모든 위험을 제거하는 것이 거의 불가능하거나 비용 효율적이기 때문에 위험 평가 프로세스를 통해 위험을 허용 가능한 수준으로 줄이려는 시도가 이루어집니다. 이 프로세스를 통해 일련의 잠재적 위험(가능성이 있든 없든)에서 식별된 가능한 위험 세트를 찾아낼 수 있습니다. 보안 제어를 구현하면 식별된 위험을 더 작은 잔류 위험 집합으로 줄일 수 있습니다. 이러한 잔여 위험은 시스템 성능에 영향을 미칠 수 있는 상황의 전체 집합을 나타내므로 이 감소된 위험 집합만 처리하기 위해 비상 계획의 범위가 축소될 수 있습니다. 결과적으로 비상 계획은 협소하게 초점을 맞출 수 있어 자원을 절약하는 동시에 효과적인 시스템 복구 기능을 보장할 수 있습니다. 출처: SWANSON, Marianne 외, NIST(National Institute of Standards and Technology), NIST 특별 간행물 800-34, 정보 기술 시스템을 위한 비상 계획 가이드, 2001년 12월(7페이지).
SSCP 문제 217
핫사이트 시설이란?
정답: A
출처: TIPTON, Hal, (ISC)2, CISSP 시험 프레젠테이션 소개.
SSCP 문제 218
다음 중 분산 컴퓨팅 솔루션의 가장 큰 과제는 무엇입니까?
정답: B
이 "보안"에 대한 정답입니다. 중앙 집중식 또는 분산형 환경이 더 적합한지 여부를 결정하는 주요 요소입니다. 예: 중앙 집중식 컴퓨팅 환경에서 중앙 서버와 워크스테이션(종종 "멍청한 터미널")이 중앙 서버의 응용 프로그램, 데이터 및 기타 모든 것에 액세스합니다. 따라서 대부분의 보안은 중앙에서 관리되는 서버에 있습니다. 분산(또는 분산) 환경에서는 유지 관리할 자체 운영 체제, 유지 관리할 자체 소프트웨어, 보호 및 백업이 필요한 로컬 데이터 저장소가 있는 PC 컬렉션이 있습니다. 또한 PDA와 "스마트폰", 데이터 시계, 데이터를 저장할 수 있는 모든 유형의 USB 장치가 있을 수 있습니다. 목록은 항상 길어집니다. 분산 환경에서 합리적이고 수용 가능한 수준의 보안에 도달하는 것은 전적으로 가능합니다. 그러나 그렇게 하는 것은 훨씬 더 어렵고 더 많은 노력, 더 많은 돈, 더 많은 시간이 필요합니다. 다음과 같은 이유로 다른 답변은 올바르지 않습니다. 확장성 - 분산 컴퓨팅 환경은 거의 무한대로 확장 가능합니다. 중앙 집중식 환경보다 훨씬 더 그렇습니다. 따라서 이것은 잘못된 답변입니다. 이질성 - 분산 환경에서 여러 공급업체의 제품 및 시스템을 사용하는 것이 중앙 집중식 환경보다 훨씬 쉽습니다. 이것은 "분산 컴퓨팅 솔루션의 도전"이 아니므로 좋은 대답이 아닙니다. 사용성 - 이것은 두 환경 모두에서 잠재적으로 문제가 될 수 있지만 이것이 문제인지 여부는 중앙 집중식 환경인지 분산 환경인지와 거의 관련이 없습니다. 따라서 이것은 좋은 대답이 아닙니다. 참조: 공식 ISC2 가이드 페이지: 313-314 All in One Third Edition 페이지: (현재 사용할 수 없음)
SSCP 문제 219
Orange Book은 어떤 보안 정책 모델을 기반으로 합니까?
정답: B
설명/참조: 컴퓨터 보안 기본 용어집에서: Bell-LaPadula 모델은 Orange Book 요구 사항의 기반이 되는 보안 정책 모델입니다. Biba 모델은 일련의 규칙을 설명하는 컴퓨터 보안 정책의 무결성 모델입니다. 이 모델에서 주체는 자신보다 덜 신뢰할 수 있는 객체나 다른 주체에 의존하지 않을 수 있습니다. Clark Wilson 모델은 상업 환경을 위해 설계된 컴퓨터 보안 정책의 무결성 모델입니다. 비임의적 접근 제어, 권한 분리 및 최소 권한과 같은 개념을 다룹니다. TEMPEST는 컴퓨터 및 관련 장비에서 발생하는 손상되는 전기 및 전자기 신호가 가로채어 해독되는 것을 방지하는 정부 프로그램입니다. 출처: RUSSEL, Deborah & GAGEMI, GT Sr., Computer Security Basics, O'Reilly, 1991 또한: 미국 국방부, 신뢰할 수 있는 컴퓨터 시스템 평가 기준(Orange Book), DOD 5200.28-STD. 1985년 12월(여기에서도 볼 수 있음).
SSCP 문제 220
다음 SDLC(시스템 개발 수명 주기) 단계에서 비상 계획이 가장 중요한 단계는 무엇입니까?
정답: A
설명/참조: 비상 계획 요구 사항은 SDLC의 모든 단계에서 고려되어야 하지만 가장 중요한 것은 새로운 IT 시스템을 구상할 때 고려해야 합니다. 시작 단계에서 시스템 요구 사항을 식별하고 관련 운영 프로세스와 일치시켜 시스템의 적절한 복구 우선 순위를 결정할 수 있습니다. 출처: SWANSON, Marianne 외, NIST(National Institute of Standards and Technology), NIST 특별 간행물 800-34, 정보 기술 시스템을 위한 비상 계획 가이드, 2001년 12월(12페이지). 그리고 CBK에 대한 공식 ISC2 가이드, 제2판, 애플리케이션 보안, 180-185페이지
