快速將RMF背起來

 RMF (Risk Management Framework )是NIST發表的框架,俗稱懶人包

細節可以參考NIST RMF

是一件很困難的事情,不是每個人的記性都很好,真的是筆者的痛...

理解都很重要,再來就是複習,不然過了一段時間就還是會忘記,但要再重新繫起來應該是蠻快的吧。

當初也是唸到最後才發現的方法....那時花很多時間在背...

之前有線上分享過幾次,效果很不錯,大多來聽的同學都馬上記住了。

以CISSP來說或是以資安的知識來說,RMF是真的很重要。對正在準備CC的讀者也很有幫助。

但針對要考試的人來說,就是超級重要,不然就拿不到和RMF有關的分數。

盤點、分類、保護,這三個詞,相信對大部分的讀者來說一定不陌生,會提到就是代表和RMF有密切關係,也是讓RMF能快速背起來的元素之一。

CISSP的8個Domain都有RMF的影子,所以說真的很重要。

那就開始說明如何用理解的方式快速將RMF6個步驟背起來:

首先可以先拆成兩大部分,本文會把重點放在第一部分,因為第二部分只能靠自己了。

(不然出個上下集?!...但很多細節還是需要靠自己才能夠完成的)

(迷之音:這是免費能看的嗎~)

超級重點來囉~

一、理解式的按照順序背起來

  1. 先用方法記得步驟的順序(不要用跳步驟的,這叫死背)
  2. 技巧(邏輯)串起來
  3. 確認真的能把每個步驟背出來,且是要完整的名詞,不要偷懶

二、背起來後了解每個步驟

  1. 熟記框架,才不會忘記順序
  2. 補細節,加深對每個步驟的印象及用途
  3. 別忘了Prepare步驟
  4. 相信考前或是考完後要立馬忘記也很難

Source:NIST RMF



正式開始?!

要用英文名詞還是中文名詞都可以,但切記在輸出時一定要講完整的名詞,真的不要那麼懶啦。

注意,每個步驟都是由兩個名詞組成。

所以先填空,XXControls、XXSystem

六個步驟,只有第一步和第五步有System,其他都是Controls

所以在不管Controls或System前面是要放什麼之前,已經先知道到底是"控制措施"還是"系統"會出現在哪幾個步驟了對吧。

盤點完,我們要分類對吧?

第一步難道會是分類控制嗎?不是吧,畢竟前面已經先用填空的方式完成了。

所以第一步是分類系統

然後要做什麼?

第二步是選擇控制措施,不要說選擇系統....考試會GG呦

第三步是實施控制措施(Select Controls完要實作阿,不然?)

第四步是評鑑控制措施(有PoC相關經驗應該很清楚)

再來是第五步啦~很多人可能會在這裡不小心的講成Controls;前面有提到,只有第一步和第五步是系統

所以第五步是授權系統上線

第六步是監控控制措施(要好好監控Controls有沒有好好的保護系統/資產)

希望讀到這裡,真的已經很快的將RMF的步驟記起來了。

現在可以試著想想這六個步驟的順序吧(慢慢想,想不到就看一下大抄)

擔心字太多,所以盡量將平常用"講的"說明都盡量拿掉了,但還是能快速背得起來。

希望看完這裡,可以真的已經把RMF順便記起來了,然後接著了解細節或是把時間花在背其他知識點上囉。

用讀一篇文章的時間把RMF背起來應該很不錯吧。

不知道用看文字和用聽的效果是不是差不多。

如果還是想解鎖了解更多,歡迎來聊聊喔~


留言

張貼留言

這個網誌中的熱門文章

認識CC,考CISSP前的起手式

如果剛好正在準備CISSP或是正要準備超級入門的  CC( Certified in Cybersecurity ),希望這邊文章能幫助到讀者。 如果還在想要考哪一科為進入資安的起手式,扣除其他因素,CC真的是最佳首選。 目前只要註冊成為 ISC2 的會員,並且沒有任何官方證照,即可免費考   CC 一次 (原價美金199,至少要6千以上的新台幣....) 官方在推廣該考科的大標題 " ISC2 承諾 免費提供 100 萬個  ISC2  CC課程和考試 " CC在2022年8月誕生後,就火紅了起來,尤其在當年的12月又開放了簡中考試。 可以說是新版考試誕生後,這麼快就有簡中的考科。 除了能 免費考試 ,還有 免費的官方課程可以學習 。 更多資訊可以參考下面的官方連結。 CC的中文資訊跟 SSCP 比起來真的完整很多,這裡就提點考生特別需要注意的地方。 千萬不能小看CC這門考試 ,就連具有英文優勢的國外考生也會failed,更不用說講中文的考生。 除具備足夠的專業知識外,接下來就要知道官方的出題精神,才能穩穩摘金。 再來這是美國的考試,所以千萬不能用台灣的工作經驗(思維)來做題。 準備CC可以說是為CISSP奠定了很大的基礎 ,看過考試大綱的話就能體會。 測驗時間2小時、題目100題,記得當時應該是寫了1小時左右。 如果一題寫1分鐘,那時間真的也是足夠。 考試時要注意的是,遇到不清楚的中文,一定要把英文點開來看, 不管你在中文題目中看到了甚麼,一定要以英文的題意為主,來作答。 考CC除了為CISSP打地基以外,很重要的就是熟悉考場和環境,尤其是 考試軟體的操作 ,這樣才能在考CISSP時降低緊張感,還有很重要的就是手感, 有些題目,真的就像CISSP一樣燒腦 。 考CC的好處當然很多,但這裡就提點一些重要的。畢竟每個人的感覺都會有些不同。 通過考試後,只要等待工作天,確認考試過程中沒有任何問題,就會收到繳交年費 美金50 後即可取得證照的通知信。 除非真的很急須要使用CC的證照,不然可以等到CC以外的考試通過後,並且收到符合資格的通知信後再繳交年費 美金135 即可(2024年漲價囉)。 如果預計考取CC以外的證照時間是同年度,有聽到消息是補差額,若年度不同,可能還是依需求先繳交年費,若有疑問還是可以參考下方的官方連結或是發信詢...
閱讀完整內容

完整認識SSCP

希望看完 這篇 文章,讀著能很清楚的認識SSCP - S ystems S ecurity C ertified P ractitioner 中文直翻是 系統安全認證從業人員 ;補教機構翻: 資訊安全專業人員認證 SSCP 是 國際資訊系統安全認證聯盟 (International Information System Security Certification Consortium)簡稱 ISC2 的考試認證。 相信大家對ISC2應該不陌生,畢竟就是CISSP的發證機構。 為什麼要寫這篇文章的原因是除了該認證的中文資訊較少,或是無法排除筆者的疑問外,雖然在用英文查找資訊時,有不少資料,但還是找不到筆者想知道的資訊... 簡單說明舉例在英文裡找到的資訊 是: SSCP和CISSP都是怪獸 SSCP比CISSP難 所以在有限的資訊下,只能硬著頭皮準備後上場。 BTW, SSCP大約是2001年左右誕生的考科。 SSCP一開始是沒有簡中考試的,大約在2022年的11月才有簡中考試,但在2024年4月15就取消了。 可以說是簡中考試中活得蠻短的一科。 未來會不會復活簡中考試就看官方了。 所以才想說,要沒簡中了,如果能多一張證照也不錯。 如果讀者英文有一定的程度還是可以考看看,在學習官方的練習題的時候就盡量用英文來練習。 筆者是工程師出身,先取得CISSP後再去考取SSCP, 有CISSP的底子可能在取得SSCP上是有幫助的。 如果先從SSCP開始,對CISSP也是有幫助的。 CISSP雖說是管理考試,也是要認識很多技術的,所以筆者認為通過CISSP的非技術人員也是能取得SSCP; 或著說其實 想要SSCP 或是任何證照, 只要去學習就可以通過考試 ,所以和工程師與否沒有太大的關係。 但還是會因為考生的經驗而起跑點會有我不同。 那剛剛為什麼說是通過考試呢?因為要取得SSCP的證照,還需要走 endorse ( 背書) 流程、會需要資管相關的學歷(大學以上)或是相關工作經驗一年以上,然後確認符合取證資格後再繳交年費135美金。 準備考試的時間因為種種原因,OPT就隨意的選擇可能比較不熟的領域來練習,然後就上場了。 可能是運氣好,不然就是官方不太會特別刁難已經ready的考生。 其實因為有了CISSP的經驗,對於考試會很謹慎,擔心準備的不夠或是方向錯誤,或是認為題目可能很簡單...
閱讀完整內容