воскресенье, 19 мая 2013 г.

Вопросы с 551 по 600 из CISM (перевод)


551. Что нужно сделать ПЕРВЫМ при наступлении инцидента ИБ?
А. Документировать;
Б. Наблюдать;
В. Восстанавливать;
Г. Сдерживать.

552. Что является НАИБОЛЕЕ важным для успешного проведения восстановления?
А. Наличие резервных копий на удаленной площадке;
Б. Восстановление прежнего режима безопасности и доступности;
В. Обеспечение доступности более одного горячего резерва;
Г. Создание альтернативных сетевых маршрутов.

553. Какой НАИБОЛЕЕ важный элемент успешного тестирования восстановления с использованием внешней горячей площадке?
А. Запланировать тест на выходные;
Б. Заранее выделить IP-адреса;
В. Идентичность оборудования здесь и там;
Г. Участие бизнеса в тестировании.

554. Что ВСЕГДА должно проводиться после завершения теста на восстановление с использованием внешней горячей площадке?
А. Уничтожение данных и программ;
Б. Проведение совещания по результатам тестирования;
В. Комплексная оценка провайдера услуг;
Г. Оценка результатов тестирования.

555. Что должен содержать план реагирования на инциденты?
А. Обновленный список контактов;
Б. Критерии эскалации инцидентов;
В. Шаблоны для пресс-релизов;
Г. Список критичных бекапов.

556. Что является ЛУЧШИМ действием при успешном проникновении злоумышленников в сеть организации?
А. Позволить бизнесу штатно работать;
Б. Команде реагирования оценить профиль атакующего;
В. Позволить продолжение атаки с целью определения её источника;
Г. Проверить, как работает процесс реагирования на инциденты.

557. Для чего должна собираться группа расследования после завершения расследования инцидента?
А. Для изучения электронных доказательств;
Б. Для извлечения уроков;
В. Для идентификации злоумышленника;
Г. Для определения пострадавшей области.

558. Организация, владеющая несколькими ЦОД, использует один из них в качестве горячего резерва. Какая САМАЯ важная забота в этом случае?
А. Ширина канала связи между ЦОД;
Б. Загрузка мощностей ЦОД;
В. Различия между логической структурой ЦОД;
Г. Синхронизация версий ПО в ЦОД.

559. Что САМОЕ важное для определения успешности проведенного теста на восстановление?
А. Использовались бизнес данные, расположенные на резервной площадке;
Б. ИТ персонал полностью восстановил инфраструктуру;
В. Критические бизнес процессы успешно дублировались;
Г. Все системы восстановились в установленное RTO время.

560. Что является САМЫМ важным при построении площадки горячего резервирования или заключения подобной услуги с внешней компанией?
А. Стоимость постройки площадки или заключения договора;
Б. Стоимость возможных потерь за день и время восстановления?
В. Сложность инфраструктуры и сложности бизнеса;
Г. Критические результаты анализа воздействия на бизнес.

561. Новый почтовый вирус, использует вложения и маскировку графическим файлом, быстро распространяется через интернет. Каким образом ЛУЧШЕ всего отреагировать на эту угрозу?
А. Переместить в карантин все картинки с файловых серверов;
Б. Блокировать пересылку картинок в качестве вложений;
В. Поместить в карантин все почтовые серверы, соединенные с интернет;
Г. Блокировать входящую почту, но разрешить исходящую.

562. В большой организации выявлены попытки изучения сетевой инфраструктуры. Что нужно сделать?
А. Перегрузить маршрутизатор соединяющий DMZ и МСЭ;
Б. Выключить все серверы, расположенные в DMZ;
В. Наблюдать за попытками и изолировать атакуемый сегмент;
Г. Включить логирование событий на серверах атакуемого сегмента.

563. Что необходимо включить в договор на оказание услуг по горячему резервированию, если вы продаете эту услугу?
А. Мощности могут быть разделены между разными организациями;
Б. Оборудование предоставляется только на время бедствия, а не на все время;
В. Принцип «кто первый обратился, тот первый обслужился»;
Г. Оборудование может быть предоставлено эквивалентное необходимому.


564. Что нужно сделать ПЕРВЫМ после завершения DDoS-атаки?
А. Восстановить серверы из резервных копий;
Б. Провести оценку и определить статусы систем;
В. Провести анализ нанесенного ущерба;
Г. Изолировать поврежденные системы.

565. Какой НАИБОЛЕЕ важный элемент для успешного восстановления бизнеса в чрезвычайной ситуации?
А. Детальный технический план использования горячего резерва;
Б. Избыточная сетевая инфраструктура и резервные провайдеры интернет;
В. Регулярная сертификация оборудования, размещенного в горячем резерве;
Г. Установление адекватных критериев чрезвычайной ситуации.

566. Что должна содержать политика непрерывности бизнеса?
А. Телефоны для экстренного оповещения;
Б. Критерии для восстановления;
В. Анализ воздействия на бизнес;
Г. Перечень критичных резервных копий.

567. Какая ГЛАВНАЯ цель использоваться IDS?
А. Идентификация слабости сетевой инфраструктуры;
Б. Идентификация подозрительных доступов;
В. Идентификация начала сетевой атаки;
Г. Идентификация потенциальных атак на внутреннюю сеть.

568. О чем в ПЕРВУЮ очередь должна заботиться организация, если она использует автоматический инструментарий для управления непрерывностью бизнеса?
А. Обеспечить доступность электронных версий планов восстановления;
Б. Контроль версий ПО и корректировка плана восстановления при их изменении;
В. Поддержание верных гиперссылок на ресурсы, задействованные в плане восстановления;
Г. Отслеживание изменений в персонале и ресурсах, которым необходимо обеспечить непрерывность.

569. Какой ЛУЧШИЙ путь удостовериться, что все критичные серверы содержат последние версии вирусных сигнатур?
А. Проверить даты файлов последних вирусных сигнатур;
Б. Использовать свежий вирус, который ловится только последними обновлениями;
В. Посмотреть в консоли управления антивирусом;
Г. Проверить несколько серверов на наличие обновленных сигнатур.

570. Какое действие должен предпринять менеджер ИБ при обнаружении злоумышленника изучающего сетевой периметр?
А. Перегрузить подключенный к МСЭ пограничный маршрутизатор;
Б. Проверить логи IDS и наблюдать за любыми активными атаками;
В. Обновить IDS самыми последними сигнатурами;
Г.  Включить логирование на серверах, расположенных в DMZ.

571. Какой САМЫЙ важный критерий при выборе антивирусного ПО?
А. Распространенность и годовая стоимость;
Б. Интерфейс для взаимодействия с IPS и МСЭ;
В. Наличие системы оповещения и оценки ущерба новых вирусов;
Г. Простота обслуживания и частота обновлений.

572. Какой САМЫЙ важный недостаток при настройке обновлений антивируса на каждую пятницу на 23:00?
А. Все новые вирусы начнут обнаруживаться после выходных;
Б. Технический персонал чаще не доступен в выходные дни;
В. Системы подвержены новым вирусам длительное время;
Г. Успешность или неуспешность обновлений станет известна только в понедельник.

573. Кто должен вычислять необходимое время восстановления и ожидаемую стоимость восстановления при проведении анализа воздействия на бизнес?
А. Координатор непрерывности бизнеса;
Б. Менеджер ИБ;
В. Владельцы бизнес процессов;
Г. Берутся референсные значения по отрасли.

574. Что ЛУЧШЕ всего ассоциируется с программой непрерывности бизнеса?
А. Подтверждение работоспособности существующего детального плана восстановления;
Б. Периодическое тестирование резервных возможностей сетей;
В. Ежеквартальное обновление оборудования для горячего резерва;
Г. Анализ времени восстановления для критичных функций.

575. Для какого приложения требуется НАИМЕНЬШЕЕ время восстановления?
А. Приложение, содержащее платежные ведомости контрагентов;
Б. Приложение по управлению изменениями;
В. Web-сайт электронной коммерции;
Г. Приложение, содержащее перечень информационных активов.

576. Какие документы в ПЕРВУЮ очередь должна иметь группа реагирования на инциденты ИБ?
А. Результаты оценки рисков;
Б. Критерии определения серьезности;
В. Телефоны для экстренного оповещения;
Г. Перечень критичных резервных копий.

577. В чем заключается ПЕРВООЧЕРЕДНАЯ цель проведения теста на проникновение, как из вне сети, так и изнутри, как часть программы реагирования на инциденты?
А. Идентификация слабых мест в сети и защищенности серверов;
Б. Понимание путей улучшения процесса реагирования;
В. Выявления потенциальных векторов атак;
Г. Оптимальное реагирование на внутренние атаки.

578. В каком случае может произойти мошенничество при расследовании инцидента с лентами резервных копий? Ленты были:
А. конфискованы для расследования;
Б. оставлены в библиотеке для последующего анализа;
В. сложены в конверт и помещены в сейф под двойной контроль;
Г. переданы для независимого расследования;

579. На что ЛУЧШЕ опираться менеджеру ИБ при идентификации недостатков безопасности?
А. План непрерывности бизнеса;
Б. План восстановления работоспособности;
В. План реагирования на инциденты;
Г. План управления уязвимостями.

580. Менеджер ИБ для расследования инцидента ИБ изолировал скомпрометированный ПК. Какой подходящий следующий шаг?
А. Запустить исследовательское ПО для получения данных;
Б. Перегрузить ПК, чтобы разорвать удаленные подключения;
В. Сделать копию системной памяти;
Г. Документировать подключения и открытые TCP/UDP порты.

581. Почему содержимое неразмеченных участков памяти на носителях информации также является частью расследования инцидентов?
А. Там могут находиться скрытые данные;
Б. Там могут находиться данные для аутентификации;
В. Область может быть зашифрована;
Г. Область можно использовать в качестве свободного места.

582. Какая ПЕРВООЧЕРЕДНАЯ цель совещания после расследования инцидента?
А. Корректировка бюджета на будущее;
Б. Сохранение данных, полученных при расследовании;
В. Улучшение процесса расследования;
Г. Полное документирование инцидента.

583. Что должен ПРЕИМУЩЕСТВЕННО учитывать детальный план непрерывности бизнеса?
А. Различные альтернативы;
Б. Менее дорогие решения;
В.  Стратегии подходящие для всех приложений;
Г. Стратегии одобренные руководством.

584. Web-сервер финансовой организации был скомпрометирован, действиями под правами суперпользователя, после чего он был изолирован для проведения расследования. Каким должен быть следующий шаг?
А. Развернуть сервер, используя последнюю проверенную резервную копию;
Б. Поместить сервер в карантин;
В. Принять организационное решение и выключить сервер;
Г. Развернуть сервер с оригинального дистрибутива и применить все подходящие обновления.

585. Данные полученные со скомпрометированного сервера будут использоваться для расследования. Какой источник данных ЛУЧШИЙ?
А. Посекторное копирование жестких дисков;
Б. Последняя проверенная резервная копия, хранящаяся на удаленной площадке;
В. Дамп данных из оперативной памяти;
Г. Последняя резервная копия сервера.

586. На что ЛУЧШЕ ссылаться, обращаясь в суд при расследовании инцидентов ИБ?
А. На международные стандарты;
Б. На локальные требования регуляторов;
В. На обычно принимаемые «лучшие практики»;
Г. На политики безопасности организации.

587. Чрезвычайные меры принимаются на ранней стадии бедствия с целью предотвращения
травм или гибели людей, а также для:
А. определения степени повреждения имущества;
Б. сохранения окружающей среды;
В. обеспечение точного выполнения плана восстановления;
Г. снижения степени оперативных ущербов.

588. Какое ПЕРВОЕ действие должен выполнить менеджер ИБ узнав об украденном ноутбуке сотрудника компании?
А. Оценить ущерб от потери информации;
Б. Обновить перечень ноутбуков компании;
В. Обеспечить соответствие с отчетностью;
Г. Немедленно заблокировать учетную запись сотрудника.

589. Какое ПЕРВОЕ действие должен выполнить менеджер ИБ, получив сообщение об инциденте ИБ?
А. Подтвердить инцидент;
Б. Определить ущерб;
В. Оповестить пострадавшую сторону;
Г. Изолировать область инцидента.

590. Какой ГЛАВНЫЙ фактор должен учитываться при разработке технического решения по созданию площадки горячего резерва?
А. Время работоспособности на горячем резерве;
Б. Время восстановления работоспособности в обычном режиме;
В. Время восстановления работоспособности;
Г. Максимально возможные потери.

591. На какой ГЛАВНЫЙ фактор нужно обратить внимание при разработке стратегии резервного копирования, которая будет частью плана восстановления при чрезвычайных ситуациях?
А. Объем конфиденциальных данных;
Б. Точка восстановления работоспособности;
В. Время восстановления работоспособности;
Г. Максимальное время неработоспособности.

592. IDS должна:
А. работать непрерывно;
Б. игнорировать аномалии;
В. требовать стабильного, редко меняющегося окружения;
Г. находиться в сети.

593. Какое действие должно быть ПРИОРИТЕТНЫМ при обнаружении инфицированного вирусом сервера?
А. Изолировать инфицированный сервер;
Б. Определить все потенциальные повреждения;
В. Обновить вирусные сигнатуры на сервере;
Г. Выявить недостатки конфигурирования на МСЭ.

594. Что является ЛУЧШИМ подтверждением того, что цели непрерывности бизнеса и плана восстановления работоспособности достигнуты?
А. Тестирование подтвердило, что время восстановления не превысило расчетное;
Б. Тестирование планов выполнялось последовательно;
В. Тестирование подтвердило, что точка восстановления была определена верно;
Г. Был правильно определен объем информационных активов и их собственники.

595. Какая ситуация должна БОЛЬШЕ всего беспокоить менеджера ИБ?
А. Аудит логов не производится с продуктовых серверов;
Б. Идентификатор входа уволенного системного аналитика до сих пор существует в системе;
В. Техническая поддержка получает сообщения о большом количестве фишинговых писем;
Г. На ноутбуке системного администратора был найден Троян.

596. БД номеров кредитных карт клиентов была похищена хакерами. Каким должен быть ПЕРВЫЙ шаг в этой ситуации?
А. Подтвердить инцидент;
Б. Оповестить руководство об инциденте;
В. Начать сдерживающие инцидент процедуры;
Г. Сообщить в правоохранительные органы.

597. Специализированный инструментарий использовался для перехвата получаемой информации одним сотрудником. Каким должен быть СЛЕДУЮЩИЙ шаг, чтобы обеспечить законность этой процедуры и возможность использовать перехваченную информацию для расследования?
А. Документировать, как происходила атака;
Б. Сообщить в правоохранительные органы;
В. Сделать копию носителей информации;
Г. Заблокировать учетную запись контролируемого сотрудника.

598. Что важно при сборе информации для проведения впоследствии расследования?
А. Обеспечить назначение квалифицированного персонала;
Б. Делать точные копии устройств, носителей информации;
В. Отключить и изолировать устройства от сети;
Г. Оповещать правоохранительные органы до собственного расследования.

599. Какой способ является ЛУЧШИМ для уменьшения потерь при DDoS атаках?
А. Устанавливать на все серверы последние обновления ОС;
Б. Настроить пакетную фильтрацию для отбрасывания подозрительных пакетов;
В. Настроить NAT, чтобы внутренние адреса не маршрутизировались;
Г. Внедрить балансировщик загрузок на системы, выставленные в интернет.

600. Что НАИБОЛЕЕ эффективно для оправдания создания группы управления инцидентами?
А. Оценить ущерб для бизнеса от последнего инцидента;
Б. Независимо оценить причины инцидентов;
В. Постоянно улучшать состояние ИБ;
Г. Показать бизнесу пользу от снижения потерь от инцидентов.







Комментариев нет:

Отправить комментарий