Лекции Толстого / Толстой риски
.pdf
а. СТО БР ИББС-1.0; б. СТО БР ИББС-1.1;
в. BS 7799-3; г. ISO 27001;
д. ISO 27002;
е. ISO 19011.
72.Для организаций какой отрасли предназначен стандарт ISO 27001 Информационные технологии. Методы обеспечения безопасности?
а. Организации телекоммуникационной отрасли; б. Организации банковской системы РФ;
в. Организации топливно-энергетического комплекса; г. Организации любой отрасли.
73.Для организаций какой отрасли предназначен стандарт СТО БР ИББС- 1.0?
а. Организации телекоммуникационной отрасли; б. Организации банковской системы РФ;
в. Организации топливно-энергетического комплекса; г. Организации любой отрасли.
74.Для организаций какой отрасли предназначен стандарт ISO/IEC TR
18044?
а. Организации телекоммуникационной отрасли; б. Организации банковской системы РФ;
в. Организации топливно-энергетического комплекса; г. Организации любой отрасли.
75.Что является целью стандарта СТО БР ИББС-1.2Обеспечение ИБ организаций банковской системы Российской Федерации. Методика оценки соответствия ИБ организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2006?
а. Стандартизация подходов и способов оценки, используемых для определения уровня соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0;
б. Стандартизация подходов и способов оценки, используемых для определения уровня соответствия ИБ организации БС РФ требованиям внутренних документов по обеспечению ИБ; в. Стандартизация подходов и способов оценки, используемых для
определения уровня соответствия ИБ организации БС РФ требованиям международных стандартов по ИБ.
76.Что в соответствии со стандартом СТО БР ИББС-1.2 не может являться объективными свидетельствами аудита?
а. Внутренние нормативные документы проверяемой организации; б. Устные высказывания сотрудников проверяемой организации в процессе проводимых опросов;
в. Результаты наблюдений членов аудиторской группы за деятельностью
сотрудников проверяемой организации в области ИБ; г. Предположения аудиторов о неправильном функционировании процессов обеспечения и управления ИБ.
77.Что не является целью процесса управления инцидентами ИБ в соответствии с требованиями стандарта ISO/IEC TR 18044?
а. События и инциденты ИБ выявляются и обрабатываются эффективным образом б. Последствия инцидентов ИБ могут быть минимизированы в процессе
реагирования на инциденты, в. Выявленные инциденты ИБ в организации учитываются и обрабатываются
автоматизированными средствами и системами.
78.Какой из аспектов обеспечения ИБ не рассматривается в рамках стандарта ISO 27002?
а. Физическая безопасность; б. Классификация информационных активов и управление ими;
в. Управление доступом к системам; в. Настройки сетевого оборудования, серверов и средств защиты.
79.Для организации защиты какой информации может быть использован стандарт ISO 27001?
а. Коммерческая тайна; б. Конфиденциальная информация; в. Открытая информация;
г. Любые виды информации.
80.Какие из перечисленных стандартов не рассматривают аспекты, связанные с реагированием на инциденты ИБ? (выберете несколько вариантов)
а. СТО БР ИББС-1.0; б. СТО БР ИББС-1.1;
в. BS 7799-3; г. ISO 27001; д. ISO 18044; е. ISO 19011.
Группа В. Система управления ИБ
81. Выберете правильное определение понятия системы управления ИБ:
а. Система управления ИБ (СУИБ) – часть общей системы управления, основанная на подходе оценки и анализа бизнес-рисков и, предназначенная для разработки, внедрения, применения, мониторинга, анализа, поддержания и улучшения ИБ, включающая организационную структуру, политику, планирование действий, обязанности, установившийся порядок, процедуры, процессы и ресурсы в области ИБ; б. Система управления ИБ (СУИБ) – часть системы управления качеством,
основанная на подходе оценки и анализа бизнес-рисков и, предназначенная для
разработки, внедрения, применения, мониторинга, анализа, поддержания и улучшения ИБ, включающая организационную структуру, политику, планирование действий, обязанности, установившийся порядок, процедуры, процессы и ресурсы в области ИБ; в. Система управления ИБ (СУИБ) – часть системы управления качеством,
основанная на подходе оценки и управления процессами и, предназначенная для разработки, внедрения, применения, мониторинга, анализа, поддержания и улучшения ИБ, включающая организационную структуру, политику, планирование действий, обязанности, установившийся порядок, процедуры, процессы и ресурсы в области ИБ
82.Какой из процессов не является одним из основных этапов построения системы управления ИБ?
а. Выбор области деятельности СУИБ; б. Проведение анализа рисков ИБ; в. Разработка Политики СУИБ; г. Переоценка рисков ИБ;
д. Внедрение процессов управления ИБ.
83.Выберете правильное определение понятия области деятельности системы управления ИБ
а. Область деятельности СУИБ - это область применения и границы СУИБ в терминах характеристик бизнеса, организации, ее местонахождения, ресурсов и технологий; б. Область деятельности СУИБ - это область применения и границы СУИБ в
терминах характеристик бизнеса, организации, ее местонахождения, людских ресурсов и информационных технологий; в. Область деятельности СУИБ - это область применения и границы СУИБ в
терминах характеристик бизнеса, организации, ее местонахождения, технологий.
84.Какие факторы необходимо учитывать при выборе области деятельности СУИБ? (выберете несколько вариантов ответов)
а. Целевая информация, безопасность которой должна быть обеспечена б. Деятельность и услуги, предоставляемые организацией своим партнерам и клиентам;
в. Подразделения и сотрудники организации, задействованные в данных бизнес-процессах; г. Территориальные площадки компании, в рамках которых происходят сбор,
обработка и передача целевой информации.
85.Что является хорошей практикой при выборе области деятельности СУИБ?
а. Выбор одного из ключевых и самых критичных бизнес-процессов компании; б. Выбор одного из самых некритичных бизнес-процессов компании; в. Выбор одного из небольших бизнес-процессов компании с малым количеством участников.
86.Можно ли выбрать в качестве области деятельности СУИБ автоматизированную систему?
а. Да; б. Нет.
87.Можно ли выбрать в качестве области деятельности СУИБ выбрать процесс поддержки автоматизированной системы?
а. Да; б. Нет.
88.В чем основное отличие существующих стандартов по управлению ИБ и Руководящих документов ФСТЭК?
а. В рамках СУИБ при выборе области деятельности ключевыми понятиями являются процесс или процессы, а не автоматизированные системы; б. В рамках СУИБ при выборе области деятельности ключевыми понятиями являются автоматизированные системы, а не процессы;
в. В рамках СУИБ при выборе области деятельности ключевыми понятиями являются информационные активы, а не процессы.
89.Возможно ли построение СУИБ, охватывающей несколько территориальных площадок организации?
а. Да, возможно; б. Нет, невозможно.
90.Какова взаимосвязь между понятиями Политика ИБ и Политика СУИБ?
а. Политика СУИБ рассматривается как надмножество (расширенное множество) Политики ИБ; б. Политика СУИБ рассматривается как надмножество подмножество Политики ИБ;
в. Политика СУИБ рассматривается как детализация Политики ИБ;
91.Что может не включать в себя политика СУИБ?
а. Общие задачи руководства и принципы деятельности с учетом ИБ; б. Критерии, по которым будет определяться уровень рисков; в. Положения по применению антивирусной защиты.
92.Кто должен утверждать Политику СУИБ в организации?
а. Начальник подразделения ИБ; б. Высшее руководство организации;
в. Начальник подразделения информационных технологий.
93.На каких этапах руководство организации должно продемонстрировать свою приверженность к разработке, реализации, эксплуатации, мониторингу, анализу, сопровождению и совершенствованию СУИБ? (выберете несколько вариантов ответов)
а. Утверждения ролей и ответственности за информационную безопасность; б. Обеспечения проведения внутренних аудитов СУИБ;
в. Обеспечение необходимых ресурсов для СУИБ.
94.В чем состоит основная необходимость участия высшего руководства в жизненном цикле СУИБ?
а. Высшее руководство может скоррелировать цели ИБ с целями бизнеса; б. Все документы СУИБ должны быть утверждены высшим руководством организации; в. Высшее руководство должно разбираться в вопросах ИБ.
95.В каких процессах управления ИБ участие высшего руководства не является обязательным?
а. Анализ со стороны руководства; б. Принятие решения о приемлемом уровне риска ИБ;
в. Утверждение ролевой структуры СУИБ; г. Утверждение инструкций пользователей СУИБ.
96.В чем состоит основное преимущество стратегии построения СУИБ в целом?
а. Процессы управления ИБ будут внедряться постепенно, тщательнее будут отлаживаться и корректироваться в соответствии с нуждами организации; б. Через небольшое время после ее внедрения возможно обеспечить
логическую связь между процессами управления ИБ и обеспечить работу системы на всех этапах цикла PDCA;
в. Потребует меньших трудозатрат от рабочей группы по построению СУИБ.
97.В чем состоит основное преимущество стратегии последовательного построения процессов управления ИБ с последующим их объединением в СУИБ?
а. Процессы управления ИБ будут внедряться постепенно, тщательнее будут отлаживаться и корректироваться в соответствии с нуждами организации; б. Через небольшое время после ее внедрения возможно обеспечить
логическую связь между процессами управления ИБ и обеспечить работу системы на всех этапах цикла PDCA;
в. Потребует меньших трудозатрат от рабочей группы по построению СУИБ.
98.Специалистов каких подразделений необходимо включать в рабочую группу по построению СУИБ? (выберете несколько вариантов ответов)
а. Подразделения ИБ; б. Подразделения информационно-технологической поддержки;
в. Подразделения по работе с персоналом.
99.Какова предпочтительная последовательность внедрения процессов управления ИБ?
а. Управление рисками ИБ – Управления документами и записями СУИБ; б. Управление инцидентами ИБ – Управление документами и записями СУИБ; в. Управление изменениями – Управление рисками ИБ.
100.К какому уровню документации СУИБ относятся процедуры
управления ИБ?
а. Уровень 1; б. Уровень 2; в. Уровень 3; г. Уровень 4.
101.К какому уровню документации СУИБ относится План обработки рисков ИБ?
а. Уровень 1; б. Уровень 2; в. Уровень 3; г. Уровень 4.
102.К какому уровню документации СУИБ относятся записи по процессам СУИБ?
а. Уровень 1; б. Уровень 2; в. Уровень 3; г. Уровень 4.
103.К какому уровню документации СУИБ относятся инструкции пользователей и администраторов?
а. Уровень 1; б. Уровень 2; в. Уровень 3; г. Уровень 4.
104.В чем состоит отличие между понятиями документ и запись?
а. Документы имеют жизненный цикл и могут быть изменены, в то время как записи являются свидетельством работы процессов управления ИБ и изменяться не могут; б. Документы не имеют жизненного цикла и не могут быть изменены, в то
время как записи являются свидетельством работы процессов управления ИБ и могут свободно изменяться; в. Документы имеют жизненный цикл и могут быть изменены только при
согласовании с высшим руководством, в то время как записи являются свидетельством работы процессов управления ИБ и могут свободно изменяться пользователями СУИБ.
105. Каково основное назначение записей СУИБ?
а. Записи обеспечивают свидетельства несоответствия требованиям и неэффективной эксплуатации СУИБ; б. Записи обеспечивают свидетельства соответствия требованиям и эффективной эксплуатации СУИБ;
в. Записи обеспечивают свидетельства несоответствия требованиям и принятых корректирующих действий.
106. Какие процессы входят в группу процессов улучшения СУИБ?
(выберете несколько вариантов ответов)
а. Управление корректирующими действиями; б. Управление рисками ИБ; в. Управление предупреждающими действиями;
г. Управление инцидентами ИБ; д. Управление непрерывностью деятельности.
107.Какие процессы входят в группу процессов анализа и мониторинга СУИБ? (выберете несколько вариантов ответов)
а. Управление корректирующими действиями; б. Управление рисками ИБ; в. Управление предупреждающими действиями;
г. Управление внутренние аудиты СУИБ; д. Мониторинг эффективности процессов СУИБ и мер по ИБ.
108.Какой процесс СУИБ является наилучшим поставщиком информации о характерных для активов угрозах?
а. Мониторинг эффективности процессов СУИБ и мер по ИБ; б. Управление инцидентами ИБ; в. Управление корректирующими действиями.
109.Чем по сути является роль участника СУИБ для сотрудника организации?
а. Основными должностными обязанностями; б. Дополнительными обязанностями;
в. Обязанностями в рамках рабочей группы по построению СУИБ.
110.В чем состоит основное преимущество построения СУИБ на небольшой области деятельности?
а. Удастся существенно снизить затраты на обучение пользователей СУИБ; б. Представители органа по сертификации будут находить меньше несоответствий; в. Удастся более тщательно отработать процессы управления ИБ.
111.В чем состоит основная опасность построения СУИБ на большой области деятельности?
а. Невозможность проведения обучения всех пользователей СУИБ; б. Сложности в запуске и отладке процессов управления ИБ;
в. Отсутствие большого количества квалифицированных аудиторов для проведения внутренних аудитов.
112.Наличие каких ролей необходимо в рамках СУИБ? (выберете несколько вариантов ответов)
а. Менеджер СУИБ; б. Внутренний аудитор; в. Внешний аудитор;
г. Владелец бизнес-процесса; д. Пользователь СУИБ.
113.Каким образом лучше утверждать и назначать роли участников СУИБ конкретным сотрудникам организации?
а. На совещании руководства организации; б. Приказом по организации;
в. На совещании линейных руководителей организации.
114.Когда можно приступать к разработке всех процессов управления ИБ и необходимых процедур?
а. После выбора Области деятельности СУИБ; б. После утверждения Политики СУИБ;
в. После утверждения Плана обработки рисков ИБ.
115.Какие процессы СУИБ потребуют наличия исполнителей ролей?
а. Управление рисками ИБ; б. Внутренние аудиты СУИБ;
в. Управление корректирующими действиями; г. Управление инцидентами ИБ; д. Управление непрерывностью деятельности;
е. Все перечисленные процессы СУИБ.
116.Какой вид управления необходим при построении единой СУИБ, распространяющейся на несколько территориальных площадок организации?
а. Централизованное управление; б. Локальное управление; в. Распределенное управление.
117.Могут ли партнеры или заказчики организации запросить у руководства организации Политику СУИБ для изучения?
а. Да; б. Нет.
118.Выполнение каких условий необходимо для построения СУИБ, которая будет охватывать несколько площадок? (выберете несколько вариантов ответов)
а. Все площадки функционируют под управлением одной и той же СУИБ, администрирование, управление и аудит которой осуществляются централизованным образом; б. Для всех площадок должен быть проведен аудит в соответствии с
внутренними процедурами организации по анализу безопасности; в. Все площадки функционируют под управлением одной и той же СУИБ,
администрирование, управление и аудит площадок осуществляются локальным образом.
119.Что является более целесообразным:
а. Одновременное внедрение процессов анализа и непрерывного улучшения процессов СУИБ;
б. Последовательное внедрение: сначала процессов анализа СУИБ, а потом процессов улучшения СУИБ.
120. Какой из перечисленных процессов целесообразно внедрить раньше?
а. Управление корректирующими действиями; б. Внутренние аудиты СУИБ; в. Управление предупреждающими действиями.
Раздел 1. Основные понятия
№ |
|
Тест |
Прав. |
|
|
Альтернативные ответы |
ответ |
1 |
«Информационная безопасность» - это |
|
|
|
• |
механизм защиты |
|
|
• |
свойство информации |
|
|
• |
состояние защищенности |
|
2 |
«Обеспечение информационной безопасности» - это |
|
|
|
• |
защищенность информации |
|
|
• |
свойство информации |
|
|
• |
процесс |
|
3 |
Свойство информации «конфиденциальность» - это |
|
|
|
• доступ к информации только авторизованных пользователей |
|
|
|
• быть доступной только тем, кому она нужна |
|
|
4 |
Свойство информации «доступность» - это |
|
|
|
• доступ к информации и связанным с ней активам авторизованных |
|
|
|
|
пользователей по мере необходимости |
|
|
• информация доступна тогда, когда это необходимо |
|
|
|
• информация доступна тому, кому это необходимо |
|
|
5 |
Свойство информации «целостность» - это |
|
|
|
• достоверность и полнота информации и методов ее обработки |
|
|
|
• |
неизменяемость информации |
|
|
• состояние информации, при котором отсутствует любое ее |
|
|
|
|
изменение |
|
6 |
«Угроза ИБ» - это |
|
|
|
• потенциальная причина инцидента, который может нанести |
|
|
|
|
ущерб системе или организации |
|
|
• совокупность условий и факторов, создающих потенциальную |
|
|
|
|
или реально существующую опасность нарушения безопасности |
|
|
|
информации |
|
7 |
«Критически важный объект» - это |
|
|
|
• |
объекты социальной, производственной, инженерной, |
|
|
|
транспортной, энергетической, информационно- |
|
|
|
коммуникационной и иной инфраструктуры, нарушение |
|
|
|
функционирования которых может повлечь за собой |
|
|
|
человеческие жертвы, причинение вреда здоровью людей или |
|
|
|
окружающей среде, значительный материальный ущерб и |
|
|
|
нарушение условий жизнедеятельности людей. |
|
|
• |
объекты социальной, производственной, инженерной, |
|
|
|
транспортной, энергетической, информационно- |
|
|
|
коммуникационной и иной инфраструктуры, нарушение |
|
|
|
функционирования которых может повлечь за собой серьезные |
|
|
|
последствия для владельцев объекта |
|
8«Критические элементы критически важных объектов» - это
•зоны, территории, административно-производственные здания и сооружения, конструктивные и технологические элементы критически важного объекта, несанкционированные действия в отношении которых приводят к прекращению нормального функционирования критически важно объекта, его повреждению или аварии, или созданию угрозы возникновения чрезвычайной ситуации.
•зоны, территории, административно-производственные здания и сооружения, конструктивные и технологические элементы критически важного объекта
9«Система защиты информации» - это
•совокупность органов и/или исполнителей, используемая ими техника защиты информации , а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационнораспорядительными и нормативными документами по защите информации
•совокупность мер и средств защиты информации
10«Комплексная система защиты информации» - это
•совокупность органов и/или исполнителей, используемая ими техника защиты информации , а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационнораспорядительными и нормативными документами по защите информации
•совокупность мер и средств защиты информации
11«Актив» - это
•все, что имеет ценность для организации
•все, что относится к организации
•все, что имеет организация
12«Риск» - это
•это вероятность причинения вреда с учетом его тяжести
•вероятность нанесения ущерба организации
•ущерб, нанесенный организации
•потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов
13«Уязвимость ИБ» - это
•свойство объекта, связанное с возможностью причинения ему ущерба
•слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами
14«Событие ИБ» - это
•идентифицированное появление определенного состояния актива организации (системы, сервиса или сети), указывающего на возможное нарушение Политики ИБ или нарушения в работе средств защиты, либо возникновение ранее неизвестной ситуации, которая может иметь отношение к ИБ.
•инцидент ИБ
15«Инцидент ИБ» - это
•появление одного или нескольких нежелательных или неожиданных событий ИБ, имеющих значительную вероятность