Fiszki
Bezpiecześtwo Systemów Informatycznych
Test w formie fiszek
Ilość pytań: 23
Rozwiązywany: 2223 razy
Które z poniższych jest podstawowym problemem/wadą ilościowej analizy ryzyka?
rezultaty przedstawione są w formie numerycznej (procentowe, prawdopodobieństwa)
próbuje przypisać wartości numeryczne do określonych zasobów
jest oparta na analizie krytyczności zasobów informacyjnych
Stosuje mierniki ilościowe do elementów jakościowych
rezultaty przedstawione są w formie numerycznej (procentowe, prawdopodobieństwa)
Które zagadnienie z poniższych mogłoby być włączone do planu strategicznego bezpieczeństwa informacji?
specyfikacja dot. planowanych zakupów sprzętu
roczne cele budżetowe dot. departamentu/wydziału bezpieczeństwa
daty końcowe dot. projektów bezpieczeństwa informacji
analiza przyszłych celów biznesowych
analiza przyszłych celów biznesowych
Koszt obniżenia ryzyka nie powinien być większy od:
spodziewanych korzyści po ich zastosowaniu
spodziewanych strat rocznych
kosztu atakującego jakie musi ponieść aby wykorzystać słabośc naszego systemu
wartości fizycznej zasobów
spodziewanych korzyści po ich zastosowaniu
Za dostarczanie elementów kontrolnych do spełnienia wymogów bezpieczeństwa informacji odpowiada:
CISO
Zarząd
Szefowie jednostek biznesowych/organizacyjnych (dyrektorzy, kierownicy oddziałów)
Rada/Forum ds. Bezpieczeństwa Informacji
Rada/Forum ds. Bezpieczeństwa Informacji
Najważniejszą odpowiedzialnością kierownika ds. bezpieczeństwa informacji (CISO) w organizacji jest:
promowanie świadomości dot. bezpieczeństwa w organizacji
ustanowienie procedur dla polityk bezpieczeństwa
zarządzanie fizycznym i logicznym mechanizmem kontroli
doradztwo i monitorowanie polityk bezpieczeństwa
doradztwo i monitorowanie polityk bezpieczeństwa
Co może być wadą zapory sieciowej opartej o mechanizm PROXY?
nie wspiera NATa
sprawdza jedynie ruch na poziomie warstwy sieciowej modelu ISO/OSI
nie może blokować niechcicnego ruchu
może nie wspierać aplikacji mniej rozpowszechnionych lub tworzonych na zamówienie
może nie wspierać aplikacji mniej rozpowszechnionych lub tworzonych na zamówienie
Ryzyko akceptowalne jest zazwyczaj:
oparte o spodziewane straty
określone subiektywnie
okreslone obiektywnie
mniejsze niż ryzyko szczątkowe
oparte o spodziewane straty
Aby określić, czy zagrożenie stanowi ryzyko, zespół zajmujący się zarządzaniem ryzykiem musi określić skutek i:
identyfikację
prawdopodobieństwo
powód
podatność
podatność
Podstawowym celem Rady/Forum ds. bezpieczeństwa informacji jest:
wdrażanie mechanizmów kontrolnych dot. bezpieczeństwa informacji
zapewnienie szkoleń dla pracowników dot. bezpieczeństwa informacji
wdrażanie polityk bezpieczeństwa informacji
ustanawianie kierunku i monitorowania wydajności dot. bezpieczeństwa informacji
wdrażanie polityk bezpieczeństwa informacji
W firmie Członek Zarządu ds. Bezpieczeństwa Informacji (CISO - Chief Information Security Officer):
kieruje i koordynuje wdrożenie programu bezpieczeństwa informacji
klasyfikuje i ustanawia wymagania dotyczące ochrony zasobów informacyjnych
dostarcza elementy kontrolne, aby spełnć wymagania bezpieczeństwa
ustanawia i wspiera program bezpieczeństwa
klasyfikuje i ustanawia wymagania dotyczące ochrony zasobów informacyjnych
Za co nie jest odpowiedzialny właściciel danych lub systemu?
unifikacja, opis i okreslenie wrażliwości ich aplikacji
upewnienie się iż w specyfikacji zostały zawarte odpowiednie wymogi czynników kontrolnych bezpieczeństwo
ocena wymagań bezpieczeństwa poprzez ocenę wartości, zgrożeńi słabości zasobu
opracowanie "best practices" przedsiębiorstwa
opracowanie "best practices" przedsiębiorstwa
Zgodnie z art. 269a Kodeksu Karnego przestępstwo zakłócania pracy systemu komputerowego lub sieci teleinformatycznej przez transmisję, zniszczeni, usunięcie, uszkodzenie lub zmianę danych informatycznych zagrożone są karą:
pozbawienia wolności od 6 miesięcy do lat 3
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 3
grzywny lub ograniczenia wolności
pozbawienia wolności od 3 miesięcy do lat 5
pozbawienia wolności od 3 miesięcy do lat 5
Zgodnie z art. 267 Kodeksu Karnego, hacking komputerowy, nielegalny podsłuch i inwigilacja zagrożone są karą:
grzywny lub ograniczenia wolności
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 3
grzywny lub pozbawienia wolności do lat 3
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2
Zgodnie z art. 267 Kodeksu Karnego, hacking komputerowy, nielegalny podsłuch i inwigilacja zagrożone są karą:
grzywny lub pozbawienia wolności do lat 3
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2
grzywny lub ograniczenia wolności
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 3
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2
Wdrażając nowe elementy kontrolne, kierownik ds. bezpieczeństwa informacji (CISO) powinien szczególnie wziąć pod uwagę:
wpływ na pracę użytkownika końcowego
zmianę zarządzania wskaźnikami kontrolnymi
popieranie procedur produkcyjnych
co robi firma konkurencyjna
wpływ na pracę użytkownika końcowego
Które z poniższych jest prawdą o zaporach sieciowych stanu łącza (statefull inspection firewall)?
wspiera więcej aplikacji niż inne zapory sieciowe
bada ruch na wszystkich warstwach modelu ISO/OSI
nie wspiera NATa
są szybsze od innych zapór sieciowych
bada ruch na wszystkich warstwach modelu ISO/OSI
Które z poniższych jest komponentem sieciowym w technicznej infrastrukturze informacji?
bezpieczeństwo aplikacji
bezpieczeństwo switcha/przełącznika
antywirus
bezpieczeństwo systemu operacyjnego
bezpieczeństwo switcha/przełącznika
Które z poniższych jest komponentem sieciowym w technicznej infrastrukturze informacji?
antywirus
bezpieczeństwo switcha/przełącznika
bezpieczeństwo systemu operacyjnego
bezpieczeństwo aplikacji
bezpieczeństwo switcha/przełącznika
Które z poniższych najlepiej opisuje proces planowania strategicznego dla departamentu/wydziału ds. bezpieczeństwa informacji?
Plan strategiczny departamentu musi brać pod uwagę czas i projekty realizowane przez organizację, ale nie bardziej szczegółowe niż mające określić priorytety do spełnienia wymogów biznesowych
planowanie długoterminowe dla departamentu powinno rozpoznawać cele organizacji, postęp technologiczny i wymagania prawne
departament będzie posiadał plany krótko - długo terminowe w zalezności od planów i celów organizacji
planowanie krótkoterminowe dla departamentu nie musi byc połączone z długoterminowymi planami organizacji, ponieważ postęp technologiczny będzie wyprzedzał cele organizacji
planowanie długoterminowe dla departamentu powinno rozpoznawać cele organizacji, postęp technologiczny i wymagania prawne
Dwie formy szacowania ryzyka to:
analityczne i oceny
techniczne i proceduralne
jakościowe i ilościowe
subiektywne i obiektywne
jakościowe i ilościowe
Zgodnie z Ustawą o Ochronie Informacji Niejawnych "Administratora Systemu" wyznacza:
Kierownik jednostki organizacyjnej
Pełnomocnik Ochrony Informacji Niejawnych
Inspektor Bepieczeństwa
Kierownik jednostki organizacyjnej
Zgodnie z Ustawą o Ochronie Informacji Niejawnych za bieżącą kontrolę zgodności funkcjonowania sieci lub systemu teleinformatycznego odpowiada:
kierownik jednostki organizacyjnej
administrator systemu
inspektor bezpieczeństwa
inspektor bezpieczeństwa
Zgodnie z art. 269 Kodeksu Karnego przestępstwo sabotażu komputerowego podlega karze:
pozbawienia wolności do lat 2
ograniczenia wolności lub pozbawienia wolności do lat 3
pozbawienia wolności od 6 miesięcy do lat 8
grzywny lub ograniczenia wolności
pozbawienia wolności od 6 miesięcy do lat 8