Security+
Zarządzanie, ryzyko i zgodność
1. Caroline została poproszona o znalezienie międzynarodowego standardu, który pokieruje wyborami jej firmy przy wdrażaniu systemów zarządzania bezpieczeństwem informacji. Który z poniższych byłby dla niej najlepszym wyborem?
A. ISO 27002
B. ISO 27017
C. NIST 800-12
D. NIST 800-14
2. Adam jest zaniepokojony złośliwym oprogramowaniem infekującym maszyny w jego sieci. Jedną z jego obaw jest to, że złośliwe oprogramowanie będzie w stanie uzyskać dostęp do wrażliwych funkcji systemu, które wymagają dostępu administracyjnego. Jaka technika najlepiej rozwiązałaby ten problem?
A. Wdrażanie oprogramowania antymalware opartego na hoście
B. Używanie konta nieadministracyjnego do normalnych działań
C. Implementacja pełnego szyfrowania dysku (FDE)
D. Upewnienie się, że systemy operacyjne są załatane
3. Jesteś odpowiedzialny za założenie nowych kont w sieci firmowej. O czym należy pamiętać przy zakładaniu nowych kont?
A. Długość hasła
B. Złożoność hasła
C. Wiek konta
D. Najmniej przywilejów
4. Która z poniższych zasad stanowi, że wielokrotne zmiany w systemie komputerowym nie powinny być wprowadzane w tym samym czasie?
A. Należyta staranność
B. Dopuszczalne użycie
C. Zarządzanie zmianą
D. Należyta staranność
v
5. Jesteś inżynierem bezpieczeństwa i odkryłeś pracownika korzystającego z systemów komputerowych firmy do prowadzenia swojej małej firmy. Pracownik zainstalował swoje osobiste oprogramowanie na firmowym komputerze i korzysta ze sprzętu komputerowego, takiego jak port USB. Jaką politykę poleciłbyś firmie wdrożyć, aby zapobiec ryzyku naruszenia danych i sieci firmy?
A. Zasady dopuszczalnego użytkowania
B. Polityka czystego biurka
C. Obowiązkowa polityka urlopowa
D. Polityka rotacji stanowisk
6. Jaki standard stosuje się do zabezpieczenia karty kredytowej?
A. RODO
B. COPPA
C. PCI-DSS
D. WNP
7. Jesteś menedżerem ds. bezpieczeństwa w swojej firmie i musisz zmniejszyć ryzyko, że pracownicy pracują w zmowie w celu defraudacji funduszy. Którą z poniższych zasad byś wdrożył?
A. Obowiązkowe wakacje
B. Czyste biurko
C. Umowa o zachowaniu poufności
D. Kształcenie ustawiczne
8. Po wdrożeniu przez firmę polityki czystego biurka, zostałeś poproszony o zabezpieczenie fizycznych dokumentów każdej nocy. Które z poniższych rozwiązań byłoby najlepszym rozwiązaniem?
A. Zamek drzwi departamentu
B. Zamykanie szafek i szuflad przy każdym biurku
C. Karty zbliżeniowe
D. Wdrażanie
9. Która z poniższych technik próbuje przewidzieć prawdopodobieństwo wystąpienia zagrożenia i przypisuje wartości pieniężne w przypadku wystąpienia straty?
A. Zarządzanie zmianą
B. Ocena podatności
C. Jakościowa ocena ryzyka
D. Ilościowa ocena ryzyka
10. Która z poniższych umów jest mniej formalna niż tradycyjna umowa, ale nadal ma pewien poziom ważności wszystkich zaangażowanych stron?
A. SLA
B. BPA
C. ISA
D. MOU
11. W ramach reakcji na naruszenie karty kredytowej Sally odkrywa dowody na to, że osoby z jej organizacji aktywnie pracowały nad kradzieżą informacji o kartach kredytowych i danych umożliwiających identyfikację (PII). Dzwoni na policję, aby zaangażować ich do śledztwa. Co ona zrobiła?
A. Eskalacja śledztwa
B. Powiadomienie publiczne
C. Zlecić dochodzenie na zewnątrz
D. Tokenizacja danych
12. Posiadasz składnik aktywów wyceniany na 16 000 USD, współczynnik narażenia na ryzyko mające wpływ na ten składnik aktywów wynosi 35 procent, a roczna częstość występowania wynosi 75 procent. Co to jest SLE?
A. 5600 $
B. 5000 USD
4200 USD
D. 3000 USD
13. Podczas spotkania przedstawiasz kierownictwu listę kontroli dostępu używanych w Twojej sieci. Która z poniższych kontroli jest przykładem kontroli naprawczej?
A. IDS
B. Dzienniki audytu
C. Oprogramowanie antywirusowe
D. Router
14. Jesteś nowym administratorem bezpieczeństwa i odkryłeś, że w Twojej firmie brakuje kontroli odstraszających. Którą z poniższych opcji zainstalujesz, która spełnia Twoje potrzeby?
A. Oświetlenie
B. Czujnik ruchu
C. Ukryte kamery wideo
D. Skaner antywirusowy
15. Polityka bezpieczeństwa Twojej firmy obejmuje wytyczne dotyczące testowania systemu i szkolenia w zakresie świadomości bezpieczeństwa. Który z poniższych typów kontroli to jest?
A. Detektywistyczna kontrola techniczna
B. Prewencyjna kontrola techniczna
C. Detektywistyczna kontrola administracyjna
D. Prewencyjna kontrola administracyjna
16. Jesteś administratorem bezpieczeństwa w swojej firmie i identyfikujesz zagrożenie bezpieczeństwa. Decydujesz się kontynuować z obecnym planem bezpieczeństwa. Jednak opracowujesz plan awaryjny na wypadek wystąpienia zagrożenia bezpieczeństwa. Którą z poniższych technik reagowania na ryzyko demonstrujesz?
A. Zaakceptuj
B. Przeniesienie
C. Unikaj
D. Łagodzenie
17. Firma Jima prowadzi obiekty w Illinois, Indianie i Ohio, ale główna siedziba znajduje się w Illinois. Które przepisy stanowe Jim musi przeglądać i stosować w ramach swojego programu bezpieczeństwa?
A. Wszystkie prawa stanowe USA
B. Illinois
C. Tylko amerykańskie prawo federalne
D. Prawo stanowe w Illinois, Indianie i Ohio
18. Jesteś administratorem IT w firmie i dodajesz nowych pracowników do systemu zarządzania tożsamością i dostępem organizacji. Które z poniższych stwierdzeń najlepiej opisuje wykonywany przez Ciebie proces?
A. Wdrażanie
B. Odejście na pokład
C. Działania niepożądane
D. Rotacja stanowisk
19. Mark jest kierownikiem biura w lokalnym oddziale banku. On chce upewnić się, że informacje o kliencie nie zostaną naruszone, gdy pracownicy biurka są z dala od swoich biurek przez cały dzień. Jaką koncepcję bezpieczeństwa,Mark wykorzystałby, aby złagodzić tę obawę?
A. Czyste biurko
B. Kontrole w tle
C. Kształcenie ustawiczne
D. Rotacja stanowisk
20. Jesteś administratorem bezpieczeństwa i doradzasz w sieci zespołowi programistów do umieszczenia CAPTCHA na stronie internetowej gdzie użytkownicy rejestrują się w celu założenia konta. Które z następujących kontroli to się odnosi?
A. Odstraszający
B. Detektyw
C. Kompensacja
D. Rozmagnesowanie
21. Który z poniższych nie jest typowym typem polityki bezpieczeństwa?
A. Zasady dopuszczalnego użytkowania
B. Polityka mediów społecznościowych
C. Polityka haseł
D. Polityka parkingowa
22. Jako specjalista ds. bezpieczeństwa IT w swojej organizacji konfigurujesz opcje etykiet danych dla firmowego serwera plików badawczo-rozwojowych. Zwykli użytkownicy mogą oznaczać dokumenty jako kontrahent, publiczny lub wewnętrzny. Jaką etykietę należy przypisać tajemnicom handlowym firmy?
A. Wysokość
B. Ściśle tajne
C. Zastrzeżone
D. Niski
23. Które z poniższych nie jest fizyczną kontrolą bezpieczeństwa?
A. Detektor ruchu
B. Ogrodzenie
C. Oprogramowanie antywirusowe
D. Telewizja przemysłowa (CCTV)
24. Twój menedżer ds. bezpieczeństwa chce zdecydować, które ryzyko ograniczyć na podstawie kosztów. Jaki jest ten przykład?
A. Ilościowa ocena ryzyka
B. Jakościowa ocena ryzyka
C. Analiza wpływu na biznes
D. Ocena zagrożenia
25. Twoja firma zleciła swoje własne procesy firmie Acme Corporation. Ze względu na problemy techniczne firma Acme chce uwzględnić dostawcę zewnętrznego, aby pomóc rozwiązać problemy techniczne. Które z poniższych elementów musi wziąć pod uwagę firma Acme przed wysłaniem danych do strony trzeciej?
A. Te dane powinny być zaszyfrowane przed wysłaniem do dostawcy zewnętrznego.
B. Może to stanowić nieuprawnione udostępnianie danych.
C. Może to naruszać szkolenie uświadamiające oparte na rolach użytkowników uprzywilejowanych.
D. Może to stanowić naruszenie umowy o zachowaniu poufności.
26. Które z poniższych jest uważane za kontrolę detektywistyczną?
A. Telewizja przemysłowa (CCTV)
B. Zasady dopuszczalnego użytkowania
C. Zapora
D. IPS
27. Które z poniższych jest zazwyczaj zawarte w BPA?
A. Jasne oświadczenia szczegółowo opisujące oczekiwania między klientem a usługodawcą
B. Umowa, że konkretna funkcja lub usługa będzie świadczona na uzgodnionym poziomie wykonania
C. Podział zysków i strat oraz dodanie lub usunięcie wspólnika
D. Wymagania bezpieczeństwa związane z łączeniem systemów informatycznych
28. Jesteś administratorem sieci w swojej firmie, a kierownik sklepu znajdującego się po drugiej stronie miasta kilka razy w tym roku skarżył się na utratę zasilania w ich budynku. Kierownik oddziału prosi o kontrolę kompensacji, aby przezwyciężyć awarię zasilania. Jaką kontrolę kompensacyjną polecasz?
A. Zapora sieciowa
B. Ochroniarz
C. IDS
D. Generator zapasowy
29. James jest administratorem bezpieczeństwa i próbuje zablokować nieautoryzowany dostęp do komputerów stacjonarnych w sieci firmowej. Skonfigurował systemy operacyjne komputerów tak, aby blokowały się po 5 minutach braku aktywności. Jaki rodzaj kontroli bezpieczeństwa wdrożył James?
A. Zapobiegawcze
B. naprawcze
C. Odstraszający
D. Detektyw
30. Pracownik księgowy zmienia role z innym pracownikiem księgowym co 4 miesiące. Jaki jest ten przykład?
A. Rozdzielenie obowiązków
B. Obowiązkowe wakacje
C. Rotacja stanowisk
D. Wdrażanie
31. Firma Tony′ego chce ograniczyć swoje ryzyko ze względu na dane klientów. Jaką praktykę powinni wprowadzić, aby mieć pewność, że mają tylko dane potrzebne do ich celów biznesowych?
A. Maskowanie danych
B. Minimalizacja danych
C. Tokenizacja
D. Anonimizacja
32. Witryna Twojej firmy jest hostowana przez dostawcę usług internetowych. Która z poniższych technik reagowania na ryzyko jest używana?
A. Unikanie ryzyka
B. Rejestr ryzyka
C. Akceptacja ryzyka
D. Ograniczanie ryzyka
33. Administrator bezpieczeństwa dokonuje przeglądu planu ciągłości firmy i określa RTO na cztery godziny i RPO na jeden dzień. Które z poniższych jest opisem planu?
A. Systemy powinny zostać przywrócone w ciągu jednego dnia i powinny działać przez co najmniej cztery godziny.
B. Systemy powinny zostać przywrócone w ciągu czterech godzin i nie później niż jeden dzień po incydencie.
C. Systemy powinny zostać przywrócone w ciągu jednego dnia i utracić co najwyżej cztery godziny danych.
D. Systemy powinny zostać przywrócone w ciągu czterech godzin z utratą danych z maksymalnie jednego dnia.
34. Które z poniższych stwierdzeń jest prawdziwe w odniesieniu do polityki przechowywania danych?
A. Przepisy wymagają przechowywania transakcji finansowych przez siedem lat.
B. Pracownicy muszą usunąć i zamknąć wszystkie wrażliwe i poufne dokumenty, gdy nie są używane.
C. Opisuje formalny proces zarządzania zmianami konfiguracji dokonanymi w sieci.
D. Jest to dokument prawny opisujący wzajemne porozumienie między stronami.
35. Jak obliczyć roczną oczekiwaną stratę (ALE), która może wystąpić z powodu zagrożenia?
A. Współczynnik ekspozycji (EF) / oczekiwana pojedyncza strata (SLE)
B. Oczekiwana jednorazowa strata (SLE) × roczna częstość występowania (ARO)
C. Wartość aktywów (AV) × współczynnik ekspozycji (EF)
D. Oczekiwana jednorazowa strata (SLE) / współczynnik narażenia (EF)
36. Michelle została poproszona o użycie testu porównawczego CIS dla systemu Windows 10 w ramach procesu bezpieczeństwa systemu. Jakich informacji będzie używać?
A. Informacje o tym, jak bezpieczny jest system Windows 10 w stanie domyślnym
B. Zestaw zalecanych konfiguracji zabezpieczeń w celu zabezpieczenia systemu Windows 10
C. Narzędzia do testów wydajności dla systemów Windows 10, w tym szybkość sieci i przepustowość zapory
D. Dane skanowania luk w zabezpieczeniach systemów Windows 10 dostarczane przez różnych producentów
37. Które z poniższych jest najlepszym przykładem kontroli prewencyjnej?
A. Kopie zapasowe danych
B. Kamera bezpieczeństwa
C. Alarm drzwi
D. Czujki dymu
38. Jesteś administratorem bezpieczeństwa w swojej firmie i identyfikujesz zagrożenie bezpieczeństwa, z którym nie potrafisz się uporać. Decydujesz się na pozyskanie zasobów kontraktowych. Wykonawca będzie odpowiedzialny za obsługę tego zagrożenia bezpieczeństwa i zarządzanie nim. Który z poniższych rodzajów technik reagowania na ryzyko demonstrujesz?
A. Zaakceptuj
B. Łagodzenie
C. Przeniesienie
D. Unikaj
39. Każdy podróżujący sprzedawca ma blokadę kablową, która blokuje laptopa, gdy oddala się od urządzenia. Której z poniższych kontroli ma to zastosowanie?
A. Administracyjne
B. Kompensacja
C. Odstraszający
D. Zapobiegawcze
40. Jesteś administratorem serwera prywatnej chmury swojej firmy. Aby świadczyć usługi pracownikom, należy używać niezawodnych dysków twardych w serwerze do obsługi środowiska wirtualnego. Które z poniższych stwierdzeń najlepiej opisuje niezawodność dysków twardych?
A. MTTR
B. RPO
C. MTBF
D. ALE
41. Cały ruch w Twojej organizacji przepływa przez jedno połączenie z Internetem. Które z poniższych terminów najlepiej opisuje ten scenariusz?
A. Przetwarzanie w chmurze
B. Równoważenie obciążenia
C. Pojedynczy punkt awarii
D. Wirtualizacja
42. Które z poniższych najlepiej opisuje wady ilościowej analizy ryzyka w porównaniu z jakościową analizą ryzyka?
A. Ilościowa analiza ryzyka wymaga szczegółowych danych finansowych.
B. Ilościowa analiza ryzyka jest czasami subiektywna.
C. Ilościowa analiza ryzyka wymaga wiedzy fachowej na temat systemów i infrastruktury.
D. Ryzyko ilościowe dostarcza jasnych odpowiedzi na pytania oparte na ryzyku.
43. Leigh Ann jest nowym administratorem sieci w lokalnym banku społeczności. Zajmuje się badaniem aktualnej struktury folderów i uprawnień serwera plików. Poprzedni administrator nie zabezpieczył odpowiednio dokumentów klientów w folderach. Leigh Ann przypisuje odpowiednie uprawnienia do plików i folderów, aby mieć pewność, że tylko upoważnieni pracownicy mają dostęp do danych. Jaką rolę w ochronie przyjmuje Leigh Ann?
A. Zaawansowany użytkownik
B. Właściciel danych
C. Użytkownik
D. Kustosz
44. Kategoryzacja ryzyka szczątkowego jest najważniejsza dla której z poniższych technik reagowania na ryzyko?
A. Ograniczanie ryzyka
B. Akceptacja ryzyka
C. Unikanie ryzyka
D. Przeniesienie ryzyka
45. Jesteś kierownikiem IT, a jeden z Twoich pracowników pyta kto przypisuje etykiety danych. Które z poniższych przypisuje etykiety danych?
A. Właściciel
B. Kustosz
C. Inspektor ds. prywatności
D. Administrator systemu
46. Które z poniższych jest najbardziej palącym problemem bezpieczeństwa związanym z sieciami społecznościowymi?
A. Inni użytkownicy mogą zobaczyć Twój adres MAC.
B. Inni użytkownicy mogą zobaczyć Twój adres IP.
C. Pracownicy mogą ujawnić poufne informacje firmy.
D. Pracownicy mogą wyrazić swoją opinię o swojej firmie.
47. Jaka koncepcja jest używana, gdy konta użytkowników są tworzone przez jednego pracownika i uprawnienia użytkownika są konfigurowane przez innego pracownika?
A. Kontrole w tle
B. Rotacja stanowisk
C. Rozdział obowiązków
D. Zmowa
48. Analityk bezpieczeństwa analizuje koszty, jakie firma mogłaby ponieść w przypadku naruszenia bazy danych klientów. Baza danych zawiera 2500 rekordów z informacjami umożliwiającymi identyfikację osób (PII). Badania pokazują, że koszt jednego rekordu wyniósłby 300 USD. Prawdopodobieństwo, że baza zostanie naruszona w przyszłym roku wynosi tylko 5 proc. Które z poniższych byłoby ALE dla naruszenia bezpieczeństwa?
A. 15 000 $
B. 37 500 USD
C. 150 000 $
D. 750 000 $
49. Które z poniższych pojęć określa cel firmy dotyczący przywrócenia systemu i akceptowalnej utraty danych?
A. MTBF
B. MTTR
C. RPO
D. ARO
50. Twoja firma zatrudnia zewnętrznego audytora, aby przeanalizował zasady tworzenia kopii zapasowych danych i długoterminowej archiwizacji danych firmy. Jaki rodzaj dokumentu organizacyjnego powinieneś dostarczyć audytorowi?
A. Polityka czystego biurka
B. Zasady dopuszczalnego użytkowania
C. Polityka bezpieczeństwa
D. Polityka przechowywania danych
51. Jesteś administratorem sieci i masz obowiązek tworzenia kont użytkowników dla nowych pracowników zatrudnionych przez firmę. Pracownicy ci są dodawani do systemu zarządzania tożsamością i dostępem oraz przydzielonych urządzeń mobilnych. Jaki proces wykonujesz?
A. Odejście na pokład
B. Właściciel systemu
C. Wdrażanie
D. Użytkownik wykonawczy
52. Jakim rodzajem kontroli jest rozdział obowiązków?
A. Fizyczne
B. Operacyjny
C. Techniczne
D. Kompensacja
53. Które z poniższych praw nie jest zawarte w RODO?
A. Prawo dostępu
B. Prawo do bycia zapomnianym
C. Prawo do przenoszenia danych
D. Prawo do anonimowości
54. Nick postępuje zgodnie z Ramami Zarządzania Ryzykiem (RMF) Narodowego Instytutu Standardów i Technologii (NIST) i zakończył etapy przygotowania i kategoryzacji. Który krok w ramach zarządzania ryzykiem jest następny?
A. Ocena kontroli
B. Wdrażanie kontroli
C. Kontrola monitorowania
D. Wybór kontroli
55. Dlaczego różnorodność technik szkoleniowych jest ważną koncepcją dla administratorów programów bezpieczeństwa?
A. Pozwala na wiele źródeł finansowania.
B. Każda osoba inaczej reaguje na trening.
C. Pozwala uniknąć pojedynczego punktu niepowodzenia w przestrzeganiu szkolenia.
D. Jest to wymagane dla zgodności z PCI-DSS.
56. Alyssa została poproszona o sklasyfikowanie ryzyka związanego z przestarzałym oprogramowaniem w jej organizacji. Jakiego rodzaju kategoryzacji ryzyka powinna użyć?
A. Wewnętrzne
B. Ilościowe
C. Jakościowe
D. Zewnętrzny
57. Jakiego terminu używa się do opisania listy wszystkich ryzyk organizacji, w tym informacji o ocenie ryzyka, sposobie jego naprawiania, statusie napraw oraz kto jest właścicielem lub przypisuje mu odpowiedzialność za to ryzyko?
A. SSAE
B. Rejestr ryzyka
C. Tabela ryzyka
D. DSS
58. Który z poniższych terminów jest używany do pomiaru stopnia utrzymania systemu lub urządzenia?
A. MTBF
B. MTTF
C. MTTR
D. MITM
59. Firma, dla której pracuje Olivia, doświadczyła ostatnio naruszenia bezpieczeństwa danych, które ujawniło dane klientów, w tym ich adresy domowe, zwyczaje zakupowe, adresy e-mail i dane kontaktowe. Firma Olivii jest liderem branży w swojej przestrzeni, ale ma również silnych konkurentów. Który z poniższych wpływów prawdopodobnie nie wystąpi teraz, gdy organizacja zakończyła proces reagowania na incydenty?
A. Kradzież tożsamości
B. Straty finansowe
C. Utrata reputacji
D. Utrata dostępności
60. Eric pracuje dla rządu USA i musi klasyfikować dane. Które z poniższych nie jest typowym typem klasyfikacji dla danych rządowych USA?
A. Ściśle tajne
B. Sekret
C. Poufne
D. Cywil
61. Które z poniższych nie jest powszechnym miejscem rejestrowania lub kodyfikowania praktyk dotyczących prywatności?
A. Formalna informacja o prywatności
B. Kod źródłowy produktu
C. Warunki umowy organizacji z klientami
D. Żadne z powyższych
62. Jaka kluczowa różnica oddziela pseudonimizację od anonimizacji?
A. Anonimizacja wykorzystuje szyfrowanie.
B. Pseudonimizacja wymaga dodatkowych danych w celu ponownej identyfikacji osoby, której dane dotyczą.
C. Anonimizację można cofnąć za pomocą skrótu.
D. Pseudonimizacja wykorzystuje losowe tokeny.
63. Jaka polityka wyraźnie określa własność informacji stworzonych lub wykorzystywanych przez organizację?
A. Polityka zarządzania danymi
B. Polityka bezpieczeństwa informacji
C. Zasady dopuszczalnego użytkowania
D. Polityka przechowywania danych
64. Organizacja Helen zapewnia wsparcie telefoniczne dla całej bazy klientów jako kluczową funkcję biznesową. Stworzyła plan, który zapewni, że telefony Voice over IP (VoIP) jej organizacji zostaną przywrócone w przypadku awarii. Jaki rodzaj planu stworzyła?
A. Plan odzyskiwania po awarii
B. Plan RPO
C. Funkcjonalny plan naprawy
D. Plan MTBF
65. Greg posiada dane sklasyfikowane jako informacje zdrowotne, które jego organizacja wykorzystuje jako część danych HR firmy. Które z poniższych stwierdzeń odnosi się do polityki bezpieczeństwa jego firmy?
A. Informacje o stanie zdrowia muszą być zaszyfrowane.
B. Greg powinien dokonać przeglądu odpowiednich przepisów, aby zapewnić właściwe postępowanie z informacjami zdrowotnymi.
C. Firmom zabrania się przechowywania informacji zdrowotnych i muszą zlecać je osobom trzecim.
D. Wszystkie powyższe
66. Jakiego rodzaju informacji dotyczy ryzyko kontroli?
A. Informacje zdrowotne
B. Informacje umożliwiające identyfikację osoby (PII)
C. Informacje finansowe
D. Własność intelektualna
67. Jakiego rodzaju wpływu osoba fizyczna najprawdopodobniej odczuje w przypadku naruszenia danych obejmującego dane umożliwiające identyfikację osoby?
A. Kradzież IP
B. Uszkodzenie reputacji
C. Grzywny
D. Kradzież tożsamości
68. Isaac został poproszony o napisanie polityki bezpieczeństwa swojej organizacji. Jakie zasady są powszechnie stosowane w przypadku kont usługi?
A. Muszą być wydawane tylko administratorom systemu.
B. Muszą używać uwierzytelniania wieloskładnikowego.
C. Nie mogą korzystać z interaktywnych loginów.
D. Wszystkie powyższe
69. Nina ma za zadanie umieszczać znaczniki identyfikacji radiowej (RFID) na każdym nowym sprzęcie, który wchodzi do jej centrum danych, który kosztuje ponad 500 USD. Jaki rodzaj polityki organizacyjnej najprawdopodobniej będzie zawierał tego typu wymaganie?
A. Polityka zarządzania zmianą
B. Zasady reagowania na incydenty
C. Polityka zarządzania aktywami
D. Zasady dopuszczalnego użytkowania
70. Megan przegląda diagram sieci centrum danych swojej organizacji, jak pokazano na poniższej ilustracji. Co powinna zwrócić uwagę na punkt A na diagramie?
A. Łącze bezprzewodowe
B. Połączenie nadmiarowe
C. Łącze przewodowe
D. Pojedynczy punkt awarii
71. Emma analizuje zagrożenia ze strony osób trzecich dla swojej organizacji, a Nate, specjalista ds. zakupów w jej organizacji, zauważa, że zakupy niektórych laptopów od dostawcy sprzętu firmy zostały opóźnione z powodu braku dostępności dysków SSD (dysków półprzewodnikowych) i określonych procesorów dla konkretnych konfiguracji. Jaki rodzaj ryzyka powinna to opisać Emma?
A. Ryzyko finansowe
B. Brak wsparcia dostawcy
C. Integracja systemu
D. Łańcuch dostaw
72. Henry wdrożył system wykrywania włamań. Jaką kategorię i rodzaj kontroli mógłby wymienić dla IDS?
A. Techniczny, detektyw
B. Administracyjne, zapobiegawcze
C. Techniczne, naprawcze
D. Administracyjny, detektyw
73. Amanda administruje stacjami roboczymi z systemem Windows 10 w swojej firmie i chce korzystać z bezpiecznego przewodnika konfiguracji z zaufanego źródła. Które z poniższych nie jest typowym źródłem testów porównawczych bezpieczeństwa systemu Windows 10?
A. WNP
B. Microsoft
C. FTC
D. NSA
74. Katie odkryła serwer sieciowy Windows 2008 działający w jej środowisku. Jakie obawy dotyczące bezpieczeństwa powinna wymienić dla tego systemu?
A. Windows 2008 działa tylko na platformach 32-bitowych.
B. W systemie Windows 2008 nie można uruchomić nowoczesnego oprogramowania serwera WWW.
C. System Windows 2008 dobiegł końca i nie można go załatać.
D. Wszystkie powyższe
75. Jaka strategia zarządzania ryzykiem polega na łataniu systemów natychmiast po wydaniu łat?
A. Akceptacja
B. Unikanie
C. Łagodzenie
D. Przeniesienie
76. Charles chce wyświetlić informacje z rejestru ryzyka swojej organizacji w łatwym do zrozumienia formacie i rankingu. Jakie powszechnie używane narzędzie pomaga kierownictwu w szybkim zrozumieniu względnych rankingów ryzyka?
A. Wykresy ryzyka
B. Mapa cieplna
C. Jakościowa ocena ryzyka
D. Ilościowa ocena ryzyka
77. Jaki kluczowy element przepisów, takich jak RODO Unii Europejskiej (UE) skłania organizacje do uwzględniania ich w ogólnej ocenie ryzyka?
A. Potencjalne grzywny
B. Ich roczna oczekiwana strata (ALE)
C. Ich docelowy czas regeneracji (RTO)
D. Prawdopodobieństwo wystąpienia
78. Jakie etapy obsługi katastrofy są objęte planem odzyskiwania po awarii?
A. Co robić przed katastrofą?
B. Co robić podczas katastrofy?
C. Co robić po katastrofie?
D. Wszystkie powyższe
79. Organizacja Naomi niedawno doświadczyła naruszenia informacji o karcie kredytowej. Po dochodzeniu okazuje się, że jej organizacja nieumyślnie nie była w pełni zgodna z PCIDSS i obecnie nie jest w pełni zgodna. Którą z poniższych kar najprawdopodobniej poniesie jej organizacja?
A. Zarzuty karne
B. Grzywny
C. Wypowiedzenie umowy przetwarzania karty kredytowej
D. Wszystkie powyższe
80. Alaina chce odwzorować wspólny zestaw kontroli usług w chmurze między standardami takimi jak COBIT (Cele kontrolne dotyczące technologii informacyjnych i powiązanych), FedRAMP (Federalny Program Zarządzania Ryzykiem i Autoryzacją), HIPAA (Ustawa o Przenośności i Odpowiedzialności Ubezpieczeń Zdrowotnych z 1996 r.) , i inni. Czego może użyć, aby przyspieszyć ten proces?
A. Architektura referencyjna CSA
B. ISO 27001
C. Macierz kontroli chmury CSA
D. ISO 27002
81. Gary stworzył aplikację, z której korzystają nowi pracownicy w jego organizacji w ramach szkolenia. Aplikacja pokazuje im przykłady wiadomości phishingowych i prosi pracowników o zidentyfikowanie podejrzanych wiadomości e-mail i ich przyczyn. Poprawne odpowiedzi otrzymują punkty, a niepoprawne odejmują punkty. Co to za technika szkolenia użytkowników?
A. Zdobądź flagę!
B. Grywalizacja
C. Kampanie phishingowe
D. Szkolenie oparte na rolach
82. Jakie prawo lub regulacje wymagają IOD w organizacjach?
A. FISM
B. COPPA
C. PCI-DSS
D. RODO
83. Uniwersytet, dla którego pracuje Susan, prowadzi ściśle tajne badania dla Departamentu Obrony USA w ramach partnerstwa ze swoją szkołą inżynierską. Niedawno odkryte naruszenie wskazuje na to, że szkoła jest zagrożona przez ponad rok przez zaawansowanego, utrzymującego się cyberprzestępcę. Jaką konsekwencją naruszenia powinna być Susan najbardziej?
A. Koszt przywrócenia operacji
B. Grzywny
C. Kradzież tożsamości
D. Kradzież IP
84. Jakiego terminu używa się do opisania funkcji, które muszą być kontynuowane przez cały czas lub wznowione tak szybko, jak to możliwe po katastrofie?
A. Pojedyncze punkty awarii
B. Funkcje niezbędne do realizacji misji
C. Cele czasu regeneracji
D. Podstawowe funkcje odzyskiwania
85. Twoja firma rozważa przeniesienie swojego serwera pocztowego do firmy hostingowej. Pomoże to zmniejszyć koszty administratora sprzętu i serwera w lokalizacji lokalnej. Który z poniższych dokumentów formalnie określałby wiarygodność i środki odwoławcze w przypadku braku wiarygodności?
A. MOU
B. SLA
C. ISA
D. BPA
86. Organizacja Ricka udostępnia stronę internetową, która pozwala użytkownikom utworzyć konto, a następnie przesłać swoje prace, aby podzielić się nimi z innymi użytkownikami. Obawia się naruszenia i chce odpowiednio zaklasyfikować dane do procesu ich obsługi. Jaki typ danych jest najbardziej właściwe, aby Rick mógł oznaczać dane gromadzone i przechowywane przez jego organizację?
A. Dane klienta
B. Dane osobowe
C. Informacje finansowe
D. Informacje zdrowotne
87. Jack przeprowadza ocenę ryzyka, a członek personelu zauważa że firma posiada wyspecjalizowane, wewnętrzne algorytmy AI, które są część głównego produktu firmy. Jakie ryzyko powinien zidentyfikować Jack jako najbardziej prawdopodobne, które wpłynie na te algorytmy?
A. Zewnętrzny
B. Wewnętrzne
C. Kradzież IP
D. Licencjonowanie
88. Dan napisał politykę, która zabrania pracownikom udostępniania swoich haseł współpracownikom, członkom rodziny lub innym osobom. Jaki rodzaj polityki uwierzytelniania stworzył?
A. Polityka poświadczeń urządzenia
B. Polityka poświadczeń personelu
C. Zasady konta usługi
D. Zasady konta administracyjnego
89. Dotkliwość ryzyka jest obliczana przy użyciu przedstawionego tutaj równania. Jakie informacje należy zastąpić X? Dotkliwość ryzyka = X * Wpływ
A. Nieodłączne ryzyko
B. MTTR (średni czas naprawy)
C. Prawdopodobieństwo wystąpienia
D. RTO (cel czasu regeneracji)
90. Jak ustalana jest wartość aktywów?
A. Pierwotny koszt przedmiotu!
B. Zamortyzowany koszt przedmiotu
C. Koszt wymiany przedmiotu!
D. Każde z powyższych w oparciu o preferencje organizacyjne
v
91. Jaki proces służy do identyfikacji krytycznych systemów?
A. BIA
B. MTBF
C. RTO
D. ICD
92. Zarmaena chce przenieść ryzyko naruszeń na inną organizację. Z której z poniższych opcji powinna skorzystać, aby przenieść ryzyko?
A. Wyjaśnij kierownictwu, że wystąpią naruszenia.
B. Obwinianie konkurentów za przyszłe naruszenia.
C. Sprzedaj dane swojej organizacji innej organizacji.
D. Kup ubezpieczenie cyberbezpieczeństwa.
93. Które z poniższych jest wspólną polityką bezpieczeństwa kont usług?
A. Ograniczenie godzin logowania
B. Zakaz interaktywnych logowania
C. Ograniczenie lokalizacji logowania
D. Wdrażanie częstego wygasania hasła
94. Koszt finansowy naruszenia jest przykładem jakiego składnika kalkulacji ryzyka?
A. Prawdopodobieństwo
B. Dotkliwość ryzyka
C. Wpływ
D. Wszystkie powyższe
95. W ramach wysiłków jego organizacji mających na celu zidentyfikowanie nowej lokalizacji siedziby, Sean przegląda mapy powodziowe Federalnej Agencji Zarządzania Kryzysowego (FEMA) pod kątem potencjalnej lokalizacji, którą przegląda. Jaki proces związany z planowaniem odzyskiwania po awarii obejmuje takie działania?
A. Analiza wpływu na biznes (BIA)
B. Ocena ryzyka na miejscu
C. Zapobieganie przestępczości poprzez projektowanie środowiskowe
D. Planowanie ciągłości działania
96. Joanna chce zażądać raportu z audytu od dostawcy, którego rozważa, i planuje przejrzeć opinie audytora na temat skuteczności stosowanych przez dostawcę mechanizmów kontroli bezpieczeństwa i prywatności. O jaki rodzaj standardu usług atestacyjny
ch (SSAE) powinna się zwrócić?
A. SSAE-18 SOC 1, typ 2
B. SSAE-18 SOC 2, Typ 1
C. SSAE-18 SOC 1, Typ 1
D. SSAE-18 SOC 2, typ 2
97. Jason stworzył rejestr ryzyka dla swojej organizacji i regularnie aktualizuje go o informacje od kierowników i kierownictwa wyższego szczebla w całej organizacji. Jakiemu celowi to służy?
A. Zmniejsza nieodłączne ryzyko.
B. Zwiększa świadomość ryzyka.
C. Zmniejsza ryzyko rezydualne.
D. Zwiększa apetyt na ryzyko.
98. Laura jest świadoma, że jej stan posiada przepisy, które kierują jej organizacją w przypadku naruszenia danych osobowych, w tym numerów ubezpieczenia społecznego (SSN). Jeśli ma naruszenie, które obejmuje numery SSN, jakie działania prawdopodobnie będzie musiała podjąć na podstawie prawa stanowego?
A. Zniszcz wszystkie numery ubezpieczenia społecznego.
B. Zmień klasyfikację wszystkich danych, których to dotyczy.
C. Publiczne powiadomienie o naruszeniu.
D. Zapewnij plan minimalizacji danych.
99. Które z poniższych nie minimalizuje naruszeń bezpieczeństwa popełnianych przez pracowników wewnętrznych?
A. Rotacja stanowisk
B. Rozdział obowiązków
C. Umowy o zachowaniu poufności podpisane przez pracowników
D. Obowiązkowe wakacje
100. Dostawca usług w chmurze Olivii twierdzi, że zapewnia "pięć dziewiątek czasu pracy", a firma Olivii chce skorzystać z tej usługi, ponieważ ich witryna traci tysiące dolarów co godzinę, gdy nie działa. Jaką umowę biznesową może zawrzeć Oliva, aby zapewnić utrzymanie wiarygodności reklamowanej przez dostawcę?
A. MOU
B. Umowa SLA
C. MSA
D. BPA
101. Po przejrzeniu systemów w swojej sieci Brian odkrył, że dziesiątki z nich uruchamiają kopie pakietu oprogramowania CAD, za które firma nie zapłaciła. Jaki rodzaj ryzyka powinien to określić?
A. Wewnętrzne
B. Starsze systemy
C. Kradzież IP
D. Zgodność oprogramowania
102. Gary rozpoczyna ocenę ryzyka dla organizacji i nie rozpoczął jeszcze wdrażania kontroli. Na jakie ryzyko stoi jego organizacja?
A. Ryzyko rezydualne
B. Ryzyko kradzieży IP
C. Ryzyko wielostronne
D. Nieodłączne ryzyko
103. Jak oblicza się SLE?
A. AV * EF
B. RTO * AV
C. MTTR * EF
D. AV * ARO
104. Jaki rodzaj polityki poświadczeń jest zwykle tworzony w celu obsługi wykonawców i konsultantów?
A. Polityka personalna
B. Zasady konta usługi
C. Zasady dotyczące osób trzecich
D. Polityka konta root
105. Wayne oszacował ARO dla ryzyka w jego organizacji na 3. Jak często Wayne myśli, że to wydarzenie będzie miało miejsce?
A. Raz na 3 miesiące
B. Trzy razy w roku
C. Raz na trzy lata
D. Raz w roku przez trzy lata
106. Gurvinder ocenia ryzyko związane z katastrofami w zakładzie jego firmy i chce je odpowiednio skategoryzować w swoim planowaniu. Które z poniższych nie jest rodzajem klęski żywiołowej?
A. Ogień
B. Powódź
C. Tornado
D. Wypadki przemysłowe
107. Madhuri klasyfikuje wszystkie dane swojej organizacji i chce odpowiednio sklasyfikować informacje na głównej stronie internetowej organizacji, która jest dostępna dla każdego, kto odwiedza tę witrynę. Jakiej klasyfikacji danych powinna użyć z poniższej listy?
A. Wrażliwe
B. Poufne
C. Publiczny
D. Krytyczne
108. Elle pracuje dla firmy obsługującej karty kredytowe, która obsługuje transakcje kartami kredytowymi dla firm na całym świecie. Jaką rolę w prywatności danych odgrywa jej firma?
A. Administrator danych
B. Steward danych
C. Powiernik danych
D. Podmiot przetwarzający dane
109. Witryna internetowa, z której korzysta Brian, pokazuje część jego numeru ubezpieczenia społecznego, a nie całość, a pozostałe cyfry zastępuje gwiazdki, co pozwala mu zweryfikować ostatnie cztery cyfry. Jaka technika jest używana na stronie?
A. Tokenizacja
B. Haszowanie
C. Szyfrowanie
D. Maskowanie danych
110. Michał chce poszukać wspólnego zestawu narzędzi do zarządzania bezpieczeństwem i ryzykiem dla swojego środowiska infrastruktury jako usługi (IaaS). Która z poniższych organizacji zapewnia architekturę referencyjną niezależną od dostawcy, której może użyć do walidacji jego projektu?
A. Centrum Bezpieczeństwa w Internecie (CIS)
B. ISO
C. Sojusz na rzecz bezpieczeństwa w chmurze
D. NIST
111. Jakim rodzajem kontroli jest zamek?
A. Kierownicze
B. Techniczne
C. Fizyczne
D. naprawcze
112. Isaac odkrył, że oprogramowanie księgowe jego organizacji jest źle skonfigurowane, co powoduje, że na bieżąco zgłaszane są nieprawidłowe dane. Jaki to rodzaj ryzyka?
A. Nieodłączne ryzyko
B. Ryzyko rezydualne
C. Kontroluj ryzyko
D. Przejrzyste ryzyko
113. Która z poniższych nie jest potencjalną katastrofą spowodowaną przez człowieka?
A. Pożary
B. Wycieki ropy
C. Huragany
D. Wojna
114. Susan pracuje dla rządu USA i znalazła w swojej organizacji informacje, które wymagają pewnej ochrony. Gdyby informacje zostały ujawnione bez upoważnienia, spowodowałoby to możliwą do zidentyfikowania szkodę dla bezpieczeństwa narodowego. Jak powinna klasyfikować dane?
A. Ściśle tajne
B. Sekret
C. Poufne
D. Wrażliwość biznesowa
115. Ed służy jako zarządca danych w swojej organizacji i chce sklasyfikować każdy element danych, który jest używany w ich działalności. Jak powinien klasyfikować numery telefonów komórkowych?
A. Jako PHI
B. Jako informacje finansowe
C. Jako informacje umożliwiające identyfikację osoby
D. Jako informacja rządowa
116. Marcus chce zapewnić, że osoby atakujące nie będą w stanie zidentyfikować jego klientów, jeśli zdobędą kopię bazy danych aplikacji sieciowej jego organizacji. Chce chronić swoje numery ubezpieczenia społecznego (SSN) za pomocą alternatywnej wartości, do której może się odnieść gdzie indziej, gdy musi wyszukać klienta po jego numerze SSN. Jakiej techniki powinien użyć, aby to osiągnąć?
A. Szyfrowanie
B. Tokenizacja
C. Maskowanie danych
D. Mycie danych
117. Która z poniższych sytuacji jest najczęstszym powodem umieszczania informacji o prywatności na stronie internetowej?
A. Aby ostrzec napastników o środkach bezpieczeństwa
B. Aby uniknąć procesów sądowych
C. Ze względu na przepisy lub ustawy
D. Żadne z powyższych
118. Nicole określa, w jaki sposób jej organizacja przetwarza dane, które zbiera o swoich klientach, a także decyduje, w jaki sposób i dlaczego dane osobowe powinny być przetwarzane. Jaką rolę odgrywa Nicole w swojej organizacji?
A. Zarządca danych
B. Powiernik danych
C. Administrator danych
D. Konsument danych
119. Klaster maszyn wirtualnych, którym zarządza Pat, doznał poważnej awarii kontrolera podstawowego. Cała organizacja jest offline, a klienci nie mogą uzyskać dostępu do strony internetowej organizacji, która jest jej podstawową działalnością. Jakiego rodzaju katastrofy doświadczyła organizacja Pata?
A. Katastrofa MRO
B. Katastrofa wewnętrzna
C. Katastrofa RTO
D. Katastrofa zewnętrzna
120. Jaki ważny krok należy podjąć na początku cyklu życia informacji, aby zapewnić organizacjom możliwość obsługi gromadzonych danych?
A. Przechowywanie danych
B. Klasyfikacja danych
C. Minimalizacja danych
D. Eksfiltracja danych
121. Organizacja Kirka doświadcza zakrojonych na szeroką skalę ataków typu "odmowa usługi" (DoS) na ich główną stronę internetową. Kirk podpisuje umowę ze swoim dostawcą usług internetowych, aby zwiększyć przepustowość organizacji i rozszerzyć pulę serwerów, aby witryna mogła obsłużyć znacznie większy ruch niż którykolwiek z poprzednich ataków DoS. Jaki rodzaj strategii zarządzania ryzykiem zastosował?
A. Akceptacja
B. Unikanie
C. Przeniesienie
D. Łagodzenie
122. Obiekt kolokacyjny, który Joanna zleca na obsługę serwerów jej organizacji, znajduje się na równinie zalewowej w strefie huraganu. Jakie ryzyko najlepiej opisuje ryzyko, z jakim styka się Joanna i inni klienci?
A. Ryzyko wielostronne
B. Ryzyko wewnętrzne
C. Ryzyko związane z dziedziczeniem
D. Ryzyko kradzieży IP
123. Usługa w chmurze, z której organizacja Nataszy korzystała przez ostatnie pięć lat, nie będzie już dostępna. Na jakim etapie relacji z dostawcą Natasha powinna zaplanować tę usługę?
A. Przygotowanie protokołu MOU service
B. Proces przejścia EOL
C. Tworzenie umowy NDA
D. Ostatnia wola i testament
124. Gary chce użyć bezpiecznego testu porównawczego konfiguracji dla swojej organizacji dla Linuksa. Która z poniższych organizacji byłaby użytecznym, powszechnie przyjętym benchmarkiem, z którego mógłby skorzystać?
A. Microsoft
B. NIST
C. WNP
D. Wszystkie powyższe
125. Po tym, jak Angela opuściła swoją ostatnią organizację, odkryła, że nadal ma dostęp do swoich dysków współdzielonych i może zalogować się na swoje konto e-mail. Jaki krytyczny proces prawdopodobnie został zapomniany, kiedy odeszła?
A. Wywiad wyjazdowy
B. Rotacja stanowisk
C. Odejście od pokładu
D. Zarządzanie
126. Frank wie, że przedsiębiorstwa mogą używać dowolnych etykiet klasyfikacyjnych, ale wie również, że istnieje wiele powszechnych etykiet. Która z poniższych nie jest wspólną etykietą klasyfikacji danych dla firm?
A. Publiczny
B. Wrażliwe
C. Prywatne
D. Tajemnica
127. Gdzie często znajdują się informacje o prywatności?
A. Warunki umowy dla klientów
B. Klikalna umowa licencyjna
C. Umowa o korzystanie ze strony internetowej
D. Wszystkie powyższe
Odpowiedzi
1. A. Caroline powinna wybrać ISO 27002. ISO 27002 to międzynarodowy standard wdrażania i utrzymywania systemów bezpieczeństwa informacji. ISO 27017 to międzynarodowy standard bezpieczeństwa w chmurze; NIST 800-12 to ogólny standard bezpieczeństwa i jest to standard amerykański, a nie międzynarodowy; a NIST 800-14 jest standardem opracowywania polityki, a także standardem amerykańskim, a nie międzynarodowym.
2. B. Jeśli system jest zainfekowany złośliwym oprogramowaniem, złośliwe oprogramowanie będzie działać z uprawnieniami bieżącego użytkownika. Jeśli korzystasz z kont nieadministracyjnych, z najmniejszymi uprawnieniami, złośliwe oprogramowanie nie będzie mogło uzyskać dostępu do funkcji administracyjnych bez możliwości eskalacji uprawnień.
3. D. Najmniej przywilejów jest najbardziej fundamentalną koncepcją w zakładaniu kont. Każdy użytkownik powinien mieć wystarczające uprawnienia do wykonywania swojej pracy. Ta koncepcja dotyczy również kont serwisowych. Chociaż rozważasz każdą z pozostałych opcji, nie są one tak krytyczne jak zasada najmniejszych przywilejów.
4. C. Zarządzanie zmianą to proces dokumentowania wszystkich zmian dokonanych w sieci i komputerach firmy. Unikanie wprowadzania zmian w tym samym czasie znacznie ułatwia śledzenie ewentualnych problemów. Due diligence to proces badania i weryfikacji prawidłowości określonego czynu. Zasady dopuszczalnego użytkowania określają, jakie działania i praktyki są dozwolone w organizacji podczas korzystania z technologii. Należyta staranność to wysiłek podejmowany przez rozsądną stronę w celu uniknięcia krzywdy drugiej osoby. Jest to poziom osądu, troski, determinacji i działań, których rozsądnie oczekiwałaby osoba w określonych warunkach.
5. A. Polityka dopuszczalnego użytkowania (AUP) to dokument określający, do czego użytkownik może mieć dostęp w sieci firmowej lub w Internecie, a do czego nie. Polityka czystego biurka zapewnia, że wszystkie wrażliwe/poufne dokumenty są usuwane ze stacji roboczej użytkownika końcowego i zamykane, gdy dokumenty nie są używane. Obowiązkowa polityka urlopowa jest wykorzystywana przez firmy do wykrywania nadużyć poprzez zatrudnianie drugiej osoby, zaznajomionej z obowiązkami, pomagającej wykryć wszelkie nielegalne działania. Rotacja stanowisk to polityka opisująca praktykę przenoszenia pracowników między różnymi zadaniami. Rotacja stanowisk może pomóc w wykrywaniu raud, ponieważ pracownicy nie mogą wykonywać tych samych czynności przez długi czas.
6. C. PCI-DSS lub Payment Card Industry Data Security Standard to standard bezpieczeństwa wymagany przez dostawców kart kredytowych. Za aktualizacje i zmiany w standardzie odpowiedzialna jest Rada ds. Standardów Bezpieczeństwa Branży Kart Płatniczych. RODO, czyli ogólne rozporządzenie o ochronie danych, to standard prywatności i bezpieczeństwa danych w Unii Europejskiej (UE). COPPA to ustawa o ochronie prywatności dzieci w Internecie, prawo federalne USA. CIS to Centrum lub Internet Security i nie jest prawem ani regulacją.
7. A. Firmy będą stosować obowiązkową politykę urlopową w celu wykrycia oszustw poprzez zatrudnianie drugiej osoby, zaznajomionej z obowiązkami, pomagającej w wykrywaniu wszelkich nielegalnych działań. Polityka czystego biurka zapewnia, że wszystkie wrażliwe/poufne dokumenty są usuwane ze stacji roboczej użytkownika końcowego i zamykane, gdy dokumenty nie są używane. Umowa o zachowaniu poufności (NDA) chroni wrażliwe i intelektualne dane przed dostaniem się w niepowołane ręce. Kształcenie ustawiczne to proces szkolenia dorosłych słuchaczy z szerokiej listy zajęć i programów kształcenia pomaturalnego. Firmy będą wykorzystywały kształcenie ustawiczne do szkolenia swoich pracowników w zakresie nowych zagrożeń, a także powtarzania obecnych polityk i ich znaczenia.
8. B. Zamykanie szafek i szuflad jest najlepszym rozwiązaniem, ponieważ pozwalają one jednostkom zamknąć swoje szuflady i zapewniają, że dostęp do jednego klucza nie pozwala na szeroki dostęp do dokumentów, takich jak zamek do drzwi działowych lub karty zbliżeniowe do przestrzeni. Onboarding to proces dodawania pracownika do firmowego systemu zarządzania tożsamością i dostępem i nie pomoże w zabezpieczeniu dokumentów, ale może nauczyć tego procesu.
9. D. Ilościowa ocena ryzyka to proces przypisywania wartości liczbowych do prawdopodobieństwa wystąpienia zdarzenia i wpływu zdarzenia. Zarządzanie zmianą to proces zarządzania zmianami konfiguracji dokonanymi w sieci. Ocena podatności próbuje zidentyfikować, określić ilościowo i uszeregować słabe punkty systemu. Jakościowa ocena ryzyka to proces rankingowania, które ryzyko stwarza największe zagrożenie, przy użyciu ocen takich jak niski, średni i wysoki.
10. D. Protokół ustaleń (MOU) jest rodzajem umowy, która zazwyczaj nie jest prawnie wiążąca. Niniejsza umowa ma być obustronnie korzystna bez angażowania sądów i pieniędzy. Umowa SLA (umowa dotycząca poziomu usług) określa poziom usług, jakich klient oczekuje od usługodawcy. Poziom definicji usług powinien być określony i mierzalny w każdym obszarze. BPA (umowa o partnerstwie biznesowym) to umowa prawna między partnerami. Określa zasady, warunki i oczekiwania dotyczące relacji między partnerami. ISA (interconnection security agreement) to umowa, która określa wymagania techniczne i dotyczące bezpieczeństwa połączeń między organizacjami.
11. A. Eskalacja jest konieczna w przypadkach, gdy aktualne naruszenie wykracza poza zakres organizacji lub śledczych lub jest wymagane przez prawo. W tym przypadku Sally uważa, że popełniono przestępstwo i przekazała sprawę organom ścigania. Inne eskalacje mogą dotyczyć federalnych lub stanowych organów ścigania lub inni, bardziej zdolni śledczy wewnętrzni lub zewnętrzni. Dane tokenizacji wykorzystują niezidentyfikowany element danych zastępczych, publiczne powiadomienie powiadamia populację lub ogół klientów, a dochodzenia zlecane mogą być przeprowadzane, jeśli potrzebne są specjalistyczne umiejętności.
12. A. Oczekiwana wartość pojedynczej straty (SLE) jest iloczynem wartości (16 000 USD) i współczynnika ekspozycji (0,35) lub 5 600 USD.
13. C. Antywirus jest przykładem kontroli naprawczej. Kontrola korygująca ma na celu naprawienie sytuacji. IDS (system wykrywania włamań) to kontrola detektywistyczna, ponieważ wykrywa naruszenia bezpieczeństwa. Dziennik audytu to kontrola detektywistyczna, ponieważ wykrywa naruszenia bezpieczeństwa. Router jest kontrolą prewencyjną, ponieważ zapobiega naruszeniom bezpieczeństwa za pomocą list kontroli dostępu (ACL).
14. A. Odstraszająca kontrola służy do ostrzeżenia potencjalnego napastnika, aby nie atakował. Oświetlenie dodane na obwodzie i znaki ostrzegawcze, takie jak znak "zakaz wstępu", to elementy sterujące odstraszające. Inne opcje to przykłady kontroli detektywistycznych. Kontrola detektywistyczna ma na celu wykrycie naruszenia, chociaż niektóre kontrole detektywistyczne mogą służyć jako środek odstraszający - na przykład, gdy kamera jest widoczna, nie są one przede wszystkim kontrolami odstraszającymi.
15. D. Testowanie i szkolenie są prewencyjnymi kontrolami administracyjnymi. Kontrole administracyjne dyktują, w jaki sposób należy realizować polityki bezpieczeństwa, aby osiągnąć cele bezpieczeństwa firmy. Kontrola techniczna detektywa odkrywa naruszenie za pomocą technologii. Prewencyjna kontrola techniczna próbuje powstrzymać naruszenie za pomocą technologii. Kontrole administracyjne detektywów wykrywają naruszenie za pomocą zasad, procedur i wytycznych.
16. A. Akceptacja ryzyka to strategia rozpoznawania, identyfikowania i akceptowania ryzyka, które jest wystarczająco mało prawdopodobne lub ma tak ograniczony wpływ, że kontrola korygująca nie jest uzasadniona. Przeniesienie ryzyka to czynność polegająca na przeniesieniu ryzyka na dostawców usług hostingowych, którzy przejmują odpowiedzialność za odzyskiwanie i przywracanie lub nabywanie ubezpieczenia w celu pokrycia kosztów wynikających z ryzyka. Unikanie ryzyka polega na usunięciu podatności, która może zwiększyć określone ryzyko, tak aby całkowicie go uniknąć. Łagodzenie ryzyka ma miejsce wtedy, gdy firma wdraża kontrole w celu zmniejszenia luk w zabezpieczeniach lub słabości systemu. Może również zmniejszyć wpływ zagrożenia.
17. D. W większości przypadków prowadzenie placówki w stanie jest wystarczającym powodem do przestrzegania prawa stanowego. Jim powinien skontaktować się z prawnikiem, ale powinien zaplanować konieczność przestrzegania prawa stanu Illinois, Indiana i Ohio, a także prawa federalnego.
18. A. Onboarding to proces dodawania pracownika do firmowego systemu zarządzania tożsamością i dostępem. Offboarding to proces usuwania pracownika z firmowego systemu zarządzania tożsamością i dostępem. Działania niepożądane to oficjalne działania personalne podejmowane z powodów dyscyplinarnych. Rotacja stanowisk daje poszczególnym osobom możliwość zobaczenia różnych części organizacji i sposobu jej działania. Eliminuje również potrzebę polegania przez firmę na jednej osobie w zakresie wiedzy na temat bezpieczeństwa, jeśli pracownik poczuje się niezadowolony i zdecyduje się zaszkodzić firmie. Powrót do zdrowia po ataku niezadowolonego pracownika jest łatwiejszy, gdy wielu pracowników rozumie stan bezpieczeństwa firmy.
19. A. Polityka czystego biurka zapewnia, że poufne informacje i dokumenty nie są pozostawiane na biurkach po godzinach i wymaga od pracowników umieszczenia tych plików w mniej eksponowanym lub bezpiecznym miejscu. Kontrole przeszłości, kształcenie ustawiczne i rotacja stanowisk nie chronią przed ujawnieniem poufnych informacji pozostawionych na biurkach.
20. A. Podczas rejestracji konta użytkownicy wprowadzają litery i cyfry, które są podane na stronie internetowej, zanim będą mogli się zarejestrować. Jest to przykład odstraszającej kontroli, ponieważ uniemożliwia botom rejestrację i udowadnia, że jest to prawdziwa osoba. Kontrole detektywistyczne wykrywają wtargnięcie na bieżąco i wykrywają naruszenie. Sterowanie kompensujące jest stosowane w celu spełnienia wymagania dotyczącego środka bezpieczeństwa, który jest zbyt trudny lub niepraktyczny do wdrożenia w chwili obecnej. Rozmagnesowanie to metoda usuwania danych z magnetycznych nośników pamięci poprzez zmianę pola magnetycznego.
21. D. Polityka parkingowa ogólnie określa przepisy dotyczące parkowania dla pracowników i gości. Obejmuje to kryteria i procedury przydzielania miejsc parkingowych dla pracowników i nie jest częścią polityki bezpieczeństwa organizacji. Zamiast tego jest to polityka operacyjna lub biznesowa. Polityka dopuszczalnego użytkowania opisuje ograniczenia i wytyczne dla użytkowników dotyczące korzystania z zasobów fizycznych i intelektualnych organizacji. Obejmuje to zezwolenie lub ograniczenie korzystania z osobistej poczty e-mail w godzinach pracy. Polityka mediów społecznościowych określa, w jaki sposób pracownicy powinni korzystać z sieci i aplikacji społecznościowych, takich jak Facebook, Twitter, LinkedIn i inne. Może niekorzystnie wpłynąć na reputację firmy. Zasady haseł określają złożoność tworzenia haseł. Powinna również definiować słabe hasła i sposób, w jaki użytkownicy powinni chronić bezpieczeństwo haseł.
22. C. Dane zastrzeżone są formą informacji poufnych, a ich ujawnienie może mieć poważny wpływ na
przewagę konkurencyjną firmy. Wysoki to ogólna etykieta przypisana do danych wewnętrznie, która reprezentuje poziom ryzyka wystawionego na zewnątrz firmy. Etykieta ściśle tajna jest często używana w systemach rządowych, w których dane i dostęp mogą być przyznawane lub odmawiane na podstawie przypisanych kategorii. Niski to ogólna etykieta przypisana do danych wewnętrznie, która reprezentuje poziom ryzyka wystawionego na zewnątrz firmy.
23. C. Oprogramowanie antywirusowe służy do ochrony systemów komputerowych przed złośliwym oprogramowaniem i nie stanowi fizycznej kontroli bezpieczeństwa. Kontrole fizyczne to środki bezpieczeństwa wprowadzone w celu zmniejszenia ryzyka uszkodzenia mienia fizycznego. Obejmuje to ochronę personelu, sprzętu, oprogramowania, sieci i danych przed fizycznymi działaniami i zdarzeniami, które mogą spowodować szkody lub straty.
24. A. Ilościowa ocena ryzyka to proces przypisywania wartości liczbowych do prawdopodobieństwa wystąpienia zdarzenia i wpływu zdarzenia. Jakościowa ocena ryzyka to proces uszeregowania, które ryzyko stwarza największe zagrożenie, takie jak niskie, średnie i wysokie. Analiza wpływu na biznes (BIA) służy do oceny możliwego wpływu, jaki może odczuć firma w przypadku wystąpienia przerwy w krytycznych operacjach systemu. Ta przerwa może być wynikiem wypadku, sytuacji awaryjnej lub katastrofy. Ocena zagrożeń to proces identyfikacji i kategoryzacji różnych zagrożeń, takich jak zagrożenia środowiskowe i spowodowane przez człowieka. Próbuje również zidentyfikować potencjalny wpływ zagrożeń.
25. D. Umowa o zachowaniu poufności (NDA) chroni wrażliwe i intelektualne dane przed dostaniem się w niepowołane ręce. Umowa o zachowaniu poufności to umowa prawna między firmą a dostawcą zewnętrznym, której celem jest nieujawnianie informacji zgodnie z umową. Zaszyfrowane dane, które są wysyłane mogą zostać odszyfrowane przez zewnętrznego dostawcę, jeśli posiada odpowiedni certyfikat lub klucz, ale nie ogranicza dostępu do danych. Naruszenie umowy NDA stanowiłoby nieautoryzowane udostępnianie danych, a naruszenie szkolenia uświadamiającego opartego na rolach użytkowników uprzywilejowanych nie ma nic wspólnego z udostępnianiem zastrzeżonych informacji.
26. A. Kontrole detektywistyczne, takie jak CCTV, wykrywają wtargnięcie na bieżąco i mogą pomóc w wykryciu naruszeń. Zasady są kontrolami administracyjnymi. Zapory ogniowe i urządzenia systemu zapobiegania włamaniom (IPS) to kontrole techniczne. Kontrole techniczne są stosowane za pośrednictwem technologii i mogą mieć również charakter odstraszający, prewencyjny, detektywistyczny lub kompensacyjny.
27. C. Podział zysków i strat oraz dodanie lub usunięcie partnera, a także obowiązki każdego partnera są zazwyczaj zawarte w BPA (umowie partnera biznesowego). Oczekiwania między stronami, takimi jak firma i dostawca usług internetowych, zazwyczaj można znaleźć w umowie dotyczącej poziomu usług (SLA). Oczekiwania obejmują poziom wykonania podanego podczas usługi kontraktowej. Umowa SLA zapewni jasne sposoby określenia, czy konkretna funkcja lub usługa została świadczona zgodnie z uzgodnionym poziomem wydajności. Wymagania bezpieczeństwa związane z łączeniem systemów IT są zazwyczaj zawarte w umowie dotyczącej bezpieczeństwa połączeń ICA.
28. D. Zapasowy generator to kontrola kompensacyjna - alternatywna kontrola, która zastępuje kontrolę pierwotną, gdy nie można jej użyć ze względu na ograniczenia środowiska. Zapora jest uważana za kontrolę prewencyjną, ochroniarz za kontrolę fizyczną, a IDS (system wykrywania włamań) za kontrolę detektywistyczną.
29. A. Kontrole prewencyjne powstrzymują działanie - w tym scenariuszu uniemożliwiają nieautoryzowanemu użytkownikowi uzyskanie dostępu do sieci, gdy użytkownik odchodzi. Kontrola naprawcza ma na celu naprawienie sytuacji, kontrola odstraszająca służy do powstrzymania naruszenia bezpieczeństwa, a kontrola detektywistyczna ma na celu wykrycie naruszenia.
30. C. Rotacja stanowisk pozwala poszczególnym osobom zobaczyć różne części organizacji i sposób jej działania. Eliminuje również potrzebę polegania przez firmę na jednej osobie w zakresie wiedzy na temat bezpieczeństwa, jeśli pracownik poczuje się niezadowolony i zdecyduje się zaszkodzić firmie. Powrót do zdrowia po ataku niezadowolonego pracownika jest łatwiejszy, gdy wielu pracowników rozumie stan bezpieczeństwa firmy. Rozdzielenie obowiązków to koncepcja, w której do wykonania zadania potrzebna jest więcej niż jedna osoba, co pozwala na zauważenie problemów przez inne zaangażowane osoby. Obowiązkowa polityka urlopowa jest wykorzystywana przez firmy do wykrywania oszustw poprzez zatrudnianie drugiej osoby, która zna swoje obowiązki, pomaga wykryć wszelkie nielegalne działania, podczas gdy osoba, która normalnie je wykonuje, jest poza biurem. Onboarding to proces dodawania pracownika do firmowego systemu zarządzania tożsamością i dostępem lub innej infrastruktury.
31. B. Minimalizacja danych to proces zapewniający, że gromadzone i utrzymywane są tylko te dane, które są wymagane dla funkcji biznesowych. Tony powinien upewnić się, że jego organizacja minimalizuje ilość gromadzonych danych. Maskowanie danych redaguje dane, ale nie zmniejsza ilości zbieranych danych. Tokenizacja zastępuje wrażliwe wartości unikalnym identyfikatorem, który można wyszukać w tabeli przeglądowej. Anonimizacja usuwa możliwość identyfikacji osób z danych, ale jest dość trudna.
32. A. Unikanie ryzyka jest strategią odwracania zagrożeń w celu uniknięcia kosztownych i destrukcyjnych konsekwencji szkodliwego zdarzenia. Próbuje również zminimalizować podatności, które mogą stanowić zagrożenie. Rejestr ryzyka to dokument, który śledzi ryzyko organizacji i informacje o ryzyku, takie jak kto jest jego właścicielem, czy jest naprawiane i podobne szczegóły. Akceptacja ryzyka to strategia rozpoznawania, identyfikowania i akceptowania ryzyka, które jest wystarczająco mało prawdopodobne lub ma tak ograniczony wpływ, że kontrola korygująca nie jest uzasadniona. Łagodzenie ryzyka ma miejsce wtedy, gdy firma wdraża kontrole w celu zmniejszenia luk w zabezpieczeniach lub słabości systemu. Może również zmniejszyć wpływ zagrożenia.
33. D. Systemy powinny zostać przywrócone w ciągu czterech godzin z minimalną utratą danych z jednego dnia. RTO (docelowy czas odzyskiwania) to czas, w którym proces lub usługa musi zostać przywrócona po awarii, aby zapewnić ciągłość biznesową. Określa, ile czasu zajmuje odzyskanie po powiadomieniu o zakłóceniu procesu. Cel punktu odzyskiwania lub RPO określa czas, który może upłynąć, zanim ilość utraconych danych może przekroczyć maksymalną tolerancję na utratę danych w organizacji.
34. A. Polityka przechowywania danych określa, jak długo organizacja będzie przechowywać dane. Usuwanie poufnych dokumentów, które nie są używane, jest zasadą czystego biurka. Formalnym procesem zarządzania zmianami konfiguracji jest zarządzanie zmianą, a protokół ustaleń składa się z dokumentów prawnych, które opisują wzajemne porozumienie między dwiema stronami.
35. B. ALE (roczna oczekiwana oczekiwana strata) jest iloczynem ARO (roczna częstość występowania) i SLE (oczekiwana roczna strata) i jest matematycznie wyrażona jako ALE = ARO × SLE. Oczekiwana wartość pojedynczej straty to koszt każdej pojedynczej straty i jest matematycznie wyrażona jako SLE = AV (wartość aktywów) × EF (współczynnik ekspozycji).
36. B. Benchmarki Center for Internet Security (CIS) zawierają zalecenia dotyczące zabezpieczania systemu operacyjnego, aplikacji lub innej objętej technologii. Michelle znajdzie wytyczne i techniki konfiguracji zabezpieczeń dla systemu Windows 10.
37. A. Kontrole prewencyjne, takie jak tworzenie kopii zapasowych danych, są proaktywne i służy do uniknięcia naruszenia bezpieczeństwa lub przerwania krytycznych usług, zanim to się stanie. Kamery bezpieczeństwa, czujniki dymu i alarmy drzwi to przykłady kontroli detektywistycznej. Kontrole detektywistyczne wykrywają wtargnięcie na bieżąco i wykrywają naruszenie.
38. C. Przeniesienie ryzyka to czynność polegająca na przeniesieniu ryzyka na dostawców usług hostingowych, którzy przejmują odpowiedzialność za odzyskiwanie i przywracanie lub poprzez wykupienie ubezpieczenia na pokrycie kosztów wynikających z ryzyka. Akceptacja ryzyka to strategia rozpoznawania, identyfikowania i akceptowania ryzyka, które jest wystarczająco mało prawdopodobne lub ma tak ograniczony wpływ, że kontrola korygująca nie jest uzasadniona. Łagodzenie ryzyka ma miejsce wtedy, gdy firma wdraża kontrole w celu zmniejszenia luk w zabezpieczeniach lub słabości systemu. Może również zmniejszyć wpływ zagrożenia. Unikanie ryzyka polega na usunięciu podatności, która może zwiększyć określone ryzyko, tak aby całkowicie go uniknąć.
39. D. Kontrola prewencyjna jest stosowana w celu uniknięcia naruszenia bezpieczeństwa lub przerwania krytycznych usług, zanim to nastąpi. Kontrole administracyjne są definiowane za pomocą zasad, procedur i wytycznych. Kontrola kompensująca jest stosowana w celu spełnienia wymagania dotyczącego środka bezpieczeństwa, który jest zbyt trudny lub niepraktyczny do wdrożenia w chwili obecnej. Kontrola odstraszająca służy do powstrzymania naruszenia bezpieczeństwa.
40. C. Średni czas między awariami (MTBF) jest miarą do pokazania, jak niezawodny jest komponent sprzętowy. MTTR (średni czas naprawy) to średni czas naprawy lub wymiany uszkodzonego urządzenia lub podzespołu. RPO (cel punktu odzyskiwania) to okres, w którym firma może tolerować utratę danych, które są nie do odzyskania między kopiami zapasowymi. ALE (roczna oczekiwana strata) jest iloczynem rocznej częstości występowania (ARO) i rocznej oczekiwanej straty (SLE).
41. C. Pojedynczy punkt awarii (SPOF) to pojedyncza słabość, która może spowodować awarię całego systemu i uniemożliwić jego działanie. Przetwarzanie w chmurze umożliwia dostarczanie hostowanej usługi przez Internet. Równoważenie obciążenia rozkłada ruch lub inne obciążenie między wieloma systemami lub serwerami. Wirtualizacja wykorzystuje system do hostowania maszyn wirtualnych, które współdzielą podstawowe zasoby, takie jak pamięć RAM, dysk twardy i procesor.
42. A. Ilościowa analiza ryzyka wymaga złożonych obliczeń i jest bardziej czasochłonna, ponieważ wymaga szczegółowych danych i obliczeń finansowych. Ilościowa ocena ryzyka jest często subiektywna i wymaga specjalistycznej wiedzy na temat systemów i infrastruktury, a oba rodzaje oceny mogą dostarczyć jasnych odpowiedzi na temat ryzyka pytania.
43. D. Powiernik konfiguruje ochronę danych w oparciu o polityki bezpieczeństwa. Właścicielem danych jest bank społeczności lokalnej, a nie Leigh Ann. Leigh Ann jest administratorem sieci, a nie użytkownikiem, a użytkownik zaawansowany nie jest standardową rolą bezpieczeństwa w branży.
44. B. Akceptacja ryzyka to strategia rozpoznawania, identyfikowania i akceptowania ryzyka, które jest wystarczająco mało prawdopodobne lub ma tak ograniczony wpływ, że kontrola korygująca nie jest uzasadniona. Łagodzenie ryzyka ma miejsce wtedy, gdy firma wdraża kontrole w celu zmniejszenia luk w zabezpieczeniach lub słabości systemu. Może również zmniejszyć wpływ zagrożenia. Unikanie ryzyka polega na usunięciu podatności, która może zwiększyć określone ryzyko, tak aby całkowicie go uniknąć. Przeniesienie ryzyka to akt przeniesienia ryzyka na inne organizacje, takie jak ubezpieczyciele lub firmy hostingowe, które przyjmują odpowiedzialność za odzyskiwanie i przywrócenie lub wykupienie ubezpieczenia na pokrycie kosztów wynikających z ryzyka.
45. A. Właściciele danych przypisują do danych etykiety, takie jak ściśle tajne. Powiernicy przypisują dane kontroli bezpieczeństwa. Specjalista ds. prywatności zapewnia, że firmy przestrzegają przepisów i regulacji dotyczących prywatności. Administratorzy systemów odpowiadają za całokształt funkcjonowania systemów informatycznych.
46. C. Pracownicy mogą ujawnić poufne informacje firmy. Ujawnienie informacji firmy może narazić pozycję firmy w zakresie bezpieczeństwa, ponieważ osoby atakujące mogą wykorzystać te informacje w ramach ataków na firmę. Uzyskanie dostępu do adresu MAC komputera nie ma wpływu na ryzyko związane z mediami społecznościowymi. Uzyskanie dostępu do adresu IP komputera nie ma wpływu na ryzyko związane z mediami społecznościowymi. Pracownicy mogą z łatwością wyrazić swoje ogólne obawy dotyczące firmy. Nie dotyczy to ryzyka w mediach społecznościowych, o ile pracownik nie ujawni żadnych poufnych informacji.
47. C. Oddzielenie obowiązków to koncepcja posiadania więcej niż jedna osoba wymagana do wykonania zadania. Sprawdzanie przeszłości to proces, który jest wykonywany, gdy potencjalny pracownik jest rozważany do zatrudnienia. Rotacja stanowisk pozwala poszczególnym osobom zobaczyć różne części organizacji i sposób jej działania. Eliminuje również potrzebę polegania przez firmę na jednej osobie w zakresie wiedzy na temat bezpieczeństwa, jeśli pracownik poczuje się niezadowolony i zdecyduje się zaszkodzić firmie. Powrót do zdrowia po ataku niezadowolonego pracownika jest łatwiejszy, gdy wielu pracowników rozumie stan bezpieczeństwa firmy. Zmowa to porozumienie między dwiema lub więcej stronami mające na celu okradanie osoby z jej praw lub uzyskanie czegoś, co jest zabronione przez prawo.
48. B. ALE (roczna oczekiwana strata) = SLE (oczekiwana pojedyncza strata) × ARO (roczna częstość występowania). SLE równa się 750 000 $ (2500 rekordów × 300 $), a ARO równa się 5%, więc 750 000 $ razy 5% równa się 37 500 $.
49. C. RPO (cel punktu odzyskiwania) określa dopuszczalne starty danych. Jest to czas, który może upłynąć podczas przerwy, zanim ilość danych utraconych w tym okresie przekroczy maksymalny akceptowalny próg planowania ciągłości działania. MTBF (średni czas między awariami) to ocena urządzenia lub komponentu, która przewiduje oczekiwany czas między awariami. MTTR (średni czas naprawy) to średni czas naprawy lub wymiany uszkodzonego urządzenia lub podzespołu. ARO (roczna stopa występowania) to iloraz szacowanej prawdopodobieństwa wystąpienia zagrożenia w okresie jednego roku.
50. D. Zasady przechowywania danych określają, w jaki sposób dane powinny być przechowywane w oparciu o różne typy, takie jak lokalizacja przechowywania, czas przechowywania danych i rodzaj nośnika pamięci, który powinien być używany. Polityka czystego biurka zapewnia, że wszystkie wrażliwe/poufne dokumenty są usuwane ze stacji roboczej użytkownika końcowego i zamykane, gdy dokumenty nie są używane. AUP lub polityka dopuszczalnego użytkowania opisuje ograniczenia i wytyczne dla użytkowników dotyczące korzystania z zasobów fizycznych i intelektualnych organizacji. Obejmuje to zezwolenie lub ograniczenie korzystania z osobistej poczty e-mail w godzinach pracy. Polityka bezpieczeństwa określa sposób zabezpieczania zasobów fizycznych i informatycznych. Dokument ten powinien być stale aktualizowany w miarę zmian technologii i wymagań pracowników.
51. C. Onboarding to proces dodawania pracownika do firmowego systemu zarządzania tożsamością i dostępem. Offboarding to proces usuwania pracownika z firmowego systemu zarządzania tożsamością i dostępem. Właściciel systemu to osoba odpowiedzialna za zarządzanie jednym lub kilkoma systemami i może wprowadzać poprawki i aktualizacje systemów operacyjnych. Na to pytanie wymyślono użytkownika wykonawczego.
52. B. Rozdzielenie obowiązków można sklasyfikować jako kontrolę operacyjną, która ma na celu zminimalizowanie oszustw poprzez zapewnienie, że dana osoba nie może wykorzystać procesu i ukryć błędów lub problemów, które tworzą. Nie jest to kontrola fizyczna ani kontrola techniczna i nic w pytaniu nie wskazuje na to, że kompensuje to luki pozostawione przez inną kontrolę.
53. D. Ogólne rozporządzenie o ochronie danych (RODO) nie obejmuje prawa do anonimowości, chociaż organizacje muszą być w stanie zapewnić zabezpieczenia, które w stosownych przypadkach mogą obejmować anonimizację.
54. D. Proces NIST RMF jest.
1. Przygotuj
2. Kategoryzuj system
3. Wybierz sterowanie
4. Wdrożenie kontroli
5. Oceń kontrole
6. Autoryzuj system
7. Kontrola monitora
55. B. Administratorzy programów ochrony często stosują różne rodzaje szkoleń, aby zapewnić, że osoby szkolone, które reagują i reagują inaczej na szkolenie, otrzymują szkolenie, które im pomaga. Mogą istnieć inne ważne powody, ale jest to najczęstszy powód zróżnicowania treningu.
56. A. Ryzyka tworzone przez samą organizację są ryzykami wewnętrznymi. Ryzyka zewnętrzne to te, które są tworzone przez czynniki pozostające poza kontrolą organizacji. Jakościowa i ilościowa to oba rodzaje oceny ryzyka, a nie kategoryzacja ryzyka.
57. B. Rejestry ryzyka to dokumenty wykorzystywane przez organizacje do śledzenia i zarządzania ryzykiem i zawierać informacje, w tym właściciela lub stronę odpowiedzialną, szczegóły dotyczące ryzyka i inne przydatne informacje. Statement on Standards for Attestation Engagements (SSAE) to raporty z audytu, Payment Card Industry Data Security Standard (PCI-DSS) to standard bezpieczeństwa stosowany do operacji kartami kredytowymi, a tabela ryzyka nie jest powszechnym terminem branżowym.
58. C. Średni czas naprawy (MTTR) dla systemu lub urządzeń to średni czas potrzebny do naprawy w przypadku awarii. MTTR jest używany jako część planowania ciągłości działania, aby określić, czy system wymaga dodatkowej nadmiarowości lub innych opcji, jeśli awaria i naprawa przekroczą maksymalny tolerowany przestój. Oblicza się go, dzieląc całkowity czas konserwacji przez całkowitą liczbę napraw. MTBF to średni czas między awariami, MTTF średni czas do awarii, a MITM to atak on-path, który jest coraz częściej zastępowany terminem on-path.
59. D. Typowe skutki takich naruszeń obejmują kradzież tożsamości przy użyciu danych osobowych klientów, straty finansowe dla firmy spowodowane kosztami naruszenia i procesami sądowymi oraz utratę reputacji. Ponieważ proces reagowania na incydenty dobiegł końca, firma Olivii powinna była naprawić podstawowe problemy, które doprowadziły do naruszenia, miejmy nadzieję, że zapobiegną dalszym przestojom, a tym samym utracie dostępności.
60. D. Nie ma cywilnego poziomu klasyfikacji danych rządowych. Dane mogą być jawne lub wrażliwe, ale niesklasyfikowane. Ściśle tajne, tajne i poufne to powszechnie stosowane klasyfikacje.
61. B. Kod źródłowy produktu nie jest zwykle używany jako lokalizacja warunków prywatności. Zamiast tego znajdują się w umowie, licencji użytkownika lub powiązanych warunkach prawnych lub w formalnej informacji o ochronie prywatności.
62. B. Pseudonimizacja może umożliwić ponowną identyfikację osoby, której dane dotyczą, jeżeli dostępne są dodatkowe dane. Prawidłowo wykonanej anonimizacji nie można cofnąć. Techniki anonimizacji grupują informacje w taki sposób, aby osoby nie mogły zostać zidentyfikowane na podstawie danych, i wykorzystują inne techniki, aby zapobiec dodatkowym informacjom, prowadząc do deanonimizacji osób.
63. A. Polityka zarządzania danymi wyraźnie określa, kto jest właścicielem informacji gromadzonych i wykorzystywanych przez organizację. Polityki bezpieczeństwa informacji zapewniają wysoki poziom uprawnień i wskazówek dla programów i działań związanych z bezpieczeństwem. Zasady dopuszczalnego użytkowania (AUP) określają, do jakich zasobów informacyjnych można i w jaki sposób można je wykorzystać. Zasady przechowywania danych określają, jakie informacje zbiera organizacja i jak długo będą przechowywane przed zniszczeniem.
64. C. Helen stworzył funkcjonalny plan naprawczy skoncentrowany na określonej funkcji technicznej i biznesowej. Plan odzyskiwania po awarii (DRP) ma szerszą perspektywę i może obejmować wiele funkcjonalnych planów odzyskiwania. RPO, czyli cele punktu przywracania, oraz MTBF, czyli średni czas między awariami, nie są typami planów tworzonych przez organizacje.
65. B. Informacje zdrowotne mogą być objęte prawem stanowym, lokalnym lub federalnym, a organizacja Grega powinna zapewnić zrozumienie wszelkich obowiązujących przepisów przed przechowywaniem, przetwarzaniem lub przetwarzaniem informacji zdrowotnych.
66. C. Ryzyka kontroli szczególnie dotyczą informacji finansowych, gdzie mogą wpływać na integralność lub dostępność informacji finansowych.
67. D. Osoba najprawdopodobniej stanie w obliczu problemów z kradzieżą tożsamości, jeśli jej dane osobowe (PII) zostaną skradzione lub naruszone.
68. C. Powszechną praktyką jest zakazywanie interaktywnego logowania do GUI lub powłoki dla kont usług. Korzystanie z konta usługi do interaktywnego logowania lub próba zalogowania się powinna zostać natychmiast oznaczona i zaalarmowana jako wskaźnik włamania (IoC).
69. C. Zasady zarządzania aktywami zazwyczaj obejmują wszystkie etapy cyklu życia aktywów, a tagi aktywów, takie jak te opisane, są używane do śledzenia aktywów w wielu organizacjach. Zarządzanie zmianami, reagowanie na incydenty i zasady dopuszczalnego użytkowania nie wymagają znakowania zasobów.
70. D. Diagram przedstawia w pełni redundantną sieć wewnętrzną z parami zapór, routerów i przełączników rdzeniowych, ale z jednym połączeniem z Internetem. Oznacza to, że Megan powinna rozważyć, w jaki sposób jej organizacja połączyłaby się ze światem zewnętrznym, gdyby to połączenie zostało zerwane lub przerwane. Nic nie wskazuje na to, czy jest to łącze przewodowe, czy bezprzewodowe, a obraz nie pokazuje łącza nadmiarowego.
71. D. Emma powinna sklasyfikować to jako ryzyko w łańcuchu dostaw. Gdy organizacje nie mogą uzyskać systemów, sprzętu i materiałów, których potrzebują do działania, może to mieć znaczący wpływ na ich zdolność do prowadzenia działalności. To mogłoby stworzyć ryzyko finansowe, ale ryzyko finansowe nie jest tutaj bezpośrednim ryzykiem. Nic nie wskazuje na to, że dostawca nie będzie wspierał systemów, ani nie ma informacji o tym, czy w opisie występuje problem z integracją.
72. A. System wykrywania włamań (IDS) może wykrywać ataki i jest kontrolą detektywistyczną. Ponieważ jest to system techniczny, a nie kontrola fizyczna lub polityka lub procedura administracyjna, Henry może prawidłowo zaklasyfikować go jako kontrolę techniczną, detektywistyczną.
73. C. Federalna Komisja Handlu (FTC) nie zapewnia przewodników po konfiguracji zabezpieczeń ani testów porównawczych dla systemów operacyjnych lub urządzeń. Centrum zabezpieczeń internetowych (CIS), Microsoft (i inni dostawcy) oraz Narodowa Agencja Bezpieczeństwa (NSA) udostępniają testy porównawcze konfiguracji.
74. C. Starsze systemy, które nie otrzymują już wsparcia, stanowią poważny problem, ponieważ nie można ich załatać w przypadku wykrycia luk w zabezpieczeniach. Windows 2008 dobiegł końca w styczniu 2020 roku. Działał zarówno na platformach 32-bitowych, jak i 64-bitowych i nadal można na nim instalować nowoczesne serwery internetowe.
75. B. Łatanie jest formą unikania, ponieważ działa w celu usunięcia ryzyka ze środowiska. Akceptacja błędów, które wymagają poprawek, wiązałaby się z pozostawieniem oprogramowania bez poprawek; strategie łagodzenia mogą obejmować zapory ogniowe, systemy zapobiegania włamaniom (IPS) lub urządzenia zapory aplikacji internetowych (WAF); a opcje przeniesienia obejmują hosting lub usługi stron trzecich.
76. B. Mapy cieplne ryzyka lub macierz ryzyka mogą pozwolić organizacji na szybkie spojrzenie na ryzyka i porównanie ich w oparciu o ich prawdopodobieństwo i wpływ lub inne elementy oceny. Jakościowe i ilościowe oceny ryzyka są rodzajem oceny, a nie sposobem przedstawiania informacji o ryzyku w łatwym do zrozumienia formacie, a wykresy ryzyka nie są powszechnym terminem używanym w tej dziedzinie.
77. A. Kary pieniężne, które mogą wynikać z naruszenia lub naruszenia przepisów, takich jak ogólne rozporządzenie o ochronie danych, mogą mieć istotny wpływ na organizację, a nawet potencjalnie wykluczyć ją z działalności. W związku z tym organizacje będą śledzić zgodność z przepisami w ramach swojej postawy ryzyka.
78. D. Odzyskiwanie po katastrofie wymaga przemyślenia i przygotowania, reakcji na problemy w celu zminimalizowania wpływu podczas katastrofy oraz działań reagowania po katastrofie. Tak więc kompletny plan odzyskiwania po awarii powinien obejmować działania, które mogą lub będą miały miejsce przed, w trakcie i po katastrofie, a nie tylko proces odzyskiwania po fakcie.
79. B. Chociaż naruszenia danych mogą skutkować rozwiązaniem umowy o przetwarzanie kart, fakt, że jej organizacja nie przestrzega przepisów, najprawdopodobniej skutkować będzie grzywną. PCI-DSS lub Payment Card Industry Data Security Standard to standard dostawcy, a nie prawo, a oskarżenia karne zwykle nie są wnoszone w takiej sytuacji.
80. C. Cloud Control Matrix firmy Cloud Security Alliance odwzorowuje istniejące standardy na wspólne opisy kontroli, umożliwiając porównanie i walidację wymagań kontrolnych w ramach wielu standardów i przepisów. Architektura referencyjna CSA to zestaw standardowych projektów, a ISO 27001 i ISO 27002 to standardy zarządzania bezpieczeństwem informacji.
81. B. Grywalizacja zmienia trening w grę, aby uzyskać większe zaangażowanie i zainteresowanie. Zdobywanie punktów i otrzymywanie nagród, zarówno w grze, jak i wirtualnie, może mieć znaczący pozytywny wpływ na reakcję na trening. Wydarzenia związane z przechwyceniem flagi koncentrują się na technikach, takich jak znajdowanie ukrytych informacji lub uzyskiwanie w inny sposób "flag" w ramach konkursu. Kampanie phishingowe wysyłają fałszywe e-maile phishingowe do personelu, aby zidentyfikować osoby, które mogą się na nich nabrać. Szkolenie oparte na rolach koncentruje się na szkoleniu specjalnie dla roli lub pracy, którą dana osoba ma lub będzie miała.
82. D. Ogólne rozporządzenie o ochronie danych lub RODO wymaga inspektora ochrony danych (IOD). Nadzorują strategię i wdrażanie strategii ochrony danych w organizacji oraz upewniają się, że organizacja przestrzega RODO.
83. D. Chociaż odzyskiwanie danych po naruszeniu może być kosztowne, utrata danych, takich jak własność intelektualna, w takich okolicznościach jest najbardziej krytyczną kwestią. Instytucja prawdopodobnie ucierpi na reputacji i nie można jej zaufać w prowadzeniu takich badań w przyszłości, co prowadzi do jeszcze większego kosztu zdolności uniwersytetu do prowadzenia nowych badań z rządem.
84. B. Funkcje kluczowe dla misji definiuje się jako te funkcje, które organizacja musi realizować podczas katastrofy lub które muszą być wznowione tak szybko, jak to możliwe po katastrofie, jeśli nie mogą być utrzymane. Stanowią one podstawowe funkcje organizacji i są kluczem do jej sukcesu i ciągłego istnienia. Pojedynczy punkt awarii (SPOF) to punkt, w którym urządzenie, system lub zasób może ulec awarii i spowodować, że cała funkcja lub organizacja przestanie działać. Cele czasu odzyskiwania (RTO) to czas przydzielony na powrót do normalnej funkcjonalności. W odpowiedzi na to pytanie wymyślono podstawowe funkcje odzyskiwania.
85. B. Umowa SLA (umowa dotycząca poziomu usług) określa poziom usług, jakich klient oczekuje od usługodawcy. Poziom definicji usług powinien być określony i mierzalny w każdym obszarze. MOU (Memorandum of Understanding) to dokument prawny opisujący obopólną umowę między stronami. ISA (interconnection security agreement) to umowa, która określa wymagania techniczne i dotyczące bezpieczeństwa połączeń między organizacjami. BPA (umowa o partnerstwie biznesowym) to umowa prawna między partnerami. Określa zasady, warunki i oczekiwania dotyczące relacji między partnerami.
86. A. Dane klienta mogą obejmować wszelkie informacje, które klient przesyła, udostępnia lub w inny sposób umieszcza lub tworzy za pośrednictwem usługi. Klienci mogą mieć umowne gwarancje bezpieczeństwa w warunkach świadczenia usług, a powiadomienia lub inne klauzule mogą również mieć wpływ na to, co Rick musi zrobić, jeśli dane zostaną naruszone. Dane osobowe to informacje umożliwiające identyfikację, takie jak imię i nazwisko, adres lub inne dane, które mogą zidentyfikować daną osobę. Informacje finansowe mogą obejmować rachunki, salda kont i podobne szczegóły. Informacje o stanie zdrowia obejmują szeroki zakres danych o stanie zdrowia i stanie zdrowia danej osoby lub jej historii.
87. C. Kradzież informacji zastrzeżonych, takich jak formuła lub kod, jest przykładem kradzieży własności intelektualnej (IP). W wielu przypadkach kradzież własności intelektualnej może być trudniejsza do określenia ilościowego kosztu straty, ale może mieć znaczący wpływ na organizację, która w swojej działalności opiera się na własności intelektualnej. Ryzyko zewnętrzne to ryzyko tworzone przez czynniki zewnętrzne organizacji, ryzyko wewnętrzne jest tworzone przez samą organizację lub jej decyzje, a ryzyko licencjonowania istnieje poprzez oprogramowanie i inne umowy.
88. B. Jest to przykład polityki w zakresie uprawnień personalnych, ponieważ dotyczy ona pracowników zatrudnionych przez jego organizację. Takie zasady pomagają zapewnić, że konta nie są udostępniane ani ponownie wykorzystywane. Nie ma wzmianki o konkretnych urządzeniach, kontach usług lub kontach administracyjnych.
89. C. Prawdopodobieństwo wystąpienia lub prawdopodobieństwo jest mnożone przez wpływ w celu określenia dotkliwości ryzyka.
90. D. Organizacje mogą określić, w jaki sposób chcą określić wartość aktywów, ale w wielu przypadkach ważna jest spójność. W ten sposób można zastosować koszt pierwotny, koszt odtworzenia lub koszt zamortyzowany.
91. A. Analiza wpływu biznesowego (BIA) pomaga zidentyfikować krytyczne systemy poprzez określenie, które systemy wywrą największy wpływ, jeśli nie będą dostępne. MTBF to średni czas między awariami, RTO to docelowy czas odzyskiwania, a ICD został wymyślony na to pytanie.
92. D. Najczęstszym sposobem przeniesienia ryzyka naruszenia jest wykupienie ubezpieczenia cyberbezpieczeństwa. Akceptacja naruszeń rzadko jest uważana za prawidłowy proces zarządzania ryzykiem, obwinianie za naruszenia na konkurentów w rzeczywistości nie przenosi ryzyka, a sprzedaż danych innej organizacji nie jest procesem zarządzania ryzykiem, ale może być procesem biznesowym.
93. B. Konta usług zazwyczaj nie mogą korzystać z interaktywnych loginów, a zatem zakaz interaktywnych loginów jest dla nich powszechną polityką bezpieczeństwa. Ograniczone godziny logowania lub lokalizacje są częściej używane w przypadku kont pracowników, gdy nie powinni oni uzyskiwać dostępu do zasobów po godzinach lub z lokalizacji poza pracą. Częste wygaśnięcie hasła do kont usług może w rzeczywistości spowodować awarię usługi, a wiele kont usług ma złożone hasła i ma dłuższe okresy ważności haseł lub są ustawione tak, aby nigdy nie wygasały.
94. C. Koszt naruszenia jest przykładem wpływu naruszenia. Prawdopodobieństwo to prawdopodobieństwo wystąpienia ryzyka, a dotkliwość ryzyka jest obliczana poprzez pomnożenie prawdopodobieństwa i wpływu.
95. B. Sean przeprowadza ocenę ryzyka na miejscu, która pomoże mu zrozumieć i zakomunikować ryzyko związane z samą lokalizacją. Jeśli lokalizacja znajduje się na równinie zalewowej zidentyfikowanej przez FEMA lub jeśli istnieją obawy dotyczące tornad lub innych klęsk żywiołowych, należy je wziąć pod uwagę, gdy organizacja podejmuje decyzje dotyczące lokalizacji. BIA identyfikuje funkcje o znaczeniu krytycznym i systemy, które je obsługują. Zapobieganie przestępczości poprzez projektowanie środowiskowe to koncepcja projektowa, która wykorzystuje projekt obiektów w celu zmniejszenia prawdopodobieństwa działań przestępczych poprzez użycie oświetlenia i innych elementów sterujących. Planowanie ciągłości biznesowej koncentruje się na tym, jak utrzymać organizację w działaniu pomimo zakłóceń.
96. D. Zlecenie SOC 2 ocenia stosowane mechanizmy kontroli bezpieczeństwa i prywatności, a raport typu 2 dostarcza informacji na temat oceny przez biegłego rewidenta skuteczności stosowanych mechanizmów kontrolnych. Raport SOC 1 ocenia kontrole, które wpływają na dokładność sprawozdawczości finansowej. Typ 1 przedstawia opinię biegłego rewidenta z przeglądu na temat dostarczonego przez kierownictwo opisu odpowiedniości zaprojektowanych kontroli. Nie biorą pod uwagę faktycznej skuteczności działania kontroli.
97. B. Zapewnienie, że kierownictwo w całej organizacji jest świadome zagrożeń, przed którymi stoi organizacja oraz że regularnie aktualizuje i przekazuje informacje zwrotne na temat tych zagrożeń, pomaga zwiększyć świadomość ryzyka. Ryzyko nieodłączne to ryzyko, które istnieje przed wprowadzeniem kontroli, a ryzyko szczątkowe to ryzyko, które pozostaje po wprowadzeniu kontroli. Apetyt na ryzyko to ryzyko, które organizacja jest gotowa podjąć w ramach prowadzenia działalności.
98. C. Przepisy stanowe często zawierają progi powiadamiania o naruszeniach i wymagania, których organizacje muszą przestrzegać. Laura powinna upewnić się, że jest świadoma przepisów dotyczących naruszeń obowiązujących w jej stanie i innych stanach lub krajach, w których działa jej firma, oraz że jej plany reagowania na incydenty mają odpowiednie procedury w przypadku wystąpienia naruszenia. Organizacje przetwarzające dane, takie jak SSN, prawdopodobnie nie usuną ich, nawet w przypadku naruszenia, zmiana klasyfikacji danych nie pomoże, chyba że dane zostały niewłaściwie sklasyfikowane przed naruszeniem, a plany minimalizacji danych są wykorzystywane do ograniczenia ilości danych, które organizacja posiada, a nie do reagowania bezpośrednio do naruszenia.
99. C. Umowy o zachowaniu poufności (NDA) są podpisywane przez pracownika w momencie zatrudnienia i nakładają na pracowników umowne zobowiązanie do zachowania poufności informacji. Ujawnienie informacji może prowadzić do konsekwencji prawnych i kar. Umowy NDA nie mogą zapewnić zmniejszenia naruszeń bezpieczeństwa. Polityka rotacji stanowisk to praktyka przenoszenia pracowników między różnymi zadaniami w celu promowania doświadczenia i różnorodności. Rozdzielenie więzi wymaga więcej niż jednej osoby do wykonania zadania. Obowiązkowa polityka urlopowa jest wykorzystywana przez firmy do wykrywania nadużyć poprzez zatrudnianie drugiej osoby, zaznajomionej z obowiązkami, pomagającej wykryć wszelkie nielegalne działania.
100. B. Olivia powinna zawrzeć umowę o poziomie usług (SLA) ze swoim dostawcą, aby upewnić się, że spełnia oczekiwany poziom usług. Jeśli tak się nie stanie, zazwyczaj uwzględniane są kary finansowe lub inne. Olivia powinna upewnić się, że te kary są znaczące dla jej dostawcy, aby upewnić się, że są zmotywowani do spełnienia umowy SLA. MOU jest protokołem ustaleń i wyjaśnia relacje między dwiema organizacjami; MSA to główna umowa o świadczenie usług, która ustanawia relację biznesową, w ramach której dodatkowe zlecenia pracy lub inna dokumentacja opisują faktycznie wykonaną pracę; a BPA to umowa o partnerstwie biznesowym, która jest stosowana, gdy firmy chcą współpracować w ramach wysiłków i mogą określać podział zysków lub obowiązków w ramach partnerstwa.
101. D. Najdokładniejszym deskryptorem ryzyka jest zgodność oprogramowania. Chociaż jest to ryzyko wewnętrzne, zgodność oprogramowania w pełni opisuje problem. Ryzyko kradzieży własności intelektualnej (IP) występuje w przypadku kradzieży własności intelektualnej organizacji, a nie w przypadku naruszenia licencji przez osoby trzecie. To nie jest przestarzały system, a przynajmniej nie został tak opisany w pytaniu.
102. D. Ryzyko nieodłączne to ryzyko, przed którym stoi organizacja przed wprowadzeniem kontroli. Bez oceny ryzyka i kontroli Gary musi najpierw poradzić sobie z nieodłącznym ryzykiem, jakie istnieje obecnie w organizacji. Ryzyko szczątkowe to ryzyko, które pozostaje po wprowadzeniu kontroli. Kradzież własności intelektualnej (IP), takiej jak algorytmy, formuły i procesy, to ryzyko dotyczące własności intelektualnej, a ryzyko wielostronne to ryzyko, które dotyczy więcej niż jednej grupy, firmy lub osoby.
103. A. Oczekiwana wartość pojedynczej straty (SLE) opisuje, ile może kosztować pojedyncze zdarzenie ryzyka. Oblicza się ją na podstawie wartości aktywów (AV) pomnożonej przez współczynnik narażenia (EF), który jest szacunkowym kosztem, który nastąpi w przypadku szkody, jeśli wystąpi strata. MTTR to średni czas przywrócenia, ARO to roczna częstość występowania, a RTO to docelowy czas odzyskiwania. To nie są częścią równania SLE.
104. C. Polityka poświadczeń stron trzecich dotyczy sposobu obsługi poświadczeń wykonawców i konsultantów. Może to wymagać sponsorowania przez wewnętrznego członka personelu, dodatkowych kontroli dotyczących resetowania lub zmian haseł oraz krótszego okresu użytkowania, a także innych kontroli i wymagań.
105. B. Roczna stopa występowania (ARO) jest wyrażona jako liczba wystąpień zdarzenia w ciągu roku. Wayne oszacował, że oceniane zdarzenie ryzyka będzie miało miejsce trzy razy w roku.
106. D. Chociaż ludzie mogą powodować pożary lub powodzie, wypadki przemysłowe są jedyną pozycją na liście, które są wyłącznie katastrofami spowodowanymi przez ludzi.
107. C. Informacje na stronie internetowej udostępnianej klientom są zazwyczaj klasyfikowane jako informacje publiczne, ponieważ są łatwo dostępne i celowo im udostępniane. Jest mało prawdopodobne, aby poufne, wrażliwe lub krytyczne informacje były udostępniane klientom bez konkretnej umowy dotyczącej przetwarzania danych i dodatkowych warstw zabezpieczeń.
108. D. Podmioty przetwarzające dane to dostawcy usług, którzy przetwarzają dane dla administratorów danych. Administrator danych lub właściciel danych to organizacja lub osoba, która zbiera i kontroluje dane. Administrator danych realizuje intencje administratora danych i jest delegowany do odpowiedzialności za dane. Powiernicy danych to osoby, którym powierzono dane w celu przechowywania, zarządzania lub zabezpieczania danych.
109. D. Maskowanie danych częściowo redaguje dane wrażliwe poprzez zastąpienie niektórych lub wszystkich informacji w polu danych wrażliwych pustymi lub innymi znakami zastępczymi. Tokenizacja zastępuje poufne dane unikalnymi identyfikatorami przy użyciu tabeli przeglądowej. Hashing wykonuje jednokierunkową funkcję na wartości, aby uzyskać unikalny hash, a szyfrowanie chroni dane za pomocą algorytmu, który można odwrócić w celu przywrócenia oryginalnych danych, jednocześnie umożliwiając weryfikację poufności i integralności.
110. C. Architektura referencyjna Cloud Security Alliance obejmuje informacje o narzędziach w sposób niezależny od dostawcy. CIS zapewnia testy porównawcze konkretnych dostawców dla usług AWS, Azure i Oracle w chmurze. Międzynarodowa Organizacja Normalizacyjna (ISO) oraz Narodowy Instytut Standardów i Technologii (NIST) nie oferują tego typu zasobów.
111. C. Zamki są fizycznymi kontrolami. Przykładem kontroli zarządczej może być polityka lub praktyka, kontrola techniczna może obejmować takie elementy jak zapory ogniowe lub oprogramowanie antywirusowe, a kontrole naprawcze są wprowadzane w celu zapewnienia, że problem lub luka w innej kontroli zostanie naprawiona.
112. C. Ryzyko kontroli to termin używany w rachunkowości publicznej. Jest to ryzyko wynikające z potencjalnego braku kontroli wewnętrznych w organizacji, które może spowodować istotne zniekształcenie w sprawozdaniach finansowych organizacji. W takim przypadku brak kontroli, które potwierdzałyby walidację danych i funkcji systemu finansowego, stanowi ryzyko kontroli.
113. C. Chociaż pożary, wycieki ropy i wojny są potencjalnymi przykładami katastrof spowodowanych przez ludzi, huragany pozostają wyłącznie katastrofą naturalną. Niektóre katastrofy mogą być spowodowane przez człowieka lub klęską żywiołową. Na przykład pożary mogą być spowodowane przez ludzi lub przez naturę, podobnie jak powodzie, a nawet wycieki substancji chemicznych w przypadku trzęsienia ziemi.
114. C. Informacje poufne są klasyfikowane przez rząd Stanów Zjednoczonych jako informacje, które wymagają pewnej ochrony i które, jeśli zostaną ujawnione bez upoważnienia, mogłyby spowodować możliwą do zidentyfikowania szkodę dla bezpieczeństwa narodowego. Informacje ściśle tajne wymagają najwyższego stopnia ochrony i mogą spowodować wyjątkowo poważną szkodę, jeśli zostaną ujawnione bez upoważnienia. Informacje tajne wymagają znacznej ochrony i mogą spowodować poważne szkody, jeśli zostaną ujawnione. Business Sensitive nie jest klasyfikacją rządu USA, ale jest terminem powszechnie używanym w firmach.
115. C. Numery telefonów jednoznacznie identyfikują osoby, co czyni je przykładem informacji umożliwiających identyfikację osoby lub PII. PHI to chronione informacje zdrowotne, informacje finansowe obejmują wszelkiego rodzaju dokumenty finansowe, a informacje rządowe to informacje, które należą do rządu lub mogą być sklasyfikowane przez rząd i powierzone organizacji.
116. B. Tokenizacja jest idealną opcją dla tego scenariusza. Tokenizacja zastępuje poufną wartość wartością alternatywną, którą można wyszukać w tabeli, gdy trzeba odwołać się do wartości z powrotem do jej oryginalnej postaci. Szyfrowanie nie spełnia tej potrzeby, maskowanie danych ukrywa tylko część wartości, a mycie danych nie jest powszechnie używanym terminem dla technik tego rodzaju.
117. C. Informacje dotyczące prywatności są często umieszczane na stronach internetowych, aby spełnić wymagania przepisów ustawowych lub wykonawczych, takich jak Ogólne rozporządzenie o ochronie danych (RODO) lub stanowe przepisy dotyczące prywatności.
118. C. Nicole jest administratorem danych, czasami nazywanym właścicielem danych. Określa powody przetwarzania danych osobowych oraz sposób ich przetwarzania. Steward danych realizuje intencje administratora danych, powiernicy danych są odpowiedzialni za ochronę informacji, a konsument danych nie jest wspólną rolą w zakresie prywatności danych.
119. B. Jest to katastrofa wewnętrzna - taka, w której problemy wewnętrzne doprowadziły do problemu. Katastrofa zewnętrzna byłaby spowodowana przez siły spoza organizacji, takie jak klęska żywiołowa, złośliwa działalność lub inne siły zewnętrzne. RTO lub cel czasu odzyskiwania nie jest rodzajem katastrofy, a katastrofa MRO została wymyślona na to pytanie.
120. C. Minimalizacja ilości gromadzonych danych to pierwszy krok w zapewnieniu, że organizacje mogą obsługiwać ilość i typy danych, z którymi pracują. Następnie sklasyfikowanie go, a następnie określenie, jak długo go przechowujesz, są również ważnymi elementami cyklu życia danych.
121. D. Kirk złagodził ryzyko dla swojej organizacji poprzez zwiększenie zasobów przeznaczonych na atak DoS w celu zapewnienia, że atak się nie powiedzie. Akceptacja obejmowałaby po prostu pozwolenie na wystąpienie ataków, wiedząc, że prawdopodobnie się zatrzymają, unikanie może wiązać się ze znalezieniem sposobu na zapewnienie, że ataki nie będą miały miejsca, a transfer może wykorzystać serwer lustrzany innej firmy lub usługę hostingu anty-DoS.
122. A. Ryzyko wielostronne dotyczy wielu organizacji. Ponieważ zaangażowanych jest wielu klientów i organizacji, jest to przykład ryzyka wielostronnego. Ryzyko wewnętrzne powstaje wewnątrz organizacji - zamiast tego jest to ryzyko zewnętrzne. Ryzyko związane z przestarzałym systemem jest tworzone przez system lub proces, który nie jest już obsługiwany ani aktualizowany. Ryzyko kradzieży własności intelektualnej (IP) występuje, gdy zastrzeżone informacje lub tajemnice handlowe mogą zostać ujawnione lub utracone.
123. B. EOL lub koniec okresu eksploatacji ma miejsce, gdy usługa lub system nie jest już obsługiwany, dostępny lub nie działa. Natasha musi zaplanować płynne przejście z usługi, albo na usługę zastępczą, albo zaprzestanie korzystania z samej usługi. Protokół ustaleń jest protokołem ustaleń, a umowa o zachowaniu poufności jest umową o zachowaniu poufności, z których żadna nie ma tu bezpośredniego znaczenia. Ostatnia wola i testament nie są wykorzystywane do świadczenia usługi EOL.
124. C. Centrum bezpieczeństwa internetowego (CIS) zapewnia szeroki zakres testów systemów operacyjnych, aplikacji, serwerów i innych. Firma Microsoft udostępnia testy porównawcze dla własnych systemów operacyjnych, ale nie zapewnia testów porównawczych systemu Linux. Narodowy Instytut Standardów i Technologii (NIST) nie dostarcza wskaźników, ale Agencja Bezpieczeństwa Narodowego (NSA) tak.
125. C. Procesy offboardingu są przeprowadzane w celu zapewnienia, że konta i dostęp zostaną usunięte, a materiały, komputery i dane zostaną odzyskane od członka personelu, gdy członek organizacja jest na urlopieów. Rozmowy końcowe to proces HR, rotacja stanowisk pomaga zapobiegać prowadzeniu oszukańczych działań w czasie, a nadzór pomaga zarządzać danymi i utrzymywać je poprzez ustanowienie kontroli wysokiego poziomu nad procesami, procedurami i klasyfikacją danych wykorzystywanych przez organizację.
126. D. Publiczne, prywatne, wrażliwe, poufne, krytyczne i zastrzeżone są powszechnie używanymi etykietami klasyfikacyjnymi danych w biznesie. Sekret jest jednak częściej używany w rządowych schematach klasyfikacji.
127. D. Informacje o prywatności są często dostarczane jako część warunków licencyjnych lub umownych, a także w umowach dotyczących korzystania ze strony internetowej.
