Лекции Толстого / Толстой риски
.pdf
7. Какое из свойств, присущих системам, сформулировано неверно?
а. Каждая часть системы обладает свойствами, которые она теряет в случае отделения от системы; б. Каждая система обладает определенными (существенными) свойствами,
которыми не обладает ни одна из ее частей; в. Существенные свойства системы в целом проистекают из действий ее частей самих по себе.
8. Выберете наиболее точное утверждение:
а. Системный подход — это направление исследования объекта; б. Системный подход — это наиболее правильный подход при построении систем;
в. Системный подход — это подход, направленный на постоянное улучшение системы.
9. Выберете наиболее точное утверждение:
а. Системный подход к организации позволяет структурировать систему так, чтобы задать стратегическую цель наиболее эффективным способом; б. Системный подход к организации позволяет структурировать систему так,
чтобы достичь заданную стратегическую цель наиболее быстрым способом; в. Системный подход к организации позволяет структурировать систему так,
чтобы достичь заданную стратегическую цель наиболее эффективным способом.
10.К каким этапам жизни системы управления ИБ применим процессный подход?(выберете несколько вариантов ответов)
а. Разработка СУИБ; б. Мониторинг СУИБ; в. Анализ СУИБ; г. Реализация СУИБ;
д. Совершенствование СУИБ.
11.Чему должно придаваться особое значение в рамках процессного подхода к управлению ИБ? (выберете несколько вариантов ответов)
а. Внедрению и использованию максимально возможных мер безопасности для управления рисками ИБ организации в контексте общих бизнес-рисков организации; б. Внедрению и использованию обоснованных мер безопасности для
управления рисками ИБ организации в контексте общих бизнес-рисков организации; в. Постоянному совершенствованию, основанному на объективных показателях;
г. Постоянному совершенствованию, основанному на субъективных показателях;
12.На каком из этапов работы цикла PDCA - «Plan-Do-Check-Act» происходит внедрение процессов управления ИБ?
|
а. Plan |
|
в. Check |
б. Do |
г. Act |
||
13. На каком из этапов работы цикла PDCA - «Plan-Do-Check-Act» происходит выбор сотрудников организации, ответственных за работу процессов?
|
а. Plan |
|
в. Check |
б. Do |
г. Act |
||
14. На каком из этапов работы цикла PDCA - «Plan-Do-Check-Act» происходит разработка мер по улучшению процессов в случае наличия в
них несоответствий или |
отклонений от целевых значений метрик |
||||
процессов? |
|
|
|
|
|
а. Plan |
|
|
в. Check |
|
|
б. Do |
|
|
г. Act |
|
|
15. На каком из этапов работы цикла PDCA - «Plan-Do-Check-Act» происходит внедрение мер по улучшению процессов в случае наличия в них несоответствий или отклонений от целевых значений метрик процессов?
а. Plan |
|
в. Check |
|
б. Do |
|
г. Act |
|
16. На каком из этапов работы цикла PDCA - «Plan-Do-Check-Act» происходит проведение первых циклов работы процессов управления ИБ?
а. Plan |
в. Check |
||
|
б. Do |
|
г. Act |
17.Какова основная цель реализации циклической модели PDCA - «Plan- DoCheck-Act»? (выберете наиболее подходящее утверждение)
а. Непрерывное повышение осведомленности сотрудников организации о существующих процессах и требованиях к ним; б. Непрерывное повышение доверия со стороны клиентов и партнеров
организации, за счет демонстрации использования циклической модели PDCA; в. Непрерывное улучшение системы в целом и процессов ее составляющих.
18.К каким процессам организации может быть применена циклическая модель PDCA?
а. Только к основным бизнес-процессам организации; б. Только к процессам управления; в. Только к процессам развития; г. К любым процессам организации.
19.Выберете правильное определение понятия владельца процесса (или бизнес-процесса):
а. Владелец процесса - должностное лицо или коллегиальный орган, который имеет в своем распоряжении ресурсы процесса, информацию о процессе, управляет ходом процесса, но не несет ответственность за его результат перед вышестоящим руководителем; б. Владелец процесса - должностное лицо или коллегиальный орган, который
имеет в своем распоряжении ресурсы процесса, информацию о процессе, управляет ходом процесса и несет ответственность за его результат перед
вышестоящим руководителем; в. Владелец процесса - должностное лицо или коллегиальный орган, который
не имеет в своем распоряжении ресурсы процесса, информацию о процессе, но управляет ходом процесса и несет ответственность за его результат перед вышестоящим руководителем;
20.В какой ситуации в рамках системы управления ИБ наличие карт описаний всех бизнес-процессов организации может существенно помочь?
а. Выбор области деятельности СУИБ; б. Проведение анализа рисков ИБ;
в. Проведение мониторинга эффективности работы процессов управления ИБ.
21.Кто, как правило, в организациях назначается владельцами бизнеспроцессов?
а. Высшее руководство организации; б. Все сотрудники организации;
в. Линейные руководители подразделений организации.
22.Что входит в обязанности владельца бизнес-процесса? (выберете несколько вариантов ответов)
а. Разработка и организация процесса для достижения заданных результатов (выходов) процесса; б. Обеспечение соответствия результата (выхода) процесса установленным требованиям;
в. Осуществление анализа работы процесса с точки зрения стратегических целей бизнеса организации.
23.При документировании процессов необходимо стремиться к описанию:
а. Реального процесса; б. Идеального процесса;
в. Промежуточного состояния процесса между реальным и идеальным.
24.Что не является целью описания бизнес-процессов?
а. Поддержка управления работающими бизнес-процессами; б. Получение возможности повторного использования отдельных процессов в других процессах (использование модульного принципа);
в. Получение и фиксирование видения процесса, к которому необходимо стремиться за счет непрерывного улучшения текущего состояния процесса.
25.Какими свойствами могут обладать процессы? (выберете несколько вариантов ответов)
а. Результативность; б. Неулучшаемость; в. Адаптируемость; г. Эффективность; д. Повторяемость.
26.Какое из перечисленных свойств процессов отражает степень, с которой реальный процесс соответствует описанию?
а. Результативность; б. Определенность; в. Управляемость; г. Эффективность; д. Повторяемость.
27.Какое из перечисленных свойств процессов отражает, насколько оптимально используются ресурсы при достижении необходимого результата процесса?
а. Результативность; б. Определенность; в. Управляемость; г. Эффективность; д. Повторяемость.
28.Какое из перечисленных свойств процессов характеризует степень, в которой производится управление выполнением процесса и получения результатов, отвечающих определенным целевым показателям?
а. Результативность; б. Определенность; в. Управляемость; г. Эффективность; д. Повторяемость.
29.Какое из перечисленных свойств процессов характеризует соответствие результатов процесса нуждам и ожиданиям потребителей?
а. Результативность; б. Определенность; в. Управляемость; г. Эффективность; д. Повторяемость.
30.Что подразумевается под понятием метрики процесса?
а. Набор свойств процесса, требующих особого внимания при проведении анализа и мониторинга процесса;
б. Набор параметров, характеризующих процесс; в. Количественная мера степени достижения процессом своей цели.
31.На каком этапе значение метрик процесса представляет наибольший интерес?
а. При задании и/или описании процесса; б. При назначении владельца процесса;
в. При проведении анализа и мониторинга процесса.
32.Какие классы процессов существуют? (выберете несколько вариантов ответов)
а. Основные процессы организации; б. Процессы управления; в. Вспомогательные процессы; г. Процессы развития.
33.Что подразумевается под целевым значением метрики процесса?
а. Желаемое значение метрики процесса; б. Текущее значение метрики процесса;
в. Среднее между значениями метрик процесса за смежные периоды анализа и мониторинга процесса.
34.На что может указывать расхождение между целевым и текущим значениями метрик мониторинга для бизнес-процессов? (выберете наиболее подходящий ответ)
а. На наличие несоответствий требованиям, предъявленным к процессам; б. На низкий уровень зрелости процесса.
35.Что не показывает зрелость процесса?
а. Определен ли процесс в данной области; б. Документирован ли процесс в данной области;
в. Процентное увеличение количества сотрудников, работающих в рамках данного процесса, за смежные отчетные периоды;
г. Насколько процесс управляем; д. Выполняются ли требования, предъявленные к процессу.
36.Какому уровню зрелости процессов (по модели, используемой в международном стандарте CobiT) соответствует определение: «Процесс разработан до такой степени, когда похожие процедуры выполняются похожим образом разными людьми. Отсутствует доступ к стандартным процедурам и формальное обучение, ответственность за выполнение задачи лежит на конкретном человеке. В результате степень доверия к профессиональным качествам конкретного человека очень высока и, соответственно, очень велико влияние человеческого фактора»?
а. Нулевой уровень зрелости; б. Первый уровень зрелости; в. Второй уровень зрелости; г. Третий уровень зрелости;
д. Четвертый уровень зрелости; е. Пятый уровень зрелости.
37.Какому уровню зрелости процессов (по модели, используемой в международном стандарте CobiT) соответствует определение: «Стандартизованный процесс отсутствует, вместо этого каждый вопрос решается отдельно, специальным способом, который меняется от случая к случаю. Какой-либо организованный подход к управлению отсутствует. Очевидно, что организация понимает наличие проблем и что проблемы должны решаться»?
а. Нулевой уровень зрелости; |
г. Третий уровень зрелости; |
||
|
б. Первый уровень зрелости; |
|
д. Четвертый уровень зрелости; |
в. Второй уровень зрелости; |
е. Пятый уровень зрелости. |
||
38. Какому уровню зрелости процессов (по модели, используемой в международном стандарте CobiT) соответствует определение: «Процедуры, связанные с процессом, стандартизованы, документированы и доведены до сотрудников. Сами процедуры несложные и являются лишь описанием практически выполняемых действий»?
а. Нулевой уровень зрелости; |
|
г. Третий уровень зрелости; |
|
б. Первый уровень зрелости; |
|
д. Четвертый уровень зрелости; |
|
в. Второй уровень зрелости; |
|
е. Пятый уровень зрелости. |
|
39. Какому уровню зрелости процессов (по модели, используемой в международном стандарте CobiT) соответствует определение: «Имеется возможность осуществлять мониторинг и измерение соответствия разработанным процедурам и принимать те или иные действия в случае несоответствия. Процесс постоянно улучшается в соответствии с лучшими практиками»?
а. Нулевой уровень зрелости; |
|
г. Третий уровень зрелости; |
|
б. Первый уровень зрелости; |
|
д. Четвертый уровень зрелости; |
|
в. Второй уровень зрелости; |
|
е. Пятый уровень зрелости. |
|
40. Какому уровню зрелости процессов (по модели, используемой в международном стандарте CobiT) соответствует определение: «Процесс отработан до уровня лучших практик путем постоянного длительного совершенствования и сравнения с показателями других организаций»?
а. Нулевой уровень зрелости; |
|
г. Третий уровень зрелости; |
|
б. Первый уровень зрелости; |
|
д. Четвертый уровень зрелости; |
|
в. Второй уровень зрелости; |
|
е. Пятый уровень зрелости. |
|
Группа Б. Стандартизация систем и процессов управление ИБ
41.Какой международный стандарт стал основоположником стандартизации систем управления?
а. ISO 9001; б. ISO 14001; в. ISO 19011.
42.Наличие каких процессов требуется в рамках системы управления в соответствии со стандартами ISO 9001 и ISO 27001? (выберете несколько вариантов ответов)
а. Внутренние аудиты; б. Корректирующие действия;
в. Анализ со стороны руководства.
43.Преемником какого стандарта стал международный стандарт ISO
27002?
а. ISO 27001; б. ISO 17799; в. BS 7799-3.
44. Какие аспекты управления ИБ рассматриваются в рамках серии стандартов ISO 2700х?
а. Практические правила управления ИБ; б. Руководства по внедрению систем управления ИБ;
в. Техническое оснащение организации средствами защиты информации.
45. . К какому типу стандартов можно отнести стандарт ISO 27001?
а. Организационный; б. Технологический.
46.Можно ли проводить аудит на соответствие стандарту ISO 27001?
а. Да; б. Нет.
47.Можно ли проводить аудит на соответствие стандарту ISO 27002?
а. Да; б. Нет.
48.Чем по сути является стандарт ISO 27002?
а. Набором требований к формальной СУИБ; б. Сборником «лучших» практик по ИБ;
в. Набором требований к отдельным процессам СУИБ.
49.Кто в соответствии со стандартом ISO 27001 должен в организации принять решение о внедрении СУИБ?
а. Руководства подразделения информационных технологий; б. Руководство подразделения ИБ; в. Высшее руководство организации.
50.Что является основными целями стандартизации по обеспечению ИБ организаций банковской системы РФ в соответствии со стандартом СТО БР ИББС-1.0? (выберете несколько вариантов ответов)
а. Повышение стабильности функционирования организаций БС РФ и на этой основе —стабильности функционирования БС РФ в целом; б. Достижение адекватности мер по защите от реальных угроз ИБ;
в. Достижение максимальности мер по защите от реальных угроз ИБ; г. Предотвращение и(или) снижение ущерба от инцидентов ИБ.
51.Каковы основные задачи стандартизации по обеспечению ИБ организаций банковской системы РФ в соответствии со стандартом СТО БР ИББС-1.0? (выберете несколько вариантов ответов)
а. Установление единых требований по обеспечению ИБ организаций БС РФ; б. Установление индивидуальный требований по обеспечению ИБ для каждой
из организаций БС РФ; в. Повышение эффективности мероприятий по обеспечению и поддержанию ИБ организаций БС.
52.Что не является целью проведения аудита ИБ организаций БС РФ в соответствии со стандартом СТО БР ИББС-1.1?
а. Оценка соответствия ИБ организаций БС РФ критериям аудита ИБ, установленным согласно требованиям стандарта Банка России «Обеспечение ИБ организаций банковской системы Российской Федерации. Общие положения»; б. Повышение доверия к организациям БС РФ;
в. Повышение уровня защищенности организаций БС РФ до максимального уровня.
53.Для организаций какой отрасли разработан стандарт ITU-T Recommendation X.1051 Information security management system?
а. Организации топливно-энергетического комплекса; б. Телекоммуникационная отрасль; в. Промышленные организации.
54.Может ли стандарт ISO 19011:2002 Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента быть применен для проведения аудита системы управления ИБ?
а. Да; б. Нет.
55.На чем основывается описание процессов управления инцидентами ИБ в стандарте ISO/IEC TR 18044?
а. На использовании циклической модели PDCA;
б. На использовании сравнений с другими стандартами по управлению ИБ; в. На использовании сравнений с другими процессами управления ИБ.
56.Будет ли процесс управления инцидентами ИБ, разработанный в соответствии с требованиями ISO/IEC TR 18044 соответствовать требованиям ISO/IEC 27001, предъявляемым к данному процессу?
а. Да; б. Нет.
57.В чем состоит основной недостаток стандарта BS 7799-3:2006 Руководство по управлению рисками ИБ?
а. Стандарт жестко ограничивает возможность выбора аппарата оценки рисков, а также в разработке мер, средств и сервисов безопасности, используемых для минимизации рисков; б. Стандарт не содержат рекомендаций по выбору какого-либо аппарата оценки
риска, а также по разработке мер, средств и сервисов безопасности, используемых для минимизации рисков; в. Стандарт вводит жесткие ограничения по отраслям организаций в рамках
которых может быть проведен анализ рисков.
58.На что направлен стандарт BS 25999 Требования к Системе Управления Непрерывностью Бизнеса?
а. На разработку максимальных мер безопасности, полностью предотвращающих риск возникновения инцидентов и потерь от сбоев срывов в работе; б. На улучшение работы процессов управления ИБ, что в свою приводит к
непрерывности бизнеса; в. На минимизацию рисков возникновения инцидентов и снижение потерь от сбоев срывов в работе.
59.Стандарты серии BS 25999 дают четкие критерии и рекомендации по построению:
а. Системы непрерывного улучшения процессов управления ИБ; б. Системы управления инцидентами ИБ; в. Системы управления непрерывностью деятельности.
60.Для каких организаций можно строить систему управления непрерывностью деятельности, соответствующую стандарту BS 25999?
а. Организации телекоммуникационной отрасли; б. Организации банковской системы РФ;
в. Организации топливно-энергетического комплекса; г. Организации любой отрасли.
61.Требования стандарта ISO 27001 являются:
а. Рекомендательными; б. Обязательными.
62.На использовании какого подхода к управлению основываются стандарты ISO 27001, ISO 18044, BS 7799-3, BS 25999?
а. Процессный подход; б. Технологический подход;
в. Математический подход.
63.Возможно ли в соответствии со стандартом ISO 19011 проведение комплексного аудита при совместном внедрении разных систем управления или возможно только проведение раздельных аудитов?
а. Возможно только проведение комплексного аудита; б. Возможно только проведение раздельных аудитов;
в. Возможно проведение как комплексного аудита, так и раздельных аудитов.
64.Проведение каких видов аудита регламентирует стандарт ISO 19011?
а. Внутренний аудит; б. Внешний аудит; в. Любые виды аудита.
65. Содержат ли стандарт ISO 18044 четкие рекомендации по
построению процесса управления инцидентами ИБ?
а. Да; б. Нет.
66.Что в соответствии со стандартом СТО БР ИББС-1.1 является хорошей практикой проверки уровня ИБ и подготовки к аудиту ИБ организации БС РФ?
а. Аудит второй стороны, проводимый партнерами организации БС РФ, на регулярной основе; б. Самооценка ИБ, которая проводится на основе принятых в организации БС
РФ документов и методик; в. Опрос пользователей организации БС РФ на предмет их мнения об уровне ИБ в организации.
67.Какие требования содержит стандарт СТО БР ИББС-1.1 Обеспечение ИБ организаций банковской системы Российской Федерации. Аудит ИБ? (выберете несколько вариантов ответов)
а. Требования к этапам проведения аудита ИБ организаций БС РФ; б. Требования к взаимоотношениям представителей аудиторской организации с представителями проверяемой организации
в. Требования к квалификации представителей организации, с которыми будет проводиться интервьюирование в ходе аудита.
68.Содержит ли стандарт ISO 19011 требования или руководящие указания по компетентности и оценке аудиторов?
а. Да; б. Нет.
69.Какие аспекты регламентируют стандарты серии СТО БР ИББС? (выберете несколько вариантов ответов)
а. Построение системы управления ИБ; б. Аудит ИБ;
в. Управление изменениями ИТ-инфраструктуры; г. Обеспечение осведомленности и непрерывное обучение пользователей.
70.В чем состоят основные различия и с ISO 27001 и ITU-T X.1051?
а. Стандарт ITU-T X.1051 предъявляет требования к построению СУИБ в телекоммуникационных компаниях, а ISO 27001 предназначен для использования в любых организациях, независимо от отрасли.
б. Стандарт ISO 27001 предъявляет требования к построению СУИБ в телекоммуникационных компаниях, а ITU-T X.1051 предназначен для использования в любых организациях, независимо от отрасли.
в. Стандарт ITU-T X.1051 предъявляет требования к построению СУИБ в банках, а ISO 27001 предназначен для использования в любых организациях, независимо от отрасли.
71. Какие из перечисленных стандартов не затрагивают аспекты анализа рисков ИБ? (выберете несколько вариантов ответов)