آموزش CertiPro CISSP: Domain 1 Questions 2023 (متوسط)

این مجموعه سوالات تمرینی برای یادگیرندگانی ایجاد شده است که می‌خواهند مطمئن شوند که دامنه 1 را به‌عنوان بخشی از فرآیند آماده‌سازی گسترده‌تر CISSP کاملاً درک می‌کنند.

همه سؤالات با رویکرد «مثل یک مدیر فکر کن» شبیه CISSP ساخته شده است.

سوال‌ها جدا از بهترین‌های ما در کلاس CertiPro CISSP هستند: امتحان CISSP 2023 (متوسط) را تمرین کنید و به‌طور خاص برای افزایش درک دامنه طراحی شده‌اند.

این مجموعه سوالات تست تمرین CISSP منحصراً روی دامنه 1 تمرکز دارد: امنیت و مدیریت ریسک، که جنبه ضروری آزمون حرفه‌ای امنیت سیستم‌های اطلاعات گواهی شده (CISSP) است. دامنه 1 موضوعات مهمی مانند محرمانه بودن، یکپارچگی و در دسترس بودن، ارزیابی ریسک، مدیریت ریسک، و سیاست ها و رویه های امنیتی سازمانی را پوشش می دهد.

سوالات ما که با دقت طراحی شده اند، درک شما از مفاهیم و اصول کلیدی در دامنه 1 را به چالش می کشد، از جمله:

1. اصول و مفاهیم امنیت اطلاعات، از جمله سه گانه سیا، حاکمیت امنیتی، و مدیریت امنیت.

2. روش‌ها و روش‌های مدیریت ریسک، از جمله ارزیابی ریسک، کاهش ریسک، و نظارت بر ریسک.

3. الزامات قانونی، مقرراتی و انطباق مربوط به امنیت اطلاعات، از جمله قوانین حفاظت از داده، استانداردهای صنعتی، و چارچوب‌های انطباق.

4. سیاست‌ها، رویه‌ها و دستورالعمل‌های امنیتی که پایه و اساس برنامه امنیتی یک سازمان را تشکیل می‌دهند، از جمله توسعه، اجرا، و اجرای آنها.

5. برنامه ریزی تداوم کسب و کار و بازیابی بلایا، که انعطاف پذیری سازمان را در برابر حوادث و بلایای امنیتی تضمین می کند.

6. آموزش امنیت و آگاهی پرسنل، که بر اهمیت عوامل انسانی در امنیت اطلاعات تاکید دارد.

با تمرین با این مجموعه سوالات اختصاصی دامنه 1، درک عمیق تری از مطالب به دست خواهید آورد و توانایی خود را برای به کارگیری دانش خود در سناریوهای دنیای واقعی بهبود می بخشید. چه در حال آماده شدن برای امتحان CISSP باشید و چه به دنبال افزایش درک خود از اصول امنیت و مدیریت ریسک هستید، این آزمون تمرینی بینش های ارزشمندی را ارائه می دهد و به شما کمک می کند تا اعتماد به نفس لازم را برای موفقیت ایجاد کنید.

در زیر چند نمونه پرسش پاسخ آورده شده است:

سوالات:

1. رشید، مشاور امنیتی، در حال بررسی فرآیندهای مدیریت ریسک یک سازمان است. او کشف می کند که سازمان عمدتاً بر روش های کیفی ارزیابی ریسک متکی است. هنگام استفاده از روش‌های ارزیابی کیفی ریسک، کدام یک از سناریوهای زیر دغدغه اصلی راشد خواهد بود؟

a. مقایسه خطرات در بخش‌های مختلف

b. تخصیص ارزش پولی به ریسک های شناسایی شده

ج. شناسایی علت اصلی هر خطر

d. انتقال اطلاعات ریسک به ذینفعان

2. ماریا، CISO یک شرکت چند ملیتی، در حال به روز رسانی سیاست های امنیت اطلاعات شرکت است. او می خواهد اطمینان حاصل کند که سیاست ها با بهترین شیوه های بین المللی همسو هستند. کدام یک از چارچوب های زیر برای ماریا برای به روز رسانی سیاست های امنیتی مناسب ترین است؟

a. چارچوب امنیت سایبری NIST

b. ISO/IEC 27001

ج. COBIT 5

d. PCI DSS

3. یوسف یک تحلیلگر امنیتی است که مسئول انجام یک تحلیل تاثیر تجاری (BIA) برای سازمان خود است. کدام یک از عوامل زیر برای یوسف برای ارزیابی تأثیر بالقوه یک اختلال در فرآیندهای مهم تجاری بسیار مهم است؟

a. هزینه اختلال

b. مدت زمان اختلال

ج. حداکثر زمان خرابی قابل تحمل

d. منابع مورد نیاز برای بازیابی

4. در طی یک ممیزی امنیتی، ناتاشا متوجه می‌شود که طرح واکنش به حوادث سازمان فاقد رویه‌های شفاف برای رسیدگی به نقض داده‌ها است. در نتیجه، داده های حساس ممکن است در معرض خطر دسترسی یا افشای غیرمجاز قرار گیرند. کدام یک از موارد زیر برای ناتاشا مناسب‌ترین قدم برای برداشتن است؟

a. یک خط مشی طبقه بندی داده ها را اجرا کنید

b. پیشنهاد اتخاذ راه حل پیشگیری از از دست دادن داده (DLP)

ج. طرح واکنش به حادثه را به‌روزرسانی کنید تا شامل رویه‌های نقض داده‌های خاص باشد

d. به طور منظم آموزش آگاهی از امنیت را برای کارکنان برگزار کنید

5. Wei مسئول پیاده‌سازی یک مدل کنترل دسترسی است که امکان مدیریت متمرکز و انعطاف‌پذیر سیاست‌های کنترل دسترسی را فراهم می‌کند و آنها را به طور مداوم در تمام سیستم‌ها اعمال می‌کند. Wei کدام یک از مدل های کنترل دسترسی زیر را باید پیاده سازی کند؟

a. کنترل دسترسی مبتنی بر نقش (RBAC)

b. کنترل دسترسی اجباری (MAC)

ج. کنترل دسترسی مبتنی بر ویژگی (ABAC)

d. کنترل دسترسی اختیاری (DAC)

6. گابریلا در حال توسعه یک برنامه آگاهی امنیتی برای سازمان خود است. کدام یک از موضوعات زیر را باید در برنامه آموزشی در اولویت قرار دهد تا احتمال حملات مهندسی اجتماعی کاهش یابد؟

a. شیوه های کدگذاری ایمن

b. تقسیم بندی شبکه

ج. شناسایی ایمیل های فیشینگ

d. رویه های پشتیبان گیری از داده ها

7. در طول ارزیابی ریسک، اولگا چندین خطر را با احتمال وقوع بالا و تأثیر قابل توجهی بر سازمان شناسایی می کند. خطرات شامل سرورهای اصلاح نشده است. در این شرایط، کدام یک از استراتژی‌های درمان خطر زیر برای اولگا مناسب‌ترین توصیه برای کاهش سطح خطر است؟

a. پذیرش ریسک

b. اجتناب از خطر

ج. کاهش خطر

d. انتقال ریسک

8. کارلوس در حال بررسی گزارش های یک حادثه امنیتی اخیر است و متوجه می شود که یک مهاجم از یک آسیب پذیری روز صفر در برنامه وب سازمان سوء استفاده کرده است. کدام یک از موارد زیر موثرترین راه کارلوس برای جلوگیری از سوء استفاده در آینده از آسیب پذیری های مشابه است؟

a. به طور منظم نرم افزار را وصله و به روز کنید

b. یک فایروال برنامه وب (WAF)

ج. آزمایش نفوذ منظم

d. سیاست های رمز عبور قوی را اجرا کنید

پاسخ:

1. پاسخ صحیح: الف. مقایسه خطرات در بخش‌های مختلف

توضیح: روش‌های ارزیابی کیفی ریسک بر تحلیل ذهنی تکیه می‌کنند و از اصطلاحات توصیفی مانند کم، متوسط ​​یا زیاد برای ارزیابی ریسک‌ها استفاده می‌کنند. این رویکرد می‌تواند مقایسه ریسک‌ها در بخش‌ها یا واحدهای تجاری مختلف را دشوار کند، زیرا ماهیت ذهنی ممکن است منجر به تفاسیر متفاوت شود. روش‌های ارزیابی کمی ریسک، که از مقادیر عددی استفاده می‌کنند، برای چنین مقایسه‌هایی مناسب‌تر هستند.

گزینه های پاسخ نادرست: ب. اختصاص ارزش پولی به ریسک های شناسایی شده - برای این منظور از روش های ارزیابی کمی ریسک استفاده می شود. ج. شناسایی علت اصلی هر خطر - برای شناسایی علل ریشه ای می توان از هر دو روش کیفی و کمی استفاده کرد. د انتقال اطلاعات ریسک به ذینفعان - هر دو روش کیفی و کمی را می توان برای برقراری ارتباط اطلاعات ریسک استفاده کرد.

2. پاسخ صحیح: ب. ISO/IEC 27001

توضیح: ISO/IEC 27001 یک استاندارد بین المللی برای سیستم های مدیریت امنیت اطلاعات (ISMS) است که چارچوبی جامع برای ایجاد، پیاده سازی و حفظ سیاست ها، رویه ها و کنترل های امنیتی در یک سازمان ارائه می دهد. همراستایی با سیاست‌های امنیتی شرکت با این استاندارد تضمین می‌کند که آنها به بهترین شیوه‌های بین‌المللی پایبند هستند.

گزینه های پاسخ نادرست: الف. چارچوب امنیت سایبری NIST - در حالی که این چارچوب ساختاری برای مدیریت ریسک امنیت سایبری ارائه می دهد، به اندازه ISO/IEC 27001 برای ایجاد سیاست های امنیتی جامع نیست. ج. COBIT 5 - COBIT 5 بر حاکمیت و مدیریت فناوری اطلاعات تمرکز دارد، نه به طور خاص بر ایجاد سیاست های امنیتی. د PCI DSS - استاندارد امنیت داده های صنعت کارت پرداخت (PCI DSS) به طور خاص به حفاظت از داده های دارنده کارت می پردازد و یک چارچوب جامع برای توسعه کلی سیاست امنیتی نیست.

3. پاسخ صحیح: ج. حداکثر زمان خرابی قابل تحمل

توضیح: حداکثر زمان خرابی قابل تحمل (MTD) حداکثر مدت زمانی است که یک سازمان می تواند یک اختلال در یک فرآیند حیاتی کسب و کار را قبل از ایجاد خسارت یا زیان غیرقابل قبول تحمل کند. هنگام ارزیابی تأثیر بالقوه یک اختلال، در نظر گرفتن MTD ضروری است، زیرا به تعیین اهداف زمان بازیابی مورد نیاز (RTOs) و اهداف نقطه بازیابی (RPOs) برای تداوم کسب و کار و برنامه‌ریزی بازیابی بلایا کمک می‌کند.

گزینه های پاسخ نادرست: الف. هزینه اختلال - اگرچه مهم است، اما هزینه تنها یکی از جنبه های ارزیابی تأثیر بالقوه یک اختلال است. ب مدت زمان اختلال - MTD بسیار مهمتر از مدت زمان اختلال است، زیرا نشان دهنده حداکثر زمانی است که یک کسب و کار می تواند در برابر اختلال مقاومت کند. د منابع مورد نیاز برای بازیابی - منابع مورد نیاز برای برنامه ریزی بازیابی مهم هستند، اما در ارزیابی تأثیر بالقوه یک اختلال، مهم ترین عامل نیستند.

4. پاسخ صحیح: ج. طرح واکنش به حادثه را به‌روزرسانی کنید تا شامل رویه‌های نقض داده‌های خاص باشد

توضیح: یک طرح واکنش به حادثه باید شامل رویه‌های واضح برای رسیدگی به انواع مختلف حوادث امنیتی، از جمله نقض داده‌ها باشد. ناتاشا با به‌روزرسانی این طرح برای گنجاندن رویه‌های خاص نقض داده، می‌تواند اطمینان حاصل کند که سازمان برای پاسخگویی و مدیریت چنین حوادثی آمادگی بهتری دارد و خطر دسترسی غیرمجاز یا افشای داده‌های حساس را کاهش می‌دهد.

گزینه های پاسخ نادرست: الف. اجرای یک خط مشی طبقه بندی داده ها - اگرچه برای حفاظت کلی داده ها مهم است، اما به طور مستقیم به فقدان رویه های نقض داده ها در طرح واکنش به حادثه نمی پردازد. ب پیشنهاد اتخاذ راه حل پیشگیری از از دست دادن داده (DLP) - اگرچه DLP می تواند به جلوگیری از نقض داده ها کمک کند، اما به فقدان رویه های نقض داده در طرح واکنش به حادثه رسیدگی نمی کند. د به طور منظم آموزش آگاهی از امنیت را برای کارکنان انجام دهید - در حالی که این یکی از اجزای حیاتی یک برنامه امنیتی است، به طور مستقیم به فقدان رویه های نقض داده ها در طرح واکنش به حادثه نمی پردازد.

5. پاسخ صحیح: ج. کنترل دسترسی مبتنی بر ویژگی (ABAC)

توضیح: کنترل دسترسی مبتنی بر ویژگی (ABAC) یک مدل کنترل دسترسی است که امکان مدیریت متمرکز سیاست های کنترل دسترسی را فراهم می کند و آنها را به طور مداوم در همه سیستم ها اعمال می کند. از ویژگی هایی مانند نقش های کاربر، ویژگی های منبع و عوامل محیطی برای تعیین مجوزهای دسترسی استفاده می کند. این مدل در مقایسه با مدل‌های دیگر، رویکردی دقیق‌تر و انعطاف‌پذیرتر برای مدیریت کنترل دسترسی ارائه می‌کند.

گزینه های پاسخ نادرست: الف. کنترل دسترسی مبتنی بر نقش (RBAC) - در حالی که RBAC مدیریت کنترل دسترسی را متمرکز می کند، به اندازه ABAC منعطف یا ریز نیست زیرا فقط به نقش های کاربر متکی است. ب کنترل دسترسی اجباری (MAC) - MAC کنترل دسترسی را بر اساس سطوح طبقه بندی اعمال می کند و برای مدیریت متمرکز و اجرا در همه سیستم ها طراحی نشده است. د کنترل دسترسی اختیاری (DAC) - DAC به کاربران اجازه می‌دهد تا به صلاحدید خود دسترسی به منابع را اعطا یا محدود کنند، که برای مدیریت متمرکز سیاست‌های کنترل دسترسی مناسب نیست.

6. پاسخ صحیح: ج. شناسایی ایمیل های فیشینگ

توضیح: حملات مهندسی اجتماعی، مانند فیشینگ، اغلب به فریب و دستکاری برای فریب کاربران برای افشای اطلاعات حساس یا اعطای دسترسی غیرمجاز متکی هستند. برای کاهش احتمال حملات موفقیت آمیز مهندسی اجتماعی، اولویت دادن به آموزش کارکنان در مورد نحوه شناسایی ایمیل های فیشینگ و جلوگیری از قربانی شدن آنها بسیار مهم است.

گزینه های پاسخ نادرست: الف. شیوه های کدگذاری امن - این موضوع بیشتر برای توسعه دهندگان مرتبط است و مستقیماً به حملات مهندسی اجتماعی مربوط نمی شود. ب تقسیم بندی شبکه - در حالی که برای امنیت کلی مهم است، تقسیم بندی شبکه به حملات مهندسی اجتماعی رسیدگی نمی کند. د رویه‌های پشتیبان‌گیری از داده‌ها - در حالی که پشتیبان‌گیری از داده‌ها برای بازیابی فاجعه مهم است، اما مستقیماً به حملات مهندسی اجتماعی رسیدگی نمی‌کند.

7. پاسخ صحیح: ج. کاهش خطر

توضیح: در صورت مواجهه با خطراتی با احتمال وقوع بالا و تأثیر قابل توجه بر سازمان، کاهش ریسک مناسب ترین استراتژی درمانی است. کاهش ریسک شامل اجرای کنترل ها و اقداماتی برای کاهش احتمال یا تأثیر ریسک تا سطح قابل قبولی است. این رویکرد به به حداقل رساندن پیامدهای منفی احتمالی خطرات شناسایی شده کمک می کند.

گزینه های پاسخ نادرست: الف. پذیرش ریسک - این استراتژی برای ریسک‌های با احتمال زیاد و تاثیر زیاد مناسب نیست، زیرا شامل پذیرش ریسک بدون انجام هیچ اقدامی برای مقابله با آن است. ب اجتناب از ریسک - اجتناب از ریسک شامل حذف کامل ریسک با عدم درگیر شدن در فعالیتی است که آن را ایجاد می کند. این رویکرد اغلب برای بسیاری از خطرات عملی یا امکان پذیر نیست. د انتقال ریسک - در حالی که انتقال ریسک به شخص ثالث (مثلاً از طریق بیمه) می تواند یک استراتژی معتبر باشد، اما به طور فعال احتمال یا تأثیر خود ریسک را کاهش نمی دهد.

8. پاسخ صحیح: ب. یک فایروال برنامه وب (WAF)

توضیح: یک فایروال برنامه وب (WAF) به طور خاص برای محافظت از برنامه های کاربردی وب در برابر انواع مختلف حملات، از جمله آسیب پذیری های روز صفر طراحی شده است. با اجرای یک WAF، کارلوس می‌تواند قوانین سفارشی ایجاد کند و از وصله مجازی برای جلوگیری از سوء استفاده از آسیب‌پذیری‌های تازه کشف‌شده، حتی قبل از اینکه وصله‌ها یا به‌روزرسانی‌ها از سوی فروشنده نرم‌افزار در دسترس باشد، استفاده کند.

گزینه های پاسخ نادرست: الف. به طور منظم وصله و به روز رسانی نرم افزار - در حالی که مهم است، وصله و به روز رسانی نرم افزار ممکن است برای محافظت در برابر آسیب پذیری های روز صفر کافی نباشد، زیرا ممکن است وصله ها هنوز در دسترس نباشند. ج. انجام آزمایش‌های نفوذ منظم - اگرچه آزمایش نفوذ می‌تواند به شناسایی آسیب‌پذیری‌ها کمک کند، اما یک اقدام واکنشی است و به طور فعال از بهره‌برداری از آسیب‌پذیری‌های روز صفر جلوگیری نمی‌کند. د سیاست‌های رمز عبور قوی را اعمال کنید - اگرچه برای امنیت کلی مهم است، اما خط‌مشی‌های رمز عبور قوی مستقیماً آسیب‌پذیری‌های روز صفر در برنامه‌های وب را برطرف نمی‌کنند.