Главная / Безопасность /
Руководство по безопасности в Lotus Notes / Тест 2
Упражнение 2:
Номер 1
Ответ:
Руководство по безопасности в Lotus Notes - тест 2
Упражнение 1:
Номер 1
Ответ:
Номер 1
Что из перечисленного ниже относится к определению угрозы?
Ответ:
(1) выражение намерения причинить боль, повреждения, зло или наказать
(2) подвергать вероятности потерь или повреждений; подвергаться опасности, как
в следующем случае "Своими действиями он рисковал навлечь на себя серьезные последствия"
(3) фактор, элемент, направление или что-нибудь угодно такое, в чем может заключаться неизвестная опасность
(4) вероятность пострадать от ущерба или потери; опасность
(5) нечто, что рассматривается как вероятная опасность
(6) признак надвигающейся опасности или возможности пострадать
Номер 3
Ответ:
Как принято называть уровень риска, допустимого для жизнедеятельности организации, который могут покрыть страховые компании?
Ответ:
(1) приемлемый риск
(2) допустимый риск
(3) остаточный риск
(4) неустранимый риск
Номер 1
К базовым шагам ИТ-безопасности для уменьшения риска относятся
Ответ:
(1) анализ главных опасностей для организации, которую вы пытаетесь защитить
(2) определение политики безопасности для работы с теми активами, для которых невозможно воспрепятствовать действиям злоумышленников без наложения одной или нескольких защитных мер
(3) защита от внешних атак, внутренних атак
(4) установка фаервола, антивируса, брандмауэра
(5) определение процедуры обработки чрезвычайных ситуаций
(6) определение приемлемого остаточного риска
Номер 2
Ответ:
Причины существования остаточного риска?
Ответ:
(1) существование человеческого фактора
(2) неизвестные неизвестности (т. е., если вы не знаете о том, что не знаете о какой-то определенной вещи или концепции)
(3) вирусы
(4) некоторые виды рисков не стоят того, чтобы на них тратить деньги
(5) плохая организация ИТ-безопасности
Номер 3
Ответ:
Выберите верные утверждения.
Ответ:
(1) более 80% инцидентов в системе безопасности обусловлены своими (служащими организации)
(2) менее чем 20% инцидентов в системе безопасности обусловлены своими (служащими организации)
(3) более 80% инцидентов в системе безопасности происходят от вирусов и внешних атак
Упражнение 3:
Номер 1
Ответ:
Номер 1
Что включает в себя стандарт ISO 17799?
Ответ:
(1) руководство для поддержки программы сертификации
(2) сводка правил по управлению информационной безопасностью на практике
(3) руководство для создания углубленного обзора информационной безопасности организации
(4) спецификация системы управления информационной безопасностью
Номер 2
Ответ:
Выберите верные утверждения. ISO 17799 - это подробный стандарт в сфере безопасности, который:
Ответ:
(1) включает четкие подробные инструкции "как сделать"
(2) дает полный и строгий специфичный материал на любую из тем по вопросам безопасности
(3) состоит из 10 главных разделов, в каждом из которых вкратце затрагиваются различные темы или области безопасности
(4) набор правил для управления информационной безопасностью на практике
Номер 3
Ответ:
Наилучшим способом обеспечить всей организации надлежащую безопасность и должным образом реализовать ее является:
Ответ:
(1) использование существующих в организации средств для обеспечения безопасности
(2) анализ главных опасностей в организации и определение политик безопасности
(3) использование антивирусов и брандмауэров
(4) использование методологии безопасности
Упражнение 4:
Номер 1
Ответ:
Номер 1
Выберите верные утверждения. Стандарт Общие критерии для оценки безопасности информационных технологий (CC, Common Criteria for Information Technology Security Evaluation):
Ответ:
(1) определяет общие концепции и принципы оценки ИТ-безопасности, а также представляет основную модель для оценок
(2) предлагает конструкции для выражения целей ИТ-безопасности, для выбора и определения требований к ИТ-безопасности и для написания высокоуровневых спецификаций для продуктов и систем
(3) помогает проанализировать и разложить по категориям связанные с безопасностью проблемы и обсуждения в нынешнем электронном бизнесе, управляемом корпоративными ИТ-инфраструктурами
(4) набор правил для управления информационной безопасностью на практике
Номер 2
Ответ:
Стандарт Общие критерии для оценки безопасности информационных технологий включает в себя:
Ответ:
(1) сводка правил по управлению информационной безопасностью на практике
(2) введение и основная модель. Основные концепции и принципы оценки ИТ-безопасности
и основная модель для оценивания
(3) спецификация системы управления информационной безопасностью
(4) функциональные требования к безопасности
(5) требования гарантирования безопасности
(6) информация для поддержки сертификационной программы
(7) руководство для создания углубленного обзора информационной безопасности организации
Номер 3
Ответ:
Цель стандарта Общие критерии (CC):
Ответ:
(1) задают таксономию для оценивания функциональности системы
безопасности посредством набора функциональных и гарантийных требований
(2) задает набор правил для управления информационной безопасностью на практике
(3) предназначены в качестве стандарта для оценки функциональности безопасности в продуктах
(4) расширить применимость семиуровневой системной модели OSI (Open Systems Interconnection, взаимодействие открытых систем) до возможностей безопасных коммуникаций между системами
Упражнение 5:
Номер 1
Ответ:
Номер 1
Продолжите фразу. Метод построения решений для обеспечения безопасности (MASS, Method for Architecting Secure Solutions)...
Ответ:
(1) определяет общие концепции и принципы оценки ИТ-безопасности, а также представляет основную модель для оценок
(2) предлагает конструкции для выражения целей ИТ-безопасности, для выбора и определения требований к ИТ-безопасности и для написания высокоуровневых спецификаций для продуктов и систем
(3) помогает проанализировать и разложить по категориям связанные с безопасностью проблемы и обсуждения в нынешнем электронном бизнесе, управляемом корпоративными ИТ-инфраструктурами
(4) набор правил для управления информационной безопасностью на практике
Номер 2
Ответ:
Какова цель стандарта ISO 7498-2?
Ответ:
(1) задают таксономию для оценивания функциональности системы
безопасности посредством набора функциональных и гарантийных требований
(2) задает набор правил для управления информационной безопасностью на практике
(3) предназначены в качестве стандарта для оценки функциональности безопасности в продуктах
(4) расширить применимость семиуровневой системной модели OSI (Open Systems Interconnection, взаимодействие открытых систем) до возможностей безопасных коммуникаций между системами
Номер 4
Ответ:
Какие функциональные классы Общих критериев соответствуют функциональной категории "Аудит"?
Ответ:
(1) управление безопасностью
(2) доступ к компонентам
(3) защита компонентов
(4) идентификация
(5) аудит
(6) использование ресурсов
(7) защита данных
(8) коммуникации
Упражнение 6:
Номер 1
Ответ:
Номер 1
Какие функциональные классы Общих критериев соответствуют функциональной категории "Контроль доступа"?
Ответ:
(1) аудит
(2) использование ресурсов
(3) защита компонентов
(4) защита данных
(5) управление безопасностью
(6) доступ к компонентам
(7) идентификация и аутентификация
(8) приватность
Номер 2
Ответ:
Какие функциональные классы Общих критериев соответствуют функциональной категории "Контроль потока"?
Ответ:
(1) аудит
(2) использование ресурсов
(3) защита компонентов
(4) защита данных
(5) управление безопасностью
(6) поддержка криптографии
(7) коммуникации
(8) надежные пути/каналы
Номер 3
Ответ:
Какие функциональные классы Общих критериев соответствуют функциональной категории "Целостность решения"?
Ответ:
(1) аудит
(2) использование ресурсов
(3) защита компонентов
(4) защита данных
(5) управление безопасностью
(6) доступ к компонентам
(7) коммуникации
(8) поддержка криптографии
Упражнение 7:
Номер 1
Ответ:
Номер 1
Назначение системы аудита безопасности в ИТ-решении по методологии MASS:
Ответ:
(1) чтобы сбор данных, анализ и требования архивации компьютерного решения направлялись
в поддержку соответствия стандартам проверки, необходимой для ИТ-окружения
(2) обеспечить соблюдение политик безопасности через управление доступом к процессам
и службам в пределах компьютерного решения и их выполнением средствами идентификации, аутентификации и авторизации процессов вместе с механизмами, использующими мандаты и атрибуты
(3) чтобы требования надежности и корректности операций компьютерного решения адресовались в поддержку соответствия легальным и техническим стандартам для этих процессов
(4) обеспечить выполнение политик безопасности посредством управления потоком информации в пределах компьютерного решения, воздействия на видимость информации в компьютерном решении и гарантирования целостности информации, протекающей внутри компьютерного решения
(5) создавать, распределять и управлять объектами данных, которые несут в себе информацию
о подлинности и разрешениях для сетей, платформ, процессов и подсистем безопасности в пределах компьютерного решения
Номер 2
Ответ:
Назначение подсистемы целостности решения в ИТ-решении по методологии MASS:
Ответ:
(1) чтобы сбор данных, анализ и требования архивации компьютерного решения направлялись
в поддержку соответствия стандартам проверки, необходимой для ИТ-окружения
(2) обеспечить соблюдение политик безопасности через управление доступом к процессам
и службам в пределах компьютерного решения и их выполнением средствами идентификации, аутентификации и авторизации процессов вместе с механизмами, использующими мандаты и атрибуты
(3) чтобы требования надежности и корректности операций компьютерного решения адресовались в поддержку соответствия легальным и техническим стандартам для этих процессов
(4) обеспечить выполнение политик безопасности посредством управления потоком информации в пределах компьютерного решения, воздействия на видимость информации в компьютерном решении и гарантирования целостности информации, протекающей внутри компьютерного решения
(5) создавать, распределять и управлять объектами данных, которые несут в себе информацию
о подлинности и разрешениях для сетей, платформ, процессов и подсистем безопасности в пределах компьютерного решения
Номер 3
Ответ:
Назначение подсистемы контроля доступа в ИТ-решении ИТ-решении по методологии MASS:
Ответ:
(1) чтобы сбор данных, анализ и требования архивации компьютерного решения направлялись
в поддержку соответствия стандартам проверки, необходимой для ИТ-окружения
(2) обеспечить соблюдение политик безопасности через управление доступом к процессам
и службам в пределах компьютерного решения и их выполнением средствами идентификации, аутентификации и авторизации процессов вместе с механизмами, использующими мандаты и атрибуты
(3) чтобы требования надежности и корректности операций компьютерного решения адресовались в поддержку соответствия легальным и техническим стандартам для этих процессов
(4) обеспечить выполнение политик безопасности посредством управления потоком информации в пределах компьютерного решения, воздействия на видимость информации в компьютерном решении и гарантирования целостности информации, протекающей внутри компьютерного решения
(5) создавать, распределять и управлять объектами данных, которые несут в себе информацию
о подлинности и разрешениях для сетей, платформ, процессов и подсистем безопасности в пределах компьютерного решения
Номер 4
Ответ:
Назначение мандатной подсистемы в ИТ-решении по методологии MASS:
Ответ:
(1) чтобы сбор данных, анализ и требования архивации компьютерного решения направлялись
в поддержку соответствия стандартам проверки, необходимой для ИТ-окружения
(2) обеспечить соблюдение политик безопасности через управление доступом к процессам
и службам в пределах компьютерного решения и их выполнением средствами идентификации, аутентификации и авторизации процессов вместе с механизмами, использующими мандаты и атрибуты
(3) чтобы требования надежности и корректности операций компьютерного решения адресовались в поддержку соответствия легальным и техническим стандартам для этих процессов
(4) обеспечить выполнение политик безопасности посредством управления потоком информации в пределах компьютерного решения, воздействия на видимость информации в компьютерном решении и гарантирования целостности информации, протекающей внутри компьютерного решения
(5) создавать, распределять и управлять объектами данных, которые несут в себе информацию
о подлинности и разрешениях для сетей, платформ, процессов и подсистем безопасности в пределах компьютерного решения
Упражнение 8:
Номер 1
Ответ:
Номер 1
Согласно Общим критериям требования безопасности к подсистеме аудита включают:
Ответ:
(1) целостность и надежность ресурсов
(2) совокупность данных аудита безопасности, куда входят сбор соответствующих
данных, надежная передача данных аудита и синхронизация хронологий
(3) физическую защиту объектов данных, таких, как криптографические ключи,
и физических компонентов, таких, как кабели, аппаратура и т. д.
(4) обзоры, обнаружение аномалий, анализ нарушений и анализ атак при помощи простой или сложной эвристики
(5) источник точного времени для измерения времени и временных штампов
(6) поднятие тревоги при падении защитных барьеров, условия подачи предупреждений и критические события
(7) предупреждения и действия при обнаружении физической или пассивной
атаки
(8) разрешение контроля доступа
Номер 2
Ответ:
Согласно Общим критериям фокус подсистемы целостности решения мог бы включать:
Ответ:
(1) целостность и надежность ресурсов
(2) поднятие тревоги при падении защитных барьеров, условия подачи предуп-
реждений и критические события
(3) физическую защиту объектов данных, таких, как криптографические ключи,
и физических компонентов, таких, как кабели, аппаратура и т. д.
(4) анализ данных аудита безопасности
(5) механизмы хранения; криптографические и аппаратные модули безопасности
(6) разрешение контроля доступа
(7) механизмы идентификации и аутентификации
(8) механизмы авторизации для введения атрибутов, привилегий и разрешений
Номер 3
Ответ:
Согласно Общим критериям в функциональные требования к подсистеме контроля доступа следует включить:
Ответ:
(1) целостность и надежность ресурсов
(2) разрешение контроля доступа
(3) механизмы хранения; криптографические и аппаратные модули безопасности
(4) расстановку приоритетов службам посредством квот и выделения ресурсов
(5) предупреждения и действия при обнаружении физической или пассивной
атаки
(6) непрерывные операции, куда входят отказоустойчивость, устранение неисправностей и самотестирование
(7) механизмы идентификации и аутентификации
(8) механизмы авторизации для введения атрибутов, привилегий и разрешений
Номер 4
Ответ:
Согласно Общим критериям в подсистему контроля информационного потока могут быть включены следующие функциональные требования:
Ответ:
(1) целостность и надежность ресурсов
(2) разрешение контроля доступа
(3) механизмы хранения; криптографические и аппаратные модули безопасности
(4) расстановку приоритетов службам посредством квот и выделения ресурсов
(5) предупреждения и действия при обнаружении физической или пассивной
атаки
(6) разрешение или запрещение потока
(7) передача служб и окружения: открытие надежного канала, открытие надежного пути, соглашения среды, ручное перемещение, импорт или экспорт между
доменами
(8) механизмы наблюдаемости: для блокировки криптографии (шифрование)
Упражнение 9:
Номер 1
Ответ:
Номер 1
Для цели дизайна безопасности "Отчетность посредством надежной идентификации" необходимыми подсистемами безопасности являются:
Ответ:
(1) аудит
(2) целостность
(3) контроль доступа
(4) контроль потока
(5) мандаты/подлинность
Номер 2
Ответ:
Для цели дизайна безопасности "Защита от мошенничества" необходимыми подсистемами безопасности являются:
Ответ:
(1) аудит
(2) целостность
(3) контроль доступа
(4) контроль потока
(5) мандаты/подлинность
Номер 3
Ответ:
Для цели дизайна безопасности "защита от атак" необходимыми подсистемами безопасности являются:
Ответ:
(1) аудит
(2) целостность
(3) контроль доступа
(4) контроль потока
(5) мандаты/подлинность
Упражнение 10:
Номер 1
Ответ:
Номер 1
В чем заключается дуальная природа дизайна безопасности ИТ-бизнесс-процессов?
Ответ:
(1) обеспечивать и поддерживать безопасность данных и защиту от внешних угроз
(2) обеспечение защиты от внутренних (внутри организации) и внешних угроз
(3) обеспечивать и поддерживать нормальное выполнение, а также идентифицировать и учитывать все недозволенные течения и аномальные события
Номер 2
Ответ:
Цель документирования концептуальной архитектуры безопасности:
Ответ:
(1) такой тип концептуальной модели формирует основу для разработки и оценки "подтверждения концепции"
(2) такой тип концептуальной модели формирует основу для дальнейшего усовершенствования функциональных аспектов безопасности в целевом окружении
(3) определение кредитоспособности решения в целом
Номер 3
Ответ:
В процесс интеграции безопасности в архитектуру общего решения входят шаги:
Ответ:
(1) создание моделей окружения решения
(2) документирование архитектурных решений
(3) разработка вариантов использования
(4) усовершенствование функционального дизайна
(5) интеграция требований безопасности в архитектуры компонентов
(6) тестирование системы
(7) оценка проведенных работ, определение затрат
Упражнение 11:
Номер 1
Ответ:
Номер 1
Какие три фазы(вида деятельности) входят в методологию ISSL?
Ответ:
(1) оценка
(2) анализ
(3) построение
(4) обучение
(5) тестирование
(6) управление
(7) модернизация
Номер 2
Ответ:
Что из перечисленного ниже относится к фазе "построение" по методологии ISSL?
Ответ:
(1) оценка текущего состояния дел
(2) планирование будущей инфраструктуры безопасности
(3) фактическая реализацию на практике инфраструктуры безопасности
(4) отслеживание возможных нарушений в системе безопасности
(5) обработка различных инцидентов, связанных с безопасностью
Номер 3
Ответ:
Что из перечисленного ниже относится к фазе "управление" по методологии ISSL?
Ответ:
(1) оценка текущего состояния дел
(2) планирование будущей инфраструктуры безопасности
(3) фактическая реализацию на практике инфраструктуры безопасности
(4) отслеживание возможных нарушений в системе безопасности
(5) обработка различных инцидентов, связанных с безопасностью
Упражнение 12:
Номер 1
Ответ:
Номер 1
Какие действия входят в фазу "управление" в методологии ISSL?
Ответ:
(1) разбить информацию по категориям
(2) определить политики и процедуры
(3) определить контрмеры
(4) выполнение политики безопасности и ее документирование
(5) обучение пользователей
(6) проверка соответствия
(7) обратная связь результатов
Номер 2
Ответ:
Какие действия входят в фазу "построение" в методологии ISSL?
Ответ:
(1) понять бизнес-клиента
(2) выполнить анализ риска
(3) определить политики и процедуры
(4) определить контрмеры
(5) выполнение политики безопасности и ее документирование
(6) обучение пользователей
(7) проверка соответствия
Номер 3
Ответ:
Какие действия входят в фазу "оценка" в методологии ISSL?
Ответ:
(1) понять бизнес-клиента
(2) выполнить анализ риска
(3) выполнить анализ угроз
(4) разбить информацию по категориям
(5) определить политики и процедуры
(6) определить контрмеры
(7) проверка соответствия