Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Вопросы с 451 по 500 из CISM (перевод)

Аватар пользователя Jen
Автор: Шауро Евгений, Банк
(0)
()

451. Основные торговые партнеры компании имеют доступ во внутреннюю сеть компании, однако не желают или не способны соответствовать установленным высоким требованиям ИБ. Какое ЛУЧШЕЕ решение в этой связи?

А. Подписать с ними соглашение, по которому им можно будет иметь определенные отклонения;

Б. Удалить всех партнеров из систем компании пока они не приведут свои системы к требуемому состоянию;

В. Отключить доступ всем партнерам правилами на сетевом уровне;

Г. Периодически направлять партнерам информацию о несоответствии требованиям ИБ.


452. Что в ПЕРВУЮ очередь нужно определить в политиках или стандартах ИБ в части криптографии?

А. Области, в которых должна использоваться криптография;

Б. Алгоритмы шифрования и длину ключей;

В. Процедуры управления ключами шифрования;

Г. Решения, которые можно  использовать для криптографии.


453. Что произойдет с IDS при установлении низкого порога срабатываний?

А. Увеличение ложно-положительных срабатываний;

Б. Увеличение ложно-отрицательных срабатываний;

В. Будут пропускаться попытки проникновений;

Г. Профили атак перестанут использоваться.


454. Какое описание ЛУЧШЕ  всего подходит для процедуры внесения экстренного изменения?

А. Формальное документирование не обязательно перед внесением изменения;

Б. Руководство должно утвердить изменение до его применения;

В. Документация приводится в порядок после применения изменения;

Г. Документирование проводится одновременно с внесением изменения.


455. Кто несет ПОЛНУЮ ответственность за классификацию информации и последующую надлежащую защиту информации?

А. Офицер ИБ;

Б. Комитет по безопасности;

В. Владелец данных;

Г. Хранитель данных.


456. В процессе управления изменениями в ПЕРВУЮ очередь нужно убедиться, что изменение:

А. разрешено;

Б. применено;

В. документировано;

Г. протестировано.


457. Разработчик системы просит менеджера ИБ изменить процесс управления изменениями. Какое действие должен совершить менеджер ИБ в ПЕРВУЮ очередь?

А. Изучить лучшие практики;

Б. Встретиться с руководством;

В. Установить процедуру контроля изменений;

Г. Определить критичность системы.


458. Критичное устройство может управляться только одним пользователем с одним паролем. Требуется расширить доступ к этому устройству другим пользователям и обеспечить безопасность общего доступа. Какое решение САМОЕ эффективное для решения этой задачи?

А. Сделать доступ через другое устройство, где будет персонифицируемый вход с трансляцией доступа по единому логину;

Б. Ввести ручную процедуру смены пароля после каждого использования;

В. Запросить у производителя доработку множественного входа;

Г. Анализировать логи и выявлять неразрешенный доступ.


459. Какой документ будет ЛУЧШИМ для определения механизма контроля доступа для критичного приложения?

А. Регламент безопасности пользователей;

Б. Описание бизнес-процесса;

В. Политика ИТ-безопасности;

Г. Требования регуляторов.


460. Какой САМЫЙ важный момент для менеджера ИБ при переговорах с внешними поставщиками услуг?

А. Право на проведение независимой оценке безопасности;

Б. Соглашение о защите данных;

В. Шифрование между организацией и внешней компанией;

Г. Оценка рисков соединения систем.


461. Какой устройство или технология НАИБОЛЕЕ эффективны для предотвращения физического доступа в помещения (верхом, друг за другом)?

А. Электронная карта доступа;

Б. Идентификация по фото;

В. Тренинг персонала;

Г. Биометрическая система.


462. В критичном бизнес-приложении нужно предоставить разный доступ маленьким группам пользователей. Каким образом ЛУЧШЕ организовать доступ с т.з. разделения обязанностей?

А. Дать всем пользователем индивидуальные права доступа;

Б. Внедрить ролевую модель доступа в приложение;

В. Задействовать ручную процедуру разделения конфликтующих обязанностей;

Г. Создать сервисные учетные записи для доступа различных групп.


463. Кем должны утверждаться права доступа в критичном бизнес-приложении?

А. Менеджером ИБ;

Б. Владельцем данных;

В. Хранителем данных;

Г. Менеджером от бизнеса.


464. Какой САМЫЙ критичный фактор в процедуре управления обновлениями, если прежде всего важна доступность сервисов?

А. Время для тестирования обновлений;

Б. Высокие технические навыки администраторов;

В. Сертификация обновлений производителем;

Г. Автоматическое обновление серверов.


465. С привлечением кого нужно разрабатывать дизайн процедур ИБ, чтобы они работали точно и правильно?

А. Конечных пользователей;

Б. Юридического отдела;

В. Администраторов систем;

Г. Аудиторов.


466. Менеджер ИБ при выверке прав доступов обнаружил, что полные права даны целому департаменту. Что ЛУЧШЕ всего сделать менеджеру ИБ в этой ситуации?

А. Пересмотреть процедуру предоставления доступа;

Б. Установить порядок предоставления экстренного доступа;

В. Встретиться с владельцем данных для понимания ситуации;

Г. Переопределить права доступов.


467. Что может произойти, если ИТ-политики безопасности начнут немедленно применяться?

А. Модификация политик потребуется чаще;

Б. Запросов на изменение политик станет меньше;

В. Общая цена на безопасность станет выше;

Г. Необходимости оценки соответствия станет меньше.


468. Бизнес-партнер компании имеет удаленный доступ на чтение к каталогу материалов для размещения заказов на покупку. Что в этой ситуации должен обеспечить менеджер ИБ в ПЕРВУЮ очередь?

А. Эффективный контроль над соединением и его продолжительностью;

Б. Наличие соглашения об уровне сервиса, включающее описание хранения программного кода;

В. Проведение анализа воздействия на бизнес;

Г. Организацию доступа только по сертификатам.


469. Что нужно сделать перед проведением теста на проникновение в режиме черного ящика?

А. Получить поддержку руководства ИТ;

Б. Запросить профиль теста и провести тренинг персонала;

В. Четко определить область тестирования;

Г. Создать план реагирования на инциденты.


470. Какой САМЫЙ важный элемент для включения в материалы по повышению осведомленности персонала в части ИБ?

А. Социальная инженерия;

Б. Детальные политики ИБ;

В. Поддержка руководства;

Г. Простая для чтения и выполнения информация.


471. Какой САМЫЙ важный фактор при запуске программы повышения осведомленности персонала в части ИБ?

А. Наличие адекватного бюджета;

Б. Централизованная программа управления;

В. Нисходящий подход;

Г. Наличие опыта проведения подобных программ.


472. Какое из перечисленных событий обычно имеет самое большое последствие?

А. Открытие нового офиса;

Б. Слияние с другой организацией;

В. Перемещение центра обработки данных;

Г. Перестройка структуры сети.


473. Кем должен утверждаться план управления конфигурациями?

А. Владельцем бизнес процесса;

Б. Менеджером ИБ;

В. Комитетом по безопасности;

Г. Руководством ИТ.


474. Какой из перечисленных НАИБОЛЕЕ эффективный и позитивный метод для осознания персоналом важности ИБ?

А. Дух соревнования с награждением победителей.

В. Блокировка после трех неверных попыток ввода пароля;

В. Строгие требования к формату пароля;

Г. Дисциплинарные наказания за нарушения.


475. На чем должна фокусироваться политика ИБ?

А. На лучших практиках;

Б. На решениях, поддерживающих международные стандарты;

В. На анализе рисков;

Г. На непрерывном процессе улучшения.


476. Кто должен определять подходящую классификацию для финансовых данных, хранящихся на сервере БД и обслуживающихся администратором БД департамента ИТ?

А. Администратор БД;

Б. Руководитель финансового отдела;

В. Менеджер ИБ;

Г. Руководитель ИТ отдела.


477. Что из перечисленного содержит МАКСИМАЛЬНЫЙ риск для фармацевтической компании?

А. Компрометация данных заказчиков;

Б. Недоступность on-line транзакций;

В. Воровство электронных ключей безопасности;

Г. Воровство ноутбука в отделе исследований и разработок.


478. Что из перечисленного является ЛУЧШИМ инструментом для того, чтобы программа ИБ заработала во всей организации?

А. Механизмы управления показателями ИБ;

Б. Сбор показателей ИБ, в том числе и ручной;

В. Предварительный дизайн архитектуры ИБ;

Г. Сертифицированная команда специалистов ИБ.


479. Что является ЛУЧШИМ помощником менеджера ИБ в определении существующего уровня процессов безопасности по отношению к требуемому?

А. Отчеты аудитов ИБ;

Б. Сбалансированная система показателей;

В. Уровень по модели зрелости;

Г. Архитектура безопасности бизнеса и систем.


480. Кто несет ответственность за ПОВЫШЕНИЕ ОСВЕДОМЛЕННОСТИ о необходимости адекватного финансирования плана работ по  результатам обработки рисков?

А. Директор по ИТ;

Б. Финансовый директор;

В. Менеджер ИБ;

Г. Менеджер бизнес подразделения.


481. Кто должен управлять жизненным циклом цифровых сертификатов?

А. Системный администратор;

Б. Администратор безопасности;

В. Разработчик системы;

Г. Независимая сторона.


482. Что является САМЫМ критичным для успешного внедрения биометрической системы доступа?

А. Бюджет проекта;

Б. Технические навыки персонала;

В. Принятие пользователями;

Г. Дополнительный ввод пароля.


483. Процедуры управления изменениями обеспечивают работоспособность планов непрерывности бизнеса. Чем это достигается ЛУЧШЕ всего?

А. Ежегодной проверкой работоспособности данных планов;

Б. Периодическим пересмотром данных планов;

В. Полным и «боевым» тестированием данных планов;

Г. Включением данных планов в жизненный цикл систем.


484. Когда новая ключевая система переводится в промышленную среду необходимо провести анализ воздействия её на бизнес, а также разработать план непрерывности бизнеса. Почему?

А. Это требования политик ИБ;

Б. Лицензии на ПО могут закончиться без предупреждения;

В. Всё равно должна проводиться инвентаризация активов;

Г. Соглашение о качестве сервиса иначе не могут быть выполнено.


485. Чтобы снизить вероятность приостановки сервисов организации заключают контракты с несколькими Интернет-провайдерами. Что САМОЕ важное должны включать в себя эти контракты?

А. Соглашение об уровне сервиса;

Б. Право на аудит ИБ (при необходимости);

В. Обязательное использование IDS;

Г. Обязательное использование антиспама;


486. Что должен рекомендовать менеджер ИБ в ситуации, когда один из программистов просит получить доступ в промышленную среду?

А. Создать программисту отдельный аккаунт с правами опытного пользователя;

Б. Включить логирование деятельности всех программистов;

В. Взять с программиста письменное принятие полной ответственности;

Г. Провести регулярный аудит приложения.


488. Что должен обеспечить менеджер ИБ в части классификации информации до начала работы с провайдером Интернет?

А. Совместимость с классификацией провайдера;

Б. Доведение собственной классификации до сведения провайдера;

В. Установление более жесткой классификации;

Г. Закрепление классификации в контракте.


489. Какой САМЫЙ большой риск присутствия в МСЭ слишком большого числа правил?

А. Одно правило может перекрывать другое или создавать невидимые сразу сетевые лазейки;

Б. Производительность работы МСЭ упадет;

В. МСЭ может содержать ограничение на количество правил;

Г. МСЭ может перестать работать штатно или некорректно завершить работу.


490. Какое из перечисленных решений является ЛУЧШИМ для физического контроля доступа в центр обработки данных?

А. Турникет;

Б. Биометрический замок;

В. Видеонаблюдение;

Г. Офицер безопасности.


491. Какая САМАЯ большая польза от документирования инструкций и процедур с точки зрения перспективы ИБ?

А. Детализация действий в зависимости от сложности задач;

Б. Стабильность и предсказуемость действий персонала;

В. Обеспечение соответствия требованиями стандартам в области ИБ;

Г. Обеспечение соответствия требованиям качества работы.


492. Какой ЛУЧШИЙ способ обеспечить защиту данных при увольнении сотрудников?

А. Сдача пропуска и ключей доступа;

Б. Сдача персонального компьютера;

В. Уничтожение файлов со всех пользовательских папок;

Г. Отключение всех логических видов доступов.


493. Какая САМАЯ важная причина документирования процедур безопасности?

А. Действия персонала повторяются в неизменном виде;

Б. Соответствие целям компании;

В. Соответствие законодательным требованиям;

Г. Являются метриками процессов безопасности.


494. Какой ЛУЧШИЙ способ защитить в организации интеллектуальную собственность?

А. Проводить тренинги на знание политики по интеллектуальной собственности;

Б. Подписать со всеми сотрудниками соглашение о неразглашении;

В. Полностью блокировать все виды доступов увольняющимся сотрудникам;

Г. Жестко ограничить доступ к подобной информации.


495. Кто должен обновлять права на доступ к БД, чтобы принцип разделения обязанностей НЕ БЫЛ нарушен?

А. Владелец данных;

Б. Хранитель данных;

В. Системный программист;

Г. Администратор безопасности.


496. Среди группы программистов был выявлен аккаунт, имеющий административные права в приложении, находящееся в промышленной эксплуатации. Эти права позволяли разработчику выгружать некритичные данные для целей тестирования. Что должен рекомендовать менеджер ИБ в этой ситуации?

А. Изменить на аккаунт доступ на только для чтения;

Б. Включить полное логирование действие с этого аккаунта;

В. Заблокировать аккаунт и включать доступ только при необходимости;

Г. Требовать получение разрешения для каждой загрузки.


497. Какая ЛУЧШАЯ рекомендация для защиты от фишинговых атак?

А. Внедрить антиспамовую систему;

Б. Опубликовать информацию по безопасности для заказчиков;

В. Провести обучение персонала по ИБ;

Г. Внедрить МСЭ прикладного уровня.


498. Какой САМЫЙ лучший индикатор, показывающий эффективность присутствующих в организации контролей ИБ?

А. Ежемесячная статистика, показывающая уменьшение уровня ущерба;

Б. Стоимость внедрения мер ИБ меньше стоимости активов;

В. Процент систем, соответствующих стандартам безопасности;

Г. Отчеты аудитов ИБ, показывающие отсутствие замечаний.


499. Какой ЛУЧШИЙ путь облегчения выполнения задач в области ИБ?

А. Нанять подрядчика, который не будет включен в штат организации.

Б. Вынести сервисы на аутсорсинг с контролем за ними изнутри организации;

В. Создать виртуальную группу по управлению ИБ из сотрудников самых разных подразделений компании;

Г. Провести общий тренинг по вопросам ИБ, чтобы закрыть существующие пробелы.


500. Что должен менеджер ИБ включить в разрабатываемые базовые стандарты ИБ?

А. Меры подходящие для полного жизненного цикла разработки систем;

Б. Меры соответствующие лучшим практикам;

В. Меры для полного соответствия законам и требованиям различных стран;

Г. Меры безопасности в качестве конкурентного преимущества.

Оцените материал:
Total votes: 39
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.