Domain 2 : Asset Security Flashcards
(34 cards)
Citez une norme pour chacun des domaines suivants :
1 - Gouvernance IT
2 - Gouvernance de la sécurité de l’information
3 - Gouvernance des données
1 - Gouvernance IT : COBIT, ISO 38500
2 - Gouvernance de la SSI : ISO 27018
3 - Gouvernance de la données : RGPD, HIPAA etc ..
C’est quoi la gouvernance des données ?
La gouvernance des données s’accentue sur 2 points :
1 - Ensemble de politique, procédure et processus qui permette de gerer la donnée
2 - Définition de roles et responsabilités pour la gestion et protection de la donnée
C’est quoi la Data Policy?
La Data Policy c’est la politique de gestion des données.
1 - Elle permet de collecter les données uniquement nécessaire
2 - Classifier les données collectées
3 - Assurer la sécurité de ces données tout au long du processus
4 - Suppression de la donnée quand c’est plus necessaire
C’est quoi la Data Quality ?
C’est la qualité des données collectées afin de s’assurer de la pertinence des données, leur intégrité etc …
Donnez la différence entre la Quality Assurance et la Quality Control ?
La Quality Assurance c’est le fait d’evaluer le processus de création, collecte, traitement des données sur des normes externes à l’organisme.
La Quality Control quand a elle se base sur les normes internes de l’organisme.
C’est quoi la différence entre une erreur de commission et une erreur d’omission ?
les erreurs d’omission se produisent lorsque des actions nécessaires ne sont pas effectuées, tandis que les erreurs de commission surviennent lorsque des actions inappropriées sont prises. Dans les deux cas, ces erreurs peuvent compromettre la sécurité de l’information et doivent être évitées grâce à une gestion efficace des risques et à la mise en œuvre de mesures de sécurité appropriées.
Donnez la différence entre une information et une donnée ?
Une information c’est une donnée qui a une signification
Information = Donnée + Signification
Aux États Unis, quelle est la loi qui est utilisé pour la protection des données de santé ?
HIPAA : Health Insurance Portability and Accountability Act de 1996 est une loi fédérale qui établit les exigences de sécurité et de confidentialité des données pour les organisations chargées de sauvegarder les données de santé protégées des patients.
Qu’est ce que la loi FERPA
C’est une loi qui est utilisé au niveau de l’éducation au USA
Le Family Educational Rights and Privacy Act (FERPA) est une loi fédérale américaine qui protège la confidentialité des dossiers scolaires des étudiants. Cette loi s’applique à toutes les écoles qui reçoivent des fonds dans le cadre d’un programme applicable du ministère américain de l’éducation.
C’est quoi la loi GLBA ?
C’est une loi qui est utilisée pour les finances au USA
La loi Gramm-Leach-Bliley (GLBA), aussi appelée loi GLB ou parfois loi de modernisation des services financiers de 1999, est une loi promulguée par le Congrès américain pour réguler la manière dont les institutions financières traitent les informations personnelles sensibles de leurs clients.
C’est quoi le RGPD ?
Le sigle RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR).
Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne.
C’est quoi la classification de l’information dans le domaine Militaire ou Gouvernemental ?
1 - Top Secret : Exceptionnally grave domage
2 - Secret : Serious Domage
3 - Confidentifiel : Domage
4 - Unclassified : No Domage
C’est quoi la classification de l’information dans le domaine Civil ?
1 - Confidential / Proprietary : Exceptionnally grave domage
2 - Private : Serious Domage
3 - Sensitive : Domage
4 - Public: No Domage
C’est quoi le cycle de vie d’une donnée ?
1 - Création
2 - Classification
3 - Stockage
4 - Usage
5 - Archivage
6 - Destruction
C’est quoi la data Remenance ?
C’est le fait de supprimer les données de maniere conventielles sur un support sans possibilité de restauration des données
Qu’elles sont les techniques de remenance des données ?
1 - Purging : supprimer les données via 2 techniques : si le disque est chiffré, il s’agira de supprimer les clés de chiffrements, ou simplement de demagnetiser le disque (degaussing) via une micro onde par exemple
2 - Nettayage (Clearing), Recritture ( ) et Effacement profont (OverWrinting)
3 - Destruction physique via l’acide, l’incineration etc ..
C’est quoi le Zeroing ?
C’est le fait d’écrire des 0 sur un disque dans le cadre de la suppression des données (data remanence)
C’est quoi de Degaussing d’un disque ?
Demagnetisation via un micro onde par exemple
C’est quoi le Masking/ Labelling ?
C’est le fait de mettre une etiquette sur un disque
C’est quoi la data retention ?
C’est la conversation des données pour un but reglementaire avant tout
C’est quoi les 3 états d’une donnée ? et quelle sont les mesures de sécurité associées ?
1 - AT REST (au répos) : chiffrement,protection physique, controle d’accès
2 - AT TRANSIT (en deplacement) : cryptage, chiffrement via SSL/TLS, IPSEC, VPN etc …, segmentation du réseau
3 - AT USE (en utilisation) : cleandesk policy, traitement de la ram rom etc …
C’est quoi un business/mission Owner ?
Tres souvent le CEO de l’entreprise ou un responsable de haut niveau, c’est l’utilimily responsable de la donnée. Il doit mettre en place des dispositifs de protection et de gouvernance de la donnée et doit s’assurer que les politique etc .. sont bien implementés
C’est quoi le data owner ?
C’est lui qui connait le mieux la donnée, il est le propriétaire de la donnée. C’est lui qui definit comment on accède à la donner, donne son accord pour la création des droits sur la donnée, definit la frequence de sauvergarde de la donnée . Tres souvent le RH , ou les gens de la paie
C’est quoi le data custodian
C’est lui qui est responsable de l’implémentation technique des politiques definis par la data owner. Son périmetre se limite aux champs techniques.
Si on voit l’option day-by-day dans une question à l’examen , c’est forcement le data custodian
