これは難しい質問です。質問のキーワードは「内部ユーザー」です。
質問の提示方法に基づいて 2 つの回答が考えられます。この質問は、内部ユーザーまたは任意の匿名/外部ユーザーに適用できます。
内部ユーザーには、まず書面による同意を必ず交わし、その後はログオン バナーで常にリマインダーとして通知する必要があります。
ログオン時のバナーは、監視が行われていることを外部ユーザーに通知するために使用する必要があります。適切なバナーは、より優れた法的立場を与え、また、誰がシステムにアクセスすべきか、誰が許可されているか、誰が許可されていないかについてユーザーに警告したことを明確に示し、許可されていないユーザーの場合は、侵入を完全に認識させます。
Web サイト、FTP サーバー、またはメール サーバーにログインする匿名/外部ユーザーの場合、唯一の通知システムはログオン バナーの使用です。
この質問に使用された参考文献:
KRUTZ, Ronald L. & VINES, Russel D., CISSP 準備ガイド: 10 のマスター
コンピュータセキュリティの領域、2001年、John Wiley & Sons、50ページ
そして
Shon Harris、CISSP All-in-one、第 5 版、873 ページ

HDSL - 高データレート デジタル加入者線 - 2 本のツイストペア銅線で双方向 1.544 Mbps (http://www.cisco.com/en/US/tech/tk175/tk318/tsd_technology_support_protocol_home.html)

説明/参照:
Explanation:
組織全体のセキュリティ ポリシーからの逸脱は「リスク」です。
企業が直面しているリスクを把握したら、そのリスクをどのように処理するかを決定する必要があります。リスクは、移転、回避、軽減、受け入れという 4 つの基本的な方法で対処できます。
1 つのアプローチはリスクを受け入れることです。つまり、企業は直面しているリスクのレベルと損害の潜在的コストを理解し、リスクを受け入れて対策を講じないことを決定します。多くの企業は、費用対効果の比率から対策のコストが潜在的な損失額を上回ると判断された場合、リスクを受け入れます。この質問では、組織全体のセキュリティ ポリシーからの逸脱が残る場合、それがリスク受け入れの例です。
誤った回答:
B: リスク割り当てはリスクを移転することです。この例としては、リスクが保険会社に移転される保険が挙げられます。組織全体のセキュリティ ポリシーからの逸脱には、リスク割り当ては必要ありません。
C: リスクの軽減とは、組織全体のセキュリティ ポリシーからの逸脱を軽減することです。組織全体のセキュリティ ポリシーからの逸脱には、リスクの軽減は必要ありません。
D: 組織全体のセキュリティ ポリシーからの逸脱にはリスクの封じ込めは必要ありませんが、逸脱によって生じるリスクを受け入れることが必要です。
参考文献:
ハリス、ショーン、オールインワン CISSP 試験ガイド、第 6 版、マグロウヒル、ニューヨーク、2013 年、97-98 ページ

説明/参照:
Explanation:
スキャンは、非常にアクティブな攻撃です。攻撃者はスキャナーを使用して攻撃を実行します。スキャナーは、攻撃者がオペレーティング システム、脆弱性、構成ミスなどの情報を見つけるための応答を不正に取得するために、大量のパケットをターゲットに送信します。送信されるパケットは、リモート ホストに既知の脆弱性が存在するかどうかを特定しようとする場合があります。
パッシブ攻撃は通常、攻撃のフットプリント段階で行われます。パッシブ偵察中は、宛先ターゲットにパケットを 1 つも送信しません。DNS サーバーなどのパブリック データベースから情報を収集したり、検索エンジンから公開情報を入手したり、金融 Web サイトから財務情報を入手したり、メーリング リスト アーカイブや求人情報から技術情報を入手したりします。攻撃にはアクティブとパッシブがあります。「アクティブ攻撃」は、システム リソースを変更したり、その動作に影響を与えようとします。
「受動的な攻撃」は、システムから情報を取得または利用しようとしますが、システム リソースには影響しません (例: 盗聴を参照)。次の回答はすべて受動的な攻撃であるため、すべて不正解です。トラフィック分析 - 通信のパターンから情報を推測するためにメッセージを傍受して調査するプロセスです。メッセージが暗号化されていて解読できない場合でも実行できます。一般に、観察されるメッセージの数、または傍受されて保存されるメッセージの数が多いほど、トラフィックから推測できる情報も多くなります。トラフィック分析は、軍事情報や対諜報活動のコンテキストで実行でき、コンピューター セキュリティの懸念事項です。盗聴 - 盗聴は、ネットワークにもたらされるもう 1 つのセキュリティ リスクです。一部のネットワークの構築方法により、送信されるものはすべて全員にブロードキャストされます。通常の状況では、そのデータを対象とするコンピューターのみがその情報を処理します。ただし、ハッカーは、ネットワーク経由でブロードキャストされるすべてのデータをキャプチャする「スニファー」と呼ばれるプログラムをコンピューターに設定できます。データを注意深く調べることで、ハッカーは本来ハッカーが意図していなかった実際のデータを再現できることがよくあります。盗聴される最も有害なデータには、パスワードやクレジットカード情報などがあります。暗号化のコンテキストでは、ネットワークを通過するデータの盗聴や盗聴は、攻撃者がプロトコル、アルゴリズム、キー、メッセージ、または暗号化システムのどの部分にも影響を与えないため、受動的な攻撃と見なされます。
受動的な攻撃は検出が難しいため、ほとんどの場合、検出して阻止するのではなく、予防を試みる方法が採用されています。メッセージの改ざん、システム ファイルの変更、別の個人へのなりすましは、攻撃者が座ってデータを収集するのではなく、実際に何かを行っていることから、能動的な攻撃と見なされます。受動的な攻撃は通常、能動的な攻撃を実行する前に情報を取得するために使用されます。"盗聴 - 盗聴とは、電話、コンピューター、その他のデバイスでの電子通信を盗聴することです。多くの政府がこれを法執行ツールとして使用しており、企業スパイなどの分野では、機密情報にアクセスするためにも使用されています。世界のどこにいるかによって、盗聴はプライバシー権を保護するために制定された法律で厳しく管理されている場合もあれば、市民に対する保護がほとんどまたはまったくない、広く受け入れられている慣行である場合もあります。民間人が自分の地域でこれらの法律を理解し、違法な盗聴と戦うのを支援するために、いくつかの擁護団体が設立されています。
参考文献: HARRIS, Shon、オールインワンCISSP認定試験ガイド、第6版、暗号化、ページ
865
http://en.wikipedia.org/wiki/ Attack_%28computing%29
http://www.wisegeek.com/what-is-wiretapping.htm
https://pangea.stanford.edu/computing/resources/network/security/risks.php
http://en.wikipedia.org/wiki/Traffic_analysis