説明/参照:
Explanation:
迅速なアプリケーション開発 (RAD) モデルは、ラピッドプロトタイピングを活用したソフトウェア開発モデルまたは方法論であり、組織が開発コストを削減し、品質を維持しながら、戦略的に重要なシステムをより迅速に開発できるようにします。
誤った回答:
B: RAD (Rapid Application Development) は、ラピッドプロトタイピングを活用したソフトウェア開発モデルであり、組織が開発コストを削減し、品質を維持しながら戦略的に重要なシステムを迅速に開発できるようにします。これはプロジェクト管理手法ではありません。
C: RAD (Rapid Application Development) は、ラピッドプロトタイピングの使用に依存するソフトウェア開発モデルであり、組織が開発コストを削減し、品質を維持しながら、戦略的に重要なシステムをより速く開発できるようにします。これはシステムの複雑さの尺度ではありません。 D: RAD (Rapid Application Development) は、ラピッドプロトタイピングの使用に依存するソフトウェア開発モデルであり、組織が開発コストを削減し、品質を維持しながら、戦略的に重要なシステムをより速く開発できるようにします。これはリスク評価図ではありません。
参考文献:
ハリス、ショーン、「オールインワン CISSP 試験ガイド」、第 6 版、McGraw-Hill、ニューヨーク、2013 年、1116-1118 ページ

この欠陥を悪用する最も一般的な攻撃は、攻撃者が別のユーザーとして認証するためのリクエストを偽造することです。SA​​ML は、サービス プロバイダーや ID プロバイダーなどの異なるセキュリティ ドメイン間で認証および承認データを交換できるようにする標準です。SA​​ML は、アサーションと呼ばれる XML ベースのメッセージを使用して、ユーザーの ID、属性、および権限に関する情報を伝えます。
SAML はシングル サインオン (SSO) を有効にします。これは、ユーザーが 1 回のログイン セッションで複数のサービスやアプリケーションにアクセスできる機能です。SA​​ML の実装または構成に欠陥があると、攻撃者がネットワーク上の登録済みアカウントを偽装し、SAML プロバイダーにクエリを実行できる可能性があります。この欠陥を悪用する最も一般的な攻撃は、攻撃者が SAML アサーションを操作または改ざんして、別のユーザーとして認証するための要求を偽造することです。たとえば、攻撃者はユーザー ID、タイムスタンプ、署名、または SAML アサーションの暗号化を変更し、それを使用して別のユーザーのアカウントまたは権限を偽装またはアクセスすることができます。この攻撃により、SAML ベースの SSO システムのセキュリティと整合性が侵害され、攻撃者がサービス プロバイダーまたは ID プロバイダーの機密データまたはリソースにアクセスできるようになります。参考資料: CISSP オールインワン試験ガイド、第 5 章: ID とアクセス管理、セクション: フェデレーテッド ID 管理、427 ～ 428 ページ。

説明/参照:
Explanation:
すべての担当者の連絡先情報は必要ありません。特定のベンダー、緊急機関、オフサイト施設、および必要なときに連絡が必要になる可能性のあるその他の組織の連絡先情報が必要です。
誤った回答:
B: 特定のベンダー、緊急機関、オフサイト施設、および必要なときに連絡が必要になる可能性のあるその他の組織の連絡先情報が必要です。
C: 現在のシステムのドキュメントは、緊急時対応計画に組み込む必要があります。このドキュメントには、システム運用をサポートするために必要なハードウェア、ソフトウェア、ファームウェア、およびその他のリソースの機器およびシステム要件リストを含める必要があります。
D: 緊急時対応計画の重要な部分は、ビジネス影響分析 (BIA) を実施することです。
参考文献:
ハリス、ショーン、「オールインワン CISSP 試験ガイド」、第 6 版、McGraw-Hill、2013 年、890、931 ページ

組織のセキュリティ状況を判断する場合、セキュリティ専門家は最終的に脆弱性評価に頼り、対処が必要な特定の弱点領域を特定します。脆弱性評価では、さまざまなツールと分析方法を使用して、特定のシステムまたはプロセスが攻撃や悪用を受けやすい場所を特定します。ほとんどの脆弱性評価は、システムまたはアプリケーションの技術的な脆弱性に重点を置いていますが、評価プロセスは、物理的または管理的なビジネス プロセスを調査する場合にも同様に効果的です。
脆弱性評価は、多くの場合、BIA の一部です。定量的 (財務) セクションと定性的 (運用) セクションがあるという点で、リスク評価に似ています。完全なリスク評価よりも規模が小さく、ビジネス継続計画または災害復旧計画のみに使用される情報の提供に重点が置かれているという点で異なります。
脆弱性評価の機能は、損失影響分析を実施することです。評価には財務評価と運用評価の 2 つの部分があるため、損失基準を定量的および定性的に定義する必要があります。
定量的な損失基準は次のように定義されます。
-収益の損失、資本支出、または個人責任の解決による経済的損失の発生
- 混乱を招いた出来事により発生した追加の運営費
-
契約違反の解決により経済的損失が発生する
-
規制またはコンプライアンス要件違反の解決により経済的損失が発生する
質的損失基準は次のようなものから構成されます。
-
競争上の優位性や市場シェアの喪失
-
公衆の信頼や信用を失うこと、または公衆に恥をかかせること
脆弱性評価では、破壊的なイベントの影響を評価するために、重要なサポート領域を定義する必要があります。重要なサポート領域は、ビジネス プロセスの継続性を維持し、人命の安全を維持し、または広報上の恥を避けるために存在する必要があるビジネス ユニットまたは機能として定義されます。
重要なサポート領域には次のようなものがあります。
- 電気通信、データ通信、または情報技術分野
- 物理的なインフラストラクチャまたはプラント設備、輸送サービス
- 会計、給与計算、取引処理、顧客サービス、購買
これらの重要なサポート領域の細分化された要素も特定する必要があります。細分化された要素によって
要素とは、重要なサポート領域に必要な人員、リソース、サービスを意味します。
事業継続性を維持する
この質問に使用された参考文献:
ヘルナンデス CISSP、スティーブン (2012-12-21)。CISSP CBK の公式 (ISC)2 ガイド、第 3 版
((ISC)2 Press) (Kindle Locations 4628-4632)。Auerbach Publications。Kindle 版。
KRUTZ, Ronald L. & VINES, Russel D., CISSP準備ガイド: 10のドメインをマスターする
コンピュータセキュリティ、John Wiley & Sons、2001年、277ページ。