[ISSA_Brasil] CAC2 - QUESTÃO 26 (DÚVIDA SURGIDA NESTE SÁBADO 15-02-2014)

Renato Malheiro Gerodetti renato.gerodetti em gmail.com
Segunda Fevereiro 17 13:11:17 -03 2014 

Eu concordo com a resposta Jayme, para mim não existe erro.  O que descreve
os requisitos de segurança da organização é a política de segurança. Os
"security models" são modelos que podem a ser usados para garantir que os
requerimentos descritos na política serão cumpridos.

Inclusive a ultima parte da explicação cita que a política de segurança
prove "quais" requerimentos devem ser atingidos, e os modelos "como" eles
devem ser atingidos.

Colocando um pouco mais para o mundo real..

Imagina que somos uma empresa prestadora de serviço onde temos clientes
concorrentes, e não podemos deixar que os funcionários que manipulem
informação do cliente A vejam ou manipulem a de B e vice- versa:

Política de segurança: Colaboradores da instituição não podem acessar ou
manipular informações de clientes que são concorrentes.

Aqui temos a política definindo os requerimentos:

Como vamos assegurar o cumprimento da política ?

Vamos aplicar o modelo Chinese wall...

isso ai..

Duvidas mais ?



2014-02-17 12:56 GMT-03:00 Jaime Orts Y Lugo <ortsylugo em gmail.com>:

> Questão 26 do  *CIC2 Teste CISSP 01* está baseada na questão 5 do Domínio
> de Arquitetura do CBK Second Edition.
>
> A correção da questão 5 encontra-se na página 902 do referido livro.
>
> Pela explicação da questão a resposta correta deveria ser Security Model
> ao invés de Security Policy.
>
> Gostaria de saber se alguém tem o arquivo contendo as "erratas"do CBK
> Second Edition.
>
> Interessados favor entrar em PVT comigo.
>
>
>
>
>
> 5. Which of the following describes the *rules* that need to be
> implemented to
>
> ensure that the *security requirements* are met?
>
>
>
> a. Security kernel
>
> b. Security policy
>
> c. Security model
>
> d. Security reference monitor
>
>
>
> *Correct answer is b. *
>
>
>
> Security policy documents the *security requirements* of
>
> an organization. Subsequently, a *security model *is a specification that
> describes
>
> the *rules* to be implemented to support and enforce the security policy.
>
>
>
> While the security policy provides the "What" requirements needs to be
> met, the
>
> security model provides "HOW" (the *rules* by which) the requirements will
>
> be met.
>
>
>
> The part of the operating system where security features are located
>
> is the security kernel.
>
>
>
> Security reference monitor is the tamperproof module that controls the
> access request of software to either the data or the system.
>
> Page 682.
>
> _______________________________________________
> Associados mailing list
> Associados em issa.org.br
> http://issa.org.br/mailman/listinfo/associados_issa.org.br
>
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://issa.org.br/pipermail/associados_issa.org.br/attachments/20140217/4c95bfc2/attachment.htm>

Mais detalhes sobre a lista de discussão Associados