Fiszki
Bezpiecześtwo Systemów Informatycznych
Test w formie fiszek
Ilość pytań: 23
Rozwiązywany: 2233 razy
Które z poniższych jest podstawowym problemem/wadą ilościowej analizy ryzyka?
jest oparta na analizie krytyczności zasobów informacyjnych
rezultaty przedstawione są w formie numerycznej (procentowe, prawdopodobieństwa)
próbuje przypisać wartości numeryczne do określonych zasobów
Stosuje mierniki ilościowe do elementów jakościowych
rezultaty przedstawione są w formie numerycznej (procentowe, prawdopodobieństwa)
Które zagadnienie z poniższych mogłoby być włączone do planu strategicznego bezpieczeństwa informacji?
roczne cele budżetowe dot. departamentu/wydziału bezpieczeństwa
daty końcowe dot. projektów bezpieczeństwa informacji
specyfikacja dot. planowanych zakupów sprzętu
analiza przyszłych celów biznesowych
analiza przyszłych celów biznesowych
Koszt obniżenia ryzyka nie powinien być większy od:
kosztu atakującego jakie musi ponieść aby wykorzystać słabośc naszego systemu
spodziewanych korzyści po ich zastosowaniu
spodziewanych strat rocznych
wartości fizycznej zasobów
spodziewanych korzyści po ich zastosowaniu
Za dostarczanie elementów kontrolnych do spełnienia wymogów bezpieczeństwa informacji odpowiada:
CISO
Rada/Forum ds. Bezpieczeństwa Informacji
Zarząd
Szefowie jednostek biznesowych/organizacyjnych (dyrektorzy, kierownicy oddziałów)
Rada/Forum ds. Bezpieczeństwa Informacji
Najważniejszą odpowiedzialnością kierownika ds. bezpieczeństwa informacji (CISO) w organizacji jest:
promowanie świadomości dot. bezpieczeństwa w organizacji
zarządzanie fizycznym i logicznym mechanizmem kontroli
ustanowienie procedur dla polityk bezpieczeństwa
doradztwo i monitorowanie polityk bezpieczeństwa
doradztwo i monitorowanie polityk bezpieczeństwa
Co może być wadą zapory sieciowej opartej o mechanizm PROXY?
nie wspiera NATa
sprawdza jedynie ruch na poziomie warstwy sieciowej modelu ISO/OSI
może nie wspierać aplikacji mniej rozpowszechnionych lub tworzonych na zamówienie
nie może blokować niechcicnego ruchu
może nie wspierać aplikacji mniej rozpowszechnionych lub tworzonych na zamówienie
Ryzyko akceptowalne jest zazwyczaj:
okreslone obiektywnie
mniejsze niż ryzyko szczątkowe
oparte o spodziewane straty
określone subiektywnie
oparte o spodziewane straty
Aby określić, czy zagrożenie stanowi ryzyko, zespół zajmujący się zarządzaniem ryzykiem musi określić skutek i:
prawdopodobieństwo
powód
podatność
identyfikację
podatność
Podstawowym celem Rady/Forum ds. bezpieczeństwa informacji jest:
ustanawianie kierunku i monitorowania wydajności dot. bezpieczeństwa informacji
zapewnienie szkoleń dla pracowników dot. bezpieczeństwa informacji
wdrażanie mechanizmów kontrolnych dot. bezpieczeństwa informacji
wdrażanie polityk bezpieczeństwa informacji
wdrażanie polityk bezpieczeństwa informacji
W firmie Członek Zarządu ds. Bezpieczeństwa Informacji (CISO - Chief Information Security Officer):
klasyfikuje i ustanawia wymagania dotyczące ochrony zasobów informacyjnych
dostarcza elementy kontrolne, aby spełnć wymagania bezpieczeństwa
kieruje i koordynuje wdrożenie programu bezpieczeństwa informacji
ustanawia i wspiera program bezpieczeństwa
klasyfikuje i ustanawia wymagania dotyczące ochrony zasobów informacyjnych
Za co nie jest odpowiedzialny właściciel danych lub systemu?
opracowanie "best practices" przedsiębiorstwa
unifikacja, opis i okreslenie wrażliwości ich aplikacji
upewnienie się iż w specyfikacji zostały zawarte odpowiednie wymogi czynników kontrolnych bezpieczeństwo
ocena wymagań bezpieczeństwa poprzez ocenę wartości, zgrożeńi słabości zasobu
opracowanie "best practices" przedsiębiorstwa
Zgodnie z art. 269a Kodeksu Karnego przestępstwo zakłócania pracy systemu komputerowego lub sieci teleinformatycznej przez transmisję, zniszczeni, usunięcie, uszkodzenie lub zmianę danych informatycznych zagrożone są karą:
pozbawienia wolności od 3 miesięcy do lat 5
pozbawienia wolności od 6 miesięcy do lat 3
grzywny lub ograniczenia wolności
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 3
pozbawienia wolności od 3 miesięcy do lat 5
Zgodnie z art. 267 Kodeksu Karnego, hacking komputerowy, nielegalny podsłuch i inwigilacja zagrożone są karą:
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2
grzywny lub pozbawienia wolności do lat 3
grzywny lub ograniczenia wolności
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 3
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2
Zgodnie z art. 267 Kodeksu Karnego, hacking komputerowy, nielegalny podsłuch i inwigilacja zagrożone są karą:
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2
grzywny lub pozbawienia wolności do lat 3
grzywny lub ograniczenia wolności
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 3
grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2
Wdrażając nowe elementy kontrolne, kierownik ds. bezpieczeństwa informacji (CISO) powinien szczególnie wziąć pod uwagę:
popieranie procedur produkcyjnych
zmianę zarządzania wskaźnikami kontrolnymi
co robi firma konkurencyjna
wpływ na pracę użytkownika końcowego
wpływ na pracę użytkownika końcowego
Które z poniższych jest prawdą o zaporach sieciowych stanu łącza (statefull inspection firewall)?
bada ruch na wszystkich warstwach modelu ISO/OSI
nie wspiera NATa
wspiera więcej aplikacji niż inne zapory sieciowe
są szybsze od innych zapór sieciowych
bada ruch na wszystkich warstwach modelu ISO/OSI
Które z poniższych jest komponentem sieciowym w technicznej infrastrukturze informacji?
bezpieczeństwo switcha/przełącznika
antywirus
bezpieczeństwo systemu operacyjnego
bezpieczeństwo aplikacji
bezpieczeństwo switcha/przełącznika
Które z poniższych jest komponentem sieciowym w technicznej infrastrukturze informacji?
bezpieczeństwo switcha/przełącznika
bezpieczeństwo systemu operacyjnego
bezpieczeństwo aplikacji
antywirus
bezpieczeństwo switcha/przełącznika
Które z poniższych najlepiej opisuje proces planowania strategicznego dla departamentu/wydziału ds. bezpieczeństwa informacji?
departament będzie posiadał plany krótko - długo terminowe w zalezności od planów i celów organizacji
planowanie krótkoterminowe dla departamentu nie musi byc połączone z długoterminowymi planami organizacji, ponieważ postęp technologiczny będzie wyprzedzał cele organizacji
Plan strategiczny departamentu musi brać pod uwagę czas i projekty realizowane przez organizację, ale nie bardziej szczegółowe niż mające określić priorytety do spełnienia wymogów biznesowych
planowanie długoterminowe dla departamentu powinno rozpoznawać cele organizacji, postęp technologiczny i wymagania prawne
planowanie długoterminowe dla departamentu powinno rozpoznawać cele organizacji, postęp technologiczny i wymagania prawne
Dwie formy szacowania ryzyka to:
jakościowe i ilościowe
subiektywne i obiektywne
techniczne i proceduralne
analityczne i oceny
jakościowe i ilościowe
Zgodnie z Ustawą o Ochronie Informacji Niejawnych "Administratora Systemu" wyznacza:
Inspektor Bepieczeństwa
Pełnomocnik Ochrony Informacji Niejawnych
Kierownik jednostki organizacyjnej
Kierownik jednostki organizacyjnej
Zgodnie z Ustawą o Ochronie Informacji Niejawnych za bieżącą kontrolę zgodności funkcjonowania sieci lub systemu teleinformatycznego odpowiada:
kierownik jednostki organizacyjnej
administrator systemu
inspektor bezpieczeństwa
inspektor bezpieczeństwa
Zgodnie z art. 269 Kodeksu Karnego przestępstwo sabotażu komputerowego podlega karze:
grzywny lub ograniczenia wolności
pozbawienia wolności do lat 2
ograniczenia wolności lub pozbawienia wolności do lat 3
pozbawienia wolności od 6 miesięcy do lat 8
pozbawienia wolności od 6 miesięcy do lat 8