Fiszki

Bezpiecześtwo Systemów Informatycznych

Test w formie fiszek
Ilość pytań: 23 Rozwiązywany: 2211 razy
Które z poniższych jest podstawowym problemem/wadą ilościowej analizy ryzyka?
rezultaty przedstawione są w formie numerycznej (procentowe, prawdopodobieństwa)
Stosuje mierniki ilościowe do elementów jakościowych
jest oparta na analizie krytyczności zasobów informacyjnych
próbuje przypisać wartości numeryczne do określonych zasobów
rezultaty przedstawione są w formie numerycznej (procentowe, prawdopodobieństwa)
Które zagadnienie z poniższych mogłoby być włączone do planu strategicznego bezpieczeństwa informacji?
roczne cele budżetowe dot. departamentu/wydziału bezpieczeństwa
daty końcowe dot. projektów bezpieczeństwa informacji
specyfikacja dot. planowanych zakupów sprzętu
analiza przyszłych celów biznesowych
analiza przyszłych celów biznesowych
Koszt obniżenia ryzyka nie powinien być większy od:
spodziewanych korzyści po ich zastosowaniu
kosztu atakującego jakie musi ponieść aby wykorzystać słabośc naszego systemu
spodziewanych strat rocznych
wartości fizycznej zasobów
spodziewanych korzyści po ich zastosowaniu
Za dostarczanie elementów kontrolnych do spełnienia wymogów bezpieczeństwa informacji odpowiada:
CISO
Zarząd
Rada/Forum ds. Bezpieczeństwa Informacji
Szefowie jednostek biznesowych/organizacyjnych (dyrektorzy, kierownicy oddziałów)
Rada/Forum ds. Bezpieczeństwa Informacji
Najważniejszą odpowiedzialnością kierownika ds. bezpieczeństwa informacji (CISO) w organizacji jest:
zarządzanie fizycznym i logicznym mechanizmem kontroli
ustanowienie procedur dla polityk bezpieczeństwa
doradztwo i monitorowanie polityk bezpieczeństwa
promowanie świadomości dot. bezpieczeństwa w organizacji
doradztwo i monitorowanie polityk bezpieczeństwa
Co może być wadą zapory sieciowej opartej o mechanizm PROXY?
sprawdza jedynie ruch na poziomie warstwy sieciowej modelu ISO/OSI
nie może blokować niechcicnego ruchu
może nie wspierać aplikacji mniej rozpowszechnionych lub tworzonych na zamówienie
nie wspiera NATa
może nie wspierać aplikacji mniej rozpowszechnionych lub tworzonych na zamówienie
Ryzyko akceptowalne jest zazwyczaj:
okreslone obiektywnie
określone subiektywnie
oparte o spodziewane straty
mniejsze niż ryzyko szczątkowe
oparte o spodziewane straty
Aby określić, czy zagrożenie stanowi ryzyko, zespół zajmujący się zarządzaniem ryzykiem musi określić skutek i:
powód
prawdopodobieństwo
podatność
identyfikację
podatność
Podstawowym celem Rady/Forum ds. bezpieczeństwa informacji jest:
wdrażanie mechanizmów kontrolnych dot. bezpieczeństwa informacji
ustanawianie kierunku i monitorowania wydajności dot. bezpieczeństwa informacji
zapewnienie szkoleń dla pracowników dot. bezpieczeństwa informacji
wdrażanie polityk bezpieczeństwa informacji
wdrażanie polityk bezpieczeństwa informacji
W firmie Członek Zarządu ds. Bezpieczeństwa Informacji (CISO - Chief Information Security Officer):
dostarcza elementy kontrolne, aby spełnć wymagania bezpieczeństwa
ustanawia i wspiera program bezpieczeństwa
klasyfikuje i ustanawia wymagania dotyczące ochrony zasobów informacyjnych
kieruje i koordynuje wdrożenie programu bezpieczeństwa informacji
klasyfikuje i ustanawia wymagania dotyczące ochrony zasobów informacyjnych
Za co nie jest odpowiedzialny właściciel danych lub systemu?
unifikacja, opis i okreslenie wrażliwości ich aplikacji
opracowanie "best practices" przedsiębiorstwa
ocena wymagań bezpieczeństwa poprzez ocenę wartości, zgrożeńi słabości zasobu
upewnienie się iż w specyfikacji zostały zawarte odpowiednie wymogi czynników kontrolnych bezpieczeństwo
opracowanie "best practices" przedsiębiorstwa
Zgodnie z art. 269a Kodeksu Karnego przestępstwo zakłócania pracy systemu komputerowego lub sieci teleinformatycznej przez transmisję, zniszczeni, usunięcie, uszkodzenie lub zmianę danych informatycznych zagrożone są karą:
pozbawienia wolności od 3 miesięcy do lat 5
grzywny lub ograniczenia wolności
pozbawienia wolności od 6 miesięcy do lat 3
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 3
pozbawienia wolności od 3 miesięcy do lat 5
Zgodnie z art. 267 Kodeksu Karnego, hacking komputerowy, nielegalny podsłuch i inwigilacja zagrożone są karą:
grzywny lub pozbawienia wolności do lat 3
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 3
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2
grzywny lub ograniczenia wolności
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2
Zgodnie z art. 267 Kodeksu Karnego, hacking komputerowy, nielegalny podsłuch i inwigilacja zagrożone są karą:
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 3
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2
grzywny lub pozbawienia wolności do lat 3
grzywny lub ograniczenia wolności
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2
Wdrażając nowe elementy kontrolne, kierownik ds. bezpieczeństwa informacji (CISO) powinien szczególnie wziąć pod uwagę:
zmianę zarządzania wskaźnikami kontrolnymi
wpływ na pracę użytkownika końcowego
co robi firma konkurencyjna
popieranie procedur produkcyjnych
wpływ na pracę użytkownika końcowego
Które z poniższych jest prawdą o zaporach sieciowych stanu łącza (statefull inspection firewall)?
bada ruch na wszystkich warstwach modelu ISO/OSI
nie wspiera NATa
są szybsze od innych zapór sieciowych
wspiera więcej aplikacji niż inne zapory sieciowe
bada ruch na wszystkich warstwach modelu ISO/OSI
Które z poniższych jest komponentem sieciowym w technicznej infrastrukturze informacji?
bezpieczeństwo aplikacji
bezpieczeństwo systemu operacyjnego
bezpieczeństwo switcha/przełącznika
antywirus
bezpieczeństwo switcha/przełącznika
Które z poniższych jest komponentem sieciowym w technicznej infrastrukturze informacji?
bezpieczeństwo switcha/przełącznika
antywirus
bezpieczeństwo aplikacji
bezpieczeństwo systemu operacyjnego
bezpieczeństwo switcha/przełącznika
Które z poniższych najlepiej opisuje proces planowania strategicznego dla departamentu/wydziału ds. bezpieczeństwa informacji?
planowanie długoterminowe dla departamentu powinno rozpoznawać cele organizacji, postęp technologiczny i wymagania prawne
planowanie krótkoterminowe dla departamentu nie musi byc połączone z długoterminowymi planami organizacji, ponieważ postęp technologiczny będzie wyprzedzał cele organizacji
departament będzie posiadał plany krótko - długo terminowe w zalezności od planów i celów organizacji
Plan strategiczny departamentu musi brać pod uwagę czas i projekty realizowane przez organizację, ale nie bardziej szczegółowe niż mające określić priorytety do spełnienia wymogów biznesowych
planowanie długoterminowe dla departamentu powinno rozpoznawać cele organizacji, postęp technologiczny i wymagania prawne
Dwie formy szacowania ryzyka to:
jakościowe i ilościowe
techniczne i proceduralne
subiektywne i obiektywne
analityczne i oceny
jakościowe i ilościowe
Zgodnie z Ustawą o Ochronie Informacji Niejawnych "Administratora Systemu" wyznacza:
Inspektor Bepieczeństwa
Pełnomocnik Ochrony Informacji Niejawnych
Kierownik jednostki organizacyjnej
Kierownik jednostki organizacyjnej
Zgodnie z Ustawą o Ochronie Informacji Niejawnych za bieżącą kontrolę zgodności funkcjonowania sieci lub systemu teleinformatycznego odpowiada:
administrator systemu
kierownik jednostki organizacyjnej
inspektor bezpieczeństwa
inspektor bezpieczeństwa
Zgodnie z art. 269 Kodeksu Karnego przestępstwo sabotażu komputerowego podlega karze:
pozbawienia wolności do lat 2
pozbawienia wolności od 6 miesięcy do lat 8
grzywny lub ograniczenia wolności
ograniczenia wolności lub pozbawienia wolności do lat 3
pozbawienia wolności od 6 miesięcy do lat 8

Powiązane tematy

Inne tryby