Тест по теме «Тесты с ответами по предмету - Основы информационной безопасности»
Вопрос:
Кто является основным ответственным за определение уровня классификации информации?
Варианты ответа:
- Руководитель среднего звена
- Высшее руководство
- Владелец
- Пользователь
Вопрос:
Какая категория является наиболее рискованной для компании с точки зрения вероятного мошенничества и нарушения безопасности?
Варианты ответа:
- Сотрудники
- Хакеры
- Атакующие
- Контрагенты (лица, работающие по договору)
Вопрос:
Если различным группам пользователей с различным уровнем доступа требуется доступ к одной и той же информации, какое из указанных ниже действий следует предпринять руководству?
Варианты ответа:
- Снизить уровень безопасности этой информации для обеспечения ее доступности и удобства использования
- Требовать подписания специального разрешения каждый раз, когда человеку требуется доступ к этой информации
- Улучшить контроль за безопасностью этой информации
- Снизить уровень классификации этой информации
Вопрос:
Что самое главное должно продумать руководство при классификации данных?
Варианты ответа:
- Типы сотрудников, контрагентов и клиентов, которые будут иметь доступ к данным
- Необходимый уровень доступности, целостности и конфиденциальности
- Оценить уровень риска и отменить контрмеры
- Управление доступом, которое должно защищать данные
Вопрос:
Кто в конечном счете несет ответственность за гарантии того, что данные классифицированы и защищены?
Варианты ответа:
- Владельцы данных
- Пользователи
- Администраторы
- Руководство
Вопрос:
Что такое процедура?
Варианты ответа:
- Правила использования программного и аппаратного обеспечения в компании
- Пошаговая инструкция по выполнению задачи
- Руководство по действиям в ситуациях, связанных с безопасностью, но не описанных в стандартах
- Обязательные действия
Вопрос:
Какой фактор наиболее важен для того, чтобы быть уверенным в успешном обеспечении безопасности в компании?
Варианты ответа:
- Поддержка высшего руководства
- Эффективные защитные меры и методы их внедрения
- Актуальные и адекватные политики и процедуры безопасности
- Проведение тренингов по безопасности для всех сотрудников
Вопрос:
Когда целесообразно не предпринимать никаких действий в отношении выявленных рисков?
Варианты ответа:
- Никогда. Для обеспечения хорошей безопасности нужно учитывать и снижать все риски
- Когда риски не могут быть приняты во внимание по политическим соображениям
- Когда необходимые защитные меры слишком сложны
- Когда стоимость контрмер превышает ценность актива и потенциальные потери
Вопрос:
Что такое политики безопасности?
Варианты ответа:
- Пошаговые инструкции по выполнению задач безопасности
- Общие руководящие требования по достижению определенного уровня безопасности
- Широкие, высокоуровневые заявления руководства
- Детализированные документы по обработке инцидентов безопасности
Вопрос:
Какая из приведенных техник является самой важной при выборе конкретных защитных мер?
Варианты ответа:
- Анализ рисков
- Анализ затрат / выгоды
- Результаты ALE
- Выявление уязвимостей и угроз, являющихся причиной риска
Вопрос:
Что лучше всего описывает цель расчета ALE?
Варианты ответа:
- Количественно оценить уровень безопасности среды
- Оценить возможные потери для каждой контрмеры
- Количественно оценить затраты / выгоды
- Оценить потенциальные потери от угрозы в год
Вопрос:
Тактическое планирование – это:
Варианты ответа:
- Среднесрочное планирование
- Долгосрочное планирование
- Ежедневное планирование
- Планирование на 6 месяцев
Вопрос:
Что является определением воздействия (exposure) на безопасность?
Варианты ответа:
- Нечто, приводящее к ущербу от угрозы
- Любая потенциальная опасность для информации или систем
- Любой недостаток или отсутствие информационной безопасности
- Потенциальные потери от угрозы
Вопрос:
Эффективная программа безопасности требует сбалансированного применения:
Варианты ответа:
- Технических и нетехнических методов
- Контрмер и защитных механизмов
- Физической безопасности и технических средств защиты
- Процедур безопасности и шифрования
Вопрос:
Функциональность безопасности определяет ожидаемую работу механизмов безопасности, а гарантии определяют:
Варианты ответа:
- Внедрение управления механизмами безопасности
- Классификацию данных после внедрения механизмов безопасности
- Уровень доверия, обеспечиваемый механизмом безопасности
- Соотношение затрат / выгод
Вопрос:
Какое утверждение является правильным, если взглянуть на разницу в целях безопасности для коммерческой и военной организации?
Варианты ответа:
- Только военные имеют настоящую безопасность
- Коммерческая компания обычно больше заботится о целостности и доступности данных, а военные – о конфиденциальности
- Военным требуется больший уровень безопасности, т.к. их риски существенно выше
- Коммерческая компания обычно больше заботится о доступности и конфиденциальности данных, а военные – о целостности
Вопрос:
Как рассчитать остаточный риск?
Варианты ответа:
- Угрозы х Риски х Ценность актива
- (Угрозы х Ценность актива х Уязвимости) х Риски
- SLE x Частоту = ALE
- (Угрозы х Уязвимости х Ценность актива) x Недостаток контроля
Вопрос:
Что из перечисленного не является целью проведения анализа рисков?
Варианты ответа:
- Делегирование полномочий
- Количественная оценка воздействия потенциальных угроз
- Выявление рисков
- Определение баланса между воздействием риска и стоимостью необходимых контрмер
Вопрос:
Что из перечисленного не является задачей руководства в процессе внедрения и сопровождения безопасности?
Варианты ответа:
- Поддержка
- Выполнение анализа рисков
- Определение цели и границ
- Делегирование полномочий
Вопрос:
Почему при проведении анализа информационных рисков следует привлекать к этому специалистов из различных подразделений компании?
Варианты ответа:
- Чтобы убедиться, что проводится справедливая оценка
- Это не требуется. Для анализа рисков следует привлекать небольшую группу специалистов, не являющихся сотрудниками компании, что позволит обеспечить беспристрастный и качественный анализ
- Поскольку люди в различных подразделениях лучше понимают риски в своих подразделениях и смогут предоставить максимально полную и достоверную информацию для анализа
- Поскольку люди в различных подразделениях сами являются одной из причин рисков, они должны быть ответственны за их оценку
Вопрос:
Что является наилучшим описанием количественного анализа рисков?
Варианты ответа:
- Анализ, основанный на сценариях, предназначенный для выявления различных угроз безопасности
- Метод, используемый для точной оценки потенциальных потерь, вероятности потерь и рисков
- Метод, сопоставляющий денежное значение с каждым компонентом оценки рисков
- Метод, основанный на суждениях и интуиции
Вопрос:
Почему количественный анализ рисков в чистом виде не достижим?
Варианты ответа:
- Он достижим и используется
- Он присваивает уровни критичности. Их сложно перевести в денежный вид.
- Это связано с точностью количественных элементов
- Количественные измерения должны применяться к качественным элементам
Вопрос:
Если используются автоматизированные инструменты для анализа рисков, почему все равно требуется так много времени для проведения анализа?
Варианты ответа:
- Много информации нужно собрать и ввести в программу
- Руководство должно одобрить создание группы
- Анализ рисков не может быть автоматизирован, что связано с самой природой оценки
- Множество людей должно одобрить данные
Вопрос:
Какой из следующих законодательных терминов относится к компании или человеку, выполняющему необходимые действия, и используется для определения обязательств?
Варианты ответа:
- Стандарты
- Должный процесс (Due process)
- Должная забота (Due care)
- Снижение обязательств
Вопрос:
Что такое CobiT и как он относится к разработке систем информационной безопасности и программ безопасности?
Варианты ответа:
- Список стандартов, процедур и политик для разработки программы безопасности
- Текущая версия ISO 17799
- Структура, которая была разработана для снижения внутреннего мошенничества в компаниях
- Открытый стандарт, определяющий цели контроля
Вопрос:
Из каких четырех доменов состоит CobiT?
Варианты ответа:
- Планирование и Организация, Приобретение и Внедрение, Эксплуатация и Сопровождение, Мониторинг и Оценка
- Планирование и Организация, Поддержка и Внедрение, Эксплуатация и Сопровождение, Мониторинг и Оценка
- Планирование и Организация, Приобретение и Внедрение, Сопровождение и Покупка, Мониторинг и Оценка
- Приобретение и Внедрение, Эксплуатация и Сопровождение, Мониторинг и Оценка
Вопрос:
Что представляет собой стандарт ISO/IEC 27799?
Варианты ответа:
- Стандарт по защите персональных данных о здоровье
- Новая версия BS 17799
- Определения для новой серии ISO 27000
- Новая версия NIST 800-60
Вопрос:
CobiT был разработан на основе структуры COSO. Что является основными целями и задачами COSO?
Варианты ответа:
- COSO – это подход к управлению рисками, который относится к контрольным объектам и бизнес-процессам
- COSO относится к стратегическому уровню, тогда как CobiT больше направлен на операционный уровень
- COSO учитывает корпоративную культуру и разработку политик
- COSO – это система отказоустойчивости
Вопрос:
OCTAVE, NIST 800-30 и AS/NZS 4360 являются различными подходами к реализации управления рисками в компаниях. В чем заключаются различия между этими методами?
Варианты ответа:
- NIST и OCTAVE являются корпоративными
- NIST и OCTAVE ориентирован на ИТ
- AS/NZS ориентирован на ИТ
- NIST и AS/NZS являются корпоративными
Вопрос:
Какой из следующих методов анализа рисков пытается определить, где вероятнее всего произойдет сбой?
Варианты ответа:
- Анализ связующего дерева
- AS/NZS
- NIST
- Анализ сбоев и дефектов
Вопрос:
Что было разработано, чтобы помочь странам и их правительствам построить законодательство по защите персональных данных похожим образом?
Варианты ответа:
- Безопасная OECD
- ISO\IEC
- OECD
- CPTED
Вопрос:
Символы шифруемого текста перемещаются по определенным правилам внутри шифруемого блока этого текста, это метод:
Варианты ответа:
- гаммирования;
- подстановки;
- кодирования;
- перестановки;
- аналитических преобразований.
- Символы шифруемого текста заменяются другими символами, взятыми из одного или нескольких алфавитов, это метод:
- гаммирования;
Вопрос:
подстановки;
Варианты ответа:
- кодирования;
- перестановки;
- аналитических преобразований.
Вопрос:
Символы шифруемого текста последовательно складываются с символами некоторой специальной последовательности, это метод:
Варианты ответа:
- гаммирования;
- подстановки;
- кодирования;
- перестановки;
- аналитических преобразований.
Вопрос:
Защита информации от утечки это деятельность по предотвращению:
Варианты ответа:
- получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации;
- воздействия с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации;
- воздействия на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений;
- неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа;
- несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.
Вопрос:
Защита информации это:
Варианты ответа:
- процесс сбора, накопления, обработки, хранения, распределения и поиска информации;
- преобразование информации, в результате которого содержание информации становится непонятным для субъекта, не имеющего доступа;
- получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств;
- совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям;
- деятельность по предотвращению утечки информации, несанкционированных и непреднамеренных воздействий на неё.
Вопрос:
Естественные угрозы безопасности информации вызваны:
Варианты ответа:
- деятельностью человека;
- ошибками при проектировании АСОИ, ее элементов или разработке программного обеспечения;
- воздействиями объективных физических процессов или стихийных природных явлений, независящих от человека;
- корыстными устремлениями злоумышленников;
- ошибками при действиях персонала.
Вопрос:
38 Икусственные угрозы безопасности информации вызваны:
Варианты ответа:
- деятельностью человека;
- ошибками при проектировании АСОИ, ее элементов или разработке программного обеспечения;
- воздействиями объективных физических процессов или стихийных природных явлений, независящих от человека;
- корыстными устремлениями злоумышленников;
- ошибками при действиях персонала.
Вопрос:
39 К основным непреднамеренным искусственным угрозам АСОИ относится:
Варианты ответа:
- физическое разрушение системы путем взрыва, поджога и т.п.;
- перехват побочных электромагнитных, акустических и других излучений устройств и линий связи;
- изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных помех и т.п.;
- чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;
- неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы.
Вопрос:
К посторонним лицам нарушителям информационной безопасности относится:
Варианты ответа:
- представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации;
- персонал, обслуживающий технические средства;
- технический персонал, обслуживающий здание;
- пользователи;
- сотрудники службы безопасности.
- представители конкурирующих организаций.
- лица, нарушившие пропускной режим;
Вопрос:
Спам, который имеет цель опорочить ту или иную фирму, компанию, политического кандидата и т.п:
Варианты ответа:
- черный пиар;
- фишинг;
- нигерийские письма;
- источник слухов;
- пустые письма.
Вопрос:
Спам распространяет поддельные сообщения от имени банков или финансовых компаний, целью которых является сбор логинов, паролей и пин-кодов пользователей:
Варианты ответа:
- черный пиар;
- фишинг;
- нигерийские письма;
- источник слухов;
- пустые письма.
Вопрос:
Антивирус обеспечивает поиск вирусов в оперативной памяти, на внешних носителях путем подсчета и сравнения с эталоном контрольной суммы:
Варианты ответа:
- детектор;
- доктор;
- сканер;
- ревизор;
- сторож.
Вопрос:
Антивирус не только находит зараженные вирусами файлы, но и "лечит" их, т.е. удаляет из файла тело программы вируса, возвращая файлы в исходное состояние:
Варианты ответа:
- детектор;
- доктор;
- сканер;
- ревизор;
- сторож.
Вопрос:
Антивирус запоминает исходное состояние программ, каталогов и системных областей диска когда компьютер не заражен вирусом, а затем периодически или по команде пользователя сравнивает текущее состояние с исходным:
Варианты ответа:
- детектор;
- доктор;
- сканер;
- ревизор;
- сторож.
Вопрос:
. Антивирус представляет собой небольшую резидентную программу, предназначенную для обнаружения подозрительных действий при работе компьютера, характерных для вирусов:
Варианты ответа:
- детектор;
- доктор;
- сканер;
- ревизор;
- сторож.
Вопрос:
Активный перехват информации это перехват, который:
Варианты ответа:
- заключается в установке подслушивающего устройства в аппаратуру средств обработки информации;
- основан на фиксации электромагнитных излучений, возникающих при функционировании средств компьютерной техники и коммуникаций;
- неправомерно использует технологические отходы информационного процесса;
- осуществляется путем использования оптической техники;
- осуществляется с помощью подключения к телекоммуникационному оборудованию компьютера.
Вопрос:
Перехват, который заключается в установке подслушивающего устройства в аппаратуру средств обработки информации называется:
Варианты ответа:
- активный перехват;
- пассивный перехват;
- аудиоперехват;
- видеоперехват;
- просмотр мусора.
Вопрос:
Перехват, который основан на фиксации электромагнитных излучений, возникающих при функционировании средств компьютерной техники и коммуникаций называется:
Варианты ответа:
- активный перехват;
- пассивный перехват;
- аудиоперехват;
- видеоперехват;
- 5.просмотр мусора.
Вопрос:
. Перехват, который осуществляется путем использования оптической техники называется:
Варианты ответа:
- активный перехват;
- пассивный перехват;
- аудиоперехват;
- видеоперехват;
- просмотр мусора.
Вопрос:
К внутренним нарушителям информационной безопасности относится:
Варианты ответа:
- клиенты;
- пользователи системы;
- посетители;
- любые лица, находящиеся внутри контролируемой территории;
- представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации.
- персонал, обслуживающий технические средства.
- сотрудники отделов разработки и сопровождения ПО;
- технический персонал, обслуживающий здание