Вопросы с 31 по 100 из CISM (перевод)

31. Бизнес подразделения предлагают внедрить новую технологию, которая идет вразрез с существующими стандартами ИБ. Что немедленно должен сделать менеджер ИБ в этой ситуации?

А. Отстоять существующий стандарт ИБ;

Б. Изменить стандарт, чтобы разрешить внедрение;

В. Провести количественный анализ рисков;

Г. Провести исследовательскую работы и выбрать лучшую технологию.

32. Принятие рисков ИБ в организации осуществляется:

А. юридическим подразделением;

Б. менеджером ИБ;

В. внешними аудиторами;

Г. руководством.

33. ПРЕИМУЩЕСТВЕННАЯ цель разработки стратегии ИБ заключается в:

А. установлении метрик ИБ и мониторинге производительности;

Б. обучении ИБ владельцев ресурсов в соответствии с их обязанностями;

В. обеспечении соответствия законодательным и нормативным документам;

Г. поддержке бизнес целей организации.

34. Руководство организации может позволить расширить направление ИБ если:

А. исполнительный директор формально поддерживает политики ИБ;

Б. с сотрудниками регулярно проводится программа повышения осведомленности;

В. происходит периодическое сравнение действий ИБ с целями организации;

Г. руководство подписывает стратегию ИБ.

35. Что является ЛУЧШИМ примером при разработке политик ИБ при появлении законодательных или нормативных требований ИБ?

А. Разработать различные политики по каждому регулятору;

Б. Разработать политики, состоящие из обязательных требований;

В. Включить в существующие политики формулировки из требований регуляторов;

Г. Провести оценку рисков соответствия требованиям.

36. Какая деятельность подразделения ИБ САМАЯ несвойственная?

А. Интервьюирование кандидатов на позиции специалистов ИБ;

Б. Разработка содержания программ повышение осведомленности;

В. Приоретизация инициатив ИБ;

Г. Утверждение доступов к критичным финансовым системам.

37. Какой САМЫЙ важный фактор при разработке структуры ИБ в организации?

А. Интерфейсы технических платформ;

Б. Масштабируемость сети;

В. Разработка методологий;

Г. Требования заинтересованных сторон.

38. Какая характеристика САМАЯ важная при просмотрах резюме кандидатов на роль CISO?

А. Знания ИТ платформ, сетей и методологий разработки;

Б. Способность понимать нужды организации и проецировать их в технологии безопасности;

В. Знания регулирующих документов и техник ведения проектов;

Г. Способность управлять различными группами людей и ресурсами организации.

39. Что обновляется чаще всего?

А. Процедуры для защиты серверов баз данных;

Б. Парольные политики;

В. Политики определяющие управление ИБ;

Г. Стандарты определяющие хранение и уничтожение информации.

40. Кто несет ответственность за фактически обнаруженный доступ к данным приложений?

А. Владелец данных;

Б. Владелец бизнес процесса;

В. Руководство;

Г. Администратор безопасности.

41. CISO в идеале должен подчиняться:

А. главному аудитору;

Б. операционному директору;

В. техническому директору;

Г. главному юрисконсульту.

42. САМАЯ важная задача для CISO:

А. применение настроек безопасности;

Б. тестирование плана восстановления;

В. утверждение доступа к критичным финансовым системам;

Г. разработка стратегии ИБ.

43. Разработка задания на покупку средств защиты информации БОЛЬШЕ ассоциируется с:

А. большой вероятностью возникновения инцидентов;

Б. количественной оценки стоимости восстановления после сбоев;

В. проведенным расчетом возврата инвестиций;

Г. сравнением практик в других подобных организациях.

44. С чем должна пересекаться стратегия ИБ?

А. Со стратегическим планом развития ИТ;

Б. С развитием технологий ИТ;

В. С планами развития оборудования и ПО на 3-5 лет;

Г. С бизнес стратегией.

45. Какая НАИБОЛЕЕ важная информация для включения в стратегию ИБ?

А. Требования ИБ к персоналу;

Б. Описание текущего состояния и состояния, к которому необходимо стремиться;

Б. Требования финансовых вложений в ИТ;

Г. Описание миссии ИБ.

46. Проекты ИБ должны приоритезироваться на основе:

А. сроков внедрения;

Б. ущерба для организации;

В. стоимости внедрения;

Г. объема ресурсов для внедрения.

47. Какая НАИБОЛЕЕ важная информация для включения в стандарт ИБ?

А. Дата создания;

Б. Имя разработчика;

В. Дата начала разработки;

Г. Дата последнего пересмотра.

48. Что ЛУЧШЕ выполнить менеджеру ИБ при подготовке к проверке регулятором?

А. Назначить администратора безопасности ответственным за проведение проверки;

Б. Провести оценку требований регулятора и уже отправленных ему предыдущих отчетов;

В. Обсудить предыдущий отчет регулятора с владельцем процесса;

Г. Удостовериться, что все ответы на запросы регулятора согласованы юристами.

49. Работая в крупной организации, менеджер ИБ знает, что организация подпадает под требования стран,  в которых ведется бизнес. Что он должен сделать в этой ситуации:

А. Разработать единые требования для всех площадок;

Б. Разработать основные стандарты для всех площадок и дополнительные по необходимости;

В. Привести все площадки к единым требованиям, основанным на лучших практиках;

Г. Установить базовые стандарты для выполнения на всех площадках.

50. Что ЛУЧШЕ описывает роль менеджера ИБ, работающего в крупной организации при поступлении новых требований ИБ от регуляторов?

А. Выявить все ИТ риски;

Б. Оценить ущерб от реализации угроз ИБ;

В. Продемонстрировать, что существующие ИТ контроли и так уменьшают риски;

Г. Предложить новые ИТ контроли для уменьшения операционных рисков.

51. Какая немедленная польза от четко определенных ролей и ответственности в организации?

А. Улучшится соответствие политикам;

Б. Улучшится выполнение процедур;

В. Разделятся обязанности персонала;

Г. Улучшится подотчетность.

52. Что должен предпринять менеджер ИБ после того, как внутренний аудитор выявил основные слабости ИТ процессов?

А. Проанализировать метрики ИБ;

Б. Провести оценку рисков;

В. Провести анализ ущерба для бизнеса;

Г. Составить отчет об инвестициях в ИБ.

53. Что ЛУЧШЕ пересмотреть для того, чтобы контроли ИБ стали эффективнее?

А. Политики оценки рисков;

Б. Инвестиции в ИБ;

В. Метрики ИБ;

Г. Права доступа пользователей.

54. Кто в организации отвечает за соответствие законодательным и нормативным требованиям?

А. Директор по безопасности;

Б. Главный юрисконсульт;

В. Руководство;

Г. Группа управления безопасностью.

55. При внедрении процесса управления ИБ ПЕРВЫМ делом необходимо:

А. Разработать стандарты ИБ;

Б.  Разработать минимальные требования ИБ;

В. Разработать стратегию ИБ;

Г. Разработать политики ИБ.

56. Какое САМОЕ основное требования для программы управления ИБ в организации?

А. Программа должна быть согласована с бизнес стратегией;

Б. Программа должна быть основана на озвученных рисках по итогам оценки рисков;

В. Программа должна приводить к соответствию требованиям регуляторов;

Г. Программа должны быть основана на лучших практиках.

57. Чья ответственность должна быть прописана в политике ИБ?

А. Руководства организации;

Б. Руководителя ИТ;

В. Руководителя ИБ;

Г. Руководителя СВК.

58. Хорошая политика обработки ПДн должна включать:

А. уведомления об ответственности за правильность ПДн;

Б. уведомления о том, что ПДн зашифрованы;

В. описание целей обработки ПДн;

Г. описание процесса классификации ПДн.

59. Что является САМЫМ эффективным для успешного внедрения парольных политик?

А. Регулярный аудит использования паролей;

Б. Внедрение систем единого входа (SSO);

В. Программа повышения осведомленности персонала;

Г. Наказания за нарушения.

60. Какой САМЫЙ важный элемент должен содержать ежеквартальный отчет о состоянии ИБ для руководства?

А. Метрики ИБ;

Б. Информация, требуемая для расчета прибыли;

В. Связь с бизнес задачами;

Г. Связь текущих метрик и их развитие.

61. Менеджер ИБ, работающий в международной организации, должен обеспечить защиту ПДн с:

А. общей корпоративной политикой;

В. корпоративной политикой по месту сбора данных;

В. корпоративной политикой страны головной организации;

Г. общими международными требованиями.

62. Новый нормативный документ, касаемый обработки определенного типа информации привлек внимание менеджера ИБ. Что он в этом случае должен сделать?

А. Встретиться со всеми заинтересованными сторонами для решения вопроса;

Б. Провести анализ рисков соответствия новым требованиям;

В. Оценить существующие контроли на соответствие новым требованиям;

Г. Обновить существующие политики ИБ.

63. Первичная цель подразделения отвечающего за ИБ:

А. обеспечение безопасности всех бизнес функций организации;

Б. обеспечение сопоставление ИБ с бизнес целями организации;

В. повышение уровня осведомленности персонала;

Г. внедрение управленческих решений в части ИБ.

64. Владелец данных хочет обеспечить конфиденциальность, целостность и доступность данных во время их обработки. К чему это относится?

А. К основным ИБ требованиям;

Б. К стратегии ИБ;

В. К процедурам ИБ;

Г. К политикам ИБ.

65. На каком этапе разработки приложений должен привлекаться департамент ИБ?

А. В соответствии с требованиями;

Б. На этапе тестирования;

В. На этапе программирования;

Г. На этапе детального проектирования.

66. Какая информация имеет САМОЕ важное значение для включения менеджером ИБ в отчет для руководства организации?

А. Примеры инцидентов, произошедших в подобных организациях;

Б. Примеры взятые из лучших практик;

В. Информация о реалистичных угрозах для организации;

Г. Анализ существующих технических решений.

67. ПЕРВООЧЕРЕДНАЯ забота менеджера ИБ при разработке политики хранения данных заключается в:

А. принятии в целом «лучших практик»;

Б. ориентировании на бизнес требования;

В. ориентировании на законодательные и нормативные требования;

Г. оценке свободного места на имеющихся носителях информации.

68. Каким образом должны контролироваться ПДн, при передаче по каналам связи?

А. Управлением изменениями;

Б. Политикой ПДн;

В. Согласием на передачу;

Г. Шифрованием.

69.  Лишь на некоторых процессах в организации ИБ применяются меры ИБ.  Каким должен быть следующий шаг, чтобы улучшить ситуацию?

А. Обеспечить, чтобы меры ИБ распространялись на всю организацию;

Б. Обеспечить минимальные требования ИБ для всей организации;

В. Обеспечить, чтобы меры ИБ были полностью документированы;

Г. Начать наблюдение за ИБ через ключевые индикаторы.

70. Кто в организации отвечает за классификацию информации?

А. Ответственный за хранение данных;

Б. Администратор баз данных;

В. Офицер ИБ;

Г. Владелец данных.

71. Какая ПЕРВООЧЕРЕДНАЯ роль менеджера ИБ в процессе классификации информации?

А. Определить и утвердить структуру информационных активов;

Б. Предложить уровни, по которым информация будет классифицироваться;

В. Защитить информационные активы в соответствии с классификацией;

Г. Проверить, правильно ли информационные активы классифицированы.

72. Каким средством является процесс ведения логов в части защиты от компрометации информации?

А. Сдерживанием;

Б. Обнаружением;

В. Реагированием;

Г. Восстановлением.

73. Что является САМЫМ важным при разработке стратегии ИБ?

А. Создание позитивного настроя коллектива;

Б. Понимание ключевых бизнес целей;

В. Налаживание коммуникации с руководством организации;

Г. Определение подходящих ресурсов для реализации мер ИБ.

74. Кто в организации несет всю полноту ответственности?

А. Владелец данных;

Б. Директор по ИБ;

В. Руководство;

Г. Директор по ИТ.

75. Какой фактор является ГЛАВНЫМ драйвером процесса управления ИБ и не требует дальнейшего определения?

А. Ориентирование на лучшие практики по отрасли;

Б. Инвестиции в непрерывность бизнеса;

В. Бизнес преимущества;

Г. Соответствие требованиям регуляторов.

76. Что должен обеспечить менеджер ИБ если организация осуществляет трансграничную передачу ПДн?

А. Разработать соглашение на обработку;

Б. Регистрировать факты передачи в журналах;

В. Собрать согласия с субъектов ПДн;

Г. Разработать процедуры доступа субъектов к своим ПДн.

77. Какой принцип БОЛЬШЕ подходит для сопоставления типов данных и их описаний?

А. Этичность;

Б. Пропорциональность;

В. Интегрирование;

Г. Подотчетность.

78. Что является НАИБОЛЕЕ важной деталью для установления процесса управления ИБ?

А. Поддержка руководства;

Б. Структура ИБ;

В. Структура организации;

Г. Политика ИБ.

79. Что оказывает ВАЖНЕЙШЕЕ влияние на модель управления ИБ?

А. Количество сотрудников;

Б. Расстояния между площадками;

В. Сложность организационной структуры;

Г. Бюджет организации.

80. Руководство обращает внимание на важность интеграции ИБ в бизнес процессы организации. Что в этой ситуации должен сделать ПЕРВЫМ вновь назначенный на должность менеджер ИБ?

А. Подготовить бюджет на безопасность;

Б. Провести оценку рисков;

В. Разработать политики ИБ;

Г. Получить информацию о текущих настройках ПО.

81. Временное отключение мониторинга некоторых процессов, даже если руководство принимает данные риски, может быть неприемлемо для менеджера ИБ, если это:

А. нарушит соответствие требованиям;

Б. время отключения будет минимальным;

В. нарушит лучшие практики;

Г. не потребует изменений в матрицы ролей.

82. Результат эффективного управления ИБ зависит от:

А. оценки бизнес задач;

Б. стратегии развития бизнеса;

В. оценки рисков;

Г. планирования.

83. Каким образом менеджер ИБ должен балансировать между потенциально противоречащими международными и локальными требованиями?

А. Придать стандартам организации приоритет перед локальными требованиями;

Б. Следовать только локальным требованиям;

В. Осведомить руководство о том, с чем конфликтуют локальные требования;

Г. Вести переговоры о создании в организации локальных стандартов.

84. Кто должен быть драйвером анализа рисков в организации?

А. Руководство;

Б. Менеджер ИБ;

В. Служба внутреннего контроля;

Г. Юридический департамент.

85. Каким должен быть ПЕРВЫЙ шаг в разработке программы управления ИБ?

А. Идентифицировать бизнес риски;

Б. Ясно представлять цели создания программы;

В. Определить ответственных;

Г. Оценить адекватность контролей для снижения бизнес рисков.

86. На что нужно обратить внимание при оценке информации?

А. На возможные финансовые потери;

Б. На стоимость пересоздания информации;

В. На стоимость услуг по страхованию;

Г. На требования регуляторов.

87. Что должен учитывать в ПЕРВУЮ очередь менеджер ИБ при внедрении защитных мер?

А. Отчет об оценке рисков;

Б. Отчет о развитии подразделения ИТ;

В. Бизнес задачи;

Г. Выделенный бюджет.

88. Что ЛУЧШЕ использовать руководителю ИБ, чтобы отстоять бюджет подразделения?

А. Ожидаемую вероятность угроз;

Б. Ожидаемые ежегодные потери;

В. Анализ стоимости / выгоды;

Г. Сравнение с другими подобными организациями.

89. Что может стать САМЫМ большим препятствием внедрения эффективного управления ИБ?

А. Сложность технологий;

Б. Нехватка бюджета;

В. Конфликт с бизнес приоритетами;

Г. Отсутствие поддержки руководства.

90. Что нужно для эффективного достижения соответствия инициатив ИБ с задачами организации?

А. Председатель управляющего комитета ИБ должен регулярно меняться;

Б. Заручиться согласием с главными подразделениями;

В. Периодически обновлять бизнес стратегию;

Г. Политики ИБ должны утверждаться руководителями всех департаментов.

91. Какие риски представляют НАИБОЛЬШУЮ угрозу при использовании беспроводных сетей?

А. Атака «человек посередине»;

Б. Перехват пакетов с данными;

В. Мошеннические точки доступа;

Г. Взлом сессии.

92. Когда разрабатываются процедуры реагирования на инциденты, происходящие на серверах с критичными приложениями, кто должен быть оповещен в ПЕРВУЮ очередь?

А. Бизнес менеджер;

Б. Операционный менеджер;

В. Менеджер ИБ;

Г. Пользователи систем.

93. За что в ПЕРВУЮ очередь должен отвечать менеджер ИБ в процессе внедрения управления ИБ?

А. Разработка стратегии ИБ;

Б. Пересмотр стратегии ИБ;

В. Взаимодействие с требуемыми подразделениями;

Г. Утверждение стратегии ИБ.

94. Документ Стратегия ИБ включает специальные ссылки на деятельность организации, что ПРЕИМУЩЕСТВЕННО является:

А. мерой эффективности;

Б. интеграцией;

В. сопоставлением;

Г. оценкой.

95. Что является САМЫМ главным для включения в соглашения о качестве услуг с провайдерами сетей связи?

А. Соответствия с  международными стандартами ИБ;

Б. Использование двухфакторной аутентификации;

В. Существование резервной площадки в случае нарушения на основной;

Г. Соответствие с политиками ИБ организации.

96. Чтобы обосновать необходимость инвестиций в покупку инструментов для расследования мошенничеств, что должен сделать менеджер ИБ в ПЕРВУЮ очередь?

А. Рассмотреть функционал и требования к системе;

Б. Провести сравнение аналогичных систем в т.ч. используемых в других организациях;

В. Привести примеры ситуаций, в которых система могла бы быть полезна;

Г. Доказать необходимость инвестирования с точки зрения нужд организации.

97. Какой САМЫЙ  лучший путь для описания целей в стратегии ИБ?

А. Описать параметры желаемого состояния;

Б. Полностью описать цели программы защиты;

В. Спроектировать системы защиты ИТ систем с ключевыми бизнес процессами;

Г. Вычислить ожидаемые годовые потери.

98. Руководством озвучена важность защиты сети. Что в этом случае должен сделать ПЕРВЫМ менеджер ИБ?

А. Разработать структуру ИБ?

Б. Установить сетевую IDS и подготовить актуальные правила для ее работы;

В. Разработать политику защиты сети;

Г. Провести оценку рисков.

99. Какой САМЫЙ полный источник информации для определения необходимых ресурсов, требуемый для разработки программы ИБ?

А. Наличие опыта;

Б. Описание работ;

В. Структура организации;

Г. Проверка знаний.

100. Какая САМАЯ важная характеристика хорошей политики ИБ?

А. Описание ожиданий руководства ИТ;

Б. Установление в качестве обязательных только основных требований ИБ;

В. Сопоставление с целями организации;

Г. Описание порядка разработки процедур и инструкций.