среда, 14 ноября 2012 г.

Вопросы с 251 по 300 из CISM (перевод)

251. Какая техника НАИБОЛЕЕ точно показывает, нужно ли внедрять меры для снижения рисков ИБ?

А. Анализ контрмер с точки зрения стоимости и пользы;

Б. Тест на проникновение;

В. Программа периодического анализа рисков;

Г. Расчет ожидаемых годовых потерь.



252. Организация хочет внедрить дополнительные меры ИБ для нового процесса. Примером чего это является?

А. Устранения риска;

Б. Передаче риска;

В. Уменьшения риска;

Г. Принятия риска.



253. Кто ПРЕИМУЩЕСТВЕННО отвечает за определения уровней при классификации информации?

А. Менеджер;

Б. Хранитель данных;

В. Пользователь;

Г. Владелец данных.



254. На основе чего должно проводиться присвоение классов для критичной информации?

А. На основе области определенной к защите;

Б. На основе уровней доступа;

В. Согласно стоимости информационных ресурсов;

Г. В зависимости от бюджета программы защиты.



255. Организация сертифицирована на соответствие международному стандарту безопасности. Какой механизм в дальнейшем ЛУЧШЕ поможет организации определить уровень соответствия требованиям регуляторов?

А. Определение ключевых индикаторов (KPI);

Б. Проведение анализа влияния на бизнес (BIA);

В. Gap-анализ;

Г. Техническая оценка уязвимостей.



256. При проведении качественного анализа рисков, какой метод покажет БОЛЕЕ достоверные результаты?

А. Вычисление ожидаемых потерь;

Б. Моделирование возможного сценария реализации угроз;

В. Оценка стоимости информационных активов;

Г. Техническая оценка уязвимостей.



257. Какая техника БОЛЕЕ эффективна при использовании в программе управления рисками?

А. Оценка изменения прав доступа пользователей?

Б. Сравнение результатов с лучшими практиками по отрасли;

В. Сопоставление результатов с рисками организации;

Г. Вовлечение в процесс всех сотрудников организации.



258. Для чего НАИБОЕЕ эффективно регистрировать риски?

А. Для назначения ответственных за их уменьшение;

Б. Для определения угроз и их вероятностей;

В. Для пересмотра рисков на периодической основе;

Г. Для оценки ежегодных финансовых потерь.



259. После утверждения в организации комитета ИБ, каков должен быть следующий шаг в реализации программы управления ИБ?

А. Определение метрик безопасности;

Б. Проведение оценки рисков;

В. Gap-анализ;

Г. Внедрение средств защиты информации.



260. Какие важные составляющие используются в оценке влияния на бизнес (BIA)?

А. Допустимое время простоя, информационные ресурсы, критичность;

Б. Цена простоя бизнеса в год как фактор бюджета на ИБ;

В. Разработанная методология непрерывности бизнеса;

Г. Структура команды кризисного управления организацией.



261. Как оценка рисков может обеспечить защиту информации?

А. Риски снижаются до приемлемого уровня, согласующегося с целями организации;

Б. Внедряются средства защиты информации;

В. Проводятся обучающие программы для персонала по основам ИБ;

Г. Устраняются уязвимости во всех информационных системах.



262. Какой САМЫЙ эффективный путь снизить риск возникновения природного бедствия, а также ущерб от него?

А. Внедрить контрмеры;

Б. Исключить данный риск;

В. Передать данный риск;

Г. Принять данных риск.



263. Каков ПЕРВЫЙ шаг c т.з. плана непрерывности бизнеса должен предпринять менеджер ИБ, чтобы платежная система непрерывно работала даже в условиях урагана?

А. Провести качественный и количественный анализы рисков;

Б. Определить стоимость платежной системы;

В. Сопоставить стоимость внедрения плана непрерывности c возможными потерями;

Г. Провести анализ влияния на бизнес (BIA).



264. Как ЛУЧШЕ должны быть организованы процессы ИБ?

А. Они должны быть сопоставлены с бизнес целями компании и сделаны путем создания безопасных процессов;

Б. Они должны быть документированы, также за их невыполнение должна быть установлена ответственность;

В. Они должны точно следовать международным стандартам и лучшим практикам;

Г. Они должны учитывать ожидания сотрудников.



265. На чем должен сосредоточить свое внимание в ПЕРВУЮ очередь менеджер ИБ при внедрении контролей ИБ?

А. На минимизации ущерба;

Б. На устранении всех уязвимостей;

В. На ориентировании на подобные организации;

Г. На сертификации организации консалтинговой компанией.



266. До какого уровня ЧАСТО требуется уменьшить ущерб в процессе управления рисками?

А. До уровня установленного менеджером ИБ;

Б. До приемлемого организацией уровня;

В. До соответствия требованиям регулятора;

Г. До минимально возможного уровня.



267. Кто в процессе анализа рисков должен определить приемлемый уровень риска для web-приложения?

А. Офицер ИБ;

Б. ИТ-директор;

В. Владелец ресурса;

Г. Главный исполнительный директор.



268. Какова может быть цель корректирующего контроля?

А. Уменьшить поток рекламы;

Б. Оповещать о компрометации;

В. Уменьшить ущерб;

Г. Обеспечить соответствие.



269. Что НАИБОЛЕЕ важно для обеспечения ИБ в новой системе?

А. Провести анализ влияния на бизнес (BIA);

Б. Признать личные мобильные устройства сотрудников частью ИС;

В. Начать тренинг для персонала по основам ИБ;

Г. Провести базовый анализ рисков.



270. Ранее принятый риск должен быть:

А. периодически переоценен, т.к. он может измениться или могут измениться условия;

Б. принят на постоянной основе, т.к. руководством уже были потрачены ресурсы на его анализ;

В. исключен из рассмотрения, т.к. система защита по нему уже создана;

Г. исключен из рассмотрения, т.к. он уже принят.



271. Менеджер ИБ получил информацию о том, что его компания представляет интерес для группы хакеров, которые используют различные техники проникновения, включая социальную инженерию. Какой ПЕРВЫЙ шаг должен сделать менеджер ИБ?

А. Провести полную оценку используемых хакерами техник атак;

Б. Провести программу повышения осведомленности по теме социальная инженерия;

В. Немедленно обратиться к руководству для поднятия приоритета данного риска;

Г. Увеличить бдительность за системами мониторинга, такими как IDS.



272. Какой шаг предпринимается ПЕРВЫМ в процессе оценки рисков?

А. Интервьюирование персонала;

Б. Идентификация угроз;

В. Идентификация активов и определение их стоимости;

Г. Определение вероятностей возможных рисков.



273. Какой из методов аутентификации предотвращает replay?

А. Сравнение с хэшем пароля;

Б. Механизм запрос/ответ;

В. WEP;

Г. Базовая аутентификация HTTP.



274. В организации присутствует процесс, в который вовлечен вендор. Оценка рисков проводилась во время внедрения процесса. Через год было принято решение использовать другого вендора. Что нужно сделать в этой ситуации?

А. Ничего, т.к. оценка рисков проводилась во время внедрения процесса;

Б. Выявить уязвимости и провести их оценку;

В. Провести оценку рисков заново;

Г. Запросить у нового вендора соответствие стандарту SAS 70 Type II.



275. Кто может ЛУЧШЕ оценить разработку и успешное выполнение программы ИБ?

А. Внутренний аудитор;

Б. Главный операционный директор;

В. Управляющий комитет;

Г. Руководство ИТ.



276. Что ЛУЧШЕ обеспечивает конфиденциальность передаваемой через интернет информации?

А. VPN;

Б. МСЭ и маршрутизаторы;

В. Биометрическая аутентификация;

Г. Двухфакторная аутентификация.



277. От чего БОЛЬШЕ зависит эффективность антивирусных средств?

А. От фильтрации пакетов на входе в сеть;

Б. От IDS на входе в сеть;

В. От обновления ПО;

Г. От вирусных сигнатур.



278. Какой тип контроля доступа САМЫЙ эффективный?

А. Централизованный;

Б. Основанный на ролях;

В. Деценрализованный;

Г. Дискреционный.



279. Какое устройство подходит для размещения в DMZ?

А. Маршрутизатор;

Б. Межсетевой экран;

В. Почтовый транспортный сервер;

Г. Сервер аутентификации.



280. Где должен размещаться IDS?

А. За межсетевым экраном;

Б. На межсетевом сервере;

В. В DMZ;

Г. На внешнем маршрутизаторе.



281. Какая ЛУЧШАЯ причина установки в организации двух параллельных МСЭ, выходящих из DMZ в интернет?

А. Более глубокая защита;

Б. Разделение тестовой и промышленной среды;

В. Балансировка нагрузки;

Г. Предотвращение DDoS.



282. Где должен размещаться экстранет-сервер?

А. До межсетевого экрана;

Б. На межсетевом сервере;

В. В DMZ;

Г. На внешнем маршрутизаторе.



283. Какая метрика ЛУЧШЕ показывает эффективность программы повышения осведомленности персонала?

А. Количество сброшенных паролей;

Б. Количество сообщений об инцидентах;

В. Количество обработанных инцидентов;

Г. Количество нарушений правил доступа.



284. На чем в ПЕРВУЮ очередь должен фокусироваться мониторинг безопасности?

А. На критичной для бизнеса информации;

Б. На помощи владельцам бизнеса управлять рисками;

В. На обнаружении сетевых вторжений;

Г. На записи всех событий нарушивших безопасность.



285. Какой метод обеспечивает ЛУЧШЕЕ знание и понимание политик ИБ?

А. Периодические встречи фокус-группы;

Б. Периодический пересмотр соответствия;

В. Тренинг персонала с использованием презентаций;

Г. Ознакомление сотрудников под роспись.



286. Какой САМЫЙ важный документ, заключаемый между организацией и внешней компанией?

А. Соглашение об условиях прерывании взаимоотношений;

Б. Соглашение об ограничении ответственности;

В. Соглашение о качестве сервиса;

Г. Соглашение о финансовых требованиях.



287. Какая метрика ЛУЧШЕ показывает эффективность работы систем обнаружения сетевых атак?

А. Количество обнаруженных атак;

Б. Количество успешных атак;

В. Отношение количества ложно позитивных срабатываний к ложно негативным.

Г. Отношение успешных и неуспешных атак.



288. Что НАИБОЛЕЕ эффективно для предотвращения слабых мест системы, которая вводится в промышленную эксплуатацию?

А. Устранение уязвимостей;

Б. Управление изменениями;

В. Применение политик безопасности;

Г. Обнаружение вирусов.



289. Какой инструментарий БОЛЬШЕ подходит для определения времени затраченного на проект.

А. Диаграмма Ганта;

Б. Диаграмма «Водопады»;

В. Метод «Критичный путь»;

Г. Быстрая разработка приложений (RAD).



290. Что НАИБОЛЕЕ эффективно для предотвращения слабых мест в операционной системе?

А. Устранение уязвимостей;

Б. Управление изменениями;

В. Применение политик безопасности;

Г. Управление конфигурациями.



291. Что нужно сделать, когда проводимые изменения конфликтуют с принятыми стандартами ИБ?

А. Рассчитать остаточные риски;

Б. Актуализировать стандарты ИБ;

В. Пересмотреть вносимые изменения;

Г. Принять компенсирующие меры.



292. Кто САМЫЙ подходящий для утверждения структуры управления ИБ в организации?

А. Внутренний аудитор;

Б. Менеджер ИБ;

В. Управляющий комитет;

Г. Менеджер инфраструктуры.



293. Какое САМОЕ эффективное решение, позволяющее предотвратить несанкционированное изменение пользователями конфиденциальной информации?

А. Применение стандартов ИБ;

Б. Ведение логов систем;

В. Ролевой контроль доступа;

Г. Контроль на выходе из систем.



294. Что обычно используется для подтверждения отправителя и целостности информации через интернет?

А. Биометрическая аутентификация;

Б. Встроенная стеганография;

В. Двухфакторная аутентификация;

Г. Встроенная цифровая подпись.



295. Какая САМАЯ подходящая частота обновления антивирусных сигнатур на промышленных серверах?

А. Ежедневно;

Б. Еженедельно;

В. Вместе с обновлениями ОС;

Г. При запланированных изменениях.



296. Какое оборудование должно быть размещено в DMZ?

А. Сетевой коммутатор;

Б. Web-сервер;

В. Сервер БД;

Г. Файловый сервер.



297. Где должен быть размещен межсетевой экран?

А. Там же где web-сервер;

Б. Вместе с IDS;

В. В DMZ;

Г. На границе домена.



298. Где должен быть размещен интранет-сервер?

А. Во внутренней сети;

Б. Там же где сервер, используемый в качестве МСЭ;

В. Там же, где внешний маршрутизатор;

Г. Там же, где контроллер домена.



299. Чем ЛУЧШЕ обеспечивается контроль доступа за критичной информацией, находящейся на сервере во внутренней сети?

А. Шифрованием;

Б. ЭЦП;

В. Сложными паролями;

Г. Двухфакторной аутентификацией.



300. Владелец ресурса обнаружил, что в приложении управление безопасностью реализовано очень слабо. Что в этой ситуации сделать ЛУЧШЕ всего?

А. Реализовать централизованное управление;

Б. Внедрить санкции за несоответствие;

В. Применить ИТ-политики;

Г. Периодически пересматривать соответствие.

Комментариев нет:

Отправить комментарий