説明/参照:
機密性は、許可された個人、プロセス、またはシステムのみが知る必要がある情報にアクセスできるようにすることで、「最小限の特権」の原則をサポートします。
権限のある個人が持つべきアクセスのレベルは、仕事を行うために必要なレベルです。近年、情報のプライバシーと、その情報を閲覧して犯罪を犯す可能性のある個人から情報を保護する必要性について、多くの報道が取り上げられています。
個人情報の盗難とは、さまざまな情報源から得た機密情報を知って自分の身元を偽装する行為です。
情報の機密性を確保するための重要な手段は、データの分類です。これは、情報 (公開、内部使用のみ、または機密) に誰がアクセスできるかを決定するのに役立ちます。アクセス制御による識別、認証、認可は、情報の機密性の維持をサポートする実践です。
機密性を保護するためのコントロールの例は、情報を暗号化することです。情報を暗号化すると、権限のない人が情報にアクセスした場合の情報の利用が制限されます。
試験のために、以下の情報を知っておく必要があります。
威厳
完全性とは、情報が意図的、無許可、または偶発的な変更から保護されるべきであるという原則です。
トランザクションを正確に処理し、ビジネス上の意思決定に正確な情報を提供するには、ファイル、データベース、システム、ネットワークに保存されている情報に依存する必要があります。情報が受け入れられた慣行に従って変更されることを保証するための管理が導入されています。
コントロールの例には、職務の分離、システム開発ライフサイクルにおける承認チェックポイント、情報の完全性の提供を支援するテスト手法の実装などの管理コントロールが含まれます。更新プログラムの適切な形式のトランザクションとセキュリティにより、システムに変更を適用する一貫した方法が提供されます。アクセスする必要がある個人に更新アクセスを制限することで、意図的または非意図的な変更の危険を制限できます。
可用性
可用性は、情報が利用可能であり、必要なときにユーザーがアクセスできることを保証する原則です。
システムの可用性に影響を与える主な領域は次の 2 つです。
1. サービス妨害攻撃と
2. 災害によるサービスの喪失。災害は人為的(例:システムクラッシュを引き起こす不十分なキャパシティプランニング、古いハードウェア、アップグレード後のシステムクラッシュを引き起こす不十分なテスト)または自然現象(例:地震、竜巻、停電)の可能性があります。 、ハリケーン、火災、洪水)。
どちらの場合も、エンドユーザーはビジネスを行うために必要な情報にアクセスできません。ユーザーにとってのシステムの重要性と、組織の存続にとってのシステムの重要性によって、ダウンタイムの延長による影響がどれほど大きくなるかが決まります。適切なセキュリティ制御が欠如していると、ウイルス、データの破壊、外部侵入、またはサービス拒否 (DOS) 攻撃のリスクが高まる可能性があります。
このようなイベントが発生すると、通常のユーザーがシステムを使用できなくなる可能性があります。
CIA
次の答えは正しくありません。
完全性 - 完全性は、情報が意図的、無許可、または偶発的な変更から保護されるべきであるという原則です。
可用性 - 可用性は、情報が利用可能であり、必要なときにユーザーがアクセスできることを保証する原則です。
精度 - 精度は有効な CIA 属性ではありません。
この質問を作成するために次の参考資料が使用されました。
CISA レビューマニュアル 2014 ページ番号 314
CISSP CBK 第 3 版の公式 ISC2 ガイド ページ番号 350
