Re: Esame CISSP - domande tecniche - Page 3

gwebber · ‎03-07-2021

[GW Question1].Associazione tra Bell-Lapadula (o Biba) e il Mandatory Access Control: non capsisco cosa c’entrino, mi sembrano definizioni a livelli diversi. Mi spiego meglio: il fatto di avere un no-read-up o no-write-down, non significa che quel modello sia imposto a livello centrale dal data owner, potrebbe essere definita anche in base a ruoli ed altro. Cose mi sfugge?

gwebber · ‎04-18-2021

[GW Question 10] Evaluation, Assessment, and Audit.

It seems the 3 of them can be run by a third-party, and take place at different levels (vulnerability, penetration, log review, interviews, documentation review). What are the key differences?

gwebber · ‎04-18-2021

[GW Question 11] a vostro parere, perché la risposta corretta, quella selezionata, è migliore delle altre? a mio avviso 3 risposte erano giuste, e farei fatica a dire perché questa è "migliore" delle altre.

RobertoBonalumi · ‎04-19-2021

[GW Question 10]
EVALUATION è la finalità dell'assessment; il termine generalmente è usato per indicare i possibili criteri di valutazione
ASSESSMENT è descritto in SP800-115: is the process of determining how effectively an entity being assessed (e.g., host, system, network, procedure, person—known as the assessment object) meets specific security objectives.
AUDIT è un assessment indipendente eseguita da una terza parte.

In generale, per le definizioni puoi riferirti a https://csrc.nist.gov/glossary

RobertoBonalumi · ‎04-19-2021

[GW Question 11]

La domanda è in effetti un po' vaga, ma si può cercare di procedere per esclusione delle risposte.

La A non ha senso in una rete locale, quindi la escluderei subito.

La B può essere parte di una soluzione, ma non una soluzione completa, quindi la escluderei.

La C ha senso per escludere dei DHCP farlocchi che potrebbero essere utilizzati per un attacco di man in the middle, quindi ha senso visto il tipo di business

La D può essere parte di una soluzione NAC, ma richiederebbe una configurazione su tutti i dispositivi esistenti, quindi con un costo di intervento superiore rispetto alla soluzione C.

Alla fine la C sembra quindi più adatta per risolvere il problema indicato.

manhattan · ‎04-19-2021

ciao

potrei chiedere da dove arriva quella domanda? non mi sembra di averla vista sul libro ufficiale Sybex, e' Boson?

grazie mille

gwebber · ‎04-20-2021

Ciao manhattan, non so a quale ti riferisci, se è la [GW Question 11] arriva da TotalTester Online, portale che puoi abilitare possedendo un testo All-in-One di Shon Harris

gwebber · ‎04-26-2021

[GW Question 12] qui una domanda che ho trovato sull'All-in-one: "Who bears the ultimate responsibility for the protection of assets within the organization?" Ho risposto - sbagliando - Data owners, mentre la risposta corretta era Senior Management. Quello che vedo è che:

- gli asset potrebbero essere non informativi, e quindi il data owner non era appropriato

- che il data owner è possibilmente parte del senior management, quindi la mia mi sembrava una risposta più precisa.

Premesso che ho una lista di responsabilità del data owner elencate, dove finiscono le responsabilità del data owner e dove cominciano quelle del senior management?

RobertoBonalumi · ‎04-29-2021

[GW Question 12] "Ultimate responsibility" è sempre in capo al senior management, ovvero a chi ha l'ultima parola sulle decisioni, o a chi scrive le policy che indirizzano il funzionamento dell'organizzazione. "Ultimate" implica che non puoi salire più in alto, sei già al vertice della piramide.
Il senior management ha le responsabilità di indirizzo dell'intera organizzazione, quindi anche definisce (per ciascuna organizzazione) ruoli e responsabilità, ma in linea generale è sempre responsabile (nel senso di "accountable") di tutto.
Il data owner ha una serie di compiti e responsabilità relative al trattamento dei dati, ma sono comunque subordinate alle policy dell'organizzazione.