551. Что нужно сделать ПЕРВЫМ при
наступлении инцидента ИБ?
А. Документировать;
Б. Наблюдать;
В. Восстанавливать;
Г. Сдерживать.
552. Что является НАИБОЛЕЕ важным
для успешного проведения восстановления?
А. Наличие резервных копий на
удаленной площадке;
Б. Восстановление прежнего режима
безопасности и доступности;
В. Обеспечение доступности более
одного горячего резерва;
Г. Создание альтернативных
сетевых маршрутов.
553. Какой НАИБОЛЕЕ важный
элемент успешного тестирования восстановления с использованием внешней горячей
площадке?
А. Запланировать тест на
выходные;
Б. Заранее выделить IP-адреса;
В. Идентичность оборудования
здесь и там;
Г. Участие бизнеса в
тестировании.
554. Что ВСЕГДА должно
проводиться после завершения теста на восстановление с использованием внешней
горячей площадке?
А. Уничтожение данных и программ;
Б. Проведение совещания по
результатам тестирования;
В. Комплексная оценка провайдера
услуг;
Г. Оценка результатов
тестирования.
555. Что должен содержать план
реагирования на инциденты?
А. Обновленный список контактов;
Б. Критерии эскалации инцидентов;
В. Шаблоны для пресс-релизов;
Г. Список критичных бекапов.
556. Что является ЛУЧШИМ
действием при успешном проникновении злоумышленников в сеть организации?
А. Позволить бизнесу штатно работать;
Б. Команде реагирования оценить
профиль атакующего;
В. Позволить продолжение атаки с
целью определения её источника;
Г. Проверить, как работает
процесс реагирования на инциденты.
557. Для чего должна собираться
группа расследования после завершения расследования инцидента?
А. Для изучения электронных
доказательств;
Б. Для извлечения уроков;
В. Для идентификации
злоумышленника;
Г. Для определения пострадавшей
области.
558. Организация, владеющая несколькими
ЦОД, использует один из них в качестве горячего резерва. Какая САМАЯ важная
забота в этом случае?
А. Ширина канала связи между ЦОД;
Б. Загрузка мощностей ЦОД;
В. Различия между логической
структурой ЦОД;
Г. Синхронизация версий ПО в ЦОД.
559. Что САМОЕ важное для
определения успешности проведенного теста на восстановление?
А. Использовались бизнес данные,
расположенные на резервной площадке;
Б. ИТ персонал полностью
восстановил инфраструктуру;
В. Критические бизнес процессы
успешно дублировались;
Г. Все системы восстановились в
установленное RTO
время.
560. Что является САМЫМ важным
при построении площадки горячего резервирования или заключения подобной услуги
с внешней компанией?
А. Стоимость постройки площадки
или заключения договора;
Б. Стоимость возможных потерь за
день и время восстановления?
В. Сложность инфраструктуры и
сложности бизнеса;
Г. Критические результаты анализа
воздействия на бизнес.
561. Новый почтовый вирус,
использует вложения и маскировку графическим файлом, быстро распространяется
через интернет. Каким образом ЛУЧШЕ всего отреагировать на эту угрозу?
А. Переместить в карантин все
картинки с файловых серверов;
Б. Блокировать пересылку картинок
в качестве вложений;
В. Поместить в карантин все
почтовые серверы, соединенные с интернет;
Г. Блокировать входящую почту, но
разрешить исходящую.
562. В большой организации
выявлены попытки изучения сетевой инфраструктуры. Что нужно сделать?
А. Перегрузить маршрутизатор
соединяющий DMZ и МСЭ;
Б. Выключить все серверы,
расположенные в DMZ;
В. Наблюдать за попытками и
изолировать атакуемый сегмент;
Г. Включить логирование событий
на серверах атакуемого сегмента.
563. Что необходимо включить в
договор на оказание услуг по горячему резервированию, если вы продаете эту
услугу?
А. Мощности могут быть разделены
между разными организациями;
Б. Оборудование предоставляется
только на время бедствия, а не на все время;
В. Принцип «кто первый обратился,
тот первый обслужился»;
Г. Оборудование может быть
предоставлено эквивалентное необходимому.
564. Что нужно сделать ПЕРВЫМ
после завершения DDoS-атаки?
А. Восстановить серверы из
резервных копий;
Б. Провести оценку и определить
статусы систем;
В. Провести анализ нанесенного
ущерба;
Г. Изолировать поврежденные
системы.
565. Какой НАИБОЛЕЕ важный
элемент для успешного восстановления бизнеса в чрезвычайной ситуации?
А. Детальный технический план использования
горячего резерва;
Б. Избыточная сетевая
инфраструктура и резервные провайдеры интернет;
В. Регулярная сертификация
оборудования, размещенного в горячем резерве;
Г. Установление адекватных
критериев чрезвычайной ситуации.
566. Что должна содержать
политика непрерывности бизнеса?
А. Телефоны для экстренного
оповещения;
Б. Критерии для восстановления;
В. Анализ воздействия на бизнес;
Г. Перечень критичных резервных
копий.
567. Какая ГЛАВНАЯ цель
использоваться IDS?
А. Идентификация слабости сетевой
инфраструктуры;
Б. Идентификация подозрительных
доступов;
В. Идентификация начала сетевой
атаки;
Г. Идентификация потенциальных
атак на внутреннюю сеть.
568. О чем в ПЕРВУЮ очередь
должна заботиться организация, если она использует автоматический
инструментарий для управления непрерывностью бизнеса?
А. Обеспечить доступность
электронных версий планов восстановления;
Б. Контроль версий ПО и корректировка
плана восстановления при их изменении;
В. Поддержание верных гиперссылок
на ресурсы, задействованные в плане восстановления;
Г. Отслеживание изменений в
персонале и ресурсах, которым необходимо обеспечить непрерывность.
569. Какой ЛУЧШИЙ путь удостовериться,
что все критичные серверы содержат последние версии вирусных сигнатур?
А. Проверить даты файлов последних
вирусных сигнатур;
Б. Использовать свежий вирус,
который ловится только последними обновлениями;
В. Посмотреть в консоли
управления антивирусом;
Г. Проверить несколько серверов
на наличие обновленных сигнатур.
570. Какое действие должен
предпринять менеджер ИБ при обнаружении злоумышленника изучающего сетевой
периметр?
А. Перегрузить подключенный к МСЭ
пограничный маршрутизатор;
Б. Проверить логи IDS и наблюдать за любыми
активными атаками;
В. Обновить IDS самыми последними сигнатурами;
Г. Включить логирование на серверах,
расположенных в DMZ.
571. Какой САМЫЙ важный критерий
при выборе антивирусного ПО?
А. Распространенность и годовая
стоимость;
Б. Интерфейс для взаимодействия с
IPS и МСЭ;
В. Наличие системы оповещения и
оценки ущерба новых вирусов;
Г. Простота обслуживания и
частота обновлений.
572. Какой САМЫЙ важный
недостаток при настройке обновлений антивируса на каждую пятницу на 23:00?
А. Все новые вирусы начнут
обнаруживаться после выходных;
Б. Технический персонал чаще не
доступен в выходные дни;
В. Системы подвержены новым
вирусам длительное время;
Г. Успешность или неуспешность
обновлений станет известна только в понедельник.
573. Кто должен вычислять
необходимое время восстановления и ожидаемую стоимость восстановления при
проведении анализа воздействия на бизнес?
А. Координатор непрерывности
бизнеса;
Б. Менеджер ИБ;
В. Владельцы бизнес процессов;
Г. Берутся референсные значения
по отрасли.
574. Что ЛУЧШЕ всего
ассоциируется с программой непрерывности бизнеса?
А. Подтверждение
работоспособности существующего детального плана восстановления;
Б. Периодическое тестирование
резервных возможностей сетей;
В. Ежеквартальное обновление
оборудования для горячего резерва;
Г. Анализ времени восстановления
для критичных функций.
575. Для какого приложения
требуется НАИМЕНЬШЕЕ время восстановления?
А. Приложение, содержащее
платежные ведомости контрагентов;
Б. Приложение по управлению
изменениями;
В. Web-сайт электронной коммерции;
Г. Приложение, содержащее
перечень информационных активов.
576. Какие документы в ПЕРВУЮ
очередь должна иметь группа реагирования на инциденты ИБ?
А. Результаты оценки рисков;
Б. Критерии определения серьезности;
В. Телефоны для экстренного
оповещения;
Г. Перечень критичных резервных
копий.
577. В чем заключается
ПЕРВООЧЕРЕДНАЯ цель проведения теста на проникновение, как из вне сети, так и
изнутри, как часть программы реагирования на инциденты?
А. Идентификация слабых мест в
сети и защищенности серверов;
Б. Понимание путей улучшения
процесса реагирования;
В. Выявления потенциальных
векторов атак;
Г. Оптимальное реагирование на
внутренние атаки.
578. В каком случае может
произойти мошенничество при расследовании инцидента с лентами резервных копий?
Ленты были:
А. конфискованы для
расследования;
Б. оставлены в библиотеке для
последующего анализа;
В. сложены в конверт и помещены в
сейф под двойной контроль;
Г. переданы для независимого
расследования;
579. На что ЛУЧШЕ опираться
менеджеру ИБ при идентификации недостатков безопасности?
А. План непрерывности бизнеса;
Б. План восстановления
работоспособности;
В. План реагирования на
инциденты;
Г. План управления уязвимостями.
580. Менеджер ИБ для расследования
инцидента ИБ изолировал скомпрометированный ПК. Какой подходящий следующий шаг?
А. Запустить исследовательское ПО
для получения данных;
Б. Перегрузить ПК, чтобы
разорвать удаленные подключения;
В. Сделать копию системной
памяти;
Г. Документировать подключения и
открытые TCP/UDP порты.
581. Почему содержимое
неразмеченных участков памяти на носителях информации также является частью
расследования инцидентов?
А. Там могут находиться скрытые
данные;
Б. Там могут находиться данные
для аутентификации;
В. Область может быть
зашифрована;
Г. Область можно использовать в
качестве свободного места.
582. Какая ПЕРВООЧЕРЕДНАЯ цель
совещания после расследования инцидента?
А. Корректировка бюджета на
будущее;
Б. Сохранение данных, полученных
при расследовании;
В. Улучшение процесса
расследования;
Г. Полное документирование
инцидента.
583. Что должен ПРЕИМУЩЕСТВЕННО
учитывать детальный план непрерывности бизнеса?
А. Различные альтернативы;
Б. Менее дорогие решения;
В. Стратегии подходящие для всех приложений;
Г. Стратегии одобренные
руководством.
584. Web-сервер финансовой организации был
скомпрометирован, действиями под правами суперпользователя, после чего он был
изолирован для проведения расследования. Каким должен быть следующий шаг?
А. Развернуть сервер, используя
последнюю проверенную резервную копию;
Б. Поместить сервер в карантин;
В. Принять организационное
решение и выключить сервер;
Г. Развернуть сервер с
оригинального дистрибутива и применить все подходящие обновления.
585. Данные полученные со скомпрометированного
сервера будут использоваться для расследования. Какой источник данных ЛУЧШИЙ?
А. Посекторное копирование
жестких дисков;
Б. Последняя проверенная
резервная копия, хранящаяся на удаленной площадке;
В. Дамп данных из оперативной
памяти;
Г. Последняя резервная копия
сервера.
586. На что ЛУЧШЕ ссылаться,
обращаясь в суд при расследовании инцидентов ИБ?
А. На международные стандарты;
Б. На локальные требования
регуляторов;
В. На обычно принимаемые «лучшие
практики»;
Г. На политики безопасности
организации.
587. Чрезвычайные меры
принимаются на ранней стадии бедствия с целью предотвращения
травм или гибели людей, а также для:
травм или гибели людей, а также для:
А. определения степени повреждения
имущества;
Б. сохранения окружающей среды;
В. обеспечение точного выполнения
плана восстановления;
Г. снижения степени оперативных
ущербов.
588. Какое ПЕРВОЕ действие должен
выполнить менеджер ИБ узнав об украденном ноутбуке сотрудника компании?
А. Оценить ущерб от потери
информации;
Б. Обновить перечень ноутбуков
компании;
В. Обеспечить соответствие с
отчетностью;
Г. Немедленно заблокировать
учетную запись сотрудника.
589. Какое ПЕРВОЕ действие должен
выполнить менеджер ИБ, получив сообщение об инциденте ИБ?
А. Подтвердить инцидент;
Б. Определить ущерб;
В. Оповестить пострадавшую сторону;
Г. Изолировать область инцидента.
590. Какой ГЛАВНЫЙ фактор должен
учитываться при разработке технического решения по созданию площадки горячего
резерва?
А. Время работоспособности на
горячем резерве;
Б. Время восстановления работоспособности
в обычном режиме;
В. Время восстановления
работоспособности;
Г. Максимально возможные потери.
591. На какой ГЛАВНЫЙ фактор
нужно обратить внимание при разработке стратегии резервного копирования,
которая будет частью плана восстановления при чрезвычайных ситуациях?
А. Объем конфиденциальных данных;
Б. Точка восстановления
работоспособности;
В. Время восстановления
работоспособности;
Г. Максимальное время
неработоспособности.
592. IDS должна:
А. работать непрерывно;
Б. игнорировать аномалии;
В. требовать стабильного, редко
меняющегося окружения;
Г. находиться в сети.
593. Какое действие должно быть
ПРИОРИТЕТНЫМ при обнаружении инфицированного вирусом сервера?
А. Изолировать инфицированный
сервер;
Б. Определить все потенциальные
повреждения;
В. Обновить вирусные сигнатуры на
сервере;
Г. Выявить недостатки
конфигурирования на МСЭ.
594. Что является ЛУЧШИМ
подтверждением того, что цели непрерывности бизнеса и плана восстановления
работоспособности достигнуты?
А. Тестирование подтвердило, что
время восстановления не превысило расчетное;
Б. Тестирование планов выполнялось
последовательно;
В. Тестирование подтвердило, что
точка восстановления была определена верно;
Г. Был правильно определен объем
информационных активов и их собственники.
595. Какая ситуация должна БОЛЬШЕ
всего беспокоить менеджера ИБ?
А. Аудит логов не производится с
продуктовых серверов;
Б. Идентификатор входа уволенного
системного аналитика до сих пор существует в системе;
В. Техническая поддержка получает
сообщения о большом количестве фишинговых писем;
Г. На ноутбуке системного
администратора был найден Троян.
596. БД номеров кредитных карт
клиентов была похищена хакерами. Каким должен быть ПЕРВЫЙ шаг в этой ситуации?
А. Подтвердить инцидент;
Б. Оповестить руководство об
инциденте;
В. Начать сдерживающие инцидент
процедуры;
Г. Сообщить в правоохранительные
органы.
597. Специализированный
инструментарий использовался для перехвата получаемой информации одним
сотрудником. Каким должен быть СЛЕДУЮЩИЙ шаг, чтобы обеспечить законность этой процедуры
и возможность использовать перехваченную информацию для расследования?
А. Документировать, как
происходила атака;
Б. Сообщить в правоохранительные
органы;
В. Сделать копию носителей
информации;
Г. Заблокировать учетную запись
контролируемого сотрудника.
598. Что важно при сборе
информации для проведения впоследствии расследования?
А. Обеспечить назначение
квалифицированного персонала;
Б. Делать точные копии устройств,
носителей информации;
В. Отключить и изолировать
устройства от сети;
Г. Оповещать правоохранительные
органы до собственного расследования.
599. Какой способ является ЛУЧШИМ
для уменьшения потерь при DDoS
атаках?
А. Устанавливать на все серверы
последние обновления ОС;
Б. Настроить пакетную фильтрацию
для отбрасывания подозрительных пакетов;
В. Настроить NAT, чтобы внутренние адреса не
маршрутизировались;
Г. Внедрить балансировщик
загрузок на системы, выставленные в интернет.
600. Что НАИБОЛЕЕ эффективно для оправдания создания группы
управления инцидентами?
А. Оценить ущерб
для бизнеса от последнего инцидента;
Б. Независимо
оценить причины инцидентов;
В. Постоянно
улучшать состояние ИБ;
Г. Показать
бизнесу пользу от снижения потерь от инцидентов.
Комментариев нет:
Отправить комментарий