[2024년 9월 29일] 완전히 업데이트된 ISC 인증(CSSLP) 인증 샘플 문제 [Q18-Q33]

9월 29, 2024 examdumps 0 댓글

태그: CSSLP 무료 시험, CSSLP 지식 포인트, CSSLP 최신 비주얼 인증 테스트, CSSLP 신뢰할 수 있는 시험 시뮬레이터 수수료, CSSLP 신뢰할 수 있는 테스트 캠프 무료, CSSLP 학습 덤프, 새로운 온라인 CSSLP 모의고사

이 게시물 평가하기

[2024년 9월 29일] 완전히 업데이트된 ISC 인증(CSSLP) 인증 샘플 문제

최신 ISC CSSLP 실제 시험 덤프 PDF

시험 응시 대상

다음과 같은 전제 조건과 필수 기술을 갖추고 있다면 이 시험에 응시하여 공인 보안 소프트웨어 수명 주기 전문가(CSSLP) 자격증을 취득해야 합니다.

CSSLP CBK의 8개 영역 중 1개 이상의 영역에서 3년의 누적 유급 풀타임 SDLC 전문 업무 경력 보유
컴퓨터 과학, 정보 기술(IT) 또는 관련 분야의 학사 학위 또는 이에 준하는 4년제 학위를 취득한 경우.
(ISC)2 CSSLP CBK의 8개 영역 중 1개 이상에서 유급 풀타임 소프트웨어 개발 라이프사이클(SDLC) 전문 업무 경력이 최소 4년 이상 누적되어야 합니다.

질문 18
다음 중 코드를 간소화하는 데 도움이 되는 코딩 관행은 무엇인가요? 각 정답은 완전한 해결책을 나타냅니다. 해당되는 것을 모두 선택하세요.

프로그래머는 하나의 복잡한 함수보다는 작고 간단한 함수를 여러 개 사용해야 합니다.

소프트웨어는 모호함과 숨겨진 가정, 재귀, GoTo 문을 피해야 합니다.

프로그래머는 중요도가 높은 기능을 최소한의 코드 줄로 구현하고 적절한 코딩 표준을 따라야 합니다.

프로세스에는 여러 개의 시작 및 종료 지점이 있어야 합니다.

질문 19
다음 중 어느 단계에서 보안 테스트 및 평가(ST&E)가 진행되나요?

2단계

4단계

3단계

1단계

질문 20
소프트웨어 데이터 및 분석 센터(DACS)는 다양한 보안 설계 원칙을 분류하기 위한 프레임워크 역할을 하는 소프트웨어 보증을 위한 세 가지 일반 원칙을 명시하고 있습니다. 다음 중 일반 원칙 1에 포함되는 원칙 및 사례는 무엇인가요? 각 정답은 완전한 해결책을 나타냅니다. 두 개를 선택하세요.

권한, 의무 및 역할의 분리 원칙

환경 데이터를 신뢰할 수 없다고 가정

디자인 간소화

최소 권한의 원칙

질문 21
다음 중 침투 테스트의 예는 무엇인가요?

네트워크에서 NIDS 구현하기

컴퓨터에서 HIDS 구현하기

네트워크에 대한 실제 공격 시뮬레이션

무단 트래픽을 차단하도록 방화벽 구성하기

질문 22
다음 중 비즈니스 연속성 중단과 관련된 용납할 수 없는 결과를 피하기 위해 재해 발생 후 비즈니스 프로세스를 복구해야 하는 기간과 서비스 수준은 어느 것입니까?

RTO

RTA

RPO

RCO

복구 시간 목표(RTO)는 비즈니스 연속성 중단과 관련된 용납할 수 없는 결과를 피하기 위해 재해 또는 중단 후 비즈니스 프로세스를 복구해야 하는 시간 및 서비스 수준입니다. 여기에는 복구 없이 문제를 해결하기 위한 시간, 복구 자체, 테스트 및 사용자와의 커뮤니케이션이 포함됩니다. 사용자 대표의 의사 결정 시간은 포함되지 않습니다. 비즈니스 연속성 타임라인은 일반적으로 인시던트 관리 타임라인과 병행하여 진행되며 동일하거나 다른 시점에서 시작할 수 있습니다. 일반적인 비즈니스 연속성 계획 방법론에서는 프로세스 소유자(일반적으로 비즈니스 연속성 계획자와 함께)가 비즈니스 영향 분석(BIA) 중에 RTO를 설정합니다. 그런 다음 RTO는 고위 경영진에게 제출되어 승인을 받습니다. RTO는 프로세스를 지원하는 데 필요한 리소스가 아니라 비즈니스 프로세스에 첨부됩니다. 정답 B는 올바르지 않습니다. 실제 복구 시간(RTA)은 연습, 실제 이벤트 중에 설정되거나 기술 지원팀이 개발한 복구 방법론에 따라 미리 결정됩니다. 이는 기술 지원팀이 복구된 인프라를 비즈니스에 제공하는 데 걸리는 시간입니다. 답 D는 올바르지 않습니다. 복구 일관성 목표(RCO)는 복구 지점 목표(RPO) 및 복구 시간 목표(RTO)와 함께 비즈니스 연속성 계획에 사용됩니다. 데이터 일관성 목표를 지속적 데이터 보호 서비스에 적용합니다. 정답 C는 올바르지 않습니다. RPO(복구 시점 목표)는 시간 단위로 측정된 허용 가능한 데이터 손실량을 설명합니다. 조직에서 정의한 대로 데이터를 복구해야 하는 시점을 말합니다. RPO는 일반적으로 재해 상황에서 조직이 '허용 가능한 손실'이라고 판단하는 것을 정의합니다. 회사의 RPO가 2시간이고 데이터를 프로덕션으로 복구하는 데 걸리는 시간이 5시간인 경우에도 RPO는 여전히 2시간입니다. 이 RPO에 따라 재해 발생 후 2시간 이내에 데이터를 복구해야 합니다.

질문 23
다음 중 일반적으로 알려지지 않았지만 기업이 경쟁사보다 경제적 이점을 얻을 수 있는 공식, 관행, 프로세스, 설계, 도구, 패턴 또는 정보의 편집은 무엇입니까?

저작권

유틸리티 모델

영업 비밀

쿠키

설명:
영업비밀이란 일반적으로 알려져 있지 않은 공식, 관행, 프로세스, 설계, 도구, 패턴 또는 정보의 편집을 말합니다. 이는 기업이 경쟁사나 고객보다 경제적 이점을 얻는 데 도움이 됩니다. 일부 관할권에서는 이러한 비밀을 기밀 정보 또는 기밀 정보라고 합니다.

질문 24
의 보안 관리자로 일하고 있습니다. 데이터베이스에서 중요한 데이터를 읽고 삽입, 업데이트, 삭제와 같은 일부 명령을 사용하여 데이터베이스 데이터를 수정할 수 있는 SQL 주입 공격으로부터 모든 데이터를 저장하려고 합니다. 다음 중 어떤 작업을 수행하시겠습니까? 각 정답은 완전한 해결책을 나타냅니다. 세 가지를 선택하세요.

최대 데이터베이스 권한 수를 적용합니다.

캡슐화된 라이브러리를 사용하여 데이터베이스에 액세스합니다.

매개변수화된 저장 프로시저를 만듭니다.

바인딩 및 입력된 매개변수를 사용하여 매개변수화된 쿼리를 생성합니다.

질문 25
다음 중 주어진 보안 제어로 구성된 SDLC 단계는? 오용 사례 모델링 보안 설계 및 아키텍처 검토 위협 및 위험 모델링 보안 요구 사항 및 테스트 사례 생성?

배포

요구 사항 수집

유지 관리

디자인

질문 26
해리는 MMQ 건설 프로젝트의 프로젝트 매니저입니다. 이 프로젝트에서 Harry는 건설 프로젝트의 창문 1,000개를 위한 스테인드글라스 창문을 제작할 수 있는 공급업체를 찾았습니다. 이 공급업체는 혼자서 작업하지만 미국 전역의 여러 회사를 위해 창문을 제작하는 예술가입니다. 경영진은 이 공급업체의 제안을 검토한 결과, 이 공급업체가 재능이 있다는 데는 동의하지만 프로젝트 마감 기한 내에 1,000개의 창문을 완성할 수 있을 것 같지는 않습니다. 경영진은 해리에게 일정에 필요한 날짜까지 창을 완성할 수 있는 공급업체를 찾아달라고 요청했습니다. 경영진이 해리에게 어떤 위험 대응을 실행하라고 요청했나요?

전이

회피

완화

수락

설명/참조:
설명: 이것은 완화 조치의 예입니다. 해리는 더 신뢰할 수 있는 공급업체로 변경함으로써 공급업체가 지각할 확률을 줄이고 있습니다. 여전히 공급업체가 스테인드글라스 창문을 납품하지 못할 가능성이 있지만, 평판이 좋은 공급업체일수록 지체될 확률이 줄어듭니다. 완화는 위협과 관련된 위험 대응 계획 기법으로, 위험의 발생 가능성이나 영향을 허용 가능한 임계값 이하로 줄이는 것을 목표로 합니다. 위험 완화에는 프로젝트에 대한 위험 발생 확률과 영향을 줄이기 위한 조기 조치를 취하는 것이 포함됩니다. 덜 복잡한 프로세스를 채택하거나, 더 많은 테스트를 수행하거나, 더 안정적인 공급업체를 선택하는 것이 완화 조치의 예입니다.
정답A는 틀린 답입니다. 양도란 일반적으로 수수료를 받고 위험을 제3자에게 이전하는 것을 말합니다. 동안
이 질문에는 계약 관계가 포함되며, 위험은 윈도우의 지연입니다. 이전은 위험 이벤트를 관리하기 위해 제3자에게 위험을 이전하는 것에 중점을 둡니다. 이 경우 위험의 관리는 제3자가 소유하며, 제3자가 윈도우의 지연 가능성으로 인해 실제로 위험 이벤트를 생성합니다. 답B는 올바르지 않습니다. 회피는 위험을 피하기 위해 프로젝트 계획을 변경하는 것입니다. 프로젝트 관리자와 경영진이 프로젝트 요구 사항에서 창 유형을 표준 창으로 변경했다면 이는 회피에 해당합니다. 위험 회피는 위협에 사용되는 기법입니다. 위험을 완전히 제거하거나 그 영향으로부터 프로젝트 목표를 보호하기 위해 프로젝트 관리 계획에 변경 사항을 만듭니다. 위험 회피는 이벤트를 피하기 위한 추가 단계를 추가하거나 프로젝트 범위 요구 사항을 줄임으로써 위험 이벤트를 완전히 제거합니다. 가능한 모든 위험에 대한 해답처럼 보일 수 있지만 위험을 피한다는 것은 위험을 수용(유지)했을 때 얻을 수 있는 잠재적 이득을 잃는다는 의미이기도 합니다. 답D는 올바르지 않습니다. 수락은 창구가 늦어질 수 있다는 위험을 받아들이고 응답을 제공하지 않는 것입니다.

질문 27
조직 수준은 티어 1이며 조직의 관점에서 위험을 해결합니다. 다양한 티어 1 활동에는 어떤 것이 있나요? 각 정답은 완전한 솔루션을 나타냅니다. 해당되는 것을 모두 선택하세요.

조직은 위험 관리 전략이 효과적으로 수행되고 있는지 확인하기 위해 감독 정도와 유형을 사용할 계획입니다.

위험 허용 수준입니다.

조직이 정보 시스템 관련 보안 위험을 평가하기 위해 사용할 계획인 기술과 방법론입니다.

RMF는 주로 티어 1에서 운영됩니다.

질문 28
다음 중 NIST에서 인증 및 인증(C&A)을 수행하기 위해 개발한 문서는 어느 것입니까? 각 정답은 완전한 솔루션을 나타냅니다. 해당되는 것을 모두 선택하세요.

NIST 특별 간행물 800-60

NIST 특별 간행물 800-53

NIST 특별 간행물 800-37A

NIST 특별 간행물 800-59

NIST 특별 간행물 800-37

NIST 특별 간행물 800-53A

질문 29
DITSCAP C&A의 4단계는 인증 후 단계로 알려져 있습니다. 이 단계는 3단계에서 시스템 인증을 받은 후에 시작됩니다. 이 단계의 프로세스 활동은 무엇인가요? 각 정답은 완전한 솔루션을 나타냅니다. 해당되는 것을 모두 선택하세요.

보안 운영

SSAA 유지 관리

규정 준수 유효성 검사

변경 관리

시스템 운영

SSAA를 계속 검토하고 개선합니다.

질문 30
다음 중 보안을 위해 감사할 수 있는 활동의 유형은 무엇인가요? 각 정답은 완전한 솔루션을 나타냅니다. 세 가지를 선택하세요.

파일 및 개체 액세스

인터넷에서 데이터 다운로드

프린터 액세스

네트워크 로그온 및 로그오프

질문 31
보안이란 정보 및 서비스의 도난, 변조 및/또는 중단의 성공 가능성이 낮거나 감지되지 않는 정보 및 인프라의 양호한 상태를 유지하거나 용인할 수 있는 상태를 말합니다. 다음 중 보안의 요소는 무엇인가요? 각 정답은 완전한 솔루션을 나타냅니다. 해당되는 것을 모두 선택하세요.

무결성

진정성

기밀 유지

가용성

질문 32
다음 중 상업 부문에서 사용되는 액세스 제어 모델은 무엇인가요? 각 정답은 완전한 솔루션을 나타냅니다. 두 가지를 선택하세요.

비바 모델

클라크-비바 모델

클라크-윌슨 모델

벨-라파둘라 모델

질문 33
다음 중 미국의 경제 및 국가 안보 이익에 대한 정보 보안의 중요성을 인식하기 위해 사용되는 법은?

컴퓨터 오용 행위

랜햄법

컴퓨터 사기 및 남용 행위

FISMA

2002년 연방 정보 보안 관리법은 2002년 전자 정부법 제3편으로 2002년에 제정된 미국 연방법입니다. 이 법은 미국의 경제 및 국가 안보 이익에 대한 정보 보안의 중요성을 인식했습니다. 이 법에 따라 각 연방 기관은 다른 기관, 계약자 또는 기타 출처에서 제공하거나 관리하는 것을 포함하여 기관의 운영과 자산을 지원하는 정보 및 정보 시스템에 대한 정보 보안을 제공하기 위한 기관 차원의 프로그램을 개발, 문서화 및 구현해야 합니다. FISMA는 연방 정부 내에서 사이버 보안에 대한 관심을 불러일으키고 '비용 효율적인 보안을 위한 위험 기반 정책'을 명시적으로 강조했습니다. FISMA는 기관의 프로그램 관계자, 최고 정보 책임자, 감사관(IG)이 매년 기관의 정보 보안 프로그램을 검토하고 그 결과를 관리예산처(OMB)에 보고하도록 규정하고 있습니다. OMB는 이 데이터를 사용하여 감독 책임을 지원하고 의회에 기관의 법 준수에 관한 연례 보고서를 작성합니다. 정답 B는 틀린 답입니다. 랜햄법은 미국의 상표법에 관한 연방 법령을 담고 있는 법률입니다. 이 법은 상표권 침해, 상표 희석, 허위 광고 등 여러 가지 활동을 금지하고 있습니다. Lanham 상표법이라고도 합니다. 정답 A는 틀린 답입니다. 1990년 컴퓨터 오용 법은 영국 의회에서 제정된 법으로 다음과 같은 내용을 담고 있습니다: 컴퓨터 자료에 대한 무단 액세스는 6개월의 징역 또는 "표준 척도에 따라 레벨 5를 초과하지 않는"(현재 5000파운드) 벌금형에 처해질 수 있습니다. 추가 범죄를 저지르거나 조장할 의도로 무단 액세스하는 경우 약식 유죄 판결 시 6개월/최고 벌금형 또는 기소 시 5년/최고 벌금형에 처해질 수 있습니다. 컴퓨터 자료의 무단 수정은 섹션 2 위반과 동일한 형량이 적용됩니다. 정답 C는 틀린 답입니다. 컴퓨터 사기 및 남용 법은 컴퓨터 시스템 해킹을 줄이고 연방 컴퓨터 관련 범죄를 해결하기 위해 1984년 미국 의회에서 통과된 법입니다. 컴퓨터 사기 및 남용법(18 U.S.C. 1030으로 성문화됨)은 연방 정부 또는 특정 금융 기관의 컴퓨터가 관련되어 있거나, 범죄 자체가 본질적으로 주 간 또는 주 간 및 해외 상거래에 사용되는 컴퓨터와 관련된 강력한 연방 이익이 있는 사건을 규율합니다. 이 법은 1986년, 1994년, 1996년, 2001년 미국 애국자 법에 의해 개정되었고 2008년에는 신원 도용 단속 및 배상법에 의해 개정되었습니다. 이 법의 섹션 (b)는 컴퓨터 사기 및 남용 법에 따른 범죄를 저지르거나 시도한 사람뿐만 아니라 범죄를 공모한 사람도 처벌합니다.