Основы информационной
безопасности. Тест с ответами (2020 год)
Правильные ответы отмечены +
Вопрос:
OCTAVE, NIST 800-30 и AS/NZS 4360 являются различными подходами
к реализации управления рисками в компаниях. В чем заключаются
различия между этими методами?
Варианты ответа:
- -
NIST и OCTAVE являются корпоративными
-
(+) NIST и OCTAVE ориентирован на ИТ
- -
AS/NZS ориентирован на ИТ
- -
NIST и AS/NZS являются корпоративными
Вопрос:
Какой из следующих методов анализа рисков пытается определить,
где вероятнее всего произойдет сбой?
Варианты ответа:
- -
Анализ связующего дерева
- -
AS/NZS
- -
NIST
-
(+) Анализ сбоев и дефектов
Вопрос:
Что было разработано, чтобы помочь странам и их правительствам
построить законодательство по защите персональных данных похожим
образом?
Варианты ответа:
- -
Безопасная OECD
- -
ISO\IEC
-
(+) OECD
- -
CPTED
Вопрос:
Символы шифруемого текста перемещаются по определенным правилам
внутри шифруемого блока этого текста, это метод:
Варианты ответа:
- -
гаммирования;
- -
подстановки;
- -
кодирования;
-
(+) перестановки;
- -
аналитических преобразований.
-
(+) Символы шифруемого текста заменяются другими символами,
взятыми из одного или нескольких алфавитов, это метод:
- -
гаммирования;
Вопрос:
подстановки;
Варианты ответа:
- -
кодирования;
- -
перестановки;
- -
аналитических преобразований.
Вопрос:
Символы шифруемого текста последовательно складываются с
символами некоторой специальной последовательности, это метод:
Варианты ответа:
-
(+) гаммирования;
- -
подстановки;
- -
кодирования;
- -
перестановки;
- -
аналитических преобразований.
Вопрос:
Защита информации от утечки это деятельность по предотвращению:
Варианты ответа:
- -
получения защищаемой информации заинтересованным субъектом с
нарушением установленных правовыми документами или
собственником, владельцем информации прав или правил доступа к
защищаемой информации;
- -
воздействия с нарушением установленных прав и/или правил на
изменение информации, приводящего к искажению, уничтожению,
копированию, блокированию доступа к информации, а также к
утрате, уничтожению или сбою функционирования носителя
информации;
- -
воздействия на защищаемую информацию ошибок пользователя
информацией, сбоя технических и программных средств
информационных систем, а также природных явлений;
-
(+) неконтролируемого распространения защищаемой информации от
ее разглашения, несанкционированного доступа;
- -
несанкционированного доведения защищаемой информации до
неконтролируемого количества получателей информации.
Вопрос:
Защита информации это:
Варианты ответа:
- -
процесс сбора, накопления, обработки, хранения, распределения и
поиска информации;
- -
преобразование информации, в результате которого содержание
информации становится непонятным для субъекта, не имеющего
доступа;
- -
получение субъектом возможности ознакомления с информацией, в
том числе при помощи технических средств;
- -
совокупность правил, регламентирующих порядок и условия доступа
субъекта к информации и ее носителям;
-
(+) деятельность по предотвращению утечки информации,
несанкционированных и непреднамеренных воздействий на неё.
Вопрос:
Естественные угрозы безопасности информации вызваны:
Варианты ответа:
- -
деятельностью человека;
- -
ошибками при проектировании АСОИ, ее элементов или разработке
программного обеспечения;
-
(+) воздействиями объективных физических процессов или стихийных
природных явлений, независящих от человека;
- -
корыстными устремлениями злоумышленников;
- -
ошибками при действиях персонала.
Вопрос:
38 Икусственные угрозы безопасности информации вызваны:
Варианты ответа:
-
(+) деятельностью человека;
- -
ошибками при проектировании АСОИ, ее элементов или разработке
программного обеспечения;
- -
воздействиями объективных физических процессов или стихийных
природных явлений, независящих от человека;
- -
корыстными устремлениями злоумышленников;
- -
ошибками при действиях персонала.
Вопрос:
39 К основным непреднамеренным искусственным угрозам АСОИ
относится:
Варианты ответа:
- -
физическое разрушение системы путем взрыва, поджога и т.п.;
- -
перехват побочных электромагнитных, акустических и других
излучений устройств и линий связи;
- -
изменение режимов работы устройств или программ, забастовка,
саботаж персонала, постановка мощных активных помех и т.п.;
- -
чтение остаточной информации из оперативной памяти и с внешних
запоминающих устройств;
-
(+) неумышленные действия, приводящие к частичному или полному
отказу системы или разрушению аппаратных, программных,
информационных ресурсов системы.
Вопрос:
К посторонним лицам нарушителям информационной безопасности
относится:
Варианты ответа:
- -
представители организаций, взаимодействующих по вопросам
обеспечения жизнедеятельности организации;
- -
персонал, обслуживающий технические средства;
- -
технический персонал, обслуживающий здание;
- -
пользователи;
- -
сотрудники службы безопасности.
-
(+) представители конкурирующих организаций.
- -
лица, нарушившие пропускной режим;
Вопрос:
Спам, который имеет цель опорочить ту или иную фирму, компанию,
политического кандидата и т.п:
Варианты ответа:
-
(+) черный пиар;
- -
фишинг;
- -
нигерийские письма;
- -
источник слухов;
- -
пустые письма.
Вопрос:
Спам распространяет поддельные сообщения от имени банков или
финансовых компаний, целью которых является сбор логинов,
паролей и пин-кодов пользователей:
Варианты ответа:
- -
черный пиар;
-
(+) фишинг;
- -
нигерийские письма;
- -
источник слухов;
- -
пустые письма.
Вопрос:
Антивирус обеспечивает поиск вирусов в оперативной памяти, на
внешних носителях путем подсчета и сравнения с эталоном
контрольной суммы:
Варианты ответа:
-
(+) детектор;
- -
доктор;
- -
сканер;
- -
ревизор;
- -
сторож.
Вопрос:
Антивирус не только находит зараженные вирусами файлы, но и
"лечит" их, т.е. удаляет из файла тело программы вируса,
возвращая файлы в исходное состояние:
Варианты ответа:
- -
детектор;
-
(+) доктор;
- -
сканер;
- -
ревизор;
- -
сторож.
Вопрос:
Антивирус запоминает исходное состояние программ, каталогов и
системных областей диска когда компьютер не заражен вирусом, а
затем периодически или по команде пользователя сравнивает
текущее состояние с исходным:
Варианты ответа:
- -
детектор;
- -
доктор;
- -
сканер;
-
(+) ревизор;
- -
сторож.
Вопрос:
. Антивирус представляет собой небольшую резидентную программу,
предназначенную для обнаружения подозрительных действий при
работе компьютера, характерных для вирусов:
Варианты ответа:
- -
детектор;
- -
доктор;
- -
сканер;
- -
ревизор;
-
(+) сторож.
Вопрос:
Активный перехват информации это перехват, который:
Варианты ответа:
- -
заключается в установке подслушивающего устройства в аппаратуру
средств обработки информации;
- -
основан на фиксации электромагнитных излучений, возникающих при
функционировании средств компьютерной техники и коммуникаций;
- -
неправомерно использует технологические отходы информационного
процесса;
- -
осуществляется путем использования оптической техники;
-
(+) осуществляется с помощью подключения к телекоммуникационному
оборудованию компьютера.
Вопрос:
Перехват, который заключается в установке подслушивающего
устройства в аппаратуру средств обработки информации называется:
Варианты ответа:
- -
активный перехват;
- -
пассивный перехват;
-
(+) аудиоперехват;
- -
видеоперехват;
- -
просмотр мусора.
Вопрос:
Перехват, который основан на фиксации электромагнитных
излучений, возникающих при функционировании средств компьютерной
техники и коммуникаций называется:
Варианты ответа:
- -
активный перехват;
-
(+) пассивный перехват;
- -
аудиоперехват;
- -
видеоперехват;
- -
5.просмотр мусора.
Вопрос:
. Перехват, который осуществляется путем использования
оптической техники называется:
Варианты ответа:
- -
активный перехват;
- -
пассивный перехват;
- -
аудиоперехват;
-
(+) видеоперехват;
- -
просмотр мусора.
Вопрос:
К внутренним нарушителям информационной безопасности относится:
Варианты ответа:
- -
клиенты;
- -
пользователи системы;
- -
посетители;
- -
любые лица, находящиеся внутри контролируемой территории;
- -
представители организаций, взаимодействующих по вопросам
обеспечения жизнедеятельности организации.
- -
персонал, обслуживающий технические средства.
- -
сотрудники отделов разработки и сопровождения ПО;
-
(+) технический персонал, обслуживающий здание
Вопрос:
Кто является основным ответственным за определение уровня
классификации информации?
Варианты ответа:
- -
Руководитель среднего звена
- -
Высшее руководство
-
(+) Владелец
- -
Пользователь
Вопрос:
Какая категория является наиболее рискованной для компании с
точки зрения вероятного мошенничества и нарушения безопасности?
Варианты ответа:
-
(+) Сотрудники
- -
Хакеры
- -
Атакующие
- -
Контрагенты (лица, работающие по договору)
Вопрос:
Если различным группам пользователей с различным уровнем доступа
требуется доступ к одной и той же информации, какое из указанных
ниже действий следует предпринять руководству?
Варианты ответа:
- -
Снизить уровень безопасности этой информации для обеспечения ее
доступности и удобства использования
- -
Требовать подписания специального разрешения каждый раз, когда
человеку требуется доступ к этой информации
-
(+) Улучшить контроль за безопасностью этой информации
- -
Снизить уровень классификации этой информации
Вопрос:
Что самое главное должно продумать руководство при классификации
данных?
Варианты ответа:
- -
Типы сотрудников, контрагентов и клиентов, которые будут иметь
доступ к данным
-
(+) Необходимый уровень доступности, целостности и
конфиденциальности
- -
Оценить уровень риска и отменить контрмеры
- -
Управление доступом, которое должно защищать данные
Вопрос:
Кто в конечном счете несет ответственность за гарантии того, что
данные классифицированы и защищены?
Варианты ответа:
- -
Владельцы данных
- -
Пользователи
- -
Администраторы
-
(+) Руководство
Вопрос:
Что такое процедура?
Варианты ответа:
- -
Правила использования программного и аппаратного обеспечения в
компании
-
(+) Пошаговая инструкция по выполнению задачи
- -
Руководство по действиям в ситуациях, связанных с безопасностью,
но не описанных в стандартах
- -
Обязательные действия
Вопрос:
Какой фактор наиболее важен для того, чтобы быть уверенным в
успешном обеспечении безопасности в компании?
Варианты ответа:
-
(+) Поддержка высшего руководства
- -
Эффективные защитные меры и методы их внедрения
- -
Актуальные и адекватные политики и процедуры безопасности
- -
Проведение тренингов по безопасности для всех сотрудников
Вопрос:
Когда целесообразно не предпринимать никаких действий в
отношении выявленных рисков?
Варианты ответа:
- -
Никогда. Для обеспечения хорошей безопасности нужно учитывать и
снижать все риски
- -
Когда риски не могут быть приняты во внимание по политическим
соображениям
- -
Когда необходимые защитные меры слишком сложны
-
(+) Когда стоимость контрмер превышает ценность актива и
потенциальные потери
Вопрос:
Что такое политики безопасности?
Варианты ответа:
- -
Пошаговые инструкции по выполнению задач безопасности
- -
Общие руководящие требования по достижению определенного уровня
безопасности
-
(+) Широкие, высокоуровневые заявления руководства
- -
Детализированные документы по обработке инцидентов безопасности
Вопрос:
Какая из приведенных техник является самой важной при выборе
конкретных защитных мер?
Варианты ответа:
- -
Анализ рисков
-
(+) Анализ затрат / выгоды
- -
Результаты ALE
- -
Выявление уязвимостей и угроз, являющихся причиной риска
Вопрос:
Что лучше всего описывает цель расчета ALE?
Варианты ответа:
- -
Количественно оценить уровень безопасности среды
- -
Оценить возможные потери для каждой контрмеры
- -
Количественно оценить затраты / выгоды
-
(+) Оценить потенциальные потери от угрозы в год
Вопрос:
Тактическое планирование – это:
Варианты ответа:
-
(+) Среднесрочное планирование
- -
Долгосрочное планирование
- -
Ежедневное планирование
- -
Планирование на 6 месяцев
Вопрос:
Что является определением воздействия (exposure) на
безопасность?
Варианты ответа:
-
(+) Нечто, приводящее к ущербу от угрозы
- -
Любая потенциальная опасность для информации или систем
- -
Любой недостаток или отсутствие информационной безопасности
- -
Потенциальные потери от угрозы
Вопрос:
Эффективная программа безопасности требует сбалансированного
применения:
Варианты ответа:
-
(+) Технических и нетехнических методов
- -
Контрмер и защитных механизмов
- -
Физической безопасности и технических средств защиты
- -
Процедур безопасности и шифрования
Вопрос:
Функциональность безопасности определяет ожидаемую работу
механизмов безопасности, а гарантии определяют:
Варианты ответа:
- -
Внедрение управления механизмами безопасности
- -
Классификацию данных после внедрения механизмов безопасности
-
(+) Уровень доверия, обеспечиваемый механизмом безопасности
- -
Соотношение затрат / выгод
Вопрос:
Какое утверждение является правильным, если взглянуть на разницу
в целях безопасности для коммерческой и военной организации?
Варианты ответа:
- -
Только военные имеют настоящую безопасность
-
(+) Коммерческая компания обычно больше заботится о целостности
и доступности данных, а военные – о конфиденциальности
- -
Военным требуется больший уровень безопасности, т.к. их риски
существенно выше
- -
Коммерческая компания обычно больше заботится о доступности и
конфиденциальности данных, а военные – о целостности
Вопрос:
Как рассчитать остаточный риск?
Варианты ответа:
- -
Угрозы х Риски х Ценность актива
- -
(Угрозы х Ценность актива х Уязвимости) х Риски
- -
SLE x Частоту = ALE
-
(+) (Угрозы х Уязвимости х Ценность актива) x Недостаток
контроля
Вопрос:
Что из перечисленного не является целью проведения анализа
рисков?
Варианты ответа:
-
(+) Делегирование полномочий
- -
Количественная оценка воздействия потенциальных угроз
- -
Выявление рисков
- -
Определение баланса между воздействием риска и стоимостью
необходимых контрмер
Вопрос:
Что из перечисленного не является задачей руководства в процессе
внедрения и сопровождения безопасности?
Варианты ответа:
- -
Поддержка
-
(+) Выполнение анализа рисков
- -
Определение цели и границ
- -
Делегирование полномочий
Вопрос:
Почему при проведении анализа информационных рисков следует
привлекать к этому специалистов из различных подразделений
компании?
Варианты ответа:
- -
Чтобы убедиться, что проводится справедливая оценка
- -
Это не требуется. Для анализа рисков следует привлекать
небольшую группу специалистов, не являющихся сотрудниками
компании, что позволит обеспечить беспристрастный и качественный
анализ
-
(+) Поскольку люди в различных подразделениях лучше понимают
риски в своих подразделениях и смогут предоставить максимально
полную и достоверную информацию для анализа
- -
Поскольку люди в различных подразделениях сами являются одной из
причин рисков, они должны быть ответственны за их оценку
Вопрос:
Что является наилучшим описанием количественного анализа рисков?
Варианты ответа:
- -
Анализ, основанный на сценариях, предназначенный для выявления
различных угроз безопасности
- -
Метод, используемый для точной оценки потенциальных потерь,
вероятности потерь и рисков
-
(+) Метод, сопоставляющий денежное значение с каждым компонентом
оценки рисков
- -
Метод, основанный на суждениях и интуиции
Вопрос:
Почему количественный анализ рисков в чистом виде не достижим?
Варианты ответа:
- -
Он достижим и используется
- -
Он присваивает уровни критичности. Их сложно перевести в
денежный вид.
- -
Это связано с точностью количественных элементов
-
(+) Количественные измерения должны применяться к качественным
элементам
Вопрос:
Если используются автоматизированные инструменты для анализа
рисков, почему все равно требуется так много времени для
проведения анализа?
Варианты ответа:
-
(+) Много информации нужно собрать и ввести в программу
- -
Руководство должно одобрить создание группы
- -
Анализ рисков не может быть автоматизирован, что связано с самой
природой оценки
- -
Множество людей должно одобрить данные
Вопрос:
Какой из следующих законодательных терминов относится к компании
или человеку, выполняющему необходимые действия, и используется
для определения обязательств?
Варианты ответа:
- -
Стандарты
- -
Должный процесс (Due process)
-
(+) Должная забота (Due care)
- -
Снижение обязательств
Вопрос:
Что такое CobiT и как он относится к разработке систем
информационной безопасности и программ безопасности?
Варианты ответа:
- -
Список стандартов, процедур и политик для разработки программы
безопасности
- -
Текущая версия ISO 17799
- -
Структура, которая была разработана для снижения внутреннего
мошенничества в компаниях
-
(+) Открытый стандарт, определяющий цели контроля
Вопрос:
Из каких четырех доменов состоит CobiT?
Варианты ответа:
-
(+) Планирование и Организация, Приобретение и Внедрение,
Эксплуатация и Сопровождение, Мониторинг и Оценка
- -
Планирование и Организация, Поддержка и Внедрение, Эксплуатация
и Сопровождение, Мониторинг и Оценка
- -
Планирование и Организация, Приобретение и Внедрение,
Сопровождение и Покупка, Мониторинг и Оценка
- -
Приобретение и Внедрение, Эксплуатация и Сопровождение,
Мониторинг и Оценка
Вопрос:
Что представляет собой стандарт ISO/IEC 27799?
Варианты ответа:
-
(+) Стандарт по защите персональных данных о здоровье
- -
Новая версия BS 17799
- -
Определения для новой серии ISO 27000
- -
Новая версия NIST 800-60
Вопрос:
CobiT был разработан на основе структуры COSO. Что является
основными целями и задачами COSO?
Варианты ответа:
- -
COSO – это подход к управлению рисками, который относится к
контрольным объектам и бизнес-процессам
-
(+) COSO относится к стратегическому уровню, тогда как CobiT
больше направлен на операционный уровень
- -
COSO учитывает корпоративную культуру и разработку политик
- -
COSO – это система отказоустойчивости
////////////////////////////