CMMC 평가 절차의 주요 목표는 인증 신청 기관(OSC)이 인증 수준에 필요한 사이버 보안 통제를 준수하는지 확인하는 것입니다. 평가 절차의 가장 일반적인 목적은 조직이 보안 관행을 적절하게 구현했음을 입증하는 증거를 확보하는 것입니다. * CMMC 평가에는 증거 수집이 필요합니다. * CMMC 평가 프로세스(CAP) 가이드에서는 평가자가 규정 준수를 확인하기 위해 세 가지 방법을 사용해야 한다고 설명합니다. * 검토- 문서, 정책 및 시스템 구성을 검토합니다. * 면접 - 담당자와 대화하여 이해도와 실행 여부를 확인합니다. * 테스트 - 운영 또는 기술 테스트를 통해 통제를 검증합니다. * 이러한 모든 방법에는 보안 요구 사항이 충족되었는지 여부를 뒷받침하는 증거를 얻는 것이 포함됩니다. * NIST SP 800-171A와 일치 * CMMC 레벨 2 평가는 증거 기반 검증을 위해 설계된 NIST SP 800-171A를 따릅니다. * 평가자는 문서화된 아티팩트, 시스템 로그, 구성 및 인사 증언을 규정 준수의 증거로 활용합니다. * B. 노력 수준을 정의하세요(잘못됨) * 노력 수준은 평가에 필요한 시간과 자원을 의미하지만, 이는 계획 활동이지 평가의 주된 목표는 아닙니다. * C. 정보 흐름 결정 (잘못됨) * 데이터 보호 및 액세스 제어와 같은 보안 제어를 위해서는 정보 흐름을 이해하는 것이 중요하지만, 평가의 주된 목적은 정보 흐름 자체를 파악하는 것이 아니라 증거를 수집하는 것입니다. * D. 하드웨어와 소프트웨어의 가치 결정 (틀림) * 자산 평가는 조직의 위험 관리 프로세스의 일부일 수 있지만, CMMC 평가는 하드웨어나 소프트웨어 가치를 결정하는 데 초점을 맞추지 않습니다. * 정답은 A입니다. CMMC 평가 프로세스는 보안 통제 준수 여부를 확인하기 위해 증거를 기반으로 하므로 증거를 확보하십시오. 참고문헌: CMMC 평가 프로세스(CAP) 가이드 NIST SP 800-171A(CUI 평가 절차) DoD CMMC 2.0 범위 및 평가 지침
CMMC-CCP 문제 122
CMMC 모델에서 레벨 1에는 몇 개의 실습이 포함되어 있습니까?
정답: B
CMMC(사이버보안 성숙도 모델 인증) 2.0 레벨 1은 연방 계약 정보(FCI)를 보호하도록 설계되었으며, 17가지 기본 사이버보안 관행으로 구성됩니다. 이러한 관행은 FCI를 처리하는 계약업체에 대한 최소 보안 요건을 명시한 FAR 52.204-21(해당 계약업체 정보 시스템의 기본 보호)에서 직접 도출되었습니다. CMMC 레벨 1 실무 분석 레벨 1의 17개 실무는 기본 사이버 보안 위생에 초점을 맞추고 다음 6개 도메인에 속합니다. * 접근 제어(AC) - 4가지 관행 * AC.L1-3.1.1: 시스템 접근을 권한이 있는 사용자로 제한 * AC.L1-3.1.2: 승인된 거래 및 기능에 대한 사용자 액세스 제한 * AC.L1-3.1.20: 외부 시스템에 대한 연결 확인 및 제어 * AC.L1-3.1.22: 공개적으로 접근 가능한 시스템에 게시되거나 처리되는 정보 제어 * 식별 및 인증(IA) - 2가지 관행 * IA.L1-3.5.1: 시스템 사용자 식별 및 인증 * IA.L1-3.5.2: 로컬 및 네트워크 액세스에 다중 요소 인증 사용 * 미디어 보호(MP) - 1회 연습 * MP.L1-3.8.3: 폐기 또는 재사용 전에 매체를 살균하십시오. * 신체 보호(PE) - 4가지 연습 * PE.L1-3.10.1: FCI가 포함된 시스템에 대한 물리적 액세스 제한 * PE.L1-3.10.3: 방문자 안내 및 방문자 활동 모니터링 * PE.L1-3.10.4: 물리적 접근에 대한 감사 로그 유지 * PE.L1-3.10.5: 물리적 액세스 장치 제어 및 관리 * 시스템 및 통신 보호(SC) - 2가지 관행 * SC.L1-3.13.1: 시스템 경계에서의 통신 모니터링 및 제어 * SC.L1-3.13.5: 공개적으로 접근 가능한 시스템 구성 요소에 대한 하위 네트워크 구현 * 시스템 및 정보 무결성(SI) - 4가지 관행 * SI.L1-3.14.1: 시스템 결함을 적시에 식별, 보고 및 수정합니다. * SI.L1-3.14.2: 지정된 위치에서 악성 코드로부터 보호 제공 * SI.L1-3.14.4: 악성코드 보호 메커니즘을 주기적으로 업데이트 * SI.L1-3.14.5: 시스템 구성 요소 검사 및 실시간 파일 검사 수행 CMMC 2.0 문서의 공식 참조 CMMC 레벨 1에 대한 17가지 관행은 레벨 1에 대한 CMMC 2.0 부록 및 평가 가이드와 FAR 52.204-21 요구 사항에 명시적으로 나열되어 있습니다. 이러한 관행은 FCI를 취급하는 모든 DoD 계약자가 반드시 이행해야 하는 기본적인 안전 조치를 나타냅니다. #CMMC 2.0 레벨 1 요약: * 초점: FCI의 기본 보호 * 총 연습 횟수: 17회 * 출처: FAR 52.204-21 * 평가 유형: 자체 평가(연간) 최종 검증 및 결론 정답은 B. CMMC 2.0 공식 문서와 FAR 52.204-21 요구 사항에서 검증된 17가지 관행입니다.
CMMC-CCP 문제 123
실제로 지정된 조건과 예상되는 동작을 비교하는 평가 방법은 무엇입니까?
정답: A
CMMC 평가 방법 이해Cybersecurity Maturity Model Certification(CMMC) 2.0은 NIST SP 800-171A 평가 방법론을 따르며, 여기에는 다음 세 가지 주요 평가 방법이 포함됩니다. * 검토- 정책, 절차, 시스템 구성 및 문서를 검토합니다. * 인터뷰 - 직원과 소통하여 보안 관행에 대한 이해와 실행을 검증합니다. * 테스트 - 보안 제어가 예상대로 기능하는지 확인하기 위해 실제 기술적 또는 운영적 테스트를 수행합니다. * "테스트"는 실제로 지정된 조건과 예상되는 동작을 비교하는 방법입니다. * 시스템이 요구 사항에 따라 작동하는지 확인하기 위해 절차, 구성 또는 자동화 도구를 실행하는 것이 포함됩니다. * 예를 들어, 정책에서 다중 요소 인증(MFA)을 적용해야 한다고 명시한 경우 테스트에는 MFA 없이 로그인을 시도하여 예상대로 액세스가 차단되는지 확인하는 작업이 포함됩니다. * NIST SP 800-171A 가이드(CUI 평가 절차)에서는 테스트를 다음과 같은 평가 방법으로 정의합니다. * 보안 제어가 제대로 작동하는지 적극적으로 확인합니다. * 실제 공격 시나리오를 시뮬레이션합니다. * 문서화가 아닌 시스템 작업을 통해 규정 준수를 확인합니다. * B. 검토 (잘못된) * 검토에는 정책, 절차 또는 구성 검토만 포함되며 시스템 동작을 적극적으로 테스트하지는 않습니다. * C. 컴파일(잘못된) * "컴파일"은 CMMC 2.0이나 NIST SP 800-171A의 평가 방법이 아닙니다. * D. 인터뷰 (잘못된 답변) * 인터뷰는 직원들로부터 통찰력을 수집하는 데 사용되지만, 실제 상황과 예상되는 행동을 비교하지는 않습니다. * 정답은 A입니다. 예상되는 보안 조건에 대해 시스템 성능을 적극적으로 검증하기 때문에 테스트합니다. 참고문헌: NIST SP 800-171A, "CUI에 대한 보안 요구 사항 평가" CMMC 2.0 평가 프로세스(CAP) 가이드 DoD CMMC 범위 및 평가 지침
CMMC-CCP 문제 124
2단계 평가 범위를 정할 때, 다양한 CMMC 단계에 필요한 관행을 성공적으로 구현하는 프로세스를 이해하는 데 유용한 문서는 무엇입니까?
