cancel
Showing results for 
Show  only  | Search instead for 
Did you mean: 
cancel
Showing results for 
Show  only  | Search instead for 
Did you mean: 
gwebber
Newcomer II

Esame CISSP - domande tecniche

[GW Question1].Associazione tra Bell-Lapadula (o Biba) e il Mandatory Access Control: non capsisco cosa c’entrino, mi sembrano definizioni a livelli diversi. Mi spiego meglio: il fatto di avere un no-read-up o no-write-down, non significa che quel modello sia imposto a livello centrale dal data owner, potrebbe essere definita anche in base a ruoli ed altro. Cose mi sfugge?

27 Replies
gwebber
Newcomer II

[GW Question 10] Evaluation, Assessment, and Audit.

It seems the 3 of them can be run by a third-party, and take place at different levels (vulnerability, penetration, log review, interviews, documentation review). What are the key differences?

gwebber
Newcomer II

[GW Question 11] a vostro parere, perché la risposta corretta, quella selezionata, è migliore delle altre? a mio avviso 3 risposte erano giuste, e farei fatica a dire perché questa è "migliore" delle altre.

gwebber_0-1618753862098.png

 

RobertoBonalumi
Newcomer III

[GW Question 10]
EVALUATION è la finalità dell'assessment; il termine generalmente è usato per indicare i possibili criteri di valutazione
ASSESSMENT è descritto in SP800-115: is the process of determining how effectively an entity being assessed (e.g., host, system, network, procedure, person—known as the assessment object) meets specific security objectives.
AUDIT è un assessment indipendente eseguita da una terza parte.

In generale, per le definizioni puoi riferirti a https://csrc.nist.gov/glossary
RobertoBonalumi
Newcomer III

[GW Question 11]

La domanda è in effetti un po' vaga, ma si può cercare di procedere per esclusione delle risposte.

La A non ha senso in una rete locale, quindi la escluderei subito.

La B può essere parte di una soluzione, ma non una soluzione completa, quindi la escluderei.

La C ha senso per escludere dei DHCP farlocchi che potrebbero essere utilizzati per un attacco di man in the middle, quindi ha senso visto il tipo di business

La D può essere parte di una soluzione NAC, ma richiederebbe una configurazione su tutti i dispositivi esistenti, quindi con un costo di intervento superiore rispetto alla soluzione C.

 

Alla fine la C sembra quindi più adatta per risolvere il problema indicato.

manhattan
Newcomer I

ciao 

potrei chiedere da dove arriva quella domanda? non mi sembra di averla vista sul libro ufficiale Sybex, e' Boson?

grazie mille

 

gwebber
Newcomer II

Ciao manhattan, non so a quale ti riferisci, se è la [GW Question 11] arriva da TotalTester Online, portale che puoi abilitare possedendo un testo All-in-One di Shon Harris
gwebber
Newcomer II

[GW Question 12] qui una domanda che ho trovato sull'All-in-one: "Who bears the ultimate responsibility for the protection of assets within the organization?" Ho risposto - sbagliando - Data owners, mentre la risposta corretta era Senior Management. Quello che vedo è che:

- gli asset potrebbero essere non informativi, e quindi il data owner non era appropriato

- che il data owner è possibilmente parte del senior management, quindi la mia mi sembrava una risposta più precisa.

Premesso che ho una lista di responsabilità del data owner elencate, dove finiscono le responsabilità del data owner e dove cominciano quelle del senior management?

RobertoBonalumi
Newcomer III

[GW Question 12] "Ultimate responsibility" è sempre in capo al senior management, ovvero a chi ha l'ultima parola sulle decisioni, o a chi scrive le policy che indirizzano il funzionamento dell'organizzazione. "Ultimate" implica che non puoi salire più in alto, sei già al vertice della piramide.
Il senior management ha le responsabilità di indirizzo dell'intera organizzazione, quindi anche definisce (per ciascuna organizzazione) ruoli e responsabilità, ma in linea generale è sempre responsabile (nel senso di "accountable") di tutto.
Il data owner ha una serie di compiti e responsabilità relative al trattamento dei dati, ma sono comunque subordinate alle policy dell'organizzazione.