Diese Seite wurde exportiert von Free Exams Dumps Materials [ http://exams.dumpsmaterials.com ] Exportdatum:Thu Dec 26 13:25:47 2024 / +0000 GMT ___________________________________________________ Titel: [Sep 29, 2024] Vollständig aktualisierte ISC-Zertifizierung (CSSLP) Zertifizierung Probe Fragen [Q18-Q33] --------------------------------------------------- [Sep 29, 2024] Vollständig aktualisierte ISC Zertifizierung (CSSLP) Zertifizierungsbeispielfragen Neueste ISC CSSLP Real Exam Dumps PDF Wer sollte die Prüfung ablegen? Wenn Sie die folgenden Voraussetzungen und erforderlichen Fähigkeiten besitzen, sollten Sie diese Prüfung ablegen, um das Zertifikat Certified Secure Software Lifecycle Professional (CSSLP) zu erhalten. 3 Jahre kumulative, bezahlte Vollzeit-SDLC-Berufserfahrung in einer oder mehreren der 8 Domänen des CSSLP CBK4-Jahres-Abschlusses in Informatik, Informationstechnologie (IT) oder verwandten BereichenMindestens 4 Jahre kumulative, bezahlte Vollzeit-Berufserfahrung im Bereich Software Development Lifecycle (SDLC) in einer oder mehreren der 8 Domänen des (ISC)2 CSSLP CBK FRAGE 18Welche der folgenden Kodierungspraktiken sind bei der Vereinfachung von Code hilfreich? Jede richtige Antwort stellt eine vollständige Lösung dar. Wählen Sie alle zutreffenden Antworten. Programmierer sollten mehrere kleine und einfache Funktionen verwenden, anstatt eine einzige komplexe Funktion. Software sollte Mehrdeutigkeiten und versteckte Annahmen, Rekursionen und GoTo-Anweisungen vermeiden. Programmierer sollten folgenreiche Funktionen mit einem Minimum an erforderlichen Codezeilen implementieren und angemessene Codierungsstandards einhalten. Prozesse sollten mehrere Ein- und Ausstiegspunkte haben. Erläuterung/Referenz:Erläuterung: Die verschiedenen Kodierungspraktiken, die bei der Vereinfachung des Codes hilfreich sind, sind folgende: Programmierer sollten Funktionen mit hoher Konsequenz in möglichst wenigen Codezeilen implementieren und die richtigen Kodierungsstandards befolgen. Die Software sollte die Funktionen implementieren, die in der Softwarespezifikation definiert sind. Die Software sollte Mehrdeutigkeiten und versteckte Annahmen, Rekursionen und GoTo-Anweisungen vermeiden. Programmierer sollten lieber mehrere kleine und einfache Funktionen verwenden als eine komplexe Funktion, und die Prozesse sollten nur einen Eintrittspunkt und ein Minimum an Austrittspunkten haben. Die Abhängigkeiten sollten so gering wie möglich sein, damit ein Prozessmodul oder eine Komponente deaktiviert werden kann, wenn sie nicht benötigt wird, oder ersetzt werden kann, wenn sie sich als unsicher erweist oder eine bessere Alternative zur Verfügung steht, ohne dass der Softwarebetrieb gestört wird.Programmierer sollten objektorientierte Techniken verwenden, um den Code einfach und klein zu halten. Zu den objektorientierten Techniken gehören die Objektvererbung, die Kapselung und der Polymorphismus. Antwort: D ist falsch. Prozesse sollten nur einen Eintrittspunkt und eine minimale Anzahl von Austrittspunkten haben.FRAGE 19 In welcher der folgenden Phasen des DITSCAP-Prozesses finden Sicherheitstests und -evaluierung (ST&E) statt? Phase 2 Phase 4 Phase 3 Phase 1 Sicherheitstest und -evaluierung (ST&E) finden in Phase 3 des DITSCAP C&A-Prozesses statt. Antwort D ist falsch. Die Phase 1 von DITSCAP C&A ist als Definitionsphase bekannt. Das Ziel dieser Phase ist es, den C&A-Aufwand zu definieren, die wichtigsten C&A-Rollen und -Verantwortlichkeiten zu identifizieren und eine Vereinbarung über die Methode zur Umsetzung der Sicherheitsanforderungen zu treffen. Die Phase 1 beginnt mit der Eingabe des Missionsbedarfs. Diese Phase umfasst drei Prozessaktivitäten: Dokumentieren des Missionsbedarfs Registrierung Verhandlung Antwort A ist falsch. Die Phase 2 von DITSCAP C&A wird als Verifikation bezeichnet. Das Ziel dieser Phase ist es, ein vollständig integriertes System für die Zertifizierungsprüfung und Akkreditierung zu erhalten. Diese Phase findet zwischen der Unterzeichnung der ersten Version der SSAA und der formellen Akkreditierung des Systems statt. In dieser Phase werden die Sicherheitsanforderungen während der Systementwicklung überprüft. Die Prozessaktivitäten dieser Phase sind wie folgt Konfiguration der Verfeinerung des SSAA Systementwicklung Zertifizierungsanalyse Bewertung der Analyseergebnisse Antwort B ist falsch. Die Phase 4 von DITSCAP C&A wird als Post-Akkreditierung bezeichnet. Diese Phase beginnt, nachdem das System in Phase 3 akkreditiert worden ist. Das Ziel dieser Phase ist es, das System weiterhin zu betreiben und zu verwalten und sicherzustellen, dass es ein akzeptables Restrisiko aufweist. Die Prozessaktivitäten in dieser Phase sind wie folgt: Systemoperationen Sicherheitsoperationen Wartung der SSAA Änderungsmanagement KonformitätsvalidierungFRAGE 20Das Data and Analysis Center for Software (DACS) legt drei allgemeine Prinzipien für die Software Assurance fest, die als Rahmen dienen, um verschiedene sichere Designprinzipien zu kategorisieren. Welche der folgenden Prinzipien und Praktiken umfasst das allgemeine Prinzip 1? Jede richtige Antwort stellt eine vollständige Lösung dar. Wählen Sie zwei aus. Prinzip der Trennung von Privilegien, Aufgaben und Rollen Annehmen, dass die Umgebungsdaten nicht vertrauenswürdig sind Vereinfachung des Entwurfs Prinzip der geringsten Berechtigung Der allgemeine Grundsatz 1 - Minimierung der Anzahl von Zielen mit hoher Auswirkung - umfasst die folgenden Grundsätze und Praktiken: Prinzip der geringsten Privilegien Prinzip der Trennung von Privilegien, Aufgaben und Rollen Prinzip der Trennung von Domänen Antwort B ist falsch. Das Prinzip der Annahme, dass Umgebungsdaten nicht vertrauenswürdig sind, ist im Allgemeinen Prinzip 2 enthalten. Antwort C ist falsch. Das Prinzip "Simplify the design" ist im allgemeinen Prinzip 3 enthalten.FRAGE 21Welcher der folgenden Punkte ist ein Beispiel für Penetrationstests? Die Implementierung von NIDS in einem Netzwerk Implementierung von HIDS auf einem Computer Simulieren eines tatsächlichen Angriffs auf ein Netzwerk Konfigurieren einer Firewall, um nicht autorisierten Datenverkehr zu blockieren Erläuterung/Referenz:Erläuterung: Penetrationstests sind eine Methode zur Bewertung der Sicherheit eines Computersystems oder eines Netzwerks durch die Simulation eines Angriffs von einer böswilligen Quelle, bekannt als Black Hat Hacker oder Cracker. Der Prozess umfasst eine aktive Analyse des Systems auf potenzielle Schwachstellen, die sich aus einer schlechten oder unsachgemäßen Systemkonfiguration, bekannten und/oder unbekannten Hardware- oder Softwarefehlern oder operationellen Schwachstellen in Prozessen oder technischen Gegenmaßnahmen ergeben können. Diese Analyse wird aus der Position eines potenziellen Angreifers durchgeführt und kann die aktive Ausnutzung von Sicherheitsschwachstellen beinhalten. Alle gefundenen Sicherheitsprobleme werden dem Systemeigentümer zusammen mit einer Bewertung ihrer Auswirkungen und oft mit einem Vorschlag zur Abschwächung oder einer technischen Lösung vorgelegt. Der Zweck eines Penetrationstests besteht darin, die Durchführbarkeit eines Angriffs und die Auswirkungen eines erfolgreichen Angriffs auf das Unternehmen zu ermitteln, falls dieser entdeckt wird. Er ist Bestandteil einer vollständigen Sicherheitsüberprüfung. AntwortA, B und D sind falsch. Die Implementierung von NIDS und HIDS und die Konfiguration der Firewall zum Blockieren von nicht autorisiertem Datenverkehr sind keine Beispiele für Penetrationstests.FRAGE 22Welcher der folgenden Begriffe bezeichnet die Zeitspanne und den Service-Level, innerhalb derer ein Geschäftsprozess nach einer Katastrophe wiederhergestellt werden muss, um inakzeptable Folgen im Zusammenhang mit einer Unterbrechung der Geschäftskontinuität zu vermeiden? RTO RTA RPO RCO Das Wiederherstellungszeitziel (Recovery Time Objective, RTO) ist die Zeitspanne und ein Service-Level, innerhalb derer ein Geschäftsprozess nach einer Katastrophe oder Störung wiederhergestellt werden muss, um unannehmbare Folgen einer Unterbrechung der Geschäftskontinuität zu vermeiden. Sie umfasst die Zeit für den Versuch, das Problem ohne eine Wiederherstellung zu beheben, die Wiederherstellung selbst, Tests und die Kommunikation mit den Benutzern. Die Entscheidungszeit für den Benutzervertreter ist nicht enthalten. Der Zeitplan für die Geschäftskontinuität verläuft in der Regel parallel zu einem Zeitplan für das Störungsmanagement und kann an denselben oder an unterschiedlichen Punkten beginnen. In der anerkannten Business-Continuity-Planungsmethodik werden die RTOs während der Business-Impact-Analyse (BIA) durch den Eigentümer eines Prozesses (in der Regel in Zusammenarbeit mit dem Business-Continuity-Planer) festgelegt. Die RTOs werden dann der Geschäftsleitung zur Annahme vorgelegt. Die RTO bezieht sich auf den Geschäftsprozess und nicht auf die zur Unterstützung des Prozesses erforderlichen Ressourcen. Antwort B ist falsch. Die tatsächliche Wiederherstellungszeit (Recovery Time Actual, RTA) wird während einer Übung, eines tatsächlichen Ereignisses oder im Voraus auf der Grundlage der vom Technologie-Support-Team entwickelten Wiederherstellungsmethodik festgelegt. Dies ist der Zeitrahmen, den der Technologie-Support benötigt, um die wiederhergestellte Infrastruktur an das Unternehmen zu liefern. Antwort D ist falsch. Das Recovery Consistency Objective (RCO) wird in der Business Continuity-Planung zusätzlich zum Recovery Point Objective (RPO) und Recovery Time Objective (RTO) verwendet. Es wendet Datenkonsistenzziele auf Continuous Data Protection-Services an. Antwort C ist falsch. Das Wiederherstellungspunktziel (Recovery Point Objective, RPO) beschreibt das akzeptable Ausmaß des Datenverlusts, gemessen in Zeit. Es ist der Zeitpunkt, bis zu dem die Daten wiederhergestellt werden müssen, wie von der Organisation definiert. Das RPO ist im Allgemeinen eine Definition dessen, was ein Unternehmen in einer Katastrophensituation als "akzeptablen Verlust" ansieht. Wenn der RPO eines Unternehmens 2 Stunden beträgt und die Zeit, die benötigt wird, um die Daten wieder in Produktion zu bringen, 5 Stunden beträgt, beträgt der RPO immer noch 2 Stunden. Auf der Grundlage dieses RPO müssen die Daten innerhalb von 2 Stunden nach der Katastrophe wiederhergestellt werden.FRAGE 23Welcher der folgenden Begriffe ist eine Formel, eine Praxis, ein Prozess, ein Design, ein Instrument, ein Muster oder eine Zusammenstellung von Informationen, die nicht allgemein bekannt ist, durch die sich ein Unternehmen jedoch einen wirtschaftlichen Vorteil gegenüber seinen Konkurrenten verschaffen kann? Urheberrecht Gebrauchsmuster Geschäftsgeheimnis Keks Erläuterung: Ein Geschäftsgeheimnis ist eine Formel, ein Verfahren, ein Prozess, ein Design, ein Instrument, ein Muster oder eine Zusammenstellung von Informationen, die nicht allgemein bekannt sind. Es hilft einem Unternehmen, einen wirtschaftlichen Vorteil gegenüber seinen Konkurrenten oder Kunden zu erlangen. In einigen Rechtsordnungen werden solche Geheimnisse als vertrauliche Informationen oder Verschlusssachen bezeichnet. ist falsch. Ein Urheberrecht ist eine Form des geistigen Eigentums, das seinem Inhaber das ausschließliche Recht sichert, Kopien seiner Werke mit originellem Ausdruck, wie z. B. literarische Werke, Filme, Musikwerke oder Tonaufnahmen, Gemälde, Fotografien, Computerprogramme oder industrielle Entwürfe, für einen bestimmten, aber verlängerbaren Zeitraum herzustellen. Es gilt nicht für Ideen oder Fakten. Urheberrechtsgesetze schützen geistiges Eigentum vor dem Missbrauch durch andere Personen. Antwort B ist falsch. Ein Gebrauchsmuster ist ein geistiges Eigentumsrecht zum Schutz von Erfindungen. Antwort D ist falsch. Ein Cookie ist ein kleines Textstück, das Anfragen und Seiten auf ihrem Weg zwischen Webservern und Browsern begleitet. Er enthält Informationen, die von einer Webanwendung gelesen werden, wenn ein Benutzer eine Website besucht. Cookies werden im Speicher oder auf der Festplatte von Client-Computern gespeichert. Eine Website speichert Informationen, wie z. B. Benutzerpräferenzen und -einstellungen, in einem Cookie. Diese Informationen helfen dabei, dem Benutzer maßgeschneiderte Dienste anzubieten. Ein Webserver kann auf keinen Fall über Cookies auf private Informationen über einen Benutzer oder seinen Computer zugreifen, es sei denn, der Benutzer stellt diese Informationen zur Verfügung. Ein Webserver kann nicht auf Cookies zugreifen, die von anderen Webservern erstellt wurden.FRAGE 24Sie arbeiten als Security Manager für Tech Perfect Inc. Sie möchten alle Daten vor einem SQL-Injection-Angriff schützen, der sensible Daten aus der Datenbank auslesen und Datenbankdaten mit einigen Befehlen wie Einfügen, Aktualisieren und Löschen ändern kann. Welche der folgenden Aufgaben werden Sie durchführen? Jede richtige Antwort stellt eine vollständige Lösung dar. Wählen Sie drei aus. Wenden Sie die maximale Anzahl von Datenbankberechtigungen an. Verwenden Sie eine gekapselte Bibliothek für den Zugriff auf Datenbanken. Erstellen Sie parametrisierte gespeicherte Prozeduren. Erstellen Sie parametrisierte Abfragen, indem Sie gebundene und typisierte Parameter verwenden. Die Methoden zur Abschwächung von SQL-Injection-Angriffen sind wie folgt: 1) Erstellen Sie parametrisierte Abfragen mit gebundenen und typisierten Parametern. 2. parametrisierte gespeicherte Prozeduren erstellen. 3) Verwendung einer gekapselten Bibliothek für den Zugriff auf Datenbanken. 4. minimieren Sie die Datenbankberechtigungen. Antwort A ist falsch. Um alle Daten vor einem SQL-Injection-Angriff zu schützen, sollten Sie die Datenbankberechtigungen minimieren.FRAGE 25Welche der folgenden SDLC-Phasen besteht aus den angegebenen Sicherheitskontrollen: Modellierung von Missbrauchsfällen, Sicherheitsdesign und Architekturüberprüfung, Bedrohungs- und Risikomodellierung, Sicherheitsanforderungen und Testfallerstellung? Bereitstellung Sammeln von Anforderungen Wartung Entwurf Die verschiedenen Sicherheitskontrollen in der SDLC-Entwurfsphase sind wie folgt: Modellierung von Missbrauchsfällen: Es ist wichtig, dass die Umkehrung der Missbrauchsfälle modelliert wird, um die Sicherheitsaspekte der Software zu verstehen und zu berücksichtigen. Die Matrix zur Rückverfolgbarkeit der Anforderungen kann verwendet werden, um die Missbrauchsfälle bis zur Funktionalität der Software zu verfolgen. Überprüfung des Sicherheitsdesigns und der Architektur: Diese Kontrolle kann eingeführt werden, wenn die Teams mit der Überprüfung des "funktionalen" Entwurfs und der Architektur der Software beschäftigt sind. Modellierung von Bedrohungen und Risiken: Bei der Bedrohungsmodellierung wird die Angriffsfläche der Software bestimmt, indem ihre Funktionalität auf Vertrauensgrenzen, Datenfluss, Eintritts- und Austrittspunkte untersucht wird. Bei der Risikomodellierung werden die Bedrohungen im Hinblick auf die Geschäftsziele des Unternehmens, die Einhaltung von Vorschriften und Bestimmungen sowie die Sicherheitsrisiken bewertet. Erstellung von Sicherheitsanforderungen und Testfällen: Alle drei oben genannten Sicherheitskontrollen, d.h. die Modellierung von Missbrauchsfällen, die Überprüfung des Sicherheitsdesigns und der Architektur sowie die Modellierung von Bedrohungen und Risiken, werden zur Erstellung der Sicherheitsanforderungen verwendet.FRAGE 26Harry ist der Projektleiter des MMQ-Konstruktionsprojekts. In diesem Projekt hat Harry einen Lieferanten gefunden, der Glasfenster für 1.000 Fenstereinheiten des Bauprojekts herstellen kann. Bei dem Lieferanten handelt es sich um einen Künstler, der selbständig arbeitet, aber Fenster für mehrere Unternehmen in den Vereinigten Staaten herstellt. Die Geschäftsleitung prüft den Vorschlag, diesen Lieferanten zu beauftragen, und ist zwar der Meinung, dass der Lieferant talentiert ist, glaubt aber nicht, dass der Künstler die 1.000 Fenstereinheiten rechtzeitig vor Ablauf der Projektfrist herstellen kann. Die Geschäftsleitung hat Harry gebeten, einen Lieferanten zu finden, der die Fenster bis zu dem im Zeitplan vorgesehenen Termin fertigstellen kann. Welche Risikomaßnahmen hat die Geschäftsleitung von Harry verlangt? Übertragung Vermeiden Abschwächung Akzeptanz Erläuterung/Referenz:Erläuterung: Dies ist ein Beispiel für Abschwächung. Durch den Wechsel zu einem zuverlässigeren Lieferanten verringert Harry die Wahrscheinlichkeit, dass der Lieferant in Verzug gerät. Es ist immer noch möglich, dass der Lieferant nicht in der Lage ist, die Glasfenster zu liefern, aber der seriösere Lieferant verringert die Wahrscheinlichkeit der Verspätung. Bei der Risikominderung handelt es sich um eine Technik der Risikoreaktionsplanung im Zusammenhang mit Bedrohungen, die darauf abzielt, die Wahrscheinlichkeit des Auftretens oder die Auswirkungen eines Risikos unter einen akzeptablen Schwellenwert zu senken. Risikominderung bedeutet, frühzeitig Maßnahmen zu ergreifen, um die Wahrscheinlichkeit und die Auswirkungen eines Risikos auf das Projekt zu verringern. Die Einführung weniger komplexer Prozesse, die Durchführung von mehr Tests oder die Wahl eines stabileren Lieferanten sind Beispiele für Maßnahmen zur Risikominderung.AntwortA ist falsch. Von einer Übertragung spricht man, wenn das Risiko auf einen Dritten übertragen wird, in der Regel gegen ein Entgelt. In dieser Frage geht es zwar um eine vertragliche Beziehung, aber das Risiko ist die Verspätung der Fenster. Bei der Übertragung geht es darum, das Risiko auf einen Dritten zu übertragen, um das Risikoereignis zu verwalten. In diesem Fall liegt die Verwaltung des Risikos in den Händen eines Dritten, der das Risiko aufgrund der Möglichkeit der Verspätung der Fenster tatsächlich verursacht. AntwortB ist falsch. Bei der Vermeidung wird der Projektplan geändert, um das Risiko zu vermeiden. Wenn der Projektleiter und das Management den Fenstertyp in den Projektanforderungen in ein Standardfenster ändern, wäre dies eine Vermeidung. Risikovermeidung ist eine Technik, die bei Bedrohungen eingesetzt wird. Dabei werden Änderungen am Projektmanagementplan vorgenommen, um das Risiko entweder vollständig zu beseitigen oder die Projektziele vor seinen Auswirkungen zu schützen. Bei der Risikovermeidung wird das Risikoereignis entweder durch zusätzliche Schritte zur Vermeidung des Ereignisses oder durch eine Verringerung der Anforderungen an den Projektumfang vollständig beseitigt. Es mag die Antwort auf alle möglichen Risiken sein, aber die Vermeidung von Risiken bedeutet auch, dass die potenziellen Gewinne, die durch das Akzeptieren (Beibehalten) des Risikos möglich gewesen wären, verloren gehen. AntwortD ist falsch. Mit der Annahme wird das Risiko akzeptiert, dass sich die Fenster verspäten könnten, und es wird keine Antwort darauf gegeben.FRAGE 27Die Organisationsebene ist die Stufe 1 und befasst sich mit Risiken aus der Sicht der Organisation. Was sind die verschiedenen Aktivitäten der Ebene 1? Jede richtige Antwort stellt eine vollständige Lösung dar. Wählen Sie alle zutreffenden Antworten aus. Die Organisation plant, das Ausmaß und die Art der Aufsicht zu nutzen, um sicherzustellen, dass die Risikomanagementstrategie wirksam umgesetzt wird. Das Niveau der Risikotoleranz. Die Techniken und Methoden, die eine Organisation zur Bewertung von Sicherheitsrisiken im Zusammenhang mit Informationssystemen einzusetzen gedenkt. Die RMF arbeitet hauptsächlich auf Stufe 1. Erläuterung/Referenz:Erläuterung: Die Organisationsebene ist die Ebene 1 und behandelt die Risiken aus der Sicht der Organisation. Sie umfasst die folgenden Punkte: Die Techniken und Methoden, die eine Organisation plant, um informationssystembezogene Sicherheitsrisiken zu bewerten. Die Methoden und Verfahren, die die Organisation während der Risikobewertung einzusetzen gedenkt, um die Bedeutung der ermittelten Risiken zu bewerten. Art und Umfang der Risikominderungsmaßnahmen, die die Organisation zur Bewältigung der festgestellten Risiken einzusetzen gedenkt. Das Niveau der Risikotoleranz. die Art und Weise, wie die Organisation angesichts der unvermeidlichen Änderungen im Informationssystem der Organisation die Risiken fortlaufend zu überwachen gedenkt; das Ausmaß und die Art der Überwachung, um sicherzustellen, dass die Risikomanagementstrategie wirksam umgesetzt wird; Antwort: D ist falsch. Die RMF arbeitet in erster Linie auf Stufe 3.FRAGE 28Welche der folgenden Dokumente wurden vom NIST für die Durchführung von Zertifizierung und Akkreditierung (C&A) entwickelt? Jede richtige Antwort stellt eine vollständige Lösung dar. Wählen Sie alle zutreffenden aus. NIST-Sonderveröffentlichung 800-60 NIST-Sonderveröffentlichung 800-53 NIST-Sonderveröffentlichung 800-37A NIST Sonderveröffentlichung 800-59 NIST-Sonderveröffentlichung 800-37 NIST-Sonderveröffentlichung 800-53A Erläuterung/Referenz:Erläuterung: NIST hat eine Reihe von Dokumenten für die Durchführung von Zertifizierung und Akkreditierung (C&A) entwickelt. Diese Dokumente sind wie folgt: NIST Sonderveröffentlichung 800-37: Dieses Dokument ist ein Leitfaden für die Sicherheitszertifizierung und -akkreditierung von Bundesinformationssystemen. NIST Special Publication 800-53: Dieses Dokument enthält einen Leitfaden für Sicherheitskontrollen für Informationssysteme des Bundes. NIST-Sonderveröffentlichung 800-53A. Dieses Dokument enthält Techniken und Verfahren zur Überprüfung der Wirksamkeit von Sicherheitskontrollen in Bundesinformationssystemen. NIST Special Publication 800-59: Dieses Dokument ist ein Leitfaden für die Identifizierung eines Informationssystems als National Security System. NIST Special Publication800-60: Dieses Dokument ist ein Leitfaden für die Zuordnung von Informationsarten und Informationssystemen zu Sicherheitszielen und Risikostufen. AntwortC ist falsch. Es gibt kein derartiges NIST-Dokument.FRAGE 29Die Phase 4 der DITSCAP C&A ist als Post-Akkreditierung bekannt. Diese Phase beginnt, nachdem das System in Phase 3 akkreditiert worden ist. Was sind die Prozessaktivitäten in dieser Phase? Jede richtige Antwort stellt eine vollständige Lösung dar. Wählen Sie alle zutreffenden Antworten aus. Sicherheitsmaßnahmen Pflege des SSAA Validierung der Einhaltung der Vorschriften Verwaltung von Änderungen Betrieb des Systems Fortgesetzte Überprüfung und Verfeinerung des SSAA Die Phase 4 der DITSCAP C&A wird als Post-Akkreditierung bezeichnet. Diese Phase beginnt, nachdem das System in Phase 3 akkreditiert worden ist. Ziel dieser Phase ist es, das System weiter zu betreiben und zu verwalten und sicherzustellen, dass es ein akzeptables Restrisiko beibehält. Die Prozessaktivitäten in dieser Phase sind wie folgt: Systembetrieb Sicherheitsbetrieb Wartung der SSAA Änderungsmanagement Validierung der Einhaltung der Vorschriften Antwort F ist falsch. Es handelt sich um eine Aktivität der Phase 3.FRAGE 30Welche der folgenden Arten von Aktivitäten können auf Sicherheit geprüft werden? Jede richtige Antwort stellt eine vollständige Lösung dar. Wählen Sie drei aus. Datei- und Objektzugriff Herunterladen von Daten aus dem Internet Druckerzugriff An- und Abmeldung am Netzwerk Erläuterung/Referenz:Erläuterung: Die folgenden Arten von Aktivitäten können auditiert werden: Netzwerkan- und -abmeldungen Dateizugriff Druckerzugriff Fernzugriffsdienst Anwendungsnutzung Netzwerkdienste Auditing dient dazu, Benutzerkonten für Datei- und Objektzugriffe, Anmeldeversuche, Systemabschaltung usw. zu verfolgen. Dadurch wird die Sicherheit des Netzwerks erhöht. Bevor die Sicherheitsüberwachung aktiviert wird, sollte die Art des zu überwachenden Ereignisses in der Überwachungsrichtlinie festgelegt werden. Auditing ist eine wesentliche Komponente für die Aufrechterhaltung der Sicherheit der installierten Systeme. Die Sicherheitsprüfung hängt von der Kritikalität der Umgebung und von der Sicherheitsrichtlinie des Unternehmens ab. Das Sicherheitssystem sollte in regelmäßigen Abständen überprüft werden. Antwort: B ist falsch. Daten, die aus dem Internet heruntergeladen werden, können nicht geprüft werden.FRAGE 31Sicherheit ist ein Zustand des Wohlbefindens von Informationen und Infrastrukturen, in dem die Möglichkeiten eines erfolgreichen, aber unentdeckten Diebstahls, einer Manipulation und/oder einer Unterbrechung von Informationen und Diensten gering oder tolerierbar gehalten werden. Welche der folgenden Elemente gehören zur Sicherheit? Jede richtige Antwort stellt eine vollständige Lösung dar. Wählen Sie alle zutreffenden aus. Integrität Authentizität Vertraulichkeit Verfügbarkeit Erläuterung/Referenz:Erläuterung: Die Elemente der Sicherheit sind wie folgt: 1. die Vertraulichkeit: Es handelt sich um die Verheimlichung von Informationen oder Ressourcen. 2. die Authentizität: Identifizierung und Gewährleistung der Herkunft von Informationen. 3. die Integrität: Sie bezieht sich auf die Vertrauenswürdigkeit von Daten oder Ressourcen im Hinblick auf die Verhinderung unzulässiger und unbefugter Änderungen. 4.Verfügbarkeit: Sie bezieht sich auf die Fähigkeit, die Informationen oder Ressourcen wie gewünscht zu nutzen.FRAGE 32Welche der folgenden Zugriffskontrollmodelle werden im kommerziellen Bereich verwendet? Jede richtige Antwort stellt eine vollständige Lösung dar. Wählen Sie zwei. Biba-Modell Clark-Biba-Modell Clark-Wilson-Modell Bell-LaPadula-Modell Erläuterung/Referenz:Erläuterung: Die Zugriffskontrollmodelle Biba und Clark-Wilson werden im kommerziellen Bereich verwendet. Das Biba-Modell ist ein formales Zustandsübergangssystem der Computersicherheitspolitik, das eine Reihe von Zugriffskontrollregeln beschreibt, die die Datenintegrität gewährleisten sollen. Daten und Subjekte werden in geordneten Integritätsstufen gruppiert. Das Modell ist so konzipiert, dass Subjekte keine Daten in einer höheren Ebene als das Subjekt beschädigen können oder durch Daten aus einer niedrigeren Ebene als das Subjekt beschädigt werden können. Das Clark-Wilson-Sicherheitsmodell bietet eine Grundlage für die Spezifizierung und Analyse einer Integritätsrichtlinie für ein Computersystem. Antwort: D ist falsch. Das Bell-LaPadula-Zugriffskontrollmodell wird hauptsächlich in militärischen Systemen verwendet. Antwort: B ist falsch. Es gibt kein solches Zugriffskontrollmodell wie Clark-Biba.FRAGE 33Welches der folgenden Gesetze dient dazu, die Bedeutung der Informationssicherheit für die wirts