von Regierungen auf nationaler, regionaler oder lokaler Ebene verhängt werden.
z.B.
Health Insurance Portability and Accountability Act (HIPAA)
Datenschutz-Grundverordnung (DSGVO)

Question 35

Normen (Standards )

Answer 35

Standards werden häufig von Governance-Teams verwendet, um einen Rahmen für die Einführung von Richtlinien und Verfahren zur Unterstützung von Vorschriften bereitzustellen.
z.B.
International Organization for Standardization (ISO)
National Institute of Standards and Technology (NIST)
Internet Engineering Task Force (IETF)
Institute of Electrical and Electronics Engineers (IEEE)

Question 36

Richtlinien (policies)

Answer 36

Richtlinien werden von der Organisationsführung, wie z. B. der Geschäftsleitung, eingeführt, um bei allen Aktivitäten eine Anleitung zu geben, um sicherzustellen, dass die Organisation Industriestandards und -vorschriften unterstützt.

Question 37

Verfahren (procedure)

Answer 37

Verfahren sind die detaillierten Schritte zum Abschließen einer Aufgabe, die Abteilungs- oder Organisationsrichtlinien unterstützen.
Prozeduren definieren die expliziten, wiederholbaren Aktivitäten, die notwendig sind, um eine bestimmte Aufgabe oder eine Reihe von Aufgaben zu erfüllen.

Question 38

Cranz ist (ISC)²-Mitglied und Mitarbeiter der Triffid Corporation. Einer von Cranz’ Kollegen bietet an, eine Datei zu teilen, die eine illegale Kopie eines neu veröffentlichten Films enthält. Was soll Cranz tun?

Answer 38

Annahme verweigern拒绝接受
Der (ISC)²-Ethikkodex verlangt, dass Mitglieder „ehrenhaft, ehrlich, gerecht, verantwortungsvoll und rechtmäßig handeln“. Die Weigerung, geistiges Eigentum von jemand anderem anzunehmen oder sich daran zu beteiligen, würde diesem Kanon widersprechen, und es würde auch gegen den Kanon verstoßen, der verlangt, dass (ISC)²-Mitglieder „den Berufsstand fördern und schützen“.

Question 39

Ein Chief Information Security Officer (CISO) einer großen Organisation dokumentierte eine Richtlinie, die die akzeptable Nutzung von Cloud-Umgebungen für alle Mitarbeiter festlegt. Dies ist ein Beispiel für

Answer 39

Management/administrative Kontrolle

Question 40

Kann man Risiken vermeiden?

Answer 40

Ja

Question 41

Was versteht man unter Nichtabstreitbarkeit?

Answer 41

Wenn ein Benutzer etwas tut, kann er später nicht behaupten, dass er es nicht getan hat.

Question 42

Welche der folgenden Möglichkeiten gehört NICHT zu den vier typischen Arten des Risikomanagements?

Answer 42

Aufblasen

Question 43

Siobhan entscheidet, ob sie online einkaufen möchte; Der Anbieter möchte, dass Siobhan ein neues Benutzerkonto erstellt, und fordert Siobhans vollständigen Namen, Wohnadresse, Kreditkartennummer, Telefonnummer, E-Mail-Adresse, die Möglichkeit, Marketingnachrichten an Siobhan zu senden, und die Erlaubnis, diese Daten mit anderen Anbietern zu teilen. Siobhan entscheidet, dass der zum Verkauf stehende Artikel den Wert von Siobhans persönlichen Daten nicht wert ist, und beschließt, den Kauf nicht zu tätigen.

Welche Art von Risikomanagementansatz hat Siobhan gewählt?

Answer 43

Aufhebung (cancel)

Question 44

Guillermo ist Systemadministrator für ein mittelständisches Einzelhandelsunternehmen. Guillermo wurde damit beauftragt, ein Dokument zu schreiben, das Schritt für Schritt beschreibt, wie man das Betriebssystem sicher auf einem neuen Laptop installiert. Dieses Dokument ist ein Beispiel für ein

Answer 44

Verfahren

Question 45

Lankesh ist der Sicherheitsadministrator eines kleinen Lebensmittelvertriebsunternehmens. Das Land, in dem Lankeshs Unternehmen tätig ist, hat ein neues Gesetz veröffentlicht, aber das Gesetz steht im Widerspruch zu den Richtlinien des Unternehmens. Welchem Governance-Element sollte das Unternehmen von Lankesh folgen?

Answer 45

das Gesetz

Question 46

Kristal ist Sicherheitsadministrator bei einem großen Online-Dienstleister. Kristal erfährt, dass das Unternehmen personenbezogene Daten seiner Kunden sammelt und die Daten ohne Wissen der Benutzer an lokale Regierungen weitergibt, in denen das Unternehmen tätig ist, um es den Regierungen zu ermöglichen, Benutzer auf der Grundlage ihrer politischen und philosophischen Überzeugungen zu verfolgen. Die veröffentlichte Benutzervereinbarung besagt, dass das Unternehmen ohne die ausdrückliche Zustimmung der Benutzer keine personenbezogenen Benutzerdaten an Unternehmen weitergeben wird.

Wem ist Kristal laut (ISC)2 Code of Ethics in dieser Situation letztendlich verpflichtet?

Answer 46

die Benutzer

Question 47

Während Sie die Zertifizierungsprüfung für diese Zertifizierung ablegen, bemerken Sie, dass ein anderer Kandidat für die Zertifizierung schummelt. Was tun?

Answer 47

Melden Sie den Kandidaten an (ISC)2

Question 48

Das Konzept der „Geheimhaltung” bezieht sich am meisten auf welchen grundlegenden Aspekt der Sicherheit?

Answer 48

Vertraulichkeit

Question 49

While taking the certification exam for this certification, you notice another candidate for the certification cheating.

What should you do?

Answer 49

Report the candidate to ISC2