Менеджмент в сфере информационной безопасности

Изменение усредненной величины единовременных потерь от нарушений информационной безопасности влияет на:

• совокупную стоимость владения
• ставку дисконтирования
• (Правильный ответ) дополнительный денежный поток

Увеличение дополнительного денежного потока:

• не влияет на экономический эффект
• уменьшает экономический эффект
• (Правильный ответ) увеличивает экономический эффект

В системах автоматизированного интерактивного анализа политик безопасности заключения о состоянии политики безопасности формируются на основе:

• (Правильный ответ) ответов на вопросы, задаваемые программой
• семантического анализа текстов политик безопасности
• результатов аудита информационной безопасности

Контроль за соблюдением правил защиты персональных данных осуществляется:

• (Правильный ответ) Роскомнадзором
• МВД
• ФСТЭК

Продвижение принципов, приемов и методов разработки безопасного ПО компанией Microsoft включает в себя:

• (Правильный ответ) открытое распространение методики SDL
• материальное стимулирование открытия центров обучения безопасной разработке
• продажу шаблонов документов, поддерживающих практическое применение методики SDL

Компания Microsoft осуществляет ускоренное информирование разработчиков систем безопасности о вновь выявленных уязвимостях до того как эта информация будет опубликована в общедоступном бюллетене для того чтобы:

• предоставить таким компаниям преимущества перед другими субъектами
• такие компании-разработчики могли как можно быстрее устранить уязвимости в своих системах
• (Правильный ответ) такие компании могли как можно раньше разработать и выпустить средства нейтрализации выявленных уязвимостей

В методологии работы с персоналом фигурируют такие понятия как:

• (Правильный ответ) человеческий фактор
• (Правильный ответ) социальная инженерия
• (Правильный ответ) человеко-машинная система

Основным источником финансирования консорциума W3C является:

• поступления из государственных фондов
• (Правильный ответ) членские взносы участников
• отчисления за использование патентов

При проведении тестового преодоления защиты внешними аудиторами договор с заказчиком таких услуг должен предусматривать:

• (Правильный ответ) снятие ответственности с аудитора за возможный ущерб, который может быть нанесен в процессе такого проникновения
• конкретный детализированный план тестового проникновения
• порядок уведомления всех заинтересованных сотрудников предприятия-заказчика о предстоящем тестовом проникновении

Работа со сведениями, составляющими государственную тайну регламентируется:

• Международными соглашениями
• Нормативными актами субъектов РФ
• (Правильный ответ) Федеральным законодательством

В организационную структуру ACM входят:

• комитеты по стандартам
• (Правильный ответ) группы специальных интересов
• отраслевые департаменты

Основным противодействием методам «социальной инженерии» является:

• повышение надежности криптографических алгоритмов
• (Правильный ответ) информационная работа с персоналом предприятия
• страхование информационных ресурсов

Основой для автоматизированного анализа рисков является:

• (Правильный ответ) перечень информационных активов и соответствующие этим активам угрозы
• перечень политик безопасности
• список персонала предприятия и оценка уровня его подготовки

Методология SDL нацелена на:

• ускорение сбора информации о вновь выявляемых уязвимостях
• упрощение процесса нейтрализации выявляемых уязвимостей
• (Правильный ответ) повышение уровня безопасности разрабатываемого ПО

Высокий уровень полномочий необходим для локализации длящихся нарушений в связи с тем что:

• для локализации нарушений может потребоваться проинформировать о нарушениях большое число пользователей информационных систем
• (Правильный ответ) для локализации нарушений может потребоваться временное оперативное отключение важных информационных систем предприятия
• Локализация нарушений требует дорогостоящих услуг сторонних аналитиков

Членство в ISO возможно для:

• (Правильный ответ) государств
• частных компаний
• частных лиц

US-CERT осуществляет:

• координацию разработки государственной политики информационной безопасности США
• (Правильный ответ) реагирование на нарушения информационной безопасности в государственных структурах США
• самостоятельное расследование нарушений информационной безопасности в государственных структурах США

Ущерб от нарушения информационной безопасности включает в себя:

• (Правильный ответ) штрафные санкции за разглашение конфиденциальной информации
• (Правильный ответ) уменьшение рыночной капитализации
• (Правильный ответ) упущенную выгоду

Автоматизированный анализ управления информационной безопасностью предполагает:

• загрузку политик безопасности в виде электронных документов
• внесение данных из журналов систем контроля безопасности
• (Правильный ответ) внесение данных в соответствии с вопросами задаваемыми программой

Центр JTF-CNO обеспечивает защиту информации в:

• правительственных структурах отдельных штатов
• (Правильный ответ) структурах Министерства обороны США
• структурах федерального правительства США

Заключительной стадией аудита является:

• проведение аттестации сотрудников департамента информационной безопасности
• внесение изменений в действующие политики безопасности
• (Правильный ответ) формирование аудиторского заключения

Автоматизированные системы анализа рисков используют данные о:

• (Правильный ответ) составе информационных активов
• составе и объеме политики информационной безопасности
• результатах аудита информационной безопасности

Анализ состояния информационной безопасности в интересах Конгресса США осуществляет:

• (Правильный ответ) Главное контрольное управление
• Особый комитет по национальной безопасности
• Административно-бюджетное управление

К негативным факторам, ограничивающим передачу на аутсорсинг функций по обеспечению информационной безопасности, относятся:

• (Правильный ответ) потенциальная возможность перехвата и утечки информации в процессе оказания услуг сторонней организацией
• высокий уровень затрат на услуги, предоставляемыми сторонними организациями-поставщиками услуг
• (Правильный ответ) доступ предприятия-поставщика услуг к конфиденциальной информации

Сложность экономического анализа вложений в информационную безопасность определяется:

• частым изменением правовых норм и требований в сфере информационной безопасности
• (Правильный ответ) постоянным динамичным развитием как средств защиты, так и средств нападения
• (Правильный ответ) большим числом возможных сценариев нападения на информационные ресурсы

«Информационная безопасность» — это:

• множество факторов, влияющих на состояние информационных ресурсов
• (Правильный ответ) уровень защищенности информационных ресурсов
• совокупность методов управления информационными рисками

Государственная политика (доктрина) информационной безопасности:

• (Правильный ответ) декларирует признание государством важность вопросов и проблем, связанных с информационной безопасностью
• (Правильный ответ) описывает основные направления, в которых государство намерено повышать уровень информационной безопасности
• утверждает перечень стандартов для технологий защиты информации

В программе MAPP могут участвовать:

• (Правильный ответ) производители средств безопасности
• все подписчики бюллетеней безопасности
• научные центры, работающие в сфере информационной безопасности

Проверочные мероприятия, связанные с получением допуска к государственной тайне, осуществляет:

• Служба безопасности предприятия
• МВД
• (Правильный ответ) ФСБ
• ФСТЭК

Программа MAPP — это:

• регламент рассылки бюллетеней безопасности
• (Правильный ответ) порядок информирования разработчиков систем безопасности о новых уязвимостях
• политика сбора информации об уязвимостях

Перечень сведений, относимых к государственной тайне утверждается:

• ФСБ
• (Правильный ответ) Президентом РФ
• ФСТЭК
• Правительством РФ

Взаимодействие компаний-производителей информационных систем с пользователями по вопросам нейтрализации уязвимостей включает в себя:

• (Правильный ответ) распространение программных «заплаток» для устранения уязвимостей
• (Правильный ответ) рассылку уведомлений о выявленных уязвимостях
• (Правильный ответ) сбор информации о выявленных уязвимостях

Функция дисконтирования используется для:

• (Правильный ответ) приведения разновременных затрат к одному моменту времени
• расчета ставки дисконтирования
• сокращения затрат

Функция дисконтирования применяется в отношении:

• (Правильный ответ) денежного потока
• (Правильный ответ) затрат
• ставки дисконтирования

Со стороны РФ в программе GSP участвует:

• Роскомнадзор
• (Правильный ответ) ФСТЭК
• ФСБ

Информирование персонала предприятия об основных целях в сфере информационной безопасности осуществляется с помощью:

• положения о департаменте информационной безопасности
• (Правильный ответ) политики безопасности
• аудита безопасности

Приоритеты официальной государственной политики США в сфере информационной безопасности включают в себя:

• проведение информационных операции против недружественных стран
• поддержку американских производителей средств защиты информации
• (Правильный ответ) защиту информационных ресурсов органов государственного управления
• (Правильный ответ) подготовка кадров в сфере информационной безопасности

К косвенным признакам, по которым могут быть выявлены нарушения информационной безопасности, относятся:

• (Правильный ответ) резкое повышение нагрузки на информационные системы предприятия
• опубликование конфиденциальной информации в открытых источниках
• (Правильный ответ) использование баз данных и учетных записей в нехарактерное время

Функции Роскомнадзора в сфере информационной безопасности включают в себя:

• (Правильный ответ) контроль за соблюдением правил защиты персональных данных
• надзор за соблюдением частными компаниями правил защиты сведений, составляющих государственную тайну
• защиту информационных ресурсов органов государственного управления

Инициаторами аудита информационной безопасности могут выступать:

• государственные структуры
• (Правильный ответ) руководители предприятия
• органы стандартизации

Детализация наиболее общих положений политики информационной безопасности осуществляется с помощью:

• (Правильный ответ) правил и ограничений использования отдельных технологий и средств защиты
• маркетинговой политики предприятия
• (Правильный ответ) политики опубликования информационных материалов в открытых источниках

К задачам обучения и информационной работы с персоналом предприятия относится:

• недопущение утечек информации с использованием уязвимостей в сетях и ПО
• (Правильный ответ) ознакомление с требованиями законодательства и локальных регламентов
• (Правильный ответ) противодействие методам «социальной инженерии»

Методы государственного управления в сфере информационной безопасности включают в себя:

• бесплатное распространение программных и аппаратных средств защиты информации
• (Правильный ответ) создание и совершенствование законодательной базы
• (Правильный ответ) осуществление международного сотрудничества в вопросах информационной безопасности

В состав службы информационной безопасности предприятия могут быть включены:

• отдел персонала
• отдел технической поддержки пользователей
• (Правильный ответ) отдел нормативной документации
• (Правильный ответ) отдел внутреннего аудита информационной безопасности

Приведение разновременных затрат к одному моменту времени производится с помощью:

• (Правильный ответ) функции дисконтирования
• расчета ССВ
• (Правильный ответ) ставки дисконтирования