Главная / Безопасность /
Анализ и управление рисками в информационных системах на базе операционных систем Microsoft / Тест 2
Номер 3
Ответ:
Анализ и управление рисками в информационных системах на базе операционных систем Microsoft - тест 2
Упражнение 1:
Номер 1
Ответ:
Номер 1
В каком году в России принят последний стандарт "Информационная технология. Практические правила управления информационной безопасностью"?
Ответ:
(1) 2008
(2) 1999
(3) 2005
Номер 2
Ответ:
Является ли информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура существенными активами организации?
Ответ:
(1) частично
(2) нет
(3) да
Рассматривает ли стандарт ГОСТ Р ИСО/МЭК 17799:2005 вопросы информационной безопасности в аспектах экономического эффекта?
Ответ:
(1) да
(2) нет
(3) нет, но экономическая сторона вопроса не отрицается
Упражнение 2:
Номер 1
Ответ:
Номер 1
Какие из перечисленных факторов, предписано учитывать в ГОСТ Р ИСО/МЭК 17799:2005 при формировании требований безопасности?
Ответ:
(1) оценку рисков организации
(2) юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг
(3) специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации
Номер 2
Ответ:
Может организация в целях обеспечения безопасности разрабатывать свой специфический набор принципов, целей и требований, в отношении обработки информации?
Ответ:
(1) да, безусловно
(2) нет
(3) да, но только по согласованию с местными органами власти
Номер 3
Ответ:
Что достигается посредством оценки рисков организации?
Ответ:
(1) анализируется вероятность возникновения угроз, а также оценка возможных последствий
(2) происходит выявление угроз активам организации
(3) осуществляется изучение уязвимости соответствующих активов
Упражнение 3:
Номер 1
Ответ:
Номер 1
Какие требования выдвигаются к формализации политики безопасности?
Ответ:
(1) дожна быть разработана и утверждена руководством организации
(2) должна быть издана и доведена до сведения всех сотрудников
(3) должна определять порядок работы с информационными ресурсами организации, обязанности и ответственность сотрудников
Номер 2
Ответ:
Какова степень модальности создания управляющих советов с участием руководящего состава организации в отношении политики информационной безопасности?
Ответ:
(1) стандарт рекомендует создавать управляющие советы
(2) стандарт предписывает безоговорочное создание управляющих советов
(3) стандарт не предполагает введения управляющих советов
Номер 3
Ответ:
Предписывает ли стандарт введение организацией своих мер по обеспечению информационной безопасности?
Ответ:
(1) да
(2) нет
(3) только в отношении сугубо материально ассоциированных факторов
Упражнение 4:
Номер 1
Ответ:
Номер 1
Какие формальности предполагает порядок доступа специалистов сторонних организаций к информационным системам?
Ответ:
(1) в договоры со специалистами сторонних организаций и организациями должны быть включены требования, касающиеся соблюдения политики безопасности
(2) достаточно инструктажа о соблюдении мер информационной безопасности
(3) в договорах со специалистами сторонних организаций и организациями Формально ответственность за несоблюдение требований безопасности по отношению к специалистам сторонних организаций вменить нельзя
Номер 2
Ответ:
Какие типы обработки информации подлежат классификации в аспектах оценки приоритетности ее защиты?
Ответ:
(1) только копирование, хранение и передача информации
(2) только передача голосом, включая мобильный телефон, голосовую почту, автоответчики
Номер 3
Ответ:
Как определяется стандартом организация информационной безопасности с точки зрения управления персоналом?
Ответ:
(1) обязанности по соблюдению требований безопасности должны включаться только в трудовые договоры
(2) обязанности по соблюдению требований безопасности должны распределяться на стадии подбора персонала, включаются в трудовые договоры, а мониторинг осуществляется в течение всего периода работы сотрудника
(3) стандарт не регламентирует закрепление и мониторинг информационной безопасности в аспектах управления персоналом
Упражнение 5:
Номер 1
Ответ:
Номер 1
Каковы рекомендации стандарта по обучению пользователей процедурам безопасности?
Ответ:
(1) всех пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации
(2) всех пользователей не реже одного раза в год предписано обучать и экзаменовать на предмет знаний процедур безопасности
(3) требования по процедурам безопасности доводятся единожды при приеме на работу под роспись, в дальнейшем контроля за знанием работником процедур безопасности не требуется
Номер 2
Ответ:
Входит в перечень рекомендаций по обеспечению физической защиты и защиты от воздействия окружающей среды организация зон безопасности?
Ответ:
(1) да
(2) нет
(3) нет, но имеется ссылка на требования законодательства
Номер 3
Ответ:
Влияют ли сбои электропитания на степень защиты кабельной сети?
Ответ:
(1) да
(2) нет
(3) только гипотетически
Упражнение 6:
Номер 1
Ответ:
Номер 1
Какие из перечисленных рекомендаций по обеспечению безопасности при осуществлении обмена информацией между организациями содержатся в стандарте ГОСТ Р ИСО/МЭК 17799-2005?
Ответ:
(1) должна обеспечиваться безопасность носителей информации при пересылке, определена политика использования электронной почты и электронных офисных систем
(2) следует уделять внимание защите целостности информации, опубликованной электронным способом, например информации на Web-сайте
(3) рекомендуется организация авторизованного доступа на сайт организации
Номер 2
Ответ:
Какие из перечисленных требований обеспечения аутентификации справедливы?
Ответ:
(1) требуется, чтобы правила контроля доступа и права каждого пользователя или группы пользователей однозначно определялись политикой безопасности
(2) требуется, чтобы при использовании парольной аутентификации пользователи подписывали документ о необходимости соблюдения полной конфиденциальности паролей
(3) требуется обеспечить безопасность процесса получения пароля пользователем
Номер 3
Ответ:
Какие из перечисленных мер рекомендуется выполнять для обеспечения непрерывности бизнес-процессов?
Ответ:
(1) требуется идентифицировать события, которые могут быть причиной прерывания бизнес-процессов
(2) требуется провести оценку последствий, после чего разработать планы восстановления
(3) требуется согласовать порядок компенсации потенциального ущерба
Упражнение 7:
Номер 1
Ответ:
Номер 1
Каковы требования к идентификаторам, используемым для идентификации и аутентификации?
Ответ:
(1) все пользователи должны иметь уникальные идентификаторы, подчеркивающие признаки привилегии пользователя
(2) все пользователи должны иметь уникальные идентификаторы, которые не должны содержать признаков уровня привилегии пользователя
(3) все пользователи должны иметь логично читаемые идентификаторы, которые напрямую указывают на уровень пользователя
Номер 2
Ответ:
Системы управления паролем должны предусматривать:
Ответ:
(1) эффективные интерактивные возможности
(2) использование системных утилит должно быть ограничено и тщательным образом контролироваться
(3) обеспечение установленных технических условий эксплуатации локальных сетей
Номер 3
Ответ:
Какие действия надлежит выполнять с результатами мониторинга?
Ответ:
(1) их следует вносить в генеральный всемирный реестр результатов мониторинга
(2) их следует регулярно анализировать
(3) никаких действий по результатам мониторинга выполнять не надо
Упражнение 8:
Номер 1
Ответ:
Номер 1
Что из перечисленного должны предусматривать системы управления паролем?
Ответ:
(1) эффективные интерактивные возможности
(2) использование системных утилит должно быть ограничено и тщательным образом контролироваться
(3) обеспечение установленных технических условий эксплуатации локальных сетей
Номер 2
Ответ:
Для чего необходимо проводить мониторинг системы безопасности?
Ответ:
(1) в целях формирования требований политики контроля доступа
(2) в целях обеспечения релевантности действий сотрудников учреждения
(3) в целях обеспечения доказательства на случай выявления инцидентов нарушения информационной безопасности
Упражнение 9:
Номер 1
Ответ:
Номер 1
Что надлежит предпринимать при использовании переносных устройств, например, ноутбуков?
Ответ:
(1) специальные меры противодействия компрометации служебной информации
(2) формализованную политику, учитывающую риски, связанные с работой с переносными устройствами, в особенности в незащищенной среде
(3) необходимо обеспечить жесткий контроль за использованием ноутбуков
Номер 2
Ответ:
На каком этапе разработки информационных систем необходимо обеспечить учет требований безопасности?
Ответ:
(1) согласования проекта с заказчиком
(2) разработки информационных систем
(3) отладки информационных систем
Номер 3
Ответ:
Какие из перечисленных аспектов, по Вашему, не могут быть включены в стандарт?
Ответ:
(1) вопросы соблюдения авторского права (в том числе, на программное обеспечение)
(2) вопросы защиты персональной информации (сотрудников, клиентов)
(3) вопросы физической защиты сотрудников, клиентов
Упражнение 10:
Номер 1
Ответ:
Номер 1
Какой подход предлагает стандарт по работе с системами менеджмента информационной безопасности?
Ответ:
(1) процессинговый подход
(2) клиринговый подход
(3) методика хеджирования рисков
Номер 2
Ответ:
Какой из этапов предполагает выполнение следующих пунктов системы менеджмента информационной безопасности:
определить способ измерения результативности выбранных мер управления; реализовать программы по обучению и повышению квалификации сотрудников;
Ответ:
(1) этап "внедрение и функционирование системы менеджмента информационной безопасности"
(2) этап "проведение мониторинга и анализа системы менеджмента информационной безопасности"
(3) этап разработки системы менеджмента информационной безопасности
Номер 3
Ответ:
Какие из перечисленных мер предлагается выполнять на этапе "поддержка"?
Ответ:
(1) выявлять возможности улучшения системы менеджмента информационной безопасности; предпринимать необходимые корректирующие и предупреждающие действия, использовать на практике опыт по обеспечению информационной безопасности, полученный как в собственной организации, так и в других организациях;
(2) передавать подробную информацию о действиях по улучшению системы менеджмента информационной безопасности всем заинтересованным сторонам, при этом степень ее детализации должна соответствовать обстоятельствам и, при необходимости, согласовывать дальнейшие действия;
(3) обеспечивать внедрение улучшений системы менеджмента информационной безопасности для достижения запланированных целей
Упражнение 11:
Номер 1
Ответ:
Номер 1
Что из перечисленного входит в требования стандарта к документации?
Ответ:
(1) положения политики системы менеджмента информационной безопасности и описание области функционирования, описание методики и отчет об оценке рисков
(2) план обработки рисков, документирование связанных процедур
(3) положение, предписывающее определять процесс управления документами системы менеджмента информационной безопасности, включающий актуализацию, использование, хранение и уничтожение
Номер 2
Ответ:
Как стандарт определяет ответственность руководства организации за обеспечение и управление ресурсами?
Ответ:
(1) руководство организации ограниченно ответственно за обеспечение и управление ресурсами, необходимыми для создания системы менеджмента информационной безопасности
(2) руководство организации ответственно за обеспечение и управление ресурсами, необходимыми для создания системы менеджмента информационной безопасности, включая аспекты управления персоналом
(3) руководство организации ответственно за обеспечение и управление ресурсами, необходимыми для создания системы менеджмента информационной безопасности, однако аспекты управления персоналом в стандарт не включены
Номер 3
Ответ:
Предписывается руководству организации осуществлять внутренний аудит в аспектах информационной безопасности?
Ответ:
(1) да
(2) нет
(3) организация должна проводить внутренние аудиты системы менеджмента информационной безопасности только по требованию надзорных органов
Упражнение 12:
Номер 1
Ответ:
Номер 1
Какие из перечисленных работ по улучшению системы менеджмента информационной безопасности входят в стандарт?
Ответ:
(1) работы по улучшению системы менеджмента информационной безопасности
(2) работы по обеспечению уровня соответствия текущего состояния системы, предъявляемым к ней требованиям
(3) работы по обеспечению надлежащей HR политики в организации
Номер 2
Ответ:
Какие из перечисленных мероприятий рекомендуется выполнять на этапе "Поддержка и улучшение системы менеджмента информационной безопасности"?
Ответ:
(1) передавать подробную информацию о действиях по улучшению системы менеджмента информационной безопасности всем заинтересованным сторонам, при этом степень ее детализации должна соответствовать обстоятельствам и, при необходимости, согласовывать дальнейшие действия; обеспечивать внедрение улучшений системы менеджмента информационной безопасности для достижения запланированных целей
(2) обновлять планы информационной безопасности с учетом результатов анализа и мониторинга; регистрировать действия и события, способные повлиять на результативность или функционирование системы менеджмента информационной безопасности
(3) обеспечивать внедрение улучшений системы менеджмента информационной безопасности для достижения запланированных целей
Номер 3
Ответ:
Предписано учреждению передавать подробную информацию о действиях по улучшению системы менеджмента информационной безопасности всем заинтересованным сторонам?
Ответ:
(1) да
(2) нет
(3) только по запросу вышестоящей организации