Срез знаний по курсу "информационная безопасность". Что лучше всего описывает цель расчета ALE? A) ввода информации в персональный компьютер

Группы П-41, П-42,П-43.

Информационная Безопасность!

Кто является основным ответственным за определение уровня классификации информации?

Руководитель среднего звена
Высшее руководство
* Владелец
Пользователь

*Сотрудники
Хакеры
Атакующие
Контрагенты (лица, работающие по договору)

Что самое главное должно продумать руководство при классификации данных?

Типы сотрудников, контрагентов и клиентов, которые будут иметь доступ к данным
* Необходимый уровень доступности, целостности и конфиденциальности
Оценить уровень риска и отменить контрмеры
Управление доступом, которое должно защищать данные

Кто в конечном счете несет ответственность за гарантии того, что данные классифицированы и защищены?

Владельцы данных
Пользователи
Администраторы
*Руководство

Что такое процедура?

Правила использования программного и аппаратного обеспечения в компании
*Пошаговая инструкция по выполнению задачи
Руководство по действиям в ситуациях, связанных с безопасностью, но не описанных в стандартах
Обязательные действия

Какой фактор наиболее важен для того, чтобы быть уверенным в успешном обеспечении безопасности в компании?

*Поддержка высшего руководства
Эффективные защитные меры и методы их внедрения
Актуальные и адекватные политики и процедуры безопасности
Проведение тренингов по безопасности для всех сотрудников

Когда целесообразно не предпринимать никаких действий в отношении выявленных рисков?

Никогда. Для обеспечения хорошей безопасности нужно учитывать и снижать все риски
Когда риски не могут быть приняты во внимание по политическим соображениям
Когда необходимые защитные меры слишком сложны
* Когда стоимость контрмер превышает ценность актива и потенциальные потери

Что такое политики безопасности?

Пошаговые инструкции по выполнению задач безопасности
Общие руководящие требования по достижению определенного уровня безопасности
*Широкие, высокоуровневые заявления руководства
Детализированные документы по обработке инцидентов безопасности

Какая из приведенных техник является самой важной при выборе конкретных защитных мер?

Анализ рисков
*Анализ затрат / выгоды
Результаты ALE

Выявление уязвимостей и угроз, являющихся причиной риска

Что лучше всего описывает цель расчета ALE?

Количественно оценить уровень безопасности среды
Оценить возможные потери для каждой контрмеры
Количественно оценить затраты / выгоды
*Оценить потенциальные потери от угрозы в год

Тактическое планирование – это:

*Среднесрочное планирование
Долгосрочное планирование
Ежедневное планирование
Планирование на 6 месяцев

Что является определением воздействия (exposure) на безопасность?

*Нечто, приводящее к ущербу от угрозы
Любая потенциальная опасность для информации или систем
Любой недостаток или отсутствие информационной безопасности
Потенциальные потери от угрозы

Эффективная программа безопасности требует сбалансированного применения:

*Технических и нетехнических методов
Контрмер и защитных механизмов
Физической безопасности и технических средств защиты
Процедур безопасности и шифрования

Функциональность безопасности определяет ожидаемую работу механизмов безопасности, а гарантии определяют:

Внедрение управления механизмами безопасности
Классификацию данных после внедрения механизмов безопасности
*Уровень доверия, обеспечиваемый механизмом безопасности

Соотношение затрат / выгод

Какое утверждение является правильным, если взглянуть на разницу в целях безопасности для коммерческой и военной организации?

Только военные имеют настоящую безопасность
*Коммерческая компания обычно больше заботится о целостности и доступности данных, а военные – о конфиденциальности
Военным требуется больший уровень безопасности, т.к. их риски существенно выше
Коммерческая компания обычно больше заботится о доступности и конфиденциальности данных, а военные – о целостности

Угрозы х Риски х Ценность актива

(Угрозы х Ценность актива х Уязвимости) х Риски
SLE x Частоту = ALE
*(Угрозы х Уязвимости х Ценность актива) x Недостаток контроля

Что из перечисленного не является целью проведения анализа рисков?

*Делегирование полномочий
Количественная оценка воздействия потенциальных угроз
Выявление рисков
Определение баланса между воздействием риска и стоимостью необходимых контрмер

Что из перечисленного не является задачей руководства в процессе внедрения и сопровождения безопасности?

Поддержка
*Выполнение анализа рисков
Определение цели и границ
Делегирование полномочий

Гарантия того, что конкретная информация доступна только тому кругу лиц, для которых она предназначена

*Конфиденциальность

целостность

доступность

аутентичность

Гарантия того, что АС ведет себя в нормальном и внештатном режиме так, как запланировано

*Надежность

точность

контролируемость

устойчивость

доступность

классификацию вирусов по способу заражения входит

файловые

*резидентные нерезидентные+

файлово-загрузочные

Комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на предприятии это…

*комплексное обеспечение ИБ

безопасность АС

угроза ИБ

атака на АС

политика безопасности

Вирусы, не связывающие свои копии с файлами, а создающие свои копии на дисках, не изменяя других файлов, называются:

компаньон - вирусами

студенческие

К видам системы обнаружения атак относятся:

системы, обнаружения атаки на ОС

системы, обнаружения атаки на конкретные приложения

системы, обнаружения атаки на удаленных БД

*все варианты верны

Автоматизированная система должна обеспечивать

надежность

доступность и целостность

контролируемость

Основными компонентами парольной системы являются

*интерфейс администратора база данных учетных записей

хранимая копия пароля

все варианты верны

К принципам информационной безопасности относится

скрытость

масштабность

*системность

К вирусам, изменяющим среду обитания относится:

студенческие

*полиморфные

спутники

Охрана персональных данных, государственной служебной и других видов информации ограниченного доступа это…

*Защита информации

Компьютерная безопасность

Защищенность информации

Безопасность данных

Система физической безопасности включает в себя следующую подсистему:

скрытность

*аварийная и пожарная сигнализация

Безопасность данных

Какие степени сложности устройства Вам известны

Упрощенные встроенные

*простые сложные

оптические простые

встроенные

К механическим системам защиты относятся:

*Проволока

сигнализация

К выполняемой функции защиты относится:

внешняя защита

внутренняя защита

*все варианты верны

Набор аппаратных и программных средств для обеспечения сохранности, доступности и конфиденциальности данных:

Защита информации

*Компьютерная безопасность

Защищенность информации

Безопасность данных

Гарантия того, что при хранении или передаче информации не было произведено несанкционированных изменений:

конфиденциальность

*целостность

доступность

аутентичность

Гарантия точного и полного выполнения команд в АС:

надежность

*точность

контролируемость

устойчивость

доступность

Уровень защиты, при котором затраты, риск, размер возможного ущерба были бы приемлемыми:

принцип системности

принцип комплексности

принцип непрерывности

*принцип разумной достаточности

принцип гибкости системы

Совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты АС от заданного множества угроз безопасности:

Комплексное обеспечение информационной безопасности

Безопасность АС

Угроза информационной безопасности

атака на автоматизированную систему

*политика безопасности

Особенностями информационного оружия являются:

системность

открытость

*универсальность

К типам угроз безопасности парольных систем относятся

словарная атака

тотальный перебор

атака на основе психологии

разглашение параметров учетной записи

*все варианты ответа верны

К вирусам, не изменяющим среду обитания относятся:

студенческие

полиморфные

все варианты ответа верны

Антивирусная программа принцип работы, которой основан на проверке файлов, секторов и системной памяти, и поиске в них известных и новых вирусов называется:

ревизором

иммунизатором

*сканером

доктора и фаги

В соответствии с особенностями алгоритма вирусы можно разделить на два класса:

вирусы, изменяющие среду обитания, но не распространяющиеся

*вирусы, не изменяющие среду обитания при распространении+

вирусы, не изменяющие среду обитания и не способные к распространению в дальнейшем

К достоинствам технических средств защиты относятся:

регулярный контроль

*создание комплексных систем защиты

степень сложности устройства

Все варианты верны

К системам оповещения относятся:

*инфракрасные датчики

электромеханические датчики

электрохимические датчики

К национальным интересам РФ в информационной сфере относятся:

*Реализация конституционных прав на доступ к информации

Защита информации, обеспечивающей личную безопасность

Политическая экономическая и социальная стабильность

Сохранение и оздоровлении окружающей среды

Интерпретация информации – это

*переход к семантическому смыслу.

переход к синтаксическому смыслу.

расшифровка информации

искажение информации

Информация в праве рассматривается как...

*объект собственности и как интеллектуальная собственность.

объект собственности

интеллектуальная собственность.

предмет собственности

Какого типа бывает информации по отношению к источнику или приемнику

первичная и вторичная

Информация по отношению к конечному результату бывает:

входная, выходная и внутренняя.

*исходная, промежуточная и результирующая

постоянная, переменная и смешанная

первичная и вторичная

Информация по ее изменчивости бывает:

входная, выходная и внутренняя

исходная, промежуточная и результирующая

*постоянная, переменная и смешанная

первичная и вторичная

Информация по стадии ее использования бывает:

*первичная и вторичная

исходная, промежуточная и результирующая

Информация по ее полноте бывает:

*избыточная, достаточная и недостаточная

открытая (общедоступная) и закрытая (конфиденциальная)

входная, выходная и внутренняя

исходная, промежуточная и результирующая

Информация по доступу к ней бывает:

*открытая (общедоступная) и закрытая (конфиденциальная)

избыточная, достаточная и недостаточная

исходная, промежуточная и результирующая

постоянная, переменная и смешанная

Информация, которая не зависит от личного мнения или суждения, называется:

достоверной

актуальной

*объективной

полезной

понятной

Кто такие "киберсквоттеры"?

роботы в сети

сетевые группы по интересам

Товарный знак - это...

контрольный чек

*обозначение, служащее для индивидуализации товаров

договор купли-продажи

Информационные ресурсы по виду информации:

*политическая

конфиденциальная

передвижная

на бумажном носителе

Основными техническими средствами являются:

*средства связи и телекоммуникаций

прикладный программы

операционные системы

Провайдер - это:

компьютер, предоставляющий транзитную связь по сети

программа подключения к сети

*фирма, предоставляющая сетевые услуги

специалист по компьютерным сетям

Шифрование методом подстановки:

Символы шифруемого текста перемещаются по определенным правилам внутри шифруемого блока этого текста;

*Символы шифруемого текста последовательно складываются с символами некоторой специальной последовательности;

Шифрование заключается в получении нового вектора как результата умножения матрицы на исходный вектор;

Символы шифруемого текста заменяются другими символами, взятыми из одного или нескольких алфавитов;

Перехват, который заключается в установке подслушивающего устройства в аппаратуру средств обработки информации называется:

активный перехват;

пассивный перехват;

*Аудиоперехват;

Срез знаний по курсу «Информационная безопасность»

1. Кто является основным ответственным за определение уровня классификации информации?

A. Руководитель среднего звена
B. Высшее руководство
C. Владелец

D. Пользователь

A. Сотрудники

B. Хакеры
C. Атакующие
D. Контрагенты (лица, работающие по договору)

3. Если различным группам пользователей с различным уровнем доступа требуется доступ к одной и той же информации, какое из указанных ниже действий следует предпринять руководству?

A. Снизить уровень безопасности этой информации для обеспечения ее доступности и удобства использования
B. Требовать подписания специального разрешения каждый раз, когда человеку требуется доступ к этой информации
C. Улучшить контроль за безопасностью этой информации

D. Снизить уровень классификации этой информации

4. Что самое главное должно продумать руководство при классификации данных?

A. Типы сотрудников, контрагентов и клиентов, которые будут иметь доступ к данным
B. Необходимый уровень доступности, целостности и конфиденциальности

C. Оценить уровень риска и отменить контрмеры
D. Управление доступом, которое должно защищать данные

5. Кто в конечном счете несет ответственность за гарантии того, что данные классифицированы и защищены?

A. Владельцы данных
B. Пользователи
C. Администраторы
D. Руководство

6. Что такое процедура?

A. Правила использования программного и аппаратного обеспечения в компании
B. Пошаговая инструкция по выполнению задачи

C. Руководство по действиям в ситуациях, связанных с безопасностью, но не описанных в стандартах
D. Обязательные действия

7. Какой фактор наиболее важен для того, чтобы быть уверенным в успешном обеспечении безопасности в компании?

A. Поддержка высшего руководства

B. Эффективные защитные меры и методы их внедрения
C. Актуальные и адекватные политики и процедуры безопасности
D. Проведение тренингов по безопасности для всех сотрудников

8. Когда целесообразно не предпринимать никаких действий в отношении выявленных рисков?

A. Никогда. Для обеспечения хорошей безопасности нужно учитывать и снижать все риски
B. Когда риски не могут быть приняты во внимание по политическим соображениям
C. Когда необходимые защитные меры слишком сложны
D. Когда стоимость контрмер превышает ценность актива и потенциальные потери

9. Что такое политики безопасности?

A. Пошаговые инструкции по выполнению задач безопасности
B. Общие руководящие требования по достижению определенного уровня безопасности
C. Широкие, высокоуровневые заявления руководства

D. Детализированные документы по обработке инцидентов безопасности

10. Какая из приведенных техник является самой важной при выборе конкретных защитных мер?

A. Анализ рисков
B. Анализ затрат / выгоды

C. Результаты ALE
D. Выявление уязвимостей и угроз, являющихся причиной риска

11. Что лучше всего описывает цель расчета ALE?

A. Количественно оценить уровень безопасности среды
B. Оценить возможные потери для каждой контрмеры
C. Количественно оценить затраты / выгоды
D. Оценить потенциальные потери от угрозы в год

12. Тактическое планирование – это:

A. Среднесрочное планирование

B. Долгосрочное планирование
C. Ежедневное планирование
D. Планирование на 6 месяцев

13. Что является определением воздействия (exposure) на безопасность?

A. Нечто, приводящее к ущербу от угрозы

B. Любая потенциальная опасность для информации или систем
C. Любой недостаток или отсутствие информационной безопасности
D. Потенциальные потери от угрозы

14. Эффективная программа безопасности требует сбалансированного применения:

A. Технических и нетехнических методов

B. Контрмер и защитных механизмов
C. Физической безопасности и технических средств защиты
D. Процедур безопасности и шифрования

15. Функциональность безопасности определяет ожидаемую работу механизмов безопасности, а гарантии определяют:

A. Внедрение управления механизмами безопасности
B. Классификацию данных после внедрения механизмов безопасности
C. Уровень доверия, обеспечиваемый механизмом безопасности

D. Соотношение затрат / выгод

16. Какое утверждение является правильным, если взглянуть на разницу в целях безопасности для коммерческой и военной организации?

A. Только военные имеют настоящую безопасность
B. Коммерческая компания обычно больше заботится о целостности и доступности данных, а военные – о конфиденциальности

C. Военным требуется больший уровень безопасности, т.к. их риски существенно выше
D. Коммерческая компания обычно больше заботится о доступности и конфиденциальности данных, а военные – о целостности

A. Угрозы х Риски х Ценность актива
B. (Угрозы х Ценность актива х Уязвимости) х Риски
C. SLE x Частоту = ALE
D. (Угрозы х Уязвимости х Ценность актива) x Недостаток контроля

18. Что из перечисленного не является целью проведения анализа рисков?

A. Делегирование полномочий

B. Количественная оценка воздействия потенциальных угроз
C. Выявление рисков
D. Определение баланса между воздействием риска и стоимостью необходимых контрмер

19. Что из перечисленного не является задачей руководства в процессе внедрения и сопровождения безопасности?

A. Поддержка
B. Выполнение анализа рисков

C. Определение цели и границ
D. Делегирование полномочий

20. Почему при проведении анализа информационных рисков следует привлекать к этому специалистов из различных подразделений компании?

A. Чтобы убедиться, что проводится справедливая оценка
B. Это не требуется. Для анализа рисков следует привлекать небольшую группу специалистов, не являющихся сотрудниками компании, что позволит обеспечить беспристрастный и качественный анализ
C. Поскольку люди в различных подразделениях лучше понимают риски в своих подразделениях и смогут предоставить максимально полную и достоверную информацию для анализа

D. Поскольку люди в различных подразделениях сами являются одной из причин рисков, они должны быть ответственны за их оценку

21. Что является наилучшим описанием количественного анализа рисков?

A. Анализ, основанный на сценариях, предназначенный для выявления различных угроз безопасности
B. Метод, используемый для точной оценки потенциальных потерь, вероятности потерь и рисков
C. Метод, сопоставляющий денежное значение с каждым компонентом оценки рисков

D. Метод, основанный на суждениях и интуиции

22. Почему количественный анализ рисков в чистом виде не достижим?

A. Он достижим и используется
B. Он присваивает уровни критичности. Их сложно перевести в денежный вид.
C. Это связано с точностью количественных элементов
D. Количественные измерения должны применяться к качественным элементам

23. Если используются автоматизированные инструменты для анализа рисков, почему все равно требуется так много времени для проведения анализа?

A. Много информации нужно собрать и ввести в программу

B. Руководство должно одобрить создание группы
C. Анализ рисков не может быть автоматизирован, что связано с самой природой оценки
D. Множество людей должно одобрить данные

24. Какой из следующих законодательных терминов относится к компании или человеку, выполняющему необходимые действия, и используется для определения обязательств?

A. Стандарты
B. Должный процесс (Dueprocess)
C. Должная забота (Duecare)

D. Снижение обязательств

25. Что такое CobiT и как он относится к разработке систем информационной безопасности и программ безопасности?

A. Список стандартов, процедур и политик для разработки программы безопасности
B. Текущая версия ISO 17799
C. Структура, которая была разработана для снижения внутреннего мошенничества в компаниях
D. Открытый стандарт, определяющий цели контроля

26. Из каких четырех доменов состоит CobiT?

A. Планирование и Организация, Приобретение и Внедрение, Эксплуатация и Сопровождение, Мониторинг и Оценка

B. Планирование и Организация, Поддержка и Внедрение, Эксплуатация и Сопровождение, Мониторинг и Оценка
C. Планирование и Организация, Приобретение и Внедрение, Сопровождение и Покупка, Мониторинг и Оценка
D. Приобретение и Внедрение, Эксплуатация и Сопровождение, Мониторинг и Оценка

27. Что представляет собой стандарт ISO/IEC 27799?

A. Стандарт по защите персональных данных о здоровье

B. Новая версия BS 17799
C. Определения для новой серии ISO 27000
D. Новая версия NIST 800-60

28. CobiT был разработан на основе структуры COSO. Что является основными целями и задачами COSO?

A. COSO – это подход к управлению рисками, который относится к контрольным объектам и бизнес-процессам
B. COSO относится к стратегическому уровню, тогда как CobiT больше направлен на операционный уровень

C. COSO учитывает корпоративную культуру и разработку политик
D. COSO – это система отказоустойчивости

29. OCTAVE, NIST 800-30 и AS/NZS 4360 являются различными подходами к реализации управления рисками в компаниях. В чем заключаются различия между этими методами?

A. NIST и OCTAVE являются корпоративными
B. NIST и OCTAVE ориентирован на ИТ

C. AS/NZS ориентирован на ИТ
D. NIST и AS/NZS являются корпоративными

30. Какой из следующих методов анализа рисков пытается определить, где вероятнее всего произойдет сбой?

A. Анализ связующего дерева
B. AS/NZS
C. NIST
D. Анализ сбоев и дефектов

31. Что было разработано, чтобы помочь странам и их правительствам построить законодательство по защите персональных данных похожим образом?

A. Безопасная OECD
B. ISO\IEC
C. OECD

D. CPTED

32. Символы шифруемого текста перемещаются по определенным правилам внутри шифруемого блока этого текста, это метод:

1. гаммирования;
2. подстановки;
3.кодирования;
4.перестановки;

5.аналитических преобразований.

33. Символы шифруемого текста заменяются другими символами, взятыми из одного или нескольких алфавитов, это метод:

1.гаммирования;

2. подстановки

3.кодирования;
4.перестановки;
5.аналитических преобразований.

34. Символы шифруемого текста последовательно складываются с символами некоторой специальной последовательности, это метод:

1. гаммирования;

2. подстановки;
3. кодирования;
4. перестановки;
5. аналитических преобразований.

35. Защита информации от утечки это деятельность по предотвращению:

1. получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации;
2. воздействия с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации;
3. воздействия на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений;
4. неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа;

5. несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.

36.Защита информации это:

1. процесс сбора, накопления, обработки, хранения, распределения и поиска информации;
2. преобразование информации, в результате которого содержание информации становится непонятным для субъекта, не имеющего доступа;
3. получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств;
4. совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям;
5. деятельность по предотвращению утечки информации, несанкционированных и непреднамеренных воздействий на неё.

37. Естественные угрозы безопасности информации вызваны:

1.деятельностью человека;

3. воздействиями объективных физических процессов или стихийных природных явлений, независящих от человека;

38 Икусственные угрозы безопасности информации вызваны:

1. деятельностью человека ;

2. ошибками при проектировании АСОИ, ее элементов или разработке программного обеспечения;
3. воздействиями объективных физических процессов или стихийных природных явлений, независящих от человека;
4. корыстными устремлениями злоумышленников;
5. ошибками при действиях персонала.

39. К основным непреднамеренным искусственным угрозам АСОИ относится:

1. физическое разрушение системы путем взрыва, поджога и т.п.;
2. перехват побочных электромагнитных, акустических и других излучений устройств и линий связи;
3. изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных помех и т.п.;
4. чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;
5. неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы.

40.К посторонним лицам нарушителям информационной безопасности относится:

1. представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации;
2. персонал, обслуживающий технические средства;
3. технический персонал, обслуживающий здание;
4. пользователи;
5. сотрудники службы безопасности.
6. представители конкурирующих организаций .

7. лица, нарушившие пропускной режим;

41. Спам, который имеет цель опорочить ту или иную фирму, компанию, политического кандидата и т.п:

1. черный пиар;

2. фишинг;
3. нигерийские письма;
4. источник слухов;
5. пустые письма.

42. Спам распространяет поддельные сообщения от имени банков или финансовых компаний, целью которых является сбор логинов, паролей и пин-кодов пользователей:

1. черный пиар;
2. фишинг;

3. нигерийские письма;
4. источник слухов;
5. пустые письма.

43. Антивирус обеспечивает поиск вирусов в оперативной памяти, на внешних носителях путем подсчета и сравнения с эталоном контрольной суммы:

1. детектор;

2. доктор;
3. сканер;
4. ревизор;
5. сторож.

44. Антивирус не только находит зараженные вирусами файлы, но и "лечит" их, т.е. удаляет из файла тело программы вируса, возвращая файлы в исходное состояние:

3. сканер;
4. ревизор;
5. сторож.

45. Антивирус запоминает исходное состояние программ, каталогов и системных областей диска когда компьютер не заражен вирусом, а затем периодически или по команде пользователя сравнивает текущее состояние с исходным:

1.детектор;
2. доктор;
3. сканер;
4. ревизор;

5. сторож.

46. . Антивирус представляет собой небольшую резидентную программу, предназначенную для обнаружения подозрительных действий при работе компьютера, характерных для вирусов:

1. детектор;
2. доктор;
3. сканер;
4. ревизор;
5. сторож.

47. Активный перехват информации это перехват, который:

1. заключается в установке подслушивающего устройства в аппаратуру средств обработки информации;
2. основан на фиксации электромагнитных излучений, возникающих при функционировании средств компьютерной техники и коммуникаций;
3. неправомерно использует технологические отходы информационного процесса;
4. осуществляется путем использования оптической техники;
5. осуществляется с помощью подключения к телекоммуникационному оборудованию компьютера.

48. Перехват, который заключается в установке подслушивающего устройства в аппаратуру средств обработки информации называется:

1. активный перехват;
2. пассивный перехват;
3. аудиоперехват;

4. видеоперехват;
5. просмотр мусора.

49. Перехват, который основан на фиксации электромагнитных излучений, возникающих при функционировании средств компьютерной техники и коммуникаций называется:

1. активный перехват;
2. пассивный перехват ;

3. аудиоперехват;
4. видеоперехват;
5. просмотр мусора.

50. Перехват, который осуществляется путем использования оптической техники называется:

1. активный перехват;
2. пассивный перехват;
3. аудиоперехват;
4. видеоперехват;

5. просмотр мусора.

51. К внутренним нарушителям информационной безопасности относится:

1. клиенты;
2. пользователи системы;
3. посетители;
4. любые лица, находящиеся внутри контролируемой территории;
5. представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации.
6. персонал, обслуживающий технические средства.
7. сотрудники отделов разработки и сопровождения ПО;
8. технический персонал, обслуживающий здание

Группы П-41, П-42,П-43.

1. Кто является основным ответственным за определение уровня классификации информации?

A. Руководитель среднего звена
B. Высшее руководство
C. Владелец +
D. Пользователь

A. Сотрудники +
B. Хакеры
C. Атакующие
D. Контрагенты (лица, работающие по договору)

3. Что самое главное должно продумать руководство при классификации данных?

A. Типы сотрудников, контрагентов и клиентов, которые будут иметь доступ к данным
B. Необходимый уровень доступности, целостности и конфиденциальности +
C. Оценить уровень риска и отменить контрмеры
D. Управление доступом, которое должно защищать данные

4. Кто в конечном счете несет ответственность за гарантии того, что данные классифицированы и защищены?

A. Владельцы данных
B. Пользователи
C. Администраторы
D. Руководство+

5. Что такое процедура?

A. Правила использования программного и аппаратного обеспечения в компании
B. Пошаговая инструкция по выполнению задачи +
C. Руководство по действиям в ситуациях, связанных с безопасностью, но не описанных в стандартах
D. Обязательные действия

6. Какой фактор наиболее важен для того, чтобы быть уверенным в успешном обеспечении безопасности в компании?

A. Поддержка высшего руководства+
B. Эффективные защитные меры и методы их внедрения
C. Актуальные и адекватные политики и процедуры безопасности
D. Проведение тренингов по безопасности для всех сотрудников

7. Когда целесообразно не предпринимать никаких действий в отношении выявленных рисков?

A. Никогда. Для обеспечения хорошей безопасности нужно учитывать и снижать все риски
B. Когда риски не могут быть приняты во внимание по политическим соображениям
C. Когда необходимые защитные меры слишком сложны
D. Когда стоимость контрмер превышает ценность актива и потенциальные потери+

8. Что такое политики безопасности?

A. Пошаговые инструкции по выполнению задач безопасности
B. Общие руководящие требования по достижению определенного уровня безопасности
C. Широкие, высокоуровневые заявления руководства+
D. Детализированные документы по обработке инцидентов безопасности

9. Какая из приведенных техник является самой важной при выборе конкретных защитных мер?

A. Анализ рисков
B. Анализ затрат / выгоды+
C. Результаты ALE
D. Выявление уязвимостей и угроз, являющихся причиной риска

10. Что лучше всего описывает цель расчета ALE?

A. Количественно оценить уровень безопасности среды
B. Оценить возможные потери для каждой контрмеры
C. Количественно оценить затраты / выгоды
D. Оценить потенциальные потери от угрозы в год+

11. Тактическое планирование – это:

A. Среднесрочное планирование +
B. Долгосрочное планирование
C. Ежедневное планирование
D. Планирование на 6 месяцев

12. Что является определением воздействия (exposure) на безопасность?

A. Нечто, приводящее к ущербу от угрозы +
B. Любая потенциальная опасность для информации или систем
C. Любой недостаток или отсутствие информационной безопасности
D. Потенциальные потери от угрозы

13. Эффективная программа безопасности требует сбалансированного применения:

A. Технических и нетехнических методов +
B. Контрмер и защитных механизмов
C. Физической безопасности и технических средств защиты
D. Процедур безопасности и шифрования

14. Функциональность безопасности определяет ожидаемую работу механизмов безопасности, а гарантии определяют:

A. Внедрение управления механизмами безопасности
B. Классификацию данных после внедрения механизмов безопасности
C. Уровень доверия, обеспечиваемый механизмом безопасности +
D. Соотношение затрат / выгод

15. Какое утверждение является правильным, если взглянуть на разницу в целях безопасности для коммерческой и военной организации?

A. Только военные имеют настоящую безопасность
B. Коммерческая компания обычно больше заботится о целостности и доступности данных, а военные – о конфиденциальности +
C. Военным требуется больший уровень безопасности, т.к. их риски существенно выше
D. Коммерческая компания обычно больше заботится о доступности и конфиденциальности данных, а военные – о целостности

A. Угрозы х Риски х Ценность актива
B. (Угрозы х Ценность актива х Уязвимости) х Риски
C. SLE x Частоту = ALE
D. (Угрозы х Уязвимости х Ценность актива) x Недостаток контроля+

17. Что из перечисленного не является целью проведения анализа рисков?

A. Делегирование полномочий +
B. Количественная оценка воздействия потенциальных угроз
C. Выявление рисков
D. Определение баланса между воздействием риска и стоимостью необходимых контрмер

18. Что из перечисленного не является задачей руководства в процессе внедрения и сопровождения безопасности?

A. Поддержка
B. Выполнение анализа рисков +
C. Определение цели и границ
D. Делегирование полномочий

19. Гарантия того, что конкретная информация доступна только тому кругу лиц, для которых она предназначена

a) Конфиденциальность+

b) целостность

c) доступность

d) аутентичность

e) аппелеруемость

20. Гарантия того, что АС ведет себя в нормальном и внештатном режиме так, как запланировано

a) Надежность+

b) точность

c) контролируемость

d) устойчивость

e) доступность

21. классификацию вирусов по способу заражения входит

a) опасные

b) файловые

c) резидентные нерезидентные+

d) файлово -загрузочные

22. Комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на предприятии это…

A. комплексное обеспечение ИБ+

B. безопасность АС

C. угроза ИБ

D. атака на АС

E. политика безопасности

23. Вирусы, не связывающие свои копии с файлами, а создающие свои копии на дисках, не изменяя других файлов, называются:

a) компаньон - вирусами

b) черви+

d) студенческие

24. К видам системы обнаружения атак относятся:

a. системы, обнаружения атаки на ОС

b. системы, обнаружения атаки на конкретные приложения

c. системы, обнаружения атаки на удаленных БД

d. все варианты верны+

25. Автоматизированная система должна обеспечивать

a) надежность

b) доступность и целостность+

c) контролируемость

26. Основными компонентами парольной системы являются

A. интерфейс администратора база данных учетных записей+

B. хранимая копия пароля

C. все варианты верны

27. К принципам информационной безопасности относится

a) скрытость

b) масштабность

c) системность+

28. К вирусам изменяющим среду обитания относится:

B. студенческие

C. полиморфные+

D. спутники

29. Охрана персональных данных, государственной служебной и других видов информации ограниченного доступа это…

a) Защита информации+

b) Компьютерная безопасность

c) Защищенность информации

d) Безопасность данных

30. Система физической безопасности включает в себя следующую подсистему:

a) скрытность

b) аварийная и пожарная сигнализация+

c) Безопасность данных

31. Какие степени сложности устройства Вам известны

a) Упрощенные встроенные

b) простые сложные+

c) оптическиепростые

d) встроенные

32. К механическим системам защиты относятся:

a) Проволока+

b) сигнализация

33. К выполняемой функции защиты относится:

a) внешняя защита

b) внутренняя защита

c) все варианты верны+

34. Набор аппаратных и программных средств для обеспечения сохранности, доступности и конфиденциальности данных:

A. Защита информации

B. Компьютерная безопасность+

C. Защищенность информации

D. Безопасность данных

35. Гарантия того, что при хранении или передаче информации не было произведено несанкционированных изменений:

A. конфиденциальность

B. целостность+

C. доступность

D. аутентичность

E. аппелеруемость

36. Гарантия точного и полного выполнения команд в АС:

A. надежность

B. точность+

C. контролируемость

D. устойчивость

E. доступность

37. Уровень защиты, при котором затраты, риск, размер возможного ущерба были бы приемлемыми:

A. принцип системности

B. принцип комплексности

C. принцип непрерывности

D. принцип разумной достаточности+

E. принцип гибкости системы

38. Совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты АС от заданного множества угроз безопасности:

A. Комплексное обеспечение информационной безопасности

B. Безопасность АС

C. Угроза информационной безопасности

D. атака на автоматизированную систему

E. политика безопасности+

39. Особенностями информационного оружия являются:

A. системность

B. открытость

C. универсальность+

40. К типам угроз безопасности парольных систем относятся

A. словарная атака

B. тотальный перебор

C. атака на основе психологии

D. разглашение параметров учетной записи

E. все варианты ответа верны+

41. К вирусам не изменяющим среду обитания относятся:

A. Черви+

B. студенческие

C. полиморфные

D. все варианты ответа верны

42. Антивирусная программа принцип работы, которой основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых вирусов называется:

A. ревизором

B. иммунизатором

C. сканером+

D. доктора и фаги

43. В соответствии с особенностями алгоритма вирусы можно разделить на два класса:

a) вирусы изменяющие среду обитания, но не распространяющиеся

b) вирусы не изменяющие среду обитания при распространении+

c) вирусы не изменяющие среду обитания и не способные к распространению в дальнейшем

44. К достоинствам технических средств защиты относятся:

A. регулярный контроль

B. создание комплексных систем защиты+

C. степень сложности устройства

D. Все варианты верны

45. К системам оповещения относятся:

a) инфракрасные датчики+

b) электромеханические датчики

c) электрохимические датчики

46. К национальным интересам РФ в информационной сфере относятся:

a) Реализация конституционных прав на доступ к информации+

b) Защита информации, обеспечивающей личную безопасность

a) Политическая экономическая и социальная стабильность

b) Сохранение и оздоровлении окружающей среды

45.Интерпретация информации – это


Вопросы экзамена CISSP являются концептуальными, поэтому они сформулированы соответствующим образом. Задачей кандидата является выбор наилучшего из всех представленных вариантов ответа. Среди вариантов ответа может не быть идеального ответа на поставленный вопрос - кандидат должен выбрать лучший ответ из имеющихся вариантов.

1. Кто является основным ответственным за определение уровня классификации информации?

2. Какая категория является наиболее рискованной для компании с точки зрения вероятного мошенничества и нарушения безопасности?

3. Если различным группам пользователей с различным уровнем доступа требуется доступ к одной и той же информации, какое из указанных ниже действий следует предпринять руководству?

4. Что самое главное должно продумать руководство при классификации данных?

5. Кто в конечном счете несет ответственность за гарантии того, что данные классифицированы и защищены?

6. Что такое процедура?

7. Какой фактор наиболее важен для того, чтобы быть уверенным в успешном обеспечении безопасности в компании?

8. Когда целесообразно не предпринимать никаких действий в отношении выявленных рисков?

9. Что такое политики безопасности?

10. Какая из приведенных техник является самой важной при выборе конкретных защитных мер?

11. Что лучше всего описывает цель расчета ALE?

12. Тактическое планирование – это:

13. Что является определением воздействия (exposure) на безопасность?

14. Эффективная программа безопасности требует сбалансированного применения:

15. Функциональность безопасности определяет ожидаемую работу механизмов безопасности, а гарантии определяют:

16. Какое утверждение является правильным, если взглянуть на разницу в целях безопасности для коммерческой и военной организации?

17. Как рассчитать остаточный риск?

A. Угрозы х Риски х Ценность актива

Ответственность является важнейшей характеристикой личности; это то, что в первую очередь отличает социально зрелую личность от незрелой в социальном плане личности. В настоящее время в психологии распространена концепция о двух типах ответственности – так называемая теория локуса контроля , связанная с психологией каузальной атрибуции. Различение, введенное Джулианом Роттером, касается противопоставления внутренних и внешних причин, обусловливающих контролирование субъектом результатов действия.

Ответственность первого типа – интернальность – это тот случай, когда личность возлагает на себя всю ответственность за происходящее с ней в жизни, полагая, что только уровень ее собственной компетентности, способности, целеустремленность и т.п. влияют на успехи или неудачи. "Я сам отвечаю за свои успехи и неудачи. От меня самого зависят моя жизнь и жизнь моей семьи. Я должен и могу это сделать" – вот жизненное кредо и постулаты такой личности.

Ответственность второго типа – экстернальность – связана с ситуацией, когда человек склонен считать ответственными за все происходящее с ним либо других людей, либо внешние обстоятельства, ситуацию. Такие субъекты полагают, что неудачи зависят от невезения, стечения неблагоприятных обстоятельств или влияния других людей. В качестве "других людей", на которых возлагается ответственность как за неудачи, так и за успехи, часто выступают родители, учителя, в будущем – коллеги, начальство, знакомые. Легко заметить, что на языке житейских понятий второй тип ответственности обозначается не иначе, как безответственность.

Тест – опросник субъективной локализации контроля (СЛК)

Тестр – опросник, предложенный С. Р. Пантелеевым и В. В. Сталиным, направлен на измерение локуса контроля как обобщенной генерализованной переменной. Опросник содержит 32 пункта (26 работающих и 6 маскировочных), построенных по принципу вынужденного выбора одного из двух утверждений, и образует одномерную шкалу, дающую обобщенный показатель локуса контроля. Опросник предназначен для измерения локуса контроля у студентов.

Испытуемым дается инструкция: "Выберите из каждой пары одно (и только одно) высказывание, с которым вы больше согласны, и отметьте соответствующую ему букву на бланке ответов".

ТЕСТОВЫЙ МАТЕРИАЛ

  • 1 а) Издержки в воспитании детей часто связаны с излишней строгостью родителей.
  • б) В наше время неблагополучие детей в большей степени зависит от того, что родители недостаточно строги с ними.
  • 2 а) Многие несчастья в жизни людей объясняются невезением, б) Людское невезение – результат их собственных ошибок.
  • 3 а) Большинство недостатков в работе сферы обслуживания связано с тем, что мы плохо с ними боремся.
  • б) В ближайшее время улучшить сферу бытового обслуживания почти невозможно.
  • 4 а) К людям относятся так, как они того заслуживают.
  • б) К несчастью, достоинства человека часто остаются непризнанными, как бы он ни старался.
  • 5 а) Спокойная жизнь студента на факультете зависит от его отношений с руководителем курса.
  • б) У добросовестного студента не бывает конфликтов с учебной частью.
  • 6 а) Жалобы на то, что преподаватели несправедливы к студентам, редко бывают обоснованными.
  • б) Большинство студентов не сознают, что их оценки в основном зависят от случайности.
  • 7 а) Без везения никто не может преуспеть в жизни.
  • б) Если способный человек не многого добился, значит, он не использовал свои возможности.
  • 8 а) Как бы вы ни старались, некоторым людям вы все равно нс понравитесь, б) Люди, которые не нравятся другим, просто не умеют ладить с окружающими.
  • 9 а) Наследственность играет главную роль в определении личности, б) Человека определяет его жизненный опыт.
  • 10 а) Из моего опыта следует, что если что – то должно произойти, то это произойдет.
  • б) Я убедился, что принять решение о выполнении определенного действия лучше, чем положиться на случай.
  • 11 а) В жизни студента, который всегда тщательно готовится к занятию, редко бывает несправедливая оценка.
  • б) Систематические занятия – излишняя трата сил, так как экзамен – это своеобразная лотерея.
  • 12 а) Успех приносит усердная работа, он мало связан с везением.
  • б) Чтобы хорошо устроиться, нужно вовремя оказаться в нужном месте.
  • 13 а) Мнение студента будет учтено, если оно обосновано.
  • б) Студенты практически не оказывают влияния на решения деканата.
  • 14 а) Что бы я ни планировал, я почти уверен, что мне удастся осуществить намеченное. б)
  • б) Планирование будущих действий не всегда разумно, так как многое зависит от случая.
  • 15 а) Есть определенные люди, в которых нет ничего хорошего, б) Что – то хорошее есть в каждом.
  • 16 а) Если принято верное решение, то достижение того, что я хочу, мало зависит от обстоятельств.
  • б) Очень часто мы можем принять решение, гадая на монете.
  • 17 а) Кто станет руководителем – часто зависит от того, кому повезет.
  • б) Нужны специальные способности, чтобы заставить людей выполнять то, что нужно.
  • 18 а) События в мире зависят от сил, которыми мы не можем управлять.
  • б) Принимая активное участие в политике и общественных делах, люди могут контролировать мировые события.
  • 19 а) Если в общежитии скучно, значит, студком никуда не годится.
  • б) Сделать жизнь в общежитии веселой и интересной зависит от нас самих.
  • 20 а) Большинство людей не сознают, до какой степени их жизнь определяется случаем.
  • б) Не существует реально такой вещи, как везение.
  • 21 а) Человек иногда вправе допустить ошибку.
  • б) Обычно лучше всего "прикрыть" свои ошибки.
  • 22 а) Трудно понять, почему мы нравимся некоторым людям.
  • б) Как много друзей ты имеешь, зависит от того, что ты за личность.
  • 23 а) Неприятности, которые с нами случаются, сбалансированы удачами.
  • б) Большинство несчастных судеб – результат отсутствия способностей, невежества и лени.
  • 24 а) Аспирант – это в прошлом способный, трудолюбивый студент, б) Чтобы поступить в аспирантуру, нужны связи.
  • 25 а) Иногда я не могу понять, на основании чего преподаватели выводят оценки, б) Есть прямое соотношение между моим усердием и оценкой.
  • 26 а) Хороший лидер в коллективе ожидает, что каждый сам решит, что ему делать.
  • б) Хороший лидер в коллективе определяет, что делать каждому.
  • 27 а) Добровольно работая сейчас, я обеспечиваю себе будущие научные достижения.
  • б) Большинство великих научных открытий – результат непредсказуемого озарения.
  • 28 а) Не раз я чувствовал, что у меня мало влияния на события, которые со мной случаются. б)
  • б) Я почти не верю, что везение или удача играют важную роль в моей жизни.
  • 29 а) Люди одиноки потому, что не стараются быть дружелюбными.
  • б) Не много пользы в том, чтобы стараться быть приятным людям: если ты им нравишься, то и так нравишься.
  • 30 а) В высшей школе неоправданно много внимания уделяют физкультуре, б) Занятия спортом – лучшее средство воспитания характера.
  • 31 а) То, что со мной случается, – это мои собственные действия и поступки, б) Иногда мне кажется, что моя жизнь идет сама по себе.
  • 32 а) Рядовому студенту трудно понять, на основании чего деканат выносит свои решения.
  • б) Чаще всего студенты сами виноваты, если деканат применяет строгие меры.

КЛЮЧ

Интернальные альтернативы: 2б, 3а, 4а, 56, 6а, 7б, 86, 10б, 11а, 12а, 13а, 14а, 14а, 16а, 17б, 18б, 19б, 20б, 22б, 23б, 24б, 25б, 27а, 28б, 29а, 31а, 326.

Экстернальные альтернативы: 2а, 36, 4б, 5а, 6б, 7а, 8а, 10а, 11б, 126, 136, 14б, 16б, 17а, 18а, 19а, 20а, 22а, 23а, 24б, 25а, 276, 28а, 29б, 31б, 32а.

Маскировочные пункты: 1, 9, 15, 21, 26, 30.

Показатель субъективной локализации контроля получают из опросника путем подсчета суммы выбранных испытуемым интегральных альтернатив.

Поскольку опросник содержит 26 работающих пунктов, значения шкалы имеют 27 градаций (от 0 до 26). Значение "26" соответствует максимально интернальному контролю, "0" – максимально экстернальному контролю. Стандартизация шкалы проводилась на выборке студентов различных вузов Москвы.

Параметры распределения:

N = 300; x = 14, 2; S = 4, 4,

где N – объем выборки, х – средний суммарный балл, S – стандартное отклонение.

Распределение баллов нормализовано с последующим переводом в стандартные единицы – стены.