分析でポリシの作成は行わない?

うさぎさん  
(No.1)
またまたお世話になります!

市販の問題集のリスク対策の検討方法の箇所なのですが、あまり解説されておらず参考書を見ても書いてないような…良く分かりません。

問題
ISMSにおけるリスク分析手法の一つである詳細リスク分析で行う作業はどれか?

答え
リスクの評価

私は情報セキュリティーポリシーの作成を選択。解説では、分析でポリシの作成は行わないとだけあります。

良く見る三角の図とは違いますよね??この辺、頭で整理されていません。宜しくお願い致します。
2020.10.12 13:27
うさぎさん  
(No.2)
追記です。

参考書には
リスクアセスメントとは分析と評価。
分析はさらに特定と算定に分かれる。
とあります。

しかし問題集には
リスクアセスメントとは特定、分析、評価の順。
とあります。

違ってますよね?それで毎度唸っていて覚えられません。
2020.10.12 13:47
うさぎさん  
(No.3)
同様に、平成29年春、午前問6も分かりません。
特定、の位置に不満があるものの他3つの順番は分かるので正解は導き出せますが。何故、特定が最初?というか、解説等に書かれている表が無ければ納得できるのですが、表は分析、特定の順に書かれてます。

スミマセン!色々書いてしまい、伝わっていれば嬉しいのですが、宜しくお願い致します。
2020.10.12 14:15
AgentTakaさん 
(No.4)
お!本気のうさぎさんが戻ってきましたね!
そのギラギラした食い気味の投稿を待っていました。

まず、ひとつずつね。
問題
ISMSにおけるリスク分析手法の一つである詳細リスク分析で行う作業はどれか?
答え
リスクの評価

これは予想問題8の問21でしょ?探すのに苦労したぞーーーーーーーーーーっ!!!
はーっはっはっは、、、汗
この問題は消去法で正解できます。
情報セキュリティポリシの作成、は最初に策定します。そこから詳細なリスクを分析してむむむ、これは受容出来ないリスクだぞ、と対策と考えていく段取りと認識しています。ポリシ(規則)を決めてからの、規則に引っかかる容認できないリスクはどれか、と分析を進めていくんですね。なので正解は“リスクの評価”となるんですねえ。

この辺りの覚え方は「飛ぶ火対策」でいかが?
リスク特定の「と」  自分たちが抱えるリスクはなんぞやら
リスク分析の「ぶ」  リスクのやばさの把握、レベルを決める。
リスク評価の「ひ」  リスクの評価。受容できるかできないか。
リスク対策の「たいさく」  受容できなければ対策を実施する。
「」を並べると、と、ぶ、ひ、たいさく  →  飛ぶ火対策

これが神のお告げ。

ちょっと神も疲れたんで一休みしていいっすか?

あはは
2020.10.12 16:09
AgentTakaさん 
(No.5)
よし、次。
平成29年春、午前問6
これは上の理解が出来れば簡単。
飛ぶ火対策。
ごめんね、正確には「飛ぶ火対応」で覚えるといいですね。

で、解説終わっちゃった。
あはは。

補足するところあればまた登場します。

皆様のご意見はいかがですか?
2020.10.12 16:23
AgentTakaさん 
(No.6)
よし、もうひとつ。
(No.3) の何故、特定が最初?
あんまり深く考えなくてもだいじょうVVV。(古い)
まず最初に例えばですよ、我が家に降り注ぐリスクは何かって考えた時に、火事とか地震とか台風とか想定できますよね。
これがリスク特定です。
次に、想定されたリスクをヤベー順番にレベル付けしていくのがリスク分析です。
でもって、分析結果を基にこれは見逃せんぞー、しっかり対策しなくちゃ、っていうのがリスク評価です。その評価を対応していくのがリスクマネジメント、っつうおはなし。

よし、次の疑問点、
いってみましょかーーーーーーーーー
2020.10.12 16:38
うさぎさん  
(No.7)
AgentTaka様

早速ありがとうございます!
うーむ、という事は、本屋で買った問題集はやっぱり間違ってるという事ですよね?(^ ^)
何か勉強し過ぎて?、考えすぎの方向へ行ってる気がします…

私は、特別にブヒーが対策してくれる、と覚えました、笑。ブヒーは豚。豚のイラストを書いてあります~

スミマセン、神様ゆっくり休んでください^ ^ありがとうございました。
2020.10.12 18:27
AgentTakaさん 
(No.8)
うさぎさん
こんばんわ。勉強頑張っていますね。

頂戴しておりましたご質問にご回答申し上げます。

試験の難易度って、受験した人達のできを見て決めてるわけじゃ無いのでしょうか?
令和元年秋の午後問題が、長文かつ状況設定が複雑で解答する時間が足りなく問3が未記入の受験者も多かった、とIPAさんも講評しており合格点46点まで下げています。この回は今まで通りの合格率まで基準点を下げたと解釈していますが、滅多にないことです。次回の試験はCBTに移行することもあって多少の合格率の乱高下はあるかも知れませんね。CBTで即日合格発表だったとしたら合格点の見直しは無いでしょう。それでも、うさぎさんは合格します。合格点を上回る努力家、更に賢さを持っていることが分かるからです。

試験、いつですかねぇ
12月から3月までの間で実施されるみたいなので12月受験と思って備えるといいでしょう。自分で受験日を決められるかどうかも今では分かっていないので。3月なら待ちすぎ感もありますが贅沢は言えません。何しろ今年の春が中止になっているので、そこで合格を目指していた方にとっては約1年待たされることになるからです。その方々のやる気の維持は大変でしょう。

本屋で買った問題集はやっぱり間違ってるという事ですよね?
わたしが一応用意したテキストでもリスクアセスメントは若干説明に違いがあるので、一概に間違いと決めちゃうのもいかがなものかと存じますが、ドットコムさんの解説を信じていいです。何しろ実際に出題された問題の解説をして頂いていますので大丈夫です。

「特別にブヒー対策」はいいですね。で、豚のイラストはかわいいんでしょうね。YOUTUBEにアップしますかっ!いったいなんなんだ?この対策は?と世界がざわつく。想像しただけで笑えます。ブヒヒヒ。「特別にブヒー対策」、メモメモ。せっかく覚えた飛ぶ火対応が「特別にブヒー対策」にアップデートされちゃったぞーーー。

よっしゃ、次の疑問、いってみましょかー
2020.10.12 20:54
AgentTakaさん 
(No.9)
追加で補足でーす。

良く見る三角の図は情報セキュリティポリシの文書構成。
「特別なブヒー対策」はまた別の話でリスクマネジメントのことっすね。

どうぞよろブヒお願い申し上げます。
2020.10.12 21:04
うさぎさん  
(No.10)
AgentTakaさん、ありがとうございます!
試験日は最短で12月なのですね。試験日が延びて良かったー。でも返金無しでやってくれないですかねぇ。またアンケートとか面倒です。神様のお力でお願いします^ ^

そうすると、テキストを書く人にも流派みたいなのがあるのかもしれないですね。それなら過去問の解説のみが確かって事ですね!

受かったらYouTubeやるかも!?うさ耳つけて。背景に本物のウサギをウロウロさせて^_^ あー、勉強勉強。

で、やはり損益分岐点とか計算は出来ないとダメですか?I Tパスポートの時は捨ててましたが。大概の計算も。進数とか重い頭痛でサッパリでした…




2020.10.13 22:20
AgentTakaさん 
(No.11)
うさぎさん
こんにちわ。

わたしは脆弱性と危殆化をたくさん抱えた神なので返金無しまでは力及ばず、じゃ。

「豚にうさ耳」
新しいことわざみたい。

過去問道場の解説が大事だと気付き始めましたね。その調子です。
過去問道場を勉強した方がテキスト熟知してるより効率良いじゃん!と悟るのも時間の問題ですな。
わたしは過去問道場に軸足を置いて、もうちょっと調べたい時にテキストやネットで復習するスタイルです。

2進数とか16進数はシラバスで検索しましたが、ヒットしなかったので出題無し!
過去問道場でも1問も見たこともありません。
ただ1問、ややこしい計算問題があって地道に計算すれば正解は出来るんですけど答えを暗記しちゃった問題もあります。
パスワード4ケタで今までは0から9を使用していたが、今度から0からFまで使えるようにした。
パスワードは何通りに増えたか、って問題。
今まで10×10×10×10=10,000
これから16×16×16×16=65,536
で正解は6.6倍
これは理屈が分かっていれば答え6.6で覚えちゃっていいでしょう。
ここで16進数出てきますが、Fを10進数にすると15って理解出来ますか?

損益分岐点計算問題のデータウェアハウスしてみましたが損益や会計に関する問題は過去に2問しかありませんでした。
出現率は0.5%です。

平成31年春期  午前問48
耐用年数を考慮した投資の回収期間について
これは簡単です。割り算で一年間にいくら稼げばいいのか。

平成30年春期 午前問50
売上総利益について
こちらはわたしも赤チェックついていました。何度か復習して正解出来る様になりましたし数字を変えられても大丈夫ですが、違う切り口で問われるとお手上げです。

出題率0.5%の問題を違う切り口で問われても対応出来るように時間が余った時に勉強するか、今のところ捨ててリスク受容します。

情報セキュリティマネジメント試験で重要なのは、セキュリティの知識(午前)と技能(午後)なのでこちらに注力したいです。
幸いにして計算問題はびっくりする位少ないですよ。しめしめ。ぶふふ。

ところで名人一人増えました。
予想問題に苦戦さん、ついに昇段か?!
2020.10.14 17:19
うさぎさん  
(No.12)
AgentTaka様

ありがとうございます!
AgentTakaさんは試験をくまなく熟知してますね。過去の書き込みにも最近目を通しているのですが、スゴイです。満点取れますね^ ^

苦手な数字関係捨てても良さそうで、良かったです(((o(*゚▽゚*)o)))

ところで、平成29年春期試験午前問題  問13。IPSは侵入検知、IDSは攻撃まで防ぐと覚えていました。だから正解は分かりますが、エが納得いきません。サーバだからホスト型IDSなのか?とは思いますが、ファイル改ざんの有無まで判定できるのですか??

またまたまたの質問でスミマセン!ブヒ
2020.10.15 14:28
AgentTakaさん 
(No.13)
うさぎさん
こんにちわ。

IP(プレベンション:防御)Sは侵入防御、侵入検知はID(デテクション:検知)Sです。そこ逆に覚えているのでまずそこを修正しましょうか。まずそこをちきんと理解して頂ければ幸いでございます。
IDSは侵入検知の役割です。
だからエが納得いきません。というのはご最もです。
なぜなら、とんちんかんな解答だよね、という理解ができればOKです。

さあ、次の食い気味の投稿待ってまっせ!
2020.10.15 15:57
うさぎさん  
(No.14)
あ、書き間違えました!
その所は大丈夫で、解答も正解で納得ですが、
問題は選択肢エ。エに書いてある意味が分からないのです。ファイルの改ざんが分かるのですか??

も、もしかして、侵入を検知の他に改ざんの有無までIDSは分かるのですか?異常事態は全て検知するのですか?

過去問、午前のみ一年分やってみました。紙ベースで。解説はこちらのを見ました。確かに説明長めなので理解しやすいです^ ^教えてくださり、ありがとうございます
2020.10.15 18:36
AgentTakaさん 
(No.15)
うさぎさん
こんばんわ。

爆睡してました。
IDSとIPSにはネットワーク型とホスト型があってネットワーク型は、そのネットワークを通る通信を監視しています。ネットワークを通る攻撃は分かるんですが、ホスト型は特定のサーバの中を監視しています。なので、ネットワーク型はサーバの中のファイルの改ざんは分かりません。ホスト型は自分自身を監視しているので、ん?ファイルおかしい?これって改ざんじゃーん、って分かる、という解釈でいいでしょう。ということを過去問道場で学びました。
寝ぼけてるんで変なこと言ってたらごめん。

いいですねえ。立派。不正解の解説も理解しようとしてる。なぜ不正解なのか理解出来れば確実に実力がつきますからね。こういう質問も大歓迎です。

がんばー
2020.10.15 21:29
QMさん 
(No.16)
別の問題についての質問は、新しいスレッドにした方がいいと思うけどなー。

HIDSの機能の一つとして、ファイルの変更の監視があります。
安易に変更してはいけないファイルが更新されたら、改ざんされたんじゃないか?!と警告が来るわけです。
2020.10.15 22:00
AgentTakaさん 
(No.17)
QMさん
こんにちわ。

新しいスレッドにした方がQM様も見つけやすく光速でアドバイス出来る、ということですね。
古くなってきたスレッドの奥深い質問は発見しにくいですもんね。

うさぎさん
こんにちわ。

強力なバックアップメンバQM様の建設的なご意見はいかがでしょうか。
2020.10.16 11:41
AgentTakaさん 
(No.18)
うさぎさん
おはようございます。

リスクマネジメントのいい問題ありましたよ。
平成30年秋期  問7

4つの選択肢それぞれをリスク特定、分析、評価、対応に当てはめられればいいでしょう。

リスクアセスメントはわたしも理解不足なところがあって調べてみましたが特定、分析、評価をリスクアセスメントと定義していたり、分析、評価をリスクアセスメントと定義していたり解説者によって分かれるところでございます。ドットコムさんでは特定、分析、評価をリスクアセスメントと説明しているので、こちらで理解しましょうか。

で、リスクマネジメントとリスクアセスメントは何が違うかっていうと直訳すると分かりやすいです。リスクマネジメントは危険な芽の管理作業全般のこと、その作業全般の中でリスクアセスメント(危険な芽の分析をする)を行うという理解でいいでしょう。

余談ですが「Go To Eat」のポイント荒稼ぎ問題をラジオで解説している方が、リスク回避、リスク低減とか言ってました。が、現実化したリスクは既にリスクではなく「問題」として管理しなければならないのにラジオで解説する人でも混同しちゃってるんだ、、、と思いながら聴いてました。
2020.10.17 09:35

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop