Sicherheitsprinzipien Flashcards
CIA-Triade
im Sicherheit zu definieren, ist es üblich geworden, Vertraulichkeit, Integrität und Verfügbarkeit, auch als CIA-Triade bekannt, zu verwenden.
als Sicherheitsexperte werden Sie alle ihre Komponenten – Vertraulichkeit, Integrität und Verfügbarkeit – nutzen, um die Ihnen anvertrauten Informationen zu schützen.
Vertraulichkeit (confidentiality)
Vertraulichkeit bezieht sich darauf, autorisierten Zugriff auf Informationen zu gewähren und gleichzeitig Informationen vor unzulässiger Offenlegung zu schützen.
Die Eigenschaft von Daten oder Informationen, wenn sie unbefugten Personen oder Prozessen nicht zur Verfügung gestellt oder offengelegt 泄露werden.
Integrität
Integrität ist die Eigenschaft von Informationen, die so aufgezeichnet, verwendet und gepflegt werden, dass ihre Vollständigkeit, Genauigkeit, interne Konsistenz und Nützlichkeit für einen bestimmten Zweck gewährleistet保障 sind.
Integrität stellt sicher, dass diese Informationen nicht beschädigt oder ohne die Erlaubnis des Eigentümers der Informationen geändert werden.
Das Eigentum, dass Daten nicht unbefugt verändert wurden.
PII (Persönlich identifizierbare Informationen)
PII ist ein Begriff, der sich auf den Bereich der Vertraulichkeit bezieht. Es bezieht sich auf alle Daten über eine Person, die verwendet werden könnten, um sie zu identifizieren.
PHI ( geschützte Gesundheitsinformationen)
Informationen zum eigenen Gesundheitszustand
Verfügbarkeit
Das Kernkonzept der Verfügbarkeit besteht darin, dass Daten für autorisierte Benutzer zugänglich sind, wann und wo sie benötigt werden, und zwar in der erforderlichen Form und im erforderlichen Format. Dies bedeutet nicht, dass Daten oder Systeme zu 100 % verfügbar sind. Stattdessen erfüllen die Systeme und Daten die Anforderungen des Unternehmens an zeitnahen und zuverlässigen Zugriff.
Gewährleistung des rechtzeitigen und zuverlässigen Zugriffs auf und Nutzung von Informationen durch autorisierte Benutzer.
die Authentifizierung
Der Prozess der Überprüfung oder des Nachweises der Identität des Benutzers wird als Authentifizierung bezeichnet. um die Identität des Anforderers nachzuweisen.
Es gibt drei gängige Authentifizierungsmethoden:
1) Wissensbasiert: Passwörter
2) Token-basiert: Tokens, Speicherkarten, Smartcards
3) Merkmalsbasiert: Biometrie, messbare Merkmale
Zugriffskontrollprozess, der einen oder mehrere Identifikationsfaktoren vergleicht, um zu validieren, dass die von einem Benutzer oder einer Entität beanspruchte Identität dem System bekannt ist.
SFA ( Single-Factor Authentication )
Verwendung nur von einem der 3 vergügbaren Faktoren:
- was, dass sie wissen
- was, dass sie haben
- was, dass sie sind
um den angeforderten Authentifizierungsproze durchzuführen
MFA ( Multi-Faktor-Authentifizierung )
Verwendung von 2 der mehere untertschiedlichen Instanzen der 3 Authenfizierungsfaktoren zur Identitätsprüfung
Nichtablehnung
In der heutigen Welt des E-Commerce und der elektronischen Transaktionen gibt es Möglichkeiten, sich als andere auszugeben oder eine Handlung abzulehnen
Die Unfähigkeit, eine Aktion abzulehnen, z. B. das Senden einer E-Mail-Nachricht.
DSGVO ( Datenschutz-Grundverordnung)
der Europäischen Union, die für alle Organisationen im In- und Ausland gilt, um Privatphäre zu unterstützen
HIPAA (Health Insurance Portability and Accountability Act)
wie die Vertraulichkeit medizinischer Informationen gewahrt werden muss.
Privatphäre
Das Recht einer Person, die Verbreitung von Informationen über sich selbst zu kontrollieren.
Genehmigung
Das Recht oder die Erlaubnis, die einer Systeminstanz gewährt wird, um auf eine Systemressource zuzugreifen.
Bedrohungen (Vulnerabilty)
Eine Schwachstelle ist eine Lücke oder Schwachstelle im Schutz eines Unternehmens für seine wertvollen Vermögenswerte, einschließlich Informationen. die ist etwas oder jemand, der darauf abzielt, eine Schwachstelle auszunutzen, um Schutzbemühungen zu vereiteln. 破坏. Eine Person oder Organisation, die vorsätzlich Maßnahmen ergreift, um ein Ziel auszunutzen.
Vermögenswert
es ist etwas, das geschützt werden muss
Schwachstellen
ist eine inhärente Schwäche oder ein Fehler in einem System oder einer Komponente, die, wenn sie ausgelöst oder darauf reagiert wird, das Eintreten eines Risikoereignisses verursachen könnte.
Auswirkung
ist das Ausmaß des Schadens, der voraussichtlich aus den Folgen einer unbefugten 未经授权 Offenlegung 披露von Informationen, einer unbefugten Änderung von Informationen, einer unbefugten Zerstörung von Informationen oder des Verlusts von Informationen oder der Verfügbarkeit von Informationssystemen resultieren wird.
Minderung
Maßnahmen ergreifen, um die Auswirkungen eines Ereignisses zu verhindern oder zu verringern.
Übertragung
Gefahrübergang auf einen Dritten.
Vermeidung
Beenden der riskanten Aktivität, um die Wahrscheinlichkeit zu beseitigen, dass ein Ereignis eintritt
Annahme
Ignorieren der Risiken und Fortsetzen riskanter Aktivitäten. Wenn ein Unternehmen beschließt, ein Risiko zu ignorieren und mit einer riskanten Aktivität fortzufahren.
Verletzlichkeit
Eine inhärente Schwäche oder ein Fehler
Anlage
Etwas Wertvolles, das Eigentum einer Organisation ist, einschließlich physischer Hardware und geistigem Eigentum.
Sicherheitskontrollen
beziehen sich auf die
- physischen,
- technischen und
- administrativen Mechanismen, die als Sicherheitsvorkehrungen oder Gegenmaßnahmen dienen, die für ein Informationssystem vorgeschrieben sind, um die Vertraulichkeit, Integrität und Verfügbarkeit des Systems und seiner Informationen zu schützen.
Verwaltungskontrolle
Richtlinie zur akzeptablen Nutzung
Notfallverfahren
Sensibilisierungsschulung für Mitarbeiter
Physische Kontrolle
Ausweisleser
Stop-Schild am Parkplatz
Türschloss: Dadurch können Informationen in einem Archiv vor Einsichtnahme durch Unbefugte geschützt (Vertraulichkeit) sowie Dokumente vor Veränderung geschützt werden (Integrität).
Technische Kontrolle
Zugriffskontrollliste
Feuerlöscher
Dieser ist abstrakt, könnte aber mit der Verfügbarkeit verknüpft werden, denn je früher er funktioniert, desto mehr Daten bleiben verfügbar.
Kennwortrichtlinie
Dies kann Vertraulichkeit bieten, indem Daten vor unbefugtem Zugriff und Integrität vor unbefugten Änderungen geschützt werden. Es könnte sogar erweitert werden, um Verfügbarkeit bereitzustellen, wenn mehr als eine Person einen gemeinsamen Notfallzugriff auf Informationen benötigt.
Verschlüsselung
Dies wird normalerweise mit Integrität in Verbindung gebracht, um Dateien vor Manipulation zu schützen oder Unleugbarkeit zu gewährleisten. Es wird auch häufig verwendet, um Daten während der Übertragung vor neugierigen Blicken zu schützen, so dass es auch die Vertraulichkeit unterstützen könnte.
Generator
Dies schützt die Verfügbarkeit, indem der kontinuierliche Zugriff auf Systeme während eines Stromausfalls sichergestellt wird.
Biometrie
Dies würde im Allgemeinen mit Vertraulichkeit und Identitätsmanagement in Verbindung gebracht, könnte aber für alle drei argumentiert werden, genauso wie eine Passwortrichtlinie.
Vorschriften und Gesetze (Regulation)
Vorschriften werden üblicherweise in Form von Gesetzen erlassen, in der Regel von der Regierung (nicht zu verwechseln mit Governance) und sind in der Regel mit Geldstrafen für die Nichteinhaltung verbunden.
Vorschriften und damit verbundene Bußgelder und Strafen können von Regierungen auf nationaler, regionaler oder lokaler Ebene verhängt werden.
z.B.
Health Insurance Portability and Accountability Act (HIPAA)
Datenschutz-Grundverordnung (DSGVO)
Normen (Standards )
Standards werden häufig von Governance-Teams verwendet, um einen Rahmen für die Einführung von Richtlinien und Verfahren zur Unterstützung von Vorschriften bereitzustellen.
z.B.
International Organization for Standardization (ISO)
National Institute of Standards and Technology (NIST)
Internet Engineering Task Force (IETF)
Institute of Electrical and Electronics Engineers (IEEE)
Richtlinien (policies)
Richtlinien werden von der Organisationsführung, wie z. B. der Geschäftsleitung, eingeführt, um bei allen Aktivitäten eine Anleitung zu geben, um sicherzustellen, dass die Organisation Industriestandards und -vorschriften unterstützt.
Verfahren (procedure)
Verfahren sind die detaillierten Schritte zum Abschließen einer Aufgabe, die Abteilungs- oder Organisationsrichtlinien unterstützen.
Prozeduren definieren die expliziten, wiederholbaren Aktivitäten, die notwendig sind, um eine bestimmte Aufgabe oder eine Reihe von Aufgaben zu erfüllen.
Cranz ist (ISC)²-Mitglied und Mitarbeiter der Triffid Corporation. Einer von Cranz’ Kollegen bietet an, eine Datei zu teilen, die eine illegale Kopie eines neu veröffentlichten Films enthält. Was soll Cranz tun?
Annahme verweigern拒绝接受
Der (ISC)²-Ethikkodex verlangt, dass Mitglieder „ehrenhaft, ehrlich, gerecht, verantwortungsvoll und rechtmäßig handeln“. Die Weigerung, geistiges Eigentum von jemand anderem anzunehmen oder sich daran zu beteiligen, würde diesem Kanon widersprechen, und es würde auch gegen den Kanon verstoßen, der verlangt, dass (ISC)²-Mitglieder „den Berufsstand fördern und schützen“.
Ein Chief Information Security Officer (CISO) einer großen Organisation dokumentierte eine Richtlinie, die die akzeptable Nutzung von Cloud-Umgebungen für alle Mitarbeiter festlegt. Dies ist ein Beispiel für
Management/administrative Kontrolle
Kann man Risiken vermeiden?
Ja
Was versteht man unter Nichtabstreitbarkeit?
Wenn ein Benutzer etwas tut, kann er später nicht behaupten, dass er es nicht getan hat.
Welche der folgenden Möglichkeiten gehört NICHT zu den vier typischen Arten des Risikomanagements?
Aufblasen
Siobhan entscheidet, ob sie online einkaufen möchte; Der Anbieter möchte, dass Siobhan ein neues Benutzerkonto erstellt, und fordert Siobhans vollständigen Namen, Wohnadresse, Kreditkartennummer, Telefonnummer, E-Mail-Adresse, die Möglichkeit, Marketingnachrichten an Siobhan zu senden, und die Erlaubnis, diese Daten mit anderen Anbietern zu teilen. Siobhan entscheidet, dass der zum Verkauf stehende Artikel den Wert von Siobhans persönlichen Daten nicht wert ist, und beschließt, den Kauf nicht zu tätigen.
Welche Art von Risikomanagementansatz hat Siobhan gewählt?
Aufhebung (cancel)
Guillermo ist Systemadministrator für ein mittelständisches Einzelhandelsunternehmen. Guillermo wurde damit beauftragt, ein Dokument zu schreiben, das Schritt für Schritt beschreibt, wie man das Betriebssystem sicher auf einem neuen Laptop installiert. Dieses Dokument ist ein Beispiel für ein
Verfahren
Lankesh ist der Sicherheitsadministrator eines kleinen Lebensmittelvertriebsunternehmens. Das Land, in dem Lankeshs Unternehmen tätig ist, hat ein neues Gesetz veröffentlicht, aber das Gesetz steht im Widerspruch zu den Richtlinien des Unternehmens. Welchem Governance-Element sollte das Unternehmen von Lankesh folgen?
das Gesetz
Kristal ist Sicherheitsadministrator bei einem großen Online-Dienstleister. Kristal erfährt, dass das Unternehmen personenbezogene Daten seiner Kunden sammelt und die Daten ohne Wissen der Benutzer an lokale Regierungen weitergibt, in denen das Unternehmen tätig ist, um es den Regierungen zu ermöglichen, Benutzer auf der Grundlage ihrer politischen und philosophischen Überzeugungen zu verfolgen. Die veröffentlichte Benutzervereinbarung besagt, dass das Unternehmen ohne die ausdrückliche Zustimmung der Benutzer keine personenbezogenen Benutzerdaten an Unternehmen weitergeben wird.
Wem ist Kristal laut (ISC)2 Code of Ethics in dieser Situation letztendlich verpflichtet?
die Benutzer
Während Sie die Zertifizierungsprüfung für diese Zertifizierung ablegen, bemerken Sie, dass ein anderer Kandidat für die Zertifizierung schummelt. Was tun?
Melden Sie den Kandidaten an (ISC)2
Das Konzept der „Geheimhaltung” bezieht sich am meisten auf welchen grundlegenden Aspekt der Sicherheit?
Vertraulichkeit
While taking the certification exam for this certification, you notice another candidate for the certification cheating.
What should you do?
Report the candidate to ISC2