CMMC-CCA 試験問題 41
OSCのCMMCプラクティスの実装状況を評価するよう依頼されました。その一つにAC.L2-3.1.11「セッション終了」があります。契約業者が提示したセッション終了を必要とする条件またはトリガーイベントのリストを確認する際に、以下の項目が見つかると予想されますが、次の項目は除きます。
CMMC-CCA 試験問題 42
OSCのシステムセキュリティ管理策のレビューにおいて、CMMCプラクティスSC.L2-3.13.9「接続の終了」に焦点を当てます。OSCは、承認された担当者がリモートでCUIにアクセスするために、カスタムWebアプリケーションを使用しています。ユーザーはユーザー名とパスワードを使用してログインします。このアプリケーションは、社内ネットワーク内の専用サーバーでホストされています。サーバーのオペレーティングシステムは、接続タイムアウトにデフォルト設定を使用しています。
ネットワークセキュリティは中央ファイアウォールによって管理されていますが、CUIアクセスアプリケーションに関連する非アクティブな接続を切断するための具体的なルールは設定されていません。さらに、リモートアクセス接続を切断するための非アクティブな期間を規定したポリシーや手順も文書化されていません。IT担当者へのインタビューによると、作業完了後にアプリケーションからログアウトすることをユーザーに頼っていることが分かりました。リモートアクセスアプリケーションに関して、CMMCプラクティスSC.L2-3.13.9「接続の終了」の目標を達成するために、ファイアウォールをどのように設定すればよいでしょうか?
ネットワークセキュリティは中央ファイアウォールによって管理されていますが、CUIアクセスアプリケーションに関連する非アクティブな接続を切断するための具体的なルールは設定されていません。さらに、リモートアクセス接続を切断するための非アクティブな期間を規定したポリシーや手順も文書化されていません。IT担当者へのインタビューによると、作業完了後にアプリケーションからログアウトすることをユーザーに頼っていることが分かりました。リモートアクセスアプリケーションに関して、CMMCプラクティスSC.L2-3.13.9「接続の終了」の目標を達成するために、ファイアウォールをどのように設定すればよいでしょうか?
CMMC-CCA 試験問題 43
OSC POCは、評価開始時にすべての手順、ポリシー、および計画を提出しました。評価者の1人は、文書の履歴から判断すると、一部の文書は承認日がごく最近のものである一方、他の文書は数年前から存在していることに気付きました。
この証拠のレビューが十分であることを保証するために、これらの文書の十分性を検証するための最善のステップは何ですか?
この証拠のレビューが十分であることを保証するために、これらの文書の十分性を検証するための最善のステップは何ですか?
CMMC-CCA 試験問題 44
あなたはCMMCレベル2評価の主任評価者です。OSCは、SSPに記載されている通り、自動化ツールではなく手動プロセスを用いたプラクティスを導入しました。手動プロセスはプラクティスの目的を満たしています。このエビデンスをどのように評価すべきでしょうか?
CMMC-CCA 試験問題 45
OSCが提案したCMMC評価範囲を検証した結果、評価チームはOSCが資産を適切に分類していることを確認しました。OSCは、様々なサイバーセキュリティ機能のために外部サービスプロバイダー(ESP)と契約を結んでいます。ESPは、リアルタイムセキュリティ監視、脅威インテリジェンス、アプリケーション監視、ログ管理、レポート作成のためにFortiSIEMとSplunkを導入しています。また、Microsoft Intuneを導入し、禁止アプリやデータ漏洩の疑いのあるアプリをブロックするアプリ保護ポリシーを設定しました。CMMC評価において、ESPはどのように対応すべきでしょうか?