説明/参照:
経営者は、直接的または間接的に管理下にあるすべての資産を保護する責任があります。
従業員が会社の資産を保護する義務を理解し、会社のポリシーに従ってセキュリティを実装するようにする必要があります。最後に、管理者はセキュリティ違反があった場合に是正措置を開始する責任があります。
出典: HARE、Chris、セキュリティ管理実践 CISSP オープン スタディ ガイド、バージョン 1.0、1999 年 4 月。

説明/参照:
これは、TCSEC 定格内の C1 から始まる要件です。
オレンジブックでは、システムの整合性のために次のことを要求しています。TCB のオンサイトのハードウェアおよびファームウェア要素の正しい動作を定期的に検証するために使用できるハードウェアおよび/またはソフトウェアの機能が提供されなければなりません。
クレメントからのメモ:
これは、多くの人を混乱させる質問です。なぜなら、ほとんどの人は、オレンジブックとそれに関連する Bell LaPadula モデルが完全性とは何の関係もないことを当然のことだと思っているからです。ただし、整合性という言葉が使用される文脈には注意する必要があります。データの整合性とシステムの整合性はまったく別のものです。
はい、オレンジ ブックでは整合性要件については特に言及していませんが、一部の整合性要件を満たす必要があるシステム上で実行する必要があります。
これは、システムのセキュリティ ポリシーを強制する、信頼できるシステムのアーキテクチャと実装の信頼レベルとして定義される運用保証の一部です。これには次のものが含まれます。
システムアーキテクチャー
コバートチャネル分析
システムの完全性
信頼できるリカバリ
データの整合性
データの整合性はシステムの整合性とは大きく異なります。データの整合性が保たれている場合、次の 3 つの目標があります。
1. 許可されたユーザーによる不正な変更の防止
2. 権限のないユーザーによる変更の防止
3. 内部および外部のデータの一貫性の維持
オレンジブックのアドレスに基づく Bell LaPadula は、完全性については言及しておらず、機密性についてのみ言及しています。
ビバは誠実さという最初の目標のみに取り組んでいます。
クラーク・ウィルソンは、誠実さの 3 つの目標に取り組んでいます。
この質問の場合、TCB 内にシステム整合性要件があります。上で述べたように、ここに要件の抜粋を示します。TCB のオンサイトのハードウェアおよびファームウェア要素の正しい動作を定期的に検証するために使用できるハードウェアおよび/またはソフトウェアの機能が提供されなければなりません。
次の答えは正しくありません。
セキュリティテスト。セキュリティ テストにはオレンジ ブックに一連の要件が記載されていないため、不正解です。
設計の検証。オレンジブックの設計検証の要件には以下が含まれるため、これは不正確です。 セキュリティ ポリシーの正式なモデルは、モデルがその公理と一致しており、セキュリティ ポリシーをサポートするのに十分であることの数学的証明を含め、明確に識別および文書化されている必要があります。
システムアーキテクチャ仕様。オレンジ ブックにはシステム アーキテクチャ仕様の要件がないため、これは不正解です。
この質問には次の参考文献が使用されました。
トラステッド コンピュータ セキュリティ評価基準 (TCSEC)、国防総省 5200.28-STD、15、18、25、31、40、50 ページ。
ハリス、ション (2012-10-25)。CISSP オールインワン試験ガイド、第 6 版、セキュリティ アーキテクチャと設計、ページ 392 ～ 397、Kindle 版をお持ちの場合は、Kindle の場所 28504 ～ 28505 を参照してください。
そして
DOD TCSEC - http://www.cerberussystems.com/INFOSEC/stds/d520028.htm

説明/参照:
パスワードは予防的/技術的 (論理的) 制御とみなされます。
次の答えは正しくありません。
バッジ バッジは、個人を識別するために使用される物理的なコントロールです。バッジには、認証に使用できるスマート デバイス、つまり技術的コントロールを含めることができますが、実際のバッジ自体は主に物理的なコントロールです。
ロック ロックは予防的な物理的制御であり、技術的な関連性はありません。
ガード ガードは予防的物理的コントロールであり、技術的な関連性はありません。
この質問を作成するために次の参考資料が使用されました。
出典: KRUTZ、Ronald L. & VINES、Russel D.、『CISSP Prep Guide: Mastering the Ten Domains of Computer Security』、John Wiley & Sons、2001 年、第 2 章: アクセス制御システム (35 ページ)。

説明/参照:
フルメッシュ トポロジでは、すべてのネットワーク ノードが個別に相互に接続され、最高の可用性が提供されます。部分的なメッシュ トポロジを使用して、ある程度の冗長性を提供できる場合があります。
出典: KRUTZ、Ronald L & VINES、Russel D.、『CISSP Prep Guide: Mastering the Ten Domains of Computer Security』、John Wiley & Sons、2001 年、第 3 章: 電気通信とネットワーク セキュリティ (ページ)
106）。

アクセス制御がオブジェクトのコンテンツに基づいている場合、それはコンテンツ依存のアクセス制御とみなされます。
コンテンツ依存のアクセス制御は、コンテンツ自体に基づいています。
次の答えは正しくありません。
コンテキスト依存のアクセス制御。このタイプのコントロールは、オブジェクトの内容ではなく、コンテキストの内容、つまりデータに関する事実に基づいているため、これは不正解です。最小権限のアクセス制御。これは、データベースの内容ではなく、ジョブの実行に必要な最小限の権限に基づいているため、不正確です。所有権ベースのアクセス制御。これはデータベースの内容ではなく、データの所有者に基づいているため、不正解です。
参考文献:
OIG CBK アクセス制御 (191 ページ)