무료 온라인 액세스 Swift.CSP-Assessor.v2025-10-17.q61 모의 시험 (Page 11)

CSP-Assessor 문제 46

기밀성과 무결성 측면에서 어떤 운영자 세션 흐름이 보호되어야 합니까? (정답을 선택하세요)
*Swift 고객 보안 제어 정책
*Swift 고객 보안 제어 프레임워크 v2025
*독립적인 평가 프레임워크
*평가자 지침을 위한 독립적인 평가 프로세스
*독립 평가 프레임워크 - 고수준 테스트 계획 지침
*아웃소싱 에이전트 - 보안 요구 사항 기준 v2025
*CSP 아키텍처 유형 - 의사결정 트리
*CSP_컨트롤_매트릭스_및_고도_테스트_계획_2025
*필수 통제를 위한 평가 템플릿
* 자문 통제를 위한 평가 템플릿
*CSCF 평가 완료서
*Swift_CSP_평가_보고서_템플릿

A. SWIFT 관련 구성 요소를 실행하는 호스트(온프레미스 또는 원격)에 대한 시스템 관리자 세션

B. 보안 영역의 구성 요소에 액세스하는 데 사용되는 점프 서버와의 모든 세션

C. 아웃소싱 에이전트, 서비스 뷰로 또는 L2BA 공급자가 실행하는 SWIFT 관련 애플리케이션에 대한 모든 세션

D. 나머지 답변은 모두 유효합니다.

정답: D

CSCF는 기밀성과 무결성을 보장하기 위해 운영자 세션 흐름, 특히 SWIFT 관련 구성 요소가 포함된 세션의 보호가 필요합니다. 이는 제어 "2.1 내부 데이터 전송 보안" 및 "2.2 외부 전송 보안"에서 다룹니다. 각 옵션을 평가해 보겠습니다.
*옵션 A: SWIFT 관련 구성 요소를 실행하는 호스트(온프레미스 또는 원격)에 대한 시스템 관리자 세션. 이는 유효합니다. SWIFT 구성 요소를 실행하는 호스트(예: 온프레미스 또는 클라우드의 Alliance Gateway)에 대한 시스템 관리자 세션은 암호화(예: TLS) 및 인증을 사용하여 보호해야 하며, 이는 CSCF Control "2.1"에 따라 무단 액세스 또는 데이터 유출을 방지해야 합니다.
*옵션 B: 보안 영역의 구성 요소에 액세스하는 데 사용되는 점프 서버와의 모든 세션. 이는 유효합니다. 보안 영역에 액세스하는 데 사용되는 점프 서버(베스천 호스트)(예: Alliance Access 관리용)는 CSCF Control "1.1 SWIFT 환경 보호" 및 "2.2"에서 액세스 지점 보안을 위해 요구하는 대로 모든 세션을 암호화하고 무결성 검사를 거쳐야 합니다.
*옵션 C: 아웃소싱 에이전트, 서비스 뷰로 또는 L2BA 제공업체가 운영하는 SWIFT 관련 애플리케이션에 대한 모든 세션. 이는 유효합니다. 제3자가 호스팅하는 애플리케이션(예: L2BA 제공업체가 운영하는 Alliance Lite2 비즈니스 애플리케이션)에 대한 세션은 CSCF Control "2.2" 및 위치에 관계없이 안전한 전송을 요구하는 "아웃소싱 에이전트 - 보안 요구 사항 기준 v2025"에 따라 보호되어야 합니다.
*옵션 D: 나머지 답변은 모두 유효합니다.
맞습니다. A, B, C는 모두 CSCF에 따라 보호가 필요한 세션 흐름을 설명하므로, 포괄적인 답은 나열된 모든 세션 유형이 기밀성과 무결성을 위해 보호되어야 한다는 것입니다.
정답 요약:
나열된 모든 운영자 세션 흐름(A, B, C)은 보호되어야 하므로 D가 올바른 선택입니다.
SWIFT 고객 보안 프로그램 문서 참조:
*Swift 고객 보안 제어 프레임워크 v2025: 제어 2.1 및 2.2는 세션 보호를 의무화합니다.
*아웃소싱 에이전트 - 보안 요구 사항 기준 v2025: 타사에서 호스팅하는 애플리케이션으로 보호 범위를 확장합니다.
*CSP_controls_matrix_and_high_test_plan_2025: 보안 테스트에 나열된 모든 세션 유형을 포함합니다.

CSP-Assessor 문제 47

평가자가 SWIFT 사용자의 KYC-SA 증명을 승인할 수 있습니까? (정답을 선택하세요)
*Swift 고객 보안 제어 정책
*Swift 고객 보안 제어 프레임워크 v2025
*독립적인 평가 프레임워크
*평가자 지침을 위한 독립적인 평가 프로세스
*독립 평가 프레임워크 - 고수준 테스트 계획 지침
*아웃소싱 에이전트 - 보안 요구 사항 기준 v2025
*CSP 아키텍처 유형 - 의사결정 트리
*CSP_컨트롤_매트릭스_및_고도_테스트_계획_2025
*필수 통제를 위한 평가 템플릿
* 자문 통제를 위한 평가 템플릿
*CSCF 평가 완료서
*Swift_CSP_평가_보고서_템플릿

A. 예, KYC-SA 애플리케이션이 2-eyes 모드로 설정된 경우 평가자가 SWIFT 사용자를 대신하여 증명서를 제출하고 승인할 수 있습니다.

B. 예, SWIFT 사용자 CISO의 동의가 있어야 합니다.

C. 아니요, 승인은 항상 SWIFT 사용자의 CISO(또는 유사한 책임 수준)의 책임입니다.

D. 아니요, CSP 증명을 제출하는 것은 SWIFT 사용자 내부 감사의 책임입니다.

정답: C

"평가자를 위한 독립 평가 절차 지침"과 "독립 평가 프레임워크"는 KYC-SA(고객 확인 - 보안 증명) 절차에서 평가자와 SWIFT 사용자의 역할을 정의합니다. 각 옵션을 평가해 보겠습니다.
*옵션 A: 네, KYC-SA 신청이 2-eyes 모드로 설정된 경우, 평가자가 SWIFT 사용자를 대신하여 증명서를 제출하고 승인할 수 있습니다. 이는 잘못된 설명입니다. 2-eyes 모드(이중 승인)는 사용자의 내부 프로세스에 적용되며, 평가자의 역할에는 적용되지 않습니다. 평가자가 평가를 수행하고 보고서를 제공하지만, KYC-SA 포털에서 증명서를 제출하고 승인하는 것은 일반적으로 CISO 또는 권한이 있는 담당자가 담당합니다.
*옵션 B: 예, SWIFT 사용자 CISO의 동의가 있어야 합니다.
이는 잘못된 정보입니다. CISO 계약은 평가자가 증명을 승인할 권한을 부여하지 않습니다. CSP는 사용자에게 이 권한을 유보합니다.
*옵션 C: 아니요, 승인은 항상 SWIFT 사용자의 CISO(또는 이와 유사한 직급)의 책임입니다. 맞습니다. "Swift_CSP_Assessment_Report_Template"과 "CSCF 평가 완료서"는 평가자가 독립적인 평가를 제공함을 나타내지만, KYC-SA에 대한 최종 승인 및 증명 제출은 "평가자를 위한 독립적인 평가 절차 지침"에 따라 SWIFT 사용자의 CISO 또는 이에 상응하는 고위 임원의 책임입니다.
*옵션 D: 아니요, CSP 증명을 제출하는 것은 SWIFT 사용자 내부 감사의 책임입니다. 이는 틀렸습니다. 내부 감사는 독립성 요건으로 인해 증명을 제출하거나 승인할 수 없습니다. 이 역할은 CISO 또는 지정된 사용자 담당자에게 있습니다.
정답 요약:
평가자는 증명을 승인할 수 없습니다. 이 책임은 CISO 또는 유사한 사용자 담당자(C)에게 있습니다.
SWIFT 고객 보안 프로그램 문서 참조:
*평가자를 위한 독립적인 평가 프로세스 지침: 평가자와 사용자 역할을 정의합니다.
*독립적 평가 프레임워크: 증명 승인에 대한 사용자 책임을 지정합니다.
*Swift_CSP_Assessment_Report_Template: 평가 프로세스를 간략하게 설명합니다.

CSP-Assessor 문제 48

다음 중 제어 2.9 거래 비즈니스 제어를 구현할 때 유효한 구현을 가장 잘 설명하는 것은 무엇입니까? (해당되는 모든 항목을 선택하세요.)

A. 최근의 비즈니스 평가 또는 규제 기관의 대응에 대한 의존은 통제의 효과성을 확인하는 것(예: CPMI의 요구 사항)이 이 통제에 특히 중요합니다.

B. Swift 사용자는 거래 흐름이 정상적으로 예상되는 비즈니스 범위 내에 있는지 확인하기 위해 여러 가지 측정을 구현해야 합니다.

C. 고객이 설계한 구현 또는 다양한 측정의 조합은 제어 위험을 충분히 완화하는 경우 유효한 것으로 간주됩니다.

D. CISO가 구현을 승인하는 한 모든 솔루션이 허용됩니다.

CSP-Assessor 문제 49

SWIFT 환경 보호 제어는 여러 가지 목표를 지원합니다. (해당되지 않는 목표를 선택하세요)
*Swift 고객 보안 제어 정책
*Swift 고객 보안 제어 프레임워크 v2025
*독립적인 평가 프레임워크
*평가자 지침을 위한 독립적인 평가 프로세스
*독립 평가 프레임워크 - 고수준 테스트 계획 지침
*아웃소싱 에이전트 - 보안 요구 사항 기준 v2025
*CSP 아키텍처 유형 - 의사결정 트리
*CSP_컨트롤_매트릭스_및_고도_테스트_계획_2025
*필수 통제를 위한 평가 템플릿
* 자문 통제를 위한 평가 템플릿
*CSCF 평가 완료서
*Swift_CSP_평가_보고서_템플릿

A. 외부 소스로부터의 악성 접근을 제한합니다.

B. SWIFT 인프라에 대한 모든 대화형 세션을 금지합니다.

C. 권한이 있는 계정의 손상 위험 제한

D. 측면 이동 위험 제한

정답: B

CSCF Control "1.1 SWIFT 환경 보호"는 SWIFT 인프라를 외부 위협 및 내부 위험으로부터 격리하여 보안을 강화하는 것을 목표로 합니다. "Swift 고객 보안 제어 프레임워크 v2025"에는 그 목표가 자세히 설명되어 있습니다. 각 옵션을 평가해 보겠습니다.
*옵션 A: 외부 소스에서의 악성 접근 제한
이는 적용됩니다. 제어 1.1은 악성 소프트웨어나 무단 침입과 같은 악의적인 접근을 방지하기 위해 SWIFT 보안 영역을 외부 소스(예: 인터넷)로부터 격리해야 합니다.
*옵션 B: SWIFT 인프라에 대한 모든 대화형 세션을 금지합니다. 이는 적용되지 않습니다. 제어 1.1은 모든 대화형 세션을 금지하지 않습니다. 세션이 보안(예: 제어 시스템별 암호화)된 경우 관리 목적으로 제어된 대화형 액세스(예: 점프 서버를 통한 액세스)를 허용합니다.
"2.1 내부 데이터 전송 보안"). "CSP_controls_matrix_and_high_test_plan_2025"는 적절한 제어를 통해 대화형 세션을 허용합니다.
*옵션 C: 특권 계정 손상 위험 제한
이는 적용됩니다. 제어 1.1에는 CSCF 원칙에 따라 침해를 방지하기 위해 권한 있는 계정을 보호하는 조치(예: 강력한 인증 및 역할 기반 액세스 제어 적용)가 포함됩니다.
*옵션 D: 측면 이동 위험 제한
이는 적용됩니다. 제어 1.1은 SWIFT 환경을 일반 IT 환경과 분리하여 네트워크 내 공격자의 수평 이동 위험을 줄이는 것을 목표로 합니다.
제어 1.1은 통제된 상호 작용 액세스를 허용하므로 상호 작용 세션(B)을 금지하는 것은 적용되지 않습니다.
SWIFT 고객 보안 프로그램 문서 참조:
*Swift 고객 보안 제어 프레임워크 v2025: 제어 1.1 목표에는 액세스 제한 및 위험 제한이 포함되지만 대화형 세션 금지는 포함되지 않습니다.
*CSP_controls_matrix_and_high_test_plan_2025: 제어된 대화형 세션이 허용되는지 확인합니다.
*독립적 평가 프레임워크: 1.1에 따라 보안 액세스 제어를 평가합니다.

CSP-Assessor 문제 50

Alliance Lite2는 FIN 메시지의 송수신만 지원합니다.

A. 거짓

B. 참