вторник, 2 октября 2012 г.

Вопросы со 151 по 200 из CISM (перевод)

151. Какая стадия разработки приложения НАИБОЛЕЕ подходит для проведения оценки рисков?
А. Анализ осуществимости;
Б. Дизайн;
В. Программирование;
Г. Тестирование.

152. Какой НАИБОЛЕЕ эффективный путь управления рисками ИС в организации?
А. Разработка политик;
Б. Управление изменениями;
В. Тренинг персонала;
Г. Регулярный мониторинг.

153. Что является САМЫМ полезным при определении времени восстановления систем (RTO)?
А. Анализ разрывов;
Б. Регрессионный анализ;
В. Анализ рисков;
Г. Анализ влияния на бизнес.

154. Какой стадией завершается восстановление системы?
А. Декларацией о восстановлении;
Б. Восстановлением из резервной копии;
В. Восстановлением работоспособности;
Г. Восстановлением бизнес операций.

155. Какой результат процесса оценки рисков БОЛЬШЕ подходит для принятия решений?
А. Контролируемые риски;
Б. Неотъемлемые риски;
В. Показанные риски;
Г. Остаточные риски.

156. Какие меры должны применяться вначале к новым рискам ИС?
А. Контроль за уменьшением;
Б. Оценка влияния;
В. Оценка вероятности;
Г. Частота возникновения инцидентов.

157. Принятие рисков является компонентом:
А. оценки рисков;
Б. уменьшения рисков;
В. развития рисков;
Г. мониторинга рисков.

158. Программа управления рисками должна разрабатываться, чтобы уменьшить риски до:
А. столь малого уровня, чтобы его было трудно измерить;
Б. уровня, при котором выгода превосходит затраты;
В. уровня, что организация может принять;
Г. уровня, при котором происходит возврат затрат на защиту.

159. Как должна проводиться оценка рисков?
А. Ежегодно для каждого бизнес процесса;
Б. Каждые 3-6 месяцев для важных бизнес процессов;
В. Внешней компанией, чтобы достичь лучших результатов;
Г. Ежегодно или при заметных изменениях.

160. В чем заключается САМАЯ важная функция программы оценки рисков?
А. В количественной оценке всех рисков;
Б. В минимизации остаточных рисков;
В. В исключении неотъемлемых рисков;
Г. В увеличении сумм ожидаемых ежегодных потерь.

161. Какие риски могут быть ЛУЧШЕ оценены качественными методами?
А. Воровство ПО;
Б. Напряжение в электросети за последние сутки;
В. Постоянное раскрытие конфиденциальных данных клиентов;
Г. Временная неработоспособность корпоративной почты.

162. Что ЛУЧШЕ предотвращает внешние атаки?
А. Статическая IP адресация;
Б. Сетевая трансляция адресов;
В. Проверка уровня знаний временных сотрудников;
Г. Анализ логов систем доступа.

163. При проведении оценки рисков, какая стоимость сервера берется в расчет в случае выхода его из строя?
А. Стоимость покупки;
Б. Стоимость установленного ПО;
В. Стоимость ожидаемых годовых потерь;
Г. Стоимость замены.

164. Анализ влияния на бизнес это ЛУЧШИЙ инструмент для расчета:
А. полной стоимости владения;
Б. приоритетности восстановления;
В. ожидаемых годовых потерь;
Г. остаточных рисков.

165. Что делать, когда остаточные риски минимизированы?
А. Принять оставшиеся риски;
Б. Передать принятые риски;
В. Контролировать уменьшенные риски;
Г. Ничего, т.к. риски уже переданы.

166. Для каких данных БОЛЬШЕ подходит количественная оценка рисков?
А. Включающих восприятие заказчиков;
Б. Содержащих процентные ожидания;
В. Не содержащие специфических деталей;
Г. Содержащие объективную информацию.

167. Что наиболее подходит для использования Gap-анализа?
А. Оценка результатов анализа влияния на бизнес;
Б.  Разработка бизнес карт;
В. Демонстрация отношений между контролями;
Г. Определение текущего состояния и сравнение его с желаемым состоянием в будущем.

168. Что позволяет делать менеджеру проектов идентификация и приоритезация бизнес рисков?
А. Проводить внедрения поэтапно;
Б. Уменьшать количество неэффективно используемого времени;
В. Решать задачи по их значимости;
Г. Улучшить конкуренцию критичных задач.

169. Анализ рисков должен:
А. включать оценку подобных компаний;
Б. проводиться в равной степени для всех активов;
В. учитывать размер и вероятность потерь;
Г. считать вероятность более важным параметром, чем размер потерь.

170. Для чего требуется определение точки восстановления?
А. Для декларирования о произошедшем;
Б. Для определения момента восстановления;
В. Для восстановления системы;
Г. Для обработки после восстановления.

171. Основываясь на представленной информации, какая ситуация представляет САМЫЙ большой риск ИБ для организации, состоящей из большого числа маленьких офисов на территории одной страны?
А. Трудно обеспечить процедуры управления системами;
Б. Процедуры управления изменениями весьма скудные;
В. Разработка ИС отдана на аутсорсинг;
Г. Собственных сотрудников не хватает на управление своими системами.

172. Что лучше описывает область применения анализа рисков?
А. Ключевые финансовые системы;
Б. Активы организации;
В. Ключевые системы и инфраструктура;
Г. Элементы систем и соответствие требованиям.

173. Кем определяется решение о том, что  риски ИБ должны быть снижены до приемлемого уровня?
А. Требованиями организации;
Б. Требованиями ИС;
В. Требованиями ИБ;
Г. Международными стандартами.

174. Какая ПЕРВОСТЕПЕННАЯ причина программы управления рисками?
А. Позволить организации исключить риски?
Б. Является должной частью обязанностей добросовестного руководства;
В. Позволить удовлетворить требования аудиторов и регуляторов;
Г. Помочь увеличить уровень возврата инвестиций.

175. Какая группа является ЛУЧШЕЙ для проведения анализа рисков для бизнеса?
А. Внешние аудиторы;
Б. Рабочая группа, состоящая из сотрудников подобных организаций;
В. Собственники направлений;
Г. Специализированные консультанты.

176. К чему должна приводить успешная программа управления рисками?
А. К оптимизации уменьшаемых рисков с точки зрения их стоимости;
Б. К определению и включению уровня потерь в ежегодный бюджет;
В. К идентификации и ликвидации угроз человеческого фактора;
Г. К исключению или передаче всех рисков.

177. Какие риски ЛУЧШЕ всего оценивать количественным методом?
А. Утечка данных заказчика;
Б. Напряжение электрической сети;
В. Атака на web-сайт компании;
Г. Уход группы разработчиков.

178. Как вычислить ущерб от неработоспособности сети передачи данных с течение 6 часов?
А. Умножением стоимости часа на время;
Б. Умножением стоимости данных на их количество;
В. Вычислением уровня компенсации всем бизнес пользователем;
Г. Вычислением финансовых потерь от не функционирования бизнес подразделений.

179. Что ЛУЧШЕ всего использовать после проведения анализа рисков ИБ?
А. Отчет об анализе влияния на бизнес;
Б. Список действий по уменьшению рисков;
В. Сопоставление рисков с собственниками процессов;
Г. Количественные данные о рисках.

180. Что ЛУЧШЕ использовать при проведении анализа рисков ИБ?
А. Древовидную диаграмму;
Б. Диаграмму Венна;
В. Обычный график;
Г. Столбчатую диаграмму.

181. Кто является ЛУЧШЕЙ позицией для определения точки восстановления бизнес приложения?
А. Координатор непрерывности бизнеса;
Б. Исполнительный директор;
В. Менеджер ИБ;
Г. Внутренний аудитор.

182. Какая пара компонентов должна быть оценена в ПЕРВУЮ очередь при проведении анализа рисков?
А. Видимость и течение;
Б. Вероятность и ущерб;
В. Вероятность и частота;
Г. Ущерб и течение.

183. Для анализа рисков менеджер ИБ должен:
А. определить оптимальную стратегию восстановления;
Б. увеличить возврат инвестиций;
В. предоставить документы для аудитора и регулятора;
Г. Качественно связать риски с целями.

184. Что САМОЕ важное в оценке рисков?
А. Провести оценку всех типов ИТ активов;
Б. Использовать показатели подобных организаций;
В. Рассчитать уровни потерь и их вероятности;
Г. Сфокусировать внимание на угрозах и текущих потерях.

185. Когда группа по выявлению инцидентов обнаруживает свидетельства того, что хакеры проникли к вам в сеть и модифицировали клиентские данные, кого ПЕРВЫМ делом об этом должен уведомить менеджер ИБ?
А. Комитет управления ИБ;
Б. Клиентов, чьи данные пострадали;
В. Владельцев ресурсов с данными;
Г. Регулятора в области защиты.

186. За что в ПЕРВУЮ очередь отвечают владельцы данных при определении способов уменьшения выявленных рисков?
А. За безопасность ИТ платформ;
Б. за изменения доступов;
В. За обнаружение сетевых вторжений;
Г. За управление антивирусами.

187. В чем заключается ПРЕИМУЩЕСТВЕННАЯ цель программы управления рисками?
А. В защите важных ИТ активов;
Б. В установлении превентивных контролей для бизнес рисков;
В. В достижении бизнес целей;
Г. В постоянной доступности ИТ систем.

188. Для чего важно определять и классифицировать активы организации?
А. Чтобы понять стоимость защиты в зависимости от критичности активов;
Б. Чтобы защитить критичные активы;
В. Чтобы минимизировать стоимость защиты;
Г. Чтобы установить контрмеры пропорционально уровню рисков.

189. Соглашение об уровне сервиса (SLA) для ИТ систем отданных на аутсорсинг не отражает должного уровня защиты. Что должен сделать менеджер ИБ в этой ситуации?
А. Предложить провайдеру установить ответственность за потерю данных;
Б. Рекомендовать не продлевать контракт после его завершения;
В. Рекомендовать немедленно разорвать контракт;
Г. Определить требуемый уровень защищенности.

190. Менеджер ИБ занимается внедрением более запрещающих контролей. Что может в этом случае уменьшиться в ПЕРВУЮ очередь?
А. Угрозы;
Б. Утечки;
В. Уязвимости;
Г. Вероятности.

191. Что важно оценить при проведении количественного анализа рисков?
А. Производственные потери;
Б. Ущерб от раскрытия конфиденциальных данных;
В. Стоимость информации или информационных активов;
Г. Вероятность случавшихся уже угроз.

192. Что должен сделать менеджер ИБ ВНАЧАЛЕ перед проведением анализа рисков?
А. Сопоставить главные угрозы с бизнес целями;
Б. Оценить доступные ему ресурсы;
В. Понять стоимость критичных активов;
Г. Определить финансовый ущерб если угрозы осуществятся.

193. Кем должна проводиться оценка ИТ активов?
А. Менеджером ИБ;
Б. Независимым консультантом;
В. Финансовым директором;
Г. Владельцем актива.

194. Какая ПЕРВООЧЕРЕДНАЯ цель программы оценки рисков?
А. Минимизировать неотъемлемые риски;
Б. Исключить бизнес риски;
В. Внедрить эффективные контроли;
Г. Минимизировать остаточные риски.

195. Кто должен принимать решение с целью уменьшить риски после завершения оценки ИТ рисков?
А. Высшее руководство;
Б. Бизнес менеджер;
В. ИТ аудитор;
Г. Офицер ИБ.

196. Что должен сделать ПЕРВЫМ менеджер ИБ при проведении анализа рисков?
А. Установить владельцев ИТ активов;
Б. Выделить риски ИТ активов;
В. Инвентаризировать ИТ активы;
Г. Классифицировать ИТ активы.

197. В чем заключается ГЛАВНОЕ преимущество классификации информационных активов?
А. В установлении связи между требованиями ИБ и бизнес целями;
Б. В идентификации контролей соразмерно уровню рисков;
В. В определении прав доступов;
Г. В установлении владельцев.

198. Что является НАИБОЛЕЕ важным для того, чтобы программа анализа рисков была эффективной?
А. Гибкий бюджет на безопасность;
Б. Озвученные руководством основные риски;
В. Определение новых рисков;
Г. Точная отчетность по результатам анализа рисков.

199. Какая атака ЛУЧШЕ всего минимизируется использованием сложных паролей?
А. «Человек посередине»;
Б. Последовательный перебор;
В. Удаленное переполнение буфера;
Г. Повышение привилегий до максимальных.

200. Что ЛУЧШЕ всего противостоит фишингу?
А. Мониторинг безопасности;
Б. Шифрование;
В. Двухфакторная аутентификация;
Г. Программа осведомленности персонала.

Комментариев нет:

Отправить комментарий