Лекции Толстого / Толстой риски
.pdf
организации, ее расположения, ресурсов и технологий
43. |
Что |
понимается |
под |
документированной |
процедурой как основы документации СУИБ?
• рекомендации по тому, как должны выполняться действия в
рамках процесса
• правило, указывающее конкретное направление действий или
ответную реакцию на данную ситуацию
разработанное, документально оформленное, внедренное и поддерживаемое в актуальном состоянии описание последовательности
действий в рамках процесса в виде установленного способа их осуществления
44. На основе какого международного стандарта был разработан стандарт ISO/IEC 27001?
BS 7799-1:1999
BS 7799-2:1999
45. Какая из двух фраз верна: 1) корпоративная ПолИБ детализирует частную ПолИБ; 2) частная ПолИБ детализирует корпоративную ПолИБ?
Вторая
•Первая
46.Что понимается под ревизией ПолИБ?
• выпуск следующей редакции
•пересмотр
независимая оценка
47.Когда принимается решение о предупреждающем или корректирующем действии в отношении СУИБ?
только при условии, если это действие не влияет на целостность СУИБ
• в любом случае
48.Что в рамках учебного курса понимается под управлением?
цепь логически связанных, повторяющихся действий, и результате которых используются ресурсы организации с целью достижения
определенных измеримых результатов для удовлетворения внутренних или внешних потребителей
последовательная смена явлений, состояний в развитии чего-нибудь
совокупность взаимосвязанных или взаимодействующих видов
деятельности, преобразующая входы в выходы и требующая для этого определенных ресурсов и управляющих воздействий (управления)
49. К каким процессам относится деятельность по ОИБ организации?
вспомогательным
• управленческим
•основным
50.Что из перечисленного является источниками информации по выявленным или прогнозируемым несоответствиям для СУИБ?
•публикации в СМИ
|
|
|
|
|
|
результаты анализа функционирования СУИБ руководством |
|||
|
|
|
|
|
|
|
|
|
|
|
|
результаты мониторинга эффективности СУИБ |
||
• информация на сайтах производителей СЗИ
данные по инцидентам И Б
|
|
|
|
|
|
жалобы и рекомендации пользователей организации |
|
|
|
|
|
|
|
отчеты о внутренних и внешних аудитах ИБ |
|
51.Постоянная деятельность по контролю за
соблюдением или несоблюдением ПолИБ с
использованием формальных и неформальных методов
называется
мониторингом
|
• |
контролем |
|
|
|
|
• |
сопровождением |
52. Что отражается в записях СУИБ?
|
|
|
|
|
|
|
|
инциденты, связанные с СУИБ |
|
||
|
|
• |
стандарты технологий ОИБ |
|
|
|
|
показатели процессов управления И Б |
|
||
53.Как называется отдельный нормативный документ,
определяющий требования безопасности, систему мер и/или порядок действий, а также ответственность сотрудников организации и средства управления для определенной области ОИБ?
• ПолИБ в широком смысле
• ПолИБ организации
ПолИБ в узком смысле
54. Как можно описать стадии жизненного цикла документального обеспечения СУИБ
начальная оценка - разработка- утверждение - публикация - исполнение - сопровождение
•начальная оценка - разработка - внедрение - применение –
аннулирование
55. На каком этапе цикла PDCA при управлении ИБ осуществляется обнаружение событий ИБ и реагирование на инциденты ИБ?
|
• |
планирование |
|
|
|
|
• |
совершенствование |
|
|
• проверка
реализация
56. Какими принципами из перечисленных целесообразно руководствоваться при использовании ПолИБ и поддержании ИБ в организации на требуемом уровне?
минимизация полномочий и привилегий
комплексностъ
эшелонированность
• синергетичность
обязательность контроля
законность
• эмерджентность
системность
непрерывность защиты
57. При разработке корректирующих или предупреждающих действий обязательно ли проводить оценку необходимости и адекватность затрат на
проведение этих действий?
да
• нет
58.Что понимается под корректирующим действием в рамках совершенствования СУИБ? (выберите все верные ответы)
действие. предпринятое для предотвращения повторного
возникновения несоответствия
• действие, предпринятое для устранения причины потенциального
несоответствия или другой потенциально нежелательной ситуации
• действие, предпринятое для предотвращения
возникновения несоответствия
действие, предпринятое для устранения причины обнаруженного несоответствия
59.На этапе «проверка» для СУИБ измеряется
•результативность и эффективность СУИБ
только результативность СУИБ
•только эффективность СУИБ
60. Выберите ключевые процессы СУИБ из
|
приведенного списка. |
|
|
|
|
управление персоналом |
||
|
управление эффективностью СУИБ |
|
• управление активами
управление НБ
• управление изменениями и обновлениями
управление рисками ИБ
управление аудитами ИБ
управление инцидентами ИБ
|
61. |
Каким образом руководство организации должно |
|
|
демонстрировать свою поддержку СУИБ? |
||
|
|
|
|
|
проводя анализ СУИБ |
||
• проводя анализ рисков ИБ
устанавливая критерии принятия рисков ИБ
|
|
|
|
|
|
предоставляя ресурсы для СУИБ |
|||
|
|
|
|
|
|
|
утверждая Политику СУИБ |
||
|
|
|
|
|
|
|
проводя аудит СУИБ |
||
62. Верно ли, что отдельная частная ПолИБ - это ПолИБ в узком смысле?
• нет
да
63. Устанавливает ли обычно Политика СУИБ критерии оценки рисков ИБ?
• нет
да
64.В чем заключается базовый принцип управления,
называемый «компенсация» и используемый при разработке СУИБ?
• заранее сформированные требования реализуются
исполнителями ОИБ, воздействуя на объект защиты
• обнаруживается не сама угроза ИБ. а реакция системы на нее
и степень нанесенного ущерба
в контур управления ИБ оперативно вводится информация об обнаруженной угрозе ИБ. в результате чего исполнители ОИБ концентрируют свои усилия на ее локализации и противодействии ей
65.Кто может быть руководителем процесса СУИБ?
• владелец процесса
• администратор процесса
Должностное лицо или коллегиальный орган, который имеет в своем распоряжении ресурсы процесса, информацию о нем управляет ходом
процесса и несет ответственность за его результат перед вышестоящим руководителем
66. Документами каких уровней в классификации документации в области ОИБ, определенной в PC БР ИББС-2 .0 представляется административная ПолИБ организации банковской системы РФ?
первых трех
|
• |
Первого |
|
|
• второго и третьего
• Всех четырех
•Первых двух
67.Какое из утверждений верно: 1) Политика СУИБ
рассматривается как надмножество ПолИБ организации; 2) Политика СУИБ рассматривается как подмножество ПолИБ организации?
• второе
первое
|
68. |
Каким принципом из названных рекомендуется |
|
|
руководствоваться, устанавливая ответственность и |
||
|
распределяя роли и обязанности, связанные с ПолИБ? |
||
|
|
|
|
|
минимизации полномочий |
||
• разделение полномочий
69.Из каких этапов состоит циклическая модель
PDCA?
•оценивай - планируй - выполняй - усовершенствуй
планируй — выполняй — проверяй — действуй
• раэрабатывай - проводи мониторинг - анализируй - сопровождай
•планируй — действуй — выполняй — проверяй
70.Что понимается под коммуникацией как этапом жизненного цикла ПолИБ?
|
|
|
• |
Подписанная ПолИБ руководством организации |
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
• |
координация деятельности между всеми участвующими в |
|
|
|||||
|
|
|
процессе создания ПолИБ сторонами как внутри, так и вне |
|
|
||||||
|
|
|
организации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
распространение ПолИБ внутри организации и среди тех. на кого она |
||||||||
|
|
|
распространяется - партнеров, клиентов и т.д. (стр.117) |
|
|
|
|||||
|
71. |
Что |
в |
учебном |
курсе |
понимается |
под |
||||
идентификацией процесса СУИБ?
определение состава процессов СУИБ. имеющих ключевое значение в рамках выбранной области действия – ОИБ, и составление их перечня,
а также разработка модели каждого процесса, включающей краткую характеристику, последовательность действий и процедуры процесса,
показатели для оценки процесса (стр.178)
• введение формализованного определения и обозначения для
процесса СУИБ
72.Утверждается ли руководством организации ПолИБ после пересмотра?
Да (стр.99)
•нет
73.Что понимается под показателем процесса СУИБ?
обобщенная характеристика свойств СУИБ, дающая качественную или
количественную оценку степени достижения процессом своей цели
(стр. 185)
• эффективность процесса
• точность выходных данных процесса
• результативность процесса
74.В чем заключается базовый принцип управления,
|
называемый |
«разомкнутое |
управление» |
и |
|
|
используемый при разработке СУИБ? |
|
|||
|
• |
обнаруживается не сама угроза ИБ. а реакция системы на нее |
|
||
|
и степень нанесенного ущерба |
|
|
||
|
|
|
|
|
|
заранее сформированные требования реализуются исполнителями
ОИБ, воздействуя на объект защиты (стр.163)
• в контур управления ИБ оперативно вводится информация об
обнаруженной угрозе ИБ, в результате чего исполнители ОИБ концентрируют свои усилия на ее локализации и противодействии ей
75. |
Как в международном стандарте ISO/IEC |
27000:2012 определено понятие термина СУИБ?
• совокупность политик, процедур, руководящих принципов и ресурсов, необходимых для достижения бизнес-целей организации в
отношении обеспечения ИБ
часть общей системы управления, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, сопровождения
(поддержания) и совершенствования (улучшения) ИБ (стр.6 п.2.23 стандарта, опред. немного другое)
76. Какие составляющие из перечисленных включает комплексный подход к обеспечению ИБ?
техническая