Fiszki
Bezpiecześtwo Systemów Informatycznych
Test w formie fiszek
Ilość pytań: 23
Rozwiązywany: 2225 razy
Które z poniższych jest podstawowym problemem/wadą ilościowej analizy ryzyka?
Stosuje mierniki ilościowe do elementów jakościowych
próbuje przypisać wartości numeryczne do określonych zasobów
rezultaty przedstawione są w formie numerycznej (procentowe, prawdopodobieństwa)
jest oparta na analizie krytyczności zasobów informacyjnych
rezultaty przedstawione są w formie numerycznej (procentowe, prawdopodobieństwa)
Które zagadnienie z poniższych mogłoby być włączone do planu strategicznego bezpieczeństwa informacji?
daty końcowe dot. projektów bezpieczeństwa informacji
analiza przyszłych celów biznesowych
roczne cele budżetowe dot. departamentu/wydziału bezpieczeństwa
specyfikacja dot. planowanych zakupów sprzętu
analiza przyszłych celów biznesowych
Koszt obniżenia ryzyka nie powinien być większy od:
wartości fizycznej zasobów
spodziewanych strat rocznych
kosztu atakującego jakie musi ponieść aby wykorzystać słabośc naszego systemu
spodziewanych korzyści po ich zastosowaniu
spodziewanych korzyści po ich zastosowaniu
Za dostarczanie elementów kontrolnych do spełnienia wymogów bezpieczeństwa informacji odpowiada:
Zarząd
Szefowie jednostek biznesowych/organizacyjnych (dyrektorzy, kierownicy oddziałów)
Rada/Forum ds. Bezpieczeństwa Informacji
CISO
Rada/Forum ds. Bezpieczeństwa Informacji
Najważniejszą odpowiedzialnością kierownika ds. bezpieczeństwa informacji (CISO) w organizacji jest:
doradztwo i monitorowanie polityk bezpieczeństwa
ustanowienie procedur dla polityk bezpieczeństwa
promowanie świadomości dot. bezpieczeństwa w organizacji
zarządzanie fizycznym i logicznym mechanizmem kontroli
doradztwo i monitorowanie polityk bezpieczeństwa
Co może być wadą zapory sieciowej opartej o mechanizm PROXY?
sprawdza jedynie ruch na poziomie warstwy sieciowej modelu ISO/OSI
może nie wspierać aplikacji mniej rozpowszechnionych lub tworzonych na zamówienie
nie może blokować niechcicnego ruchu
nie wspiera NATa
może nie wspierać aplikacji mniej rozpowszechnionych lub tworzonych na zamówienie
Ryzyko akceptowalne jest zazwyczaj:
oparte o spodziewane straty
mniejsze niż ryzyko szczątkowe
okreslone obiektywnie
określone subiektywnie
oparte o spodziewane straty
Aby określić, czy zagrożenie stanowi ryzyko, zespół zajmujący się zarządzaniem ryzykiem musi określić skutek i:
powód
identyfikację
prawdopodobieństwo
podatność
podatność
Podstawowym celem Rady/Forum ds. bezpieczeństwa informacji jest:
wdrażanie mechanizmów kontrolnych dot. bezpieczeństwa informacji
zapewnienie szkoleń dla pracowników dot. bezpieczeństwa informacji
wdrażanie polityk bezpieczeństwa informacji
ustanawianie kierunku i monitorowania wydajności dot. bezpieczeństwa informacji
wdrażanie polityk bezpieczeństwa informacji
W firmie Członek Zarządu ds. Bezpieczeństwa Informacji (CISO - Chief Information Security Officer):
dostarcza elementy kontrolne, aby spełnć wymagania bezpieczeństwa
kieruje i koordynuje wdrożenie programu bezpieczeństwa informacji
klasyfikuje i ustanawia wymagania dotyczące ochrony zasobów informacyjnych
ustanawia i wspiera program bezpieczeństwa
klasyfikuje i ustanawia wymagania dotyczące ochrony zasobów informacyjnych
Za co nie jest odpowiedzialny właściciel danych lub systemu?
ocena wymagań bezpieczeństwa poprzez ocenę wartości, zgrożeńi słabości zasobu
unifikacja, opis i okreslenie wrażliwości ich aplikacji
opracowanie "best practices" przedsiębiorstwa
upewnienie się iż w specyfikacji zostały zawarte odpowiednie wymogi czynników kontrolnych bezpieczeństwo
opracowanie "best practices" przedsiębiorstwa
Zgodnie z art. 269a Kodeksu Karnego przestępstwo zakłócania pracy systemu komputerowego lub sieci teleinformatycznej przez transmisję, zniszczeni, usunięcie, uszkodzenie lub zmianę danych informatycznych zagrożone są karą:
grzywny lub ograniczenia wolności
pozbawienia wolności od 6 miesięcy do lat 3
pozbawienia wolności od 3 miesięcy do lat 5
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 3
pozbawienia wolności od 3 miesięcy do lat 5
Zgodnie z art. 267 Kodeksu Karnego, hacking komputerowy, nielegalny podsłuch i inwigilacja zagrożone są karą:
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 3
grzywny lub pozbawienia wolności do lat 3
grzywny lub ograniczenia wolności
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2
Zgodnie z art. 267 Kodeksu Karnego, hacking komputerowy, nielegalny podsłuch i inwigilacja zagrożone są karą:
grzywny lub pozbawienia wolności do lat 3
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2
grzywny lub ograniczenia wolności
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 3
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2
Wdrażając nowe elementy kontrolne, kierownik ds. bezpieczeństwa informacji (CISO) powinien szczególnie wziąć pod uwagę:
popieranie procedur produkcyjnych
co robi firma konkurencyjna
wpływ na pracę użytkownika końcowego
zmianę zarządzania wskaźnikami kontrolnymi
wpływ na pracę użytkownika końcowego
Które z poniższych jest prawdą o zaporach sieciowych stanu łącza (statefull inspection firewall)?
wspiera więcej aplikacji niż inne zapory sieciowe
są szybsze od innych zapór sieciowych
bada ruch na wszystkich warstwach modelu ISO/OSI
nie wspiera NATa
bada ruch na wszystkich warstwach modelu ISO/OSI
Które z poniższych jest komponentem sieciowym w technicznej infrastrukturze informacji?
bezpieczeństwo systemu operacyjnego
bezpieczeństwo switcha/przełącznika
bezpieczeństwo aplikacji
antywirus
bezpieczeństwo switcha/przełącznika
Które z poniższych jest komponentem sieciowym w technicznej infrastrukturze informacji?
antywirus
bezpieczeństwo systemu operacyjnego
bezpieczeństwo aplikacji
bezpieczeństwo switcha/przełącznika
bezpieczeństwo switcha/przełącznika
Które z poniższych najlepiej opisuje proces planowania strategicznego dla departamentu/wydziału ds. bezpieczeństwa informacji?
Plan strategiczny departamentu musi brać pod uwagę czas i projekty realizowane przez organizację, ale nie bardziej szczegółowe niż mające określić priorytety do spełnienia wymogów biznesowych
planowanie krótkoterminowe dla departamentu nie musi byc połączone z długoterminowymi planami organizacji, ponieważ postęp technologiczny będzie wyprzedzał cele organizacji
departament będzie posiadał plany krótko - długo terminowe w zalezności od planów i celów organizacji
planowanie długoterminowe dla departamentu powinno rozpoznawać cele organizacji, postęp technologiczny i wymagania prawne
planowanie długoterminowe dla departamentu powinno rozpoznawać cele organizacji, postęp technologiczny i wymagania prawne
Dwie formy szacowania ryzyka to:
analityczne i oceny
techniczne i proceduralne
jakościowe i ilościowe
subiektywne i obiektywne
jakościowe i ilościowe
Zgodnie z Ustawą o Ochronie Informacji Niejawnych "Administratora Systemu" wyznacza:
Inspektor Bepieczeństwa
Kierownik jednostki organizacyjnej
Pełnomocnik Ochrony Informacji Niejawnych
Kierownik jednostki organizacyjnej
Zgodnie z Ustawą o Ochronie Informacji Niejawnych za bieżącą kontrolę zgodności funkcjonowania sieci lub systemu teleinformatycznego odpowiada:
administrator systemu
inspektor bezpieczeństwa
kierownik jednostki organizacyjnej
inspektor bezpieczeństwa
Zgodnie z art. 269 Kodeksu Karnego przestępstwo sabotażu komputerowego podlega karze:
pozbawienia wolności do lat 2
ograniczenia wolności lub pozbawienia wolności do lat 3
grzywny lub ograniczenia wolności
pozbawienia wolności od 6 miesięcy do lat 8
pozbawienia wolności od 6 miesięcy do lat 8