説明/参照:
機密性は、許可された個人、プロセス、またはシステムのみが必要に応じて情報にアクセスできるようにすることで、「最小権限」の原則をサポートします。
権限を与えられた個人が持つべきアクセス レベルは、その個人が職務を遂行するために必要なレベルです。近年、情報のプライバシーと、情報を閲覧することで犯罪を犯す可能性のある個人から情報を保護する必要性について、多くの報道がなされています。
個人情報の盗難とは、さまざまな情報源から得た機密情報を利用して他人の身元を偽る行為です。
情報の機密性を確保するための重要な対策は、データの分類です。これにより、誰が情報にアクセスできるか (公開、社内使用のみ、または機密) を判断できます。アクセス制御による識別、認証、および承認は、情報の機密性の維持をサポートする方法です。
機密性を保護するための制御の例としては、情報を暗号化することが挙げられます。情報を暗号化すると、権限のない人が情報にアクセスできた場合に、その情報の使用可能性が制限されます。
試験のために以下の情報を知っておく必要があります:
誠実さ
整合性とは、情報は意図的、無許可、または偶発的な変更から保護されるべきであるという原則です。
トランザクションを正確に処理し、ビジネス上の意思決定に正確な情報を提供するには、ファイル、データベース、システム、ネットワークに保存されている情報に頼る必要があります。情報が承認された方法で変更されるように、制御が実施されます。
サンプル制御には、職務の分離、システム開発ライフサイクルの承認チェックポイント、情報の整合性の確保に役立つテスト手法の実装などの管理制御が含まれます。適切に形成されたトランザクションと更新プログラムのセキュリティにより、システムに変更を適用するための一貫した方法が提供されます。更新へのアクセスをアクセスが必要な個人に制限することで、意図的または意図しない変更にさらされる可能性が制限されます。
可用性
可用性とは、必要なときにユーザーが情報を利用でき、アクセスできるようにする原則です。
システムの可用性に影響を与える主な 2 つの領域は次のとおりです。
1. サービス拒否攻撃と
2. 災害によるサービス損失。災害は人為的なもの(容量計画の不備によるシステムクラッシュ、ハードウェアの時代遅れ、テストの不備によるアップグレード後のシステムクラッシュなど)または自然的なもの(地震、竜巻、停電、ハリケーン、火災、洪水など)である可能性があります。
いずれの場合も、エンド ユーザーは業務遂行に必要な情報にアクセスできません。ユーザーにとってのシステムの重要度と組織の存続に対する重要性によって、ダウンタイムの延長による影響がどの程度大きくなるかが決まります。適切なセキュリティ制御がないと、ウイルス、データ破壊、外部からの侵入、またはサービス拒否 (DOS) 攻撃のリスクが増大する可能性があります。
このようなイベントが発生すると、通常のユーザーがシステムを使用できなくなる可能性があります。
CIA
次の回答は間違っています。
整合性 - 整合性とは、情報は意図的、無許可、または偶発的な変更から保護されるべきであるという原則です。
可用性 - 可用性とは、必要なときにユーザーが情報を利用でき、アクセスできるようにする原則です。
精度 - 精度は有効な CIA 属性ではありません。
この質問を作成するために、次の参考資料が使用されました:
CISA レビューマニュアル 2014 ページ番号 314
CISSP CBK 第 3 版の公式 ISC2 ガイド ページ番号 350
