Zarządzanie bezpieczeństwem informacji i zarządzanie ryzykiem



1. W przypadku bezpieczeństwa systemów informatycznych penetrację definiuje się jako którą z poniższych kombinacji?

a. Atak plus wyłom
b. Atak plus zagrożenie
c. Zagrożenie plus naruszenie
d. Zagrożenie plus środek zaradczy

1. a. Penetracja to skuteczne ominięcie mechanizmów bezpieczeństwa systemu komputerowego, a atak to próba naruszenia bezpieczeństwa danych. Naruszenie to skuteczne obejście lub wyłączenie kontroli bezpieczeństwa, z wykryciem lub bez, które w przypadku doprowadzenia do końca może spowodować penetrację systemu. Zagrożenie to każda okoliczność lub zdarzenie mogące spowodować uszkodzenie systemu w postaci zniszczenia lub modyfikacji danych lub odmowy usługi. Środek zaradczy to dowolne działanie, kontrola, urządzenie, procedura, technika lub inny środek, który zmniejsza podatność zagrożenia na system.

2. Które z poniższych nie jest podstawowym celem bezpieczeństwa komputerowych systemów informatycznych?

a. Ochrona zasobów systemowych przed utratą, uszkodzeniem i niewłaściwym użyciem
b. Dokładność danych i niezawodność procesów aplikacyjnych
c. Dostępność informacji i procesów aplikacyjnych
d. Kontrola analizy danych

2. d. Kontrola ochrony informacji, dokładności, dostępności i rozpowszechniania, a nie kontrola analizy danych, jest jednym z podstawowych celów bezpieczeństwa komputerowych systemów informatycznych. Analiza danych określa, czy cele bezpieczeństwa zostały osiągnięte.

3. Które z poniższych jest głównym celem planu działania i dokumentu kamieni milowych?

a. Aby zmniejszyć lub wyeliminować znane luki w zabezpieczeniach
b. Aby wykorzystać ustalenia z ocen kontroli bezpieczeństwa
c. Aby zastosować ustalenia z analiz wpływu na bezpieczeństwo
d. Wdrażanie ustaleń z ciągłych działań monitorujących

3. a. Podstawowym celem dokumentu planu działania i kamieni milowych (POA&M) jest korygowanie braków oraz ograniczanie lub eliminowanie znanych podatności. Aktualizacje dokumentów POA&M są oparte na ustaleniach z oceny kontroli bezpieczeństwa, analiz wpływu na bezpieczeństwo i ciągłych działań monitorujących.

4. W przypadku bezpieczeństwa systemów informatycznych narażenie definiuje się jako którą z poniższych kombinacji?

a. Atak plus wyłom
b. Zagrożenie plus podatność
c. Zagrożenie plus atak
d. Atak plus podatność

4.d. Ekspozycja to przypadek podatności, w którym straty mogą wynikać z wystąpienia jednego lub więcej ataków (tj. atak plus podatność). Atak to próba naruszenia bezpieczeństwa danych. Luka w zabezpieczeniach to słabość polityki bezpieczeństwa, procedury, personelu, zarządzania, administracji, sprzętu, oprogramowania lub obiektów wpływających na bezpieczeństwo, która może spowodować uszkodzenie systemu informatycznego. Obecność luki sama w sobie nie powoduje szkód. Jest to stan, który może spowodować uszkodzenie systemu informatycznego przez atak. Zagrożenie to każda okoliczność lub zdarzenie, które może spowodować uszkodzenie systemu w postaci zniszczenia lub modyfikacji danych lub odmowy usługi. Naruszenie to skuteczne obejście lub wyłączenie kontroli bezpieczeństwa, z wykryciem lub bez, które, jeśli zostanie doprowadzone do końca, może spowodować penetrację systemu. Należy pamiętać, że najpierw pojawia się podatność na atak, a następnie naruszenie.

5. Które z poniższych korzyści płyną z dobrego bezpieczeństwa informacji?

1. Zmniejsza ryzyko
2. Poprawia reputację
3. Zwiększa pewność siebie
4. Wzmacnia zaufanie innych

a. 1 i 2
b. 2 i 3
c. 1, 2 i 3
d. 1, 2, 3 i 4

5. d. Wszystkie cztery elementy są korzyściami dobrego bezpieczeństwa informacji. Może nawet poprawić wydajność, unikając marnowania czasu i wysiłku na odzyskiwanie danych po incydencie związanym z bezpieczeństwem komputerowym.

6. W celu ograniczenia ryzyka, które z poniższych zabezpieczeń technicznych kontroli są rozległe i powiązane z innymi kontrolami?

a. kontrole wspierające
b. kontrole prewencyjne
c. kontrola wykrywania
d. Kontrola odzyskiwania

6. a. Z punktu widzenia ograniczania ryzyka, zabezpieczenia techniczne dzielą się na dwie kategorie: kontrole wspierające i inne kontrole (tj. kontrole zapobiegania, wykrywania i odzyskiwania). Kontrole wspomagające są ze swej natury rozległe i powiązane z wieloma innymi kontrolami, takimi jak kontrole zapobiegania, wykrywania i odzyskiwania. Aby wdrożyć inne kontrole, muszą istnieć kontrole pomocnicze, które obejmują identyfikację, zarządzanie kluczami kryptograficznymi, administrowanie zabezpieczeniami i ochronę systemu. Kontrole prewencyjne koncentrują się przede wszystkim na zapobieganiu naruszeniom bezpieczeństwa. Kontrole wykrywania i odzyskiwania koncentrują się na wykrywaniu i odzyskiwaniu po naruszeniu bezpieczeństwa.

7. Bezpieczeństwo informacji musi być zgodne z którym z poniższych?

a. Proces odgórny
b. Proces oddolny
c. Z góry na dół i od dołu do góry
d. Najpierw od dołu do góry, potem od góry do dołu

7. a. Bezpieczeństwo informacji musi być procesem odgórnym, wymagającym kompleksowej strategii bezpieczeństwa wyraźnie powiązanej z procesami biznesowymi i strategią organizacji. Uzyskanie wskazówek, wsparcia i poparcia od najwyższego kierownictwa wyznacza właściwy etap lub właściwy ton dla całej organizacji.

8. Bazy bezpieczeństwa informacji dla zasobów informacyjnych różnią się w zależności od tego, które z poniższych?

a. Dostępność i niezawodność
b. Wrażliwość i krytyczność
c. Uczciwość i odpowiedzialność
d. Zapewnienie i niezaprzeczalność

8.b. Podstawy bezpieczeństwa informacji różnią się w zależności od wrażliwości i krytyczności zasobu informacyjnego, co jest częścią celu dotyczącego poufności. Pozostałe trzy opcje nie są związane z celem poufności.

9. Które z poniższych cech bezpieczeństwa informacji są krytyczne dla transakcji elektronicznych?

a. Zaufanie i odpowiedzialność
b. Zaufanie i użyteczność
c. Przydatność i posiadanie
d. Odpowiedzialność i posiadanie

9. a. Zaufanie i odpowiedzialność mają kluczowe znaczenie i są potrzebne w transakcjach elektronicznych, aby klient czuł się komfortowo z transakcjami, podczas gdy użyteczność i posiadanie są potrzebne do przeciwdziałania kradzieży, oszustwom i oszustwom.

10. Z korporacyjnego punktu widzenia integralność informacji jest najbardziej potrzebna w którym z poniższych?

a. Sprawozdawczość finansowa
b. Informacje o inwentarzu
c. Tajemnice handlowe
d. Własność intelektualna

10 a. Sprawozdawczość finansowa przedsiębiorstw wymaga integralności informacji, aby były one chronione przed nieuprawnioną modyfikacją. Zakres sprawozdawczości finansowej obejmuje prezentację bilansu, rachunku zysków i strat, przepływów pieniężnych oraz raportu rocznego wraz z przypisami i ujawnieniami. Poufność jest wymagana w celu ochrony danych personelu (pracowników), takich jak dokumentacja medyczna, tajemnice handlowe lub prawa własności intelektualnej (np. prawa autorskie) oraz dane biznesowe, takie jak informacje o wysyłce, rozliczeniach i inwentarzu.


11. Względny priorytet nadany celom poufności, integralności i dostępności różni się w zależności od tego, który z poniższych?

1. Rodzaj systemu informacyjnego
2. Koszt systemu informacyjnego
3. Dane w systemie informacyjnym
4. Biznesowy kontekst zastosowania

a. 1 i 2
b. 2 i 3
c. 1 i 4
d. 3 i 4

11.d. Względny priorytet i znaczenie przypisywane poufności, integralność i cele dostępności różnią się w zależności od danych w obrębie systemu informacyjnego i kontekst biznesowego, w jakim są używane. Koszt i rodzaj wykorzystywanych systemów informatycznych są ważne, ale nie tak istotne dla tych celów.

12. Które z poniższych wymagań wymaga skutecznego zarządzania bezpieczeństwem informacji?

1. Zatwierdzenie kierownictwa wykonawczego firmy
2. Zatwierdzenie kierownictwa wykonawczego IT
3. Zatwierdzenie członka zarządu
4. Zatwierdzenie inspektora bezpieczeństwa IT

a. 1 i 2
b. 1 i 3
c. 2 i 4
d. 3 i 4

12.b. Kierownictwo wykonawcze firmy musi sprzyjać efektywnemu zarządzaniu bezpieczeństwem informacji. Gdy kierownictwo wyższego szczebla firmy przestrzega zasad, wysyła pozytywny sygnał do reszty organizacji. Wszyscy członkowie zarządu powinni zatwierdzić politykę zarządzania bezpieczeństwem informacji. Należy zauważyć, że kierownictwo wykonawcze korporacji i członkowie zarządu zatwierdzają i zatwierdzają polityki bezpieczeństwa, podczas gdy kierownictwo wykonawcze IT i specjalista ds. bezpieczeństwa IT wdrażają takie polityki.

13. a. Które z poniższych jest głównym celem samooceny bezpieczeństwa informacji dla poprawy bezpieczeństwa?

a. Ustal przyszłe cele
b. Zrozum aktualny stan
c. Sprawdź średnią w branży
d. Przeanalizuj aktualny cel

13.a. Wyniki samooceny bezpieczeństwa informacji można wykorzystać do ustalenia celów dla przyszłego rozwoju, w oparciu o to, dokąd organizacja chce dotrzeć (główny cel) i jak poprawić bezpieczeństwo. Pozostałe trzy wybory (drobne cele) mogą pomóc w ustaleniu przyszłych celów.

14. Czego nie obejmuje analiza ryzyka w procesie planowania awaryjnego?
a. Priorytetyzacja wniosków
b. Opracowanie procedur testowych
c. Ocena wpływu zagrożeń na organizację
d. Opracowanie scenariuszy naprawczych

14.b. Procedury testowe to szczegółowe instrukcje, które zwykle nie są brane pod uwagę podczas analizy ryzyka. Analiza ryzyka jest wstępną fazą procesu planowania awaryjnego, natomiast testowanie następuje po opracowaniu i udokumentowaniu planu. Priorytetyzacja aplikacji, ocena wpływu na organizację (ekspozycje i implikacje) oraz scenariusze naprawcze są częścią analizy ryzyka. Analiza ryzyka jest warunkiem wstępnym pełnego i znaczącego programu planowania odzyskiwania po awarii. Jest to ocena zagrożeń dla zasobów i określenie poziomu ochrony niezbędnej do ich odpowiedniego zabezpieczenia.

15. Które z poniższych nie jest kluczowym działaniem ułatwiającym integrację komponentów zarządzania bezpieczeństwem informacji?

a. Operacyjne planowanie
b. Struktura organizacyjna
c. Role i obowiązki
d. Architektura korporacyjna

15. a. Kluczowe działania ułatwiające integrację komponentów zarządzania bezpieczeństwem informacji obejmują planowanie strategiczne, strukturę organizacyjną (projektowanie i rozwój), role i obowiązki, architekturę przedsiębiorstwa i cele bezpieczeństwa. Planowanie operacyjne wywodzi się z planowania strategicznego.

16. Które z poniższych nie jest przykładem kontroli komunikacji chronionej, które są częścią technicznych kontroli prewencyjnych?

a. Technologie kryptograficzne
b. Metody szyfrowania danych
c. Uznaniowe kontrole dostępu
d. Escrowed algorytmy szyfrowania

16.c. Uznaniowe kontrole dostępu (DAC) definiują politykę bezpieczeństwa kontroli dostępu. Inne opcje to przykłady chronionych mechanizmów kontroli komunikacji, które zapewniają integralność, dostępność i poufność wrażliwych informacji podczas ich przesyłania. Technologie kryptograficzne obejmują standard szyfrowania danych (DES), Triple DES (3DES) i bezpieczny standard mieszania. Metody szyfrowania danych obejmują wirtualne sieci prywatne (VPN) i zabezpieczenia protokołu internetowego (IPsec). Algorytmy szyfrowania Escrowed obejmują Clipper.

7. W przypadku strategii ograniczania ryzyka, które z poniższych działań nie jest właściwym i skutecznym działaniem, które należy podjąć, gdy potencjalny lub rzeczywisty koszt określonego napastnika jest zbyt wysoki?

a. Zastosuj zasady projektowania zabezpieczeń.
b. Zmniejsz motywację napastnika.
c. Wdrożenie projektu architektonicznego zabezpieczeń.
d. Ustanowienie nietechnicznych kontroli bezpieczeństwa.

17.b. Zwykle stosowane są mechanizmy ochronne w celu powstrzymania zwykłego i przypadkowego napastnika, aby zmniejszyć motywację atakującego poprzez zwiększenie kosztu atakującego, gdy koszt atakującego jest mniejszy niż potencjalny zysk dla atakującego. Jednak te mechanizmy ochrony mogą nie przeszkodzić zdeterminowanemu napastnikowi, ponieważ potencjalny zysk atakującego może być większy niż koszt lub atakujący szuka strategicznej i konkurencyjnej przewagi w ataku. Pozostałe trzy opcje to właściwe i skuteczne działania, które należy podjąć, gdy potencjalny lub rzeczywisty koszt atakującego jest zbyt wysoki, niezależnie od tego, czy jest to osoba normalna, przypadkowa, czy zdeterminowana, ponieważ są to silniejsze mechanizmy ochrony. W celu ograniczenia zakresu ataku można użyć zarówno technicznych, jak i nietechnicznych mechanizmów bezpieczeństwa.

18. Które z poniższych działań są wymagane do zarządzania ryzykiem szczątkowym, gdy wdrażane są nowe lub ulepszone mechanizmy bezpieczeństwa?

1. Wyeliminuj niektóre luki w systemie.
2. Zmniejsz liczbę możliwych par zagrożenie-źródło/luka.
3. Dodaj ukierunkowaną kontrolę bezpieczeństwa.
4. Zmniejsz wielkość negatywnego wpływu.

a. 1 i 2
b. 1 i 3
c. 2 i 4
d. 1, 2, 3 i 4

18.d. Wdrożenie nowych lub ulepszonych mechanizmów kontroli bezpieczeństwa może zmniejszyć ryzyko poprzez (i) wyeliminowanie niektórych słabych punktów systemu (wad i słabości), zmniejszając w ten sposób liczbę możliwych par zagrożenie/podatność, (ii) dodanie ukierunkowanej kontroli w celu zmniejszenia pojemności i motywacji źródło zagrożenia oraz (iii) zmniejszenie rozmiaru negatywnego wpływu poprzez ograniczenie zakresu podatności.

19. Które z poniższych bieżących działań monitorowania bezpieczeństwa są bardziej wartościowe w określaniu skuteczności wdrażania polityk i procedur bezpieczeństwa?

a. Plany działań i kamienie milowe
b. Zarządzanie konfiguracją
c. Statystyki incydentów
d. Monitorowanie sieci

19.c. Wszystkie cztery opcje są przykładami bieżących działań monitorowania bezpieczeństwa. Statystyki incydentów i zdarzeń są bardziej wartościowe w określaniu skuteczności wdrażania polityk i procedur bezpieczeństwa. Statystyki te zapewniają menedżerom ds. bezpieczeństwa dalszy wgląd w stan programów bezpieczeństwa, które są pod ich kontrolą i za które odpowiadają.

20. Które z poniższych par celów bezpieczeństwa, reguł, zasad i przepisów są ze sobą sprzeczne?

a. Zasada dostępu "wszystko albo nic" i zasada bezpieczeństwa
b. Zasada najmniejszych przywilejów i upodmiotowienie pracowników
c. Zasady ochrony plików i zasada granulacji dostępu
d. Transgraniczny przepływ danych i przepisy dotyczące prywatności danych

20.b. Najmniejsze uprawnienia to zasada bezpieczeństwa, która wymaga, aby każdemu podmiotowi przyznano najbardziej restrykcyjny zestaw uprawnień potrzebnych do wykonywania autoryzowanych zadań. Stosowanie tej zasady ogranicza szkody powstałe w wyniku wypadku, błędu lub nieuprawnionego użycia. Stoi to w wielkim konflikcie z upodmiotowieniem pracowników, w których pracownicy mają swobodę wykonywania różnorodnych zadań w określonym czasie. Każdemu pracownikowi pozostawia się dużą swobodę w osiąganiu wyznaczonych celów. Zasada dostępu "wszystko albo nic" oznacza, że dostęp jest albo do wszystkich obiektów, albo wcale. Reguła granicy bezpieczeństwa wykorzystuje coraz silniejsze zabezpieczenia jako jedno podejście do podstawowych informacji lub poszukiwanych zasobów. Oba wzmacniają praktyki bezpieczeństwa. Reguły ochrony plików mają na celu uniemożliwienie nieautoryzowanego dostępu, modyfikacji i usuwania pliku. Zasada ziarnistości dostępu określa, że ochrona na poziomie pliku danych jest uważana za grubą ziarnistość, podczas gdy ochrona na poziomie pola danych jest uważana za drobniejszą. Oba wzmacniają praktyki bezpieczeństwa. Celem transgranicznych przepływów danych i przepisów dotyczących prywatności danych jest ochrona danych osobowych przed nieuprawnionym ujawnieniem, modyfikacją i zniszczeniem. Transgraniczny przepływ danych to przekazywanie danych przez granice państwowe. Prywatność odnosi się do równowagi społecznej między prawem jednostki do zachowania poufności informacji a korzyściami społecznymi płynącymi z udostępniania informacji. Oba wzmacniają praktyki bezpieczeństwa.


21. Które z poniższych nie jest głównym celem planów bezpieczeństwa systemów informatycznych?

a. Opisz główne systemy aplikacji.
b. Zdefiniuj wymagania bezpieczeństwa.
c. Opisz środki bezpieczeństwa.
d. Nakreśl role i obowiązki.

21.a. Plan bezpieczeństwa informacji powinien odzwierciedlać wkład różnych kierowników odpowiedzialnych za system. Główne aplikacje są opisywane podczas definiowania granic bezpieczeństwa systemu, co oznacza, że granice są ustalane wewnątrz i wokół systemy aplikacji. Główne cele planu bezpieczeństwa systemu informatycznego to (i) przedstawienie przeglądu wymagań bezpieczeństwa systemu, (ii) opisanie środków bezpieczeństwa wdrożonych lub planowanych w celu spełnienia tych wymagań, (iii) określenie ról i obowiązków, oraz (iv) określić oczekiwane zachowanie wszystkich osób uzyskujących dostęp do systemu.

22. W którym z poniższych procesów plan bezpieczeństwa systemu informatycznego jest ważnym rezultatem?

a. Zarządzanie konfiguracją
b. Cykl rozwoju systemu
c. Monitorowanie sieci
d. Ocena ciągła
v 22.b. Plan bezpieczeństwa systemu informacyjnego jest ważnym elementem cyklu życia systemu (SDLC). Osoby odpowiedzialne za wdrażanie i zarządzanie systemami informatycznymi muszą uczestniczyć w rozwiązywaniu kontroli bezpieczeństwa, które mają być stosowane w ich systemach. Pozostałe trzy opcje są przykładami bieżących działań monitorujących program bezpieczeństwa informacji.

23. Kto z poniższych zatwierdza plan bezpieczeństwa systemu przed certyfikacją bezpieczeństwa i procesem akredytacji?

a. Właściciel systemu informacyjnego
b. Kierownik programu
c. Funkcjonariusz ds. bezpieczeństwa systemu informacyjnego
d. Właściciel firmy

23.c. Przed procesem certyfikacji i akredytacji bezpieczeństwa, inspektor bezpieczeństwa systemu informatycznego (urzędnik autoryzujący, niezależny od właściciela systemu) zazwyczaj zatwierdza plan bezpieczeństwa. Ponadto niektóre systemy mogą zawierać poufne informacje po usunięciu nośnika pamięci. W przypadku wątpliwości, czy w systemie pozostają poufne informacje, przed likwidacją systemu należy skonsultować się z inspektorem bezpieczeństwa systemu informatycznego, ponieważ zajmuje się on technicznymi aspektami systemu. Właściciel systemu informacyjnego jest również określany jako menedżer programu i właściciel biznesowy.

24. Które z poniższych jest kluczowym czynnikiem w rozwoju oceny bezpieczeństwa i polityki autoryzacji?

a. Zarządzanie ryzykiem
b. Ciągłe monitorowanie
c. Testowanie systemu
d. Ocena systemu

24. a. Strategia zarządzania ryzykiem w organizacji jest kluczowym czynnikiem w opracowaniu oceny bezpieczeństwa i polityki autoryzacji. Pozostałe trzy opcje są częścią celu oceny kontroli bezpieczeństwa w systemie informacyjnym.

25. Które z poniższych jest warunkiem wstępnym opracowania planu bezpieczeństwa systemu informatycznego?

1. Kategoryzacja bezpieczeństwa systemu
2. Analiza wpływów
3. Grupowanie ogólnych systemów wsparcia
4. Oznakowanie głównych systemów aplikacyjnych

a. 1 i 4
b. 2 i 3
c. 1 i 2
d. 3 i 4

25.c. Zanim plan bezpieczeństwa systemu informacyjnego będzie mógł zostać opracowany, system informacyjny oraz dane/informacje znajdujące się w tym systemie muszą zostać skategoryzowane w oparciu o analizę wpływu (tj. wpływ niski, średni lub wysoki). Następnie można określić, które systemy w inwentarzu można logicznie pogrupować w ogólne systemy wsparcia lub główne systemy aplikacji.

26. Które z poniższych określa granice bezpieczeństwa dla systemu informatycznego?

1. Informacje
2. Personel
3. Sprzęt
4. Fundusze

a. Tylko 1
b. 1 i 2
c. 1 i 3
d. 1, 2, 3 i 4

26.d. Proces jednoznacznego przypisywania zasobów informacyjnych (np. informacji, personelu, sprzętu, funduszy i infrastruktury IT) do systemu informacyjnego określa granicę bezpieczeństwa dla tego systemu.

27. W przypadku nowych systemów informatycznych, które z poniższych można interpretować jako mające władzę budżetową i odpowiedzialność za rozwój i wdrażanie systemów informatycznych?

a. Kontrola bezpieczeństwa
b. Kontrola zarządzania
c. Kontrola operacyjna
d. Kontrola techniczna

27.b. W przypadku nowych systemów informatycznych kontrolę zarządczą można interpretować jako posiadającą władzę budżetową lub programową oraz odpowiedzialność za rozwój i wdrażanie systemów informatycznych. W przypadku obecnych systemów ujętych w spisie kontrola zarządcza może być interpretowana jako posiadanie uprawnień budżetowych lub operacyjnych do bieżącej obsługi i konserwacji systemów informatycznych.

28. Które z poniższych działań należy wdrożyć, gdy funkcja bezpieczeństwa nie jest w stanie wykonać automatycznych autotestów w celu weryfikacji?

1. Kontrola kompensacji
2. Sterowanie specyficzne dla systemu
3. Wspólne kontrole
4. Zaakceptuj ryzyko

a. Tylko 1
b. 2 i 3
c. 1, 2 i 3
d. 1, 2, 3 i 4

28.d. W przypadku tych funkcji bezpieczeństwa, które nie są w stanie wykonać automatycznych autotestów, organizacje powinny albo wdrożyć mechanizmy kompensacyjne (tj. mechanizmy kontrolne, techniczne i operacyjne), specyficzne dla systemu, wspólne mechanizmy kontrolne lub kombinację tych mechanizmów kontrolnych. W przeciwnym razie kierownictwo organizacji wyraźnie akceptuje ryzyko niewykonania procesu weryfikacji.

29. Kompensacyjne mechanizmy bezpieczeństwa dla systemu informatycznego powinny być stosowane przez organizację tylko pod którym z poniższych warunków?

1. Wybór kontroli kompensacyjnych z katalogu kontroli bezpieczeństwa
2. Uzasadnienie zastosowania kontroli kompensacyjnych
3. Przeprowadzenie formalnej oceny ryzyka
4. Akceptacja ryzyka związanego ze stosowaniem kontroli kompensacyjnych

a. Tylko 1
b. Tylko 3
c. 1 i 3
d. 1, 2, 3 i 4

29.d. Kompensacyjne środki kontroli bezpieczeństwa systemu informatycznego powinny być stosowane przez organizację wyłącznie pod następującymi warunkami: (i) organizacja wybiera środki kompensujące z katalogu kontroli bezpieczeństwa, (ii) organizacja dostarcza kompletne i przekonujące uzasadnienie i uzasadnienie, w jaki sposób kompensacyjne mechanizmy kontrolne zapewniają równoważny poziom bezpieczeństwa lub poziom ochrony systemu informacyjnego oraz (iii) organizacja ocenia i formalnie akceptuje ryzyko związane ze stosowaniem kompensacyjnych mechanizmów kontrolnych w systemie informacyjnym.

30. Do których z poniższych można zastosować wspólne środki bezpieczeństwa?
1. Wszystkie systemy informatyczne organizacji
2. Grupa systemów w określonej lokalizacji
3. Wspólne systemy w wielu lokalizacjach
4. Wspólne podsystemy w wielu lokalizacjach

a. Tylko 1
b. Tylko 2
c. 1 i 2
d. 1, 2, 3 i 4

30.d. Wspólne zabezpieczenia mogą mieć zastosowanie do (i) wszystkich systemów informatycznych organizacji, (ii) grupy systemów informatycznych w określonej lokalizacji lub (iii) wspólnych systemów informatycznych, podsystemów lub aplikacji, w tym sprzętu, oprogramowania i oprogramowania układowego, wdrożone w wielu lokalizacjach operacyjnych.


31. Które z poniższych powinno stanowić podstawę uprawnień kierownictwa do przetwarzania informacji w systemie lub obsługi systemu informatycznego?

a. Plan działań
b. Kamienie milowe
c. Plan bezpieczeństwa systemu
d. Sprawozdanie z oceny

31.c. Uprawnienia kierownictwa do przetwarzania informacji w systemie lub obsługi systemu powinny być oparte na ocenie kontroli zarządczych, operacyjnych i technicznych. Ponieważ plan bezpieczeństwa systemu ustanawia i dokumentuje zabezpieczenia, powinien stanowić podstawę do autoryzacji uzupełnionej raportem z oceny oraz planem działań i kamieni milowych.

32. Okresowa ocena planu bezpieczeństwa systemu wymaga przeglądu zmian zachodzących w którym z poniższych obszarów?

1. Stan systemu
2. Zakres systemu
3. Architektura systemu
4. Połączenia systemowe

a. 1 i 2
b. 3 i 4
c. 1, 2 i 3
d. 1, 2, 3 i 4

32. d. Po akredytacji planu bezpieczeństwa systemu informatycznego ważne jest, aby okresowo oceniać plan i przeglądać wszelkie zmiany stanu systemu, zakresu systemu, architektury systemu i wzajemnych połączeń między systemami.

33. Od którego z poniższych zależy skuteczność kontroli bezpieczeństwa?

1. Zarządzanie systemem
2. Kwestie prawne
3. Zapewnienie jakości
4. Kontrole zarządzania

a. Tylko 1
b. Tylko 3
c. Tylko 4
d. 1, 2, 3 i 4

33. d. Skuteczność kontroli bezpieczeństwa zależy od takich czynników, jak zarządzanie systemem, kwestie prawne, zapewnienie jakości, kontrole wewnętrzne i kontrole zarządcze. Bezpieczeństwo informacji musi współpracować z tradycyjnymi dyscyplinami bezpieczeństwa, w tym bezpieczeństwem fizycznym i personalnym.

34. W przypadku oceny ryzyka informacyjnego, które z poniższych elementów mogą poprawić zdolność realistycznej oceny zagrożeń?

a. Narzędzia do wykrywania włamań
b. Źródła zagrożeń naturalnych
c. Źródła zagrożeń dla ludzi
d. Źródła zagrożeń środowiskowych

34. a. Typowe źródła zagrożeń gromadzą dane o zagrożeniach bezpieczeństwa, które obejmują zagrożenia naturalne, źródła zagrożeń ludzkich i źródła zagrożeń środowiskowych. Ponadto narzędzia do wykrywania włamań zbierają dane o zdarzeniach związanych z bezpieczeństwem, poprawiając w ten sposób zdolność realistycznej oceny zagrożeń dla informacji.

35. Które z poniższych zapewnia 360-stopniową kontrolę systemu podczas identyfikacji podatności systemu w procesie oceny ryzyka?

a. Zautomatyzowane narzędzia do skanowania podatności
b. Lista kontrolna wymagań bezpieczeństwa
c. Porady dotyczące bezpieczeństwa
d. Test i ocena bezpieczeństwa

35. b. Opracowanie listy kontrolnej wymagań bezpieczeństwa, opartej na wymaganiach bezpieczeństwa określonych dla systemu w fazie koncepcyjnej, projektowej i wdrożeniowej cyklu życia systemu (SDLC), może być wykorzystane do zapewnienia pełnej kontroli systemu. Zautomatyzowane narzędzia do skanowania podatności oraz testy i ocena bezpieczeństwa uzupełniają podstawowe przeglądy podatności. Porady dotyczące bezpieczeństwa są zazwyczaj dostarczane przez dostawcę i dostarczają organizacji aktualnych informacji na temat luk w zabezpieczeniach systemu i strategii naprawczych

36. Jaki jest poziom ryzyka dla systemu w trakcie procesu oceny ryzyka systemu?

a. Mnożenie oceny prawdopodobieństwa zagrożenia przez poziom wpływu
b. Odejmowanie oceny prawdopodobieństwa zagrożenia od poziomu wpływu
c. Dodanie oceny prawdopodobieństwa zagrożenia do poziomu wpływu
d. Dzielenie oceny prawdopodobieństwa zagrożenia przez poziom wpływu

36. a. Gdy oceny prawdopodobieństwa zagrożenia (tj. wysoki, umiarkowany lub niski) i poziomy wpływu (tj. wysoki, średni lub niski) zostały określone za pomocą odpowiedniej analizy, poziom ryzyka dla systemu i organizacji można określić za pomocą pomnożenie ocen przypisanych prawdopodobieństwu zagrożenia (np. prawdopodobieństwo) i poziomu wpływu zagrożenia.

37. Skuteczność zalecanych kontroli bezpieczeństwa jest związana przede wszystkim z którym z poniższych?

a. Bezpieczeństwo systemu
b. Niezawodność systemu
c. Złożoność systemu
d. Regulamin systemu

37. c. Skuteczność zalecanych kontroli bezpieczeństwa jest związana przede wszystkim ze złożonością i kompatybilnością systemu. Poziom i rodzaj kontroli bezpieczeństwa powinien pasować do złożoności systemu, co oznacza, że potrzeba więcej kontroli w przypadku złożonych systemów, a mniej kontroli w przypadku prostych systemów. Jednocześnie kontrole bezpieczeństwa powinny odpowiadać kompatybilności systemu, co oznacza, że dla systemów aplikacji potrzebne są kontrole zorientowane na aplikacje, a dla systemów operacyjnych kontrole zorientowane na system operacyjny. Inne czynniki, które należy wziąć pod uwagę, obejmują przepisy i regulacje, politykę organizacji, wpływ na system, bezpieczeństwo systemu i niezawodność systemu.

38. Do którego z poniższych nie dąży się ograniczanie ryzyka?

a. Identyfikacja kontroli
b. Kontroluj priorytety
c. Ocena kontroli
d. Implementacja kontroli

38. a. Łagodzenie ryzyka ma na celu ustalenie priorytetów, ocenę i wdrożenie odpowiednich środków kontroli zmniejszających ryzyko, zalecanych w procesie oceny ryzyka. Identyfikacja kontroli odbywa się w procesie oceny ryzyka, poprzedzającym ograniczanie ryzyka.

39. Która z poniższych pozycji może być częścią innych pozycji?

a. Kontrola zarządzania
b. Sterowanie operacyjne
c. Kontrola techniczna
d. Kontrole prewencyjne

39. d. Wybrane mechanizmy kontroli bezpieczeństwa systemu są pogrupowane w jedną z trzech kategorii kontroli zarządzania, operacyjnych lub technicznych. Każda z tych kontroli może mieć charakter prewencyjny.

40. Czynności zarządzania ryzykiem są wykonywane w celu okresowej ponownej autoryzacji systemu, w którym z następujących okresów rozwoju systemu fazy cyklu (SDLC)?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Eksploatacja/konserwacja

40. d. W fazie eksploatacji/utrzymania SDLC działania związane z zarządzaniem ryzykiem są wykonywane w celu okresowej ponownej autoryzacji lub ponownej akredytacji systemu.


41. Które z poniższych są podstawowymi powodami, dla których organizacje wdrażają proces zarządzania ryzykiem w swoich systemach informatycznych?

1. Konieczność minimalizowania negatywnego wpływu na organizację
2. Potrzeba solidnej podstawy w podejmowaniu decyzji
3. Potrzeba wymyślenia nowej metodologii zarządzania ryzykiem dla każdej fazy SDLC
4. Potrzeba nieiteracyjnego procesu stosowanego w zarządzaniu ryzykiem

a. 1 i 2
b. 1 i 3
c. 2 i 4
d. 3 i 4

41. a. Minimalizacja negatywnego wpływu na organizację i potrzeba solidnej podstawy w podejmowaniu decyzji to podstawowe powody, dla których organizacje wdrażają proces zarządzania ryzykiem dla swoich systemów informatycznych. Metodologia zarządzania ryzykiem jest taka sama niezależnie od fazy cyklu rozwoju systemu (SDLC) i jest to proces iteracyjny, który można przeprowadzić podczas każdej głównej fazy SDLC.

42. Z punktu widzenia zarządzania ryzykiem, migracja systemu jest przeprowadzana w której z następujących faz cyklu rozwoju systemu (SDLC)?

a. Rozwój/nabycie
b. Realizacja
c. Eksploatacja/konserwacja
d. Sprzedaż

42. d. W fazie utylizacji procesu SDLC migracja systemu jest przeprowadzana w sposób bezpieczny i systematyczny.

43. Które z poniższych metod gromadzenia informacji w procesie oceny ryzyka obejmują proaktywne metody techniczne?

a. Kwestionariusze
b. Wywiady na miejscu
c. Przegląd dokumentów
d. Narzędzie do mapowania sieci

43. d. Narzędzie do mapowania sieci, które jest zautomatyzowanym narzędziem do skanowania informacji, może identyfikować usługi działające na dużej grupie hostów i zapewnia szybki sposób budowania indywidualnych profili docelowych systemów informatycznych. Pozostałe trzy opcje nie są przykładami metod technicznych, czy proaktywnych.

44. Które z poniższych nie jest zalecanym podejściem do identyfikacji luk w systemie?

a. Korzystanie ze źródeł podatności
b. Korzystanie ze źródeł zagrożeń
c. Przeprowadzanie testów bezpieczeństwa systemu d. Korzystanie z listy kontrolnej wymagań bezpieczeństwa

44. b. Luki (wady i słabości) są wykorzystywane przez potencjalne źródła zagrożeń, takie jak pracownicy, hakerzy, przestępcy komputerowi i terroryści. Źródło zagrożeń to metoda ukierunkowana na celowe wykorzystanie luki w zabezpieczeniach lub sytuację, która może przypadkowo wykorzystać lukę. Zalecane podejścia do identyfikowania luk w systemie obejmują wykorzystanie źródeł luk, wykonanie testów bezpieczeństwa systemu oraz opracowanie listy kontrolnej wymagań bezpieczeństwa.

45. Z punktu widzenia ograniczania ryzyka, które z poniższych nie jest przykładem kontroli ochrony systemu, które są częścią wspierających technicznych kontroli bezpieczeństwa?

a. Modułowość
b. Warstwy
c. Potrzebuję wiedzieć
d. Kontrola dostępu

45.d. Z punktu widzenia ograniczania ryzyka, zabezpieczenia techniczne dzielą się na dwie kategorie: kontrole wspierające i inne kontrole (tj. kontrole zapobiegania, wykrywania i odzyskiwania). Aby wdrożyć inne kontrole, muszą istnieć kontrole pomocnicze. Kontrole dostępu są elementem prewencyjnych zabezpieczeń technicznych, natomiast zabezpieczenia systemowe są przykładem wspierającym zabezpieczenia techniczne. Niektóre przykłady ochrony systemu obejmują modułowość, warstwowanie, minimalizację konieczności poznania i zaufania (tj. minimalizację tego, czego należy ufać).

46. Która z poniższych kontroli jest zwykle i przede wszystkim stosowana w punkcie przesyłania lub odbioru informacji?

a. Usługi niezaprzeczalności
b. Kontrola dostępu
c. Kontrola autoryzacji
d. Kontrola uwierzytelniania

46. a. Wszystkie te kontrole są przykładami prewencyjnych kontroli bezpieczeństwa technicznego. Kontrola niezaprzeczalności zapewnia, że nadawcy nie mogą odmówić wysłania informacji, a odbiorcy nie mogą odmówić ich otrzymania. W rezultacie kontrola niezaprzeczalności jest zwykle stosowana w punkcie transmisji lub odbioru informacji. Kontrola dostępu, kontrola autoryzacji i kontrola uwierzytelniania obsługują usługi niezaprzeczalności.

47. Ustalenie celów wydajności, dla których z poniższych wskaźników bezpieczeństwa informacji jest stosunkowo łatwiejsze niż dla innych?

a. Mierniki wdrożenia
b. Mierniki efektywności
c. Mierniki wydajności
d. Wskaźniki wpływu

47. a. Ustalanie docelowej wydajności dla metryk efektywności, wydajności i wpływu jest znacznie bardziej złożone niż metryki implementacji, ponieważ te aspekty operacji bezpieczeństwa nie zakładają określonego poziomu wydajności. Menedżerowie muszą stosować zarówno rozumowanie jakościowe, jak i subiektywne, aby ustalić skuteczność, wydajność i wpływ na cele wydajności. Mierniki wdrożenia mierzą wyniki wdrożenia polityk, procedur i kontroli bezpieczeństwa (tj. pokazują postęp w wysiłkach wdrożeniowych). Mierniki skuteczności/wydajności mierzą wyniki świadczenia usług bezpieczeństwa (tj. monitorują wyniki wdrażania kontroli bezpieczeństwa). Metryki wpływu mierzą skutki działań i zdarzeń związanych z bezpieczeństwem na działalność lub misję (tj. zapewniają najbardziej bezpośredni wgląd w wartość zabezpieczeń dla firmy).

48. Które z poniższych nie jest przykładem kontroli detektywistycznych w systemie informacyjnym?

a. Ścieżki audytu
b. Szyfrowanie
c. Wykrywanie włamań
d. Sumy kontrolne

48. b. Szyfrowanie jest przykładem kontroli prewencyjnych, które powstrzymują próby naruszenia polityki bezpieczeństwa. Kontrole detektywistyczne ostrzegają o naruszeniach lub próbach naruszenia zasad bezpieczeństwa i obejmują ścieżki audytu, metody wykrywania włamań oraz sumy kontrolne.

49. Które z poniższych ogranicza utrata integralności systemu lub danych?

a. Zapewnienie
b. Upoważnienie
c. Uwierzytelnianie
d. Niezaprzeczalność

49. a. Utrata integralności systemu lub danych zmniejsza pewność systemu informatycznego, ponieważ zapewnienie zapewnia najwyższy poziom zaufania do systemu. Pozostałe trzy opcje nie mogą zapewnić takiej pewności.

50. Które z poniższych powinno być wykonane jako pierwsze?

a. Analiza źródeł zagrożeń
b. Analiza podatności
c. Analiza zagrożeń
d. Ocena ryzyka

50. b. Analizy zagrożeń nie można przeprowadzić przed przeprowadzeniem analizy podatności, ponieważ podatności prowadzą do zagrożeń, które z kolei prowadzą do ryzyka. Analiza źródeł zagrożeń jest częścią analizy zagrożeń. Dlatego najpierw należy przeprowadzić analizę podatności.


51. Która z poniższych opcji ograniczania ryzyka nadaje priorytety, wdraża i utrzymuje środki kontroli bezpieczeństwa?

a. Założenie ryzyka
b. Unikanie ryzyka
c. Ograniczenie ryzyka
d. Planowanie ryzyka

51. d. Celem opcji planowania ryzyka jest zarządzanie ryzykiem poprzez opracowanie planu łagodzenia ryzyka, który ustala priorytety, wdraża i utrzymuje kontrole bezpieczeństwa. Celem opcji przejęcia ryzyka jest zaakceptowanie potencjalnego ryzyka i kontynuacja eksploatacji systemu informatycznego. Celem unikania ryzyka jest wyeliminowanie przyczyny i/lub konsekwencji ryzyka. (Na przykład, zrezygnuj z pewnych funkcji systemu lub zamknij system po zidentyfikowaniu ryzyka.) Celem ograniczenia ryzyka jest autoryzacja działania systemu przez ograniczony czas, podczas którego wprowadzane są dodatkowe środki kontroli łagodzenia ryzyka.

52. Wszystkie poniższe umowy są umowami dostępu dla pracowników przed przyznaniem dostępu do systemu komputerowego, z wyjątkiem:

a. Zasady zaangażowania
b. Zasady zachowania
c. Umowa o zachowaniu poufności
d. Dopuszczalna umowa użytkowania

52. a. Zasady zaangażowania mają zastosowanie do osób z zewnątrz (np. dostawców, wykonawców i konsultantów) podczas przeprowadzania testów penetracyjnych systemu komputerowego. Pracownicy nie mają zasad zaangażowania i są związani umowami dostępu. Przykłady umów o dostępie obejmują zasady zachowania, umowy o zachowaniu poufności (tj. oświadczenia o konfliktach interesów) oraz umowy (lub zasady) dopuszczalnego użytkowania.

53. Ogólnie rzecz biorąc, która z poniższych czynności nie jest opłacalną lub praktyczną procedurą wymaganą od dostawców, konsultantów i wykonawców zatrudnionych na krótki okres do pomocy przy pracach związanych ze sprzętem komputerowym i oprogramowaniem?

a. Umowa o poziomie usługv b. Zasady zaangażowania
c. Kontrole w tle
d. Klauzule dotyczące konfliktu interesów

53. c. Ze względu na większą rotację wśród dostawców, konsultantów i wykonawców oraz ze względu na krótkie ramy czasowe (np. miesiąc lub dwa) przeprowadzanie kontroli przeszłości nie jest opłacalne ani praktyczne, ponieważ dotyczy to zwykłych pracowników zatrudnionych na pełny etat. Sprzedawcy, konsultanci i wykonawcy muszą spełniać wszystkie wymagania wymienione w pozostałych trzech opcjach. Kontrole przeszłości obejmują kontakt z poprzednimi pracodawcami, weryfikację wykształcenia w szkołach oraz kontakt z przyjaciółmi i sąsiadami. Jednak w przypadku konsultantów i innych osób niebędących pracownikami, policja bezpieczeństwa (np. policja, sąd i rejestr kryminalny) ma miejsce, gdy przetwarzają poufne informacje w pracy.

54. W przypadku strategii ograniczania ryzyka, które z poniższych działań nie jest właściwym działaniem, które należy podjąć, gdy istnieje prawdopodobieństwo, że podatność na zagrożenia można wykorzystać?

a. Wdrożenie technik zapewniania
b. Zastosuj zabezpieczenia warstwowe
c. Zastosuj kontrole administracyjne
d. Wdrożenie projektu architektonicznego

54. a. Zapewnienie jest podstawą zaufania, że zestaw zamierzonych kontroli bezpieczeństwa w systemie informatycznym jest skuteczny w ich stosowaniu. Techniki zapewniania obejmują wiarygodność i przewidywalne wykonanie, które może nie być skuteczne lub terminowe. Pozostałe trzy opcje odzwierciedlają właściwe działania, które należy podjąć, gdy istnieje prawdopodobieństwo wykorzystania luki.

55. Ryzyko szczątkowe wynika z którego z poniższych kroków podjętych w podejściu do wdrożenia kontroli, które jest realizowane w ramach strategii ograniczania ryzyka?

a. Przeprowadź analizę kosztów i korzyści
b. Wybierz sterowanie
c. Zaimplementuj wybrane kontrolki
d. Opracuj plan wdrożenia kontroli

55.c. Wdrożenie wybranych kontroli jest pierwszym krokiem w podejściu do wdrożenia kontroli. Pozostałe trzy możliwości poprzedzają wdrożenie wybranych kontroli. Ryzyko pozostające po wdrożeniu nowych lub ulepszonych kontroli bezpieczeństwa to ryzyko szczątkowe.

56. W ramach oceny kontroli bezpieczeństwa, które z poniższych elementów muszą zostać wprowadzone przed rozpoczęciem testów penetracyjnych przez osoby postronne?

a. Zasady zachowania
b. Zasady negocjacji
c. Zasady zaangażowania
d. Zasady zatrudnienia

56.c. Szczegółowe zasady zaangażowania muszą zostać uzgodnione przez wszystkie strony przed rozpoczęciem scenariusza testów penetracyjnych przez osoby z zewnątrz. Te zasady zaangażowania zawierają narzędzia, techniki i procedury, które zgodnie z przewidywaniami będą wykorzystywane przez źródła zagrożeń podczas przeprowadzania ataków. Zasady zachowania i zasady zatrudnienia dotyczą pracowników wewnętrznych. Ze względu na etykę pracy zasady negocjacji mają zastosowanie zarówno do insiderów, jak i outsiderów.

57. Które z poniższych nie jest przykładem wspierających zabezpieczeń technicznych stosowanych w ograniczaniu ryzyka?

a. Identyfikacja
b. Uwierzytelnianie
c. Zarządzanie kluczami kryptograficznymi
d. Administracja bezpieczeństwa

57. b. Z punktu widzenia ograniczania ryzyka, zabezpieczenia techniczne dzielą się na dwie kategorie: kontrole wspierające i inne kontrole (tj. kontrole zapobiegania, wykrywania i odzyskiwania). Oznacza to, że muszą istnieć kontrole wspierające w celu wdrożenia innych kontroli. Uwierzytelnianie jest przykładem prewencyjnych kontroli technicznych. Pozostałe trzy opcje (tj. identyfikacja, zarządzanie kluczami kryptograficznymi i administracja zabezpieczeniami) są przykładami obsługi technicznej kontroli bezpieczeństwa.

58. Które z poniższych nie jest przykładem ochrony systemu?

a. Najmniejszy przywilej
b. Separacja procesu
c. Upoważnienie
d. Ponowne użycie obiektu

58.c. Autoryzacja jest elementem prewencyjnych zabezpieczeń technicznych, natomiast zabezpieczenia systemowe są przykładem wsparcia zabezpieczeń technicznych. Niektóre przykłady zabezpieczeń systemu obejmują najmniejsze uprawnienia, separację procesów i ponowne wykorzystanie obiektów.

59. Które z poniższych jest najlepszym sposobem zapewnienia akceptowalnego poziomu wiarygodności systemu informacyjnego?

a. Komponent po komponencie
b. Podsystem po podsystemie
c. Funkcja po funkcji
d. System po systemie

59. d. Zazwyczaj komponenty, podsystemy i funkcje są ze sobą ściśle powiązane, co sprawia, że separacja na podstawie wiarygodności jest problematyczna, a wyniki są nieprzewidywalne. Dlatego wiarygodność system po systemie jest najlepsza, ponieważ jest zdrowa i obejmuje komponenty systemu, podsystemy i funkcje.

60. Które z poniższych jest przykładem kontroli bezpieczeństwa personelu detektywów (wykrywania)?

a. Rozdzielenie obowiązków
b. Najmniejszy przywilej
c. Rejestracja dostępu do komputera użytkownika
d. Rotacja obowiązków

60. d. Rotacja obowiązków jest przykładem kontroli bezpieczeństwa personelu detektywistycznego (wykrywania), które są częścią kontroli bezpieczeństwa zarządzania. Pozostałe trzy opcje to przykłady prewencyjnych środków kontroli bezpieczeństwa personelu.


61. Które z poniższych nie jest przykładem kontroli bezpieczeństwa zarządzania prewencyjnego?

a. Przeprowadzanie okresowego przeglądu kontroli bezpieczeństwa
b. Przypisywanie odpowiedzialności za bezpieczeństwo
c. Opracowywanie planów bezpieczeństwa systemu
d. Prowadzenie świadomości i szkolenia w zakresie bezpieczeństwa

61. a. Przeprowadzanie okresowego przeglądu kontroli bezpieczeństwa w celu upewnienia się, że kontrole są skuteczne, jest przykładem kontroli bezpieczeństwa zarządzania wykrywaniem. Pozostałe trzy opcje są przykładami kontroli bezpieczeństwa zarządzania prewencyjnego.

62. Która z poniższych cech charakteryzuje domeny informacyjne?

1. Informacje o partycjonowaniu
2. Potrzeby kontroli dostępu
3. Wymagane poziomy ochrony
4. Klasyfikowanie informacji

a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4

62. d. Podział informacji zgodnie z potrzebami kontroli dostępu i wymaganymi poziomami ochrony daje kategorie informacji. Kategorie te są często nazywane domenami informacyjnymi. Klasyfikowanie informacji jako tajne, ściśle tajne i wrażliwe jest również nazywane domenami informacyjnymi, w których informacje są podzielone na przedziały.

63. Awaria wspólnych kontroli bezpieczeństwa może zwiększyć które z poniższych?

a. Zagrożenia specyficzne dla systemu
b. Zagrożenia specyficzne dla miejsca
c. Ryzyka specyficzne dla podsystemu
d. Ryzyko ogólnoorganizacyjne

63. d. Wspólne mechanizmy bezpieczeństwa są identyfikowane podczas wspólnego procesu obejmującego całą organizację, w którym uczestniczy wiele stron. Ze względu na potencjalną zależność wielu systemów informatycznych organizacji od wspólnych mechanizmów kontroli bezpieczeństwa, niepowodzenie takich wspólnych mechanizmów kontroli może skutkować znacznym wzrostem ryzyka w całej organizacji (tj. ryzyka wynikającego z obsługi systemu, który zależy od tych mechanizmów bezpieczeństwa).

64. Które z poniższych jest pierwszym krokiem w zarządzaniu ryzykiem proces?

a. Wybór kontroli bezpieczeństwa
b. Osiągnięcie kategoryzacji bezpieczeństwa
c. Spełnienie minimalnych wymagań bezpieczeństwa
d. Definiowanie linii bazowych kontroli bezpieczeństwa

64. b. Kategoryzacja bezpieczeństwa danych/informacji i systemów informatycznych jest pierwszym krokiem w procesie oceny ryzyka. Po przeprowadzeniu procesu kategoryzacji bezpieczeństwa organizacja musi wybrać odpowiedni zestaw kontroli bezpieczeństwa dla swoich systemów informatycznych, które spełniają minimalne wymagania bezpieczeństwa. Wybrany zestaw kontroli bezpieczeństwa (tj. ograniczony, poważny lub katastrofalny) musi być jednym z trzech podstawowych kontroli bezpieczeństwa (tj. niski, umiarkowany lub wysoki), które są powiązane z wyznaczonymi poziomami wpływu systemów informatycznych.

65. Okresowa ocena planu bezpieczeństwa systemu wymaga przeglądu zmian zachodzących w którym z poniższych obszarów?

1. Funkcjonalność systemu
2. Projekt systemu
3. Właściciel systemu informacyjnego
4. Urzędnik autoryzujący system

a. 1 i 2
b. 3 i 4
c. 1, 2 i 3
d. 1, 2, 3 i 4

65. d. Po akredytacji planu bezpieczeństwa systemu informatycznego ważne jest, aby dokonywać okresowej oceny planu; przeglądanie wszelkich zmian w funkcjonalności systemu, projekcie systemu, właścicielu systemu informacyjnego i urzędniku autoryzującym system.

66. Działania dyscyplinarne są częścią którego z poniższych elementów polityki programu bezpieczeństwa informacji?

a. Zamiar
b. Zakres
c. Zgodność
d. Obowiązki

66. c. Składniki polityki programu bezpieczeństwa informacji obejmują cel, zakres, obowiązki i zgodność. Komponent zgodności definiuje kary i działania dyscyplinarne.

67. Które z poniższych elementów są wymagane do wyegzekwowania specyficznego systemu polityki?

1. Logiczna kontrola dostępu
2. Fizyczne środki bezpieczeństwa
3. Kontrole zarządzania
4. Kontrola techniczna

a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4

67. d. Do egzekwowania zasad specyficznych dla systemu wymagane są zarówno mechanizmy kontroli oparte na technologii, jak i nie oparte na technologii. Obejmuje to wszystkie cztery pozycje wymienione w pytaniu.

68. Które z poniższych korzyści zapewniają centralne programy zabezpieczające komputer?

1. Udostępnianie informacji
2. Instalowanie kontroli technicznych
3. Kontrolowanie infekcji wirusowych
4. Administrowanie codziennym bezpieczeństwem komputera

a. 1 i 2
b. 1 i 3
c. 2 i 3
d. 2 i 4

68. b. Organizacje mogą centralnie rozwijać wiedzę specjalistyczną, a następnie dzielić się nią, zmniejszając potrzebę wielokrotnego zamawiania podobnych usług. Centralny program bezpieczeństwa komputerowego może ułatwić wymianę informacji. Podobnie kontrolowanie infekcji wirusowych z centralnej lokalizacji jest wydajne i ekonomiczne. Opcje 2 i 4 to przykłady zalet programu zabezpieczającego komputer na poziomie systemu.

69. Które z poniższych są niezbędne do poprawy wydajności bezpieczeństwa IT za pomocą metryk?

1. Ilościowe określenie luk w wydajności
2. Zapewnienie wglądu w przyczyny źródłowe
3. Składanie raportów kierownictwu wewnętrznemu
4. Zbieranie znaczących danych do analizy

a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4

69. a. Metryki wydajności są niezbędne do poprawy wydajności, ponieważ określają ilościowo luki w wydajności i zapewniają wgląd w podstawowe przyczyny nieodpowiedniej wydajności. Przesyłanie raportów do wewnętrznego kierownictwa i zbieranie znaczących danych do analizy wspomaga ilościowe określanie luk w wydajności i zapewnia wgląd w przyczyny źródłowe.

70. Na którym z poniższych opiera się przede wszystkim koncepcja najmniejszego przywileju?

a. Ocena ryzyka
b. Egzekwowanie przepływu informacji
c. Egzekwowanie dostępu
d. Zarządzanie kontem

70. a. Organizacja stosuje koncepcję najmniejszych uprawnień przede wszystkim w odniesieniu do określonych zadań i systemów informatycznych, w tym określonych portów, protokołów i usług zgodnie z ocenami ryzyka niezbędnymi do odpowiedniego ograniczenia ryzyka dla operacji, aktywów i osób w organizacji. Pozostałe trzy opcje to specyficzne elementy kontroli dostępu.


71. Szkolenie oparte na wynikach nie skupia się na którym z poniższych?

a. Role i obowiązki
b. Zrozumienie poziomów
c. Tytuły stanowisk
d. Tła

71. c. Szkolenie oparte na wynikach koncentruje się na funkcjach zawodowych lub rolach i obowiązkach, a nie na nazwach stanowisk, i uznaje, że poszczególne osoby mają wyjątkowe pochodzenie, a co za tym idzie, różne poziomy zrozumienia.

72. Które z poniższych są niezbędne do osiągnięcia wyższego wskaźnika sukcesu w ochronie informacji?

1. Sprawdzone narzędzia i techniki bezpieczeństwa
2. Zachęcanie do certyfikacji zawodowej
3. Szkolenie pracowników w zakresie polityk bezpieczeństwa
4. Obowiązki bezpieczeństwa oparte na rolach

a. 1 i 2
b. 2 i 3
c. 1 i 4
d. 3 i 4

72. d. Organizacje, które nieustannie szkolą swoich pracowników w zakresie polityki bezpieczeństwa organizacji i obowiązków w zakresie bezpieczeństwa opartych na rolach, mają wyższy wskaźnik skuteczności ochrony informacji. Sprawdzone narzędzia i techniki bezpieczeństwa oraz zachęcanie do certyfikacji zawodowej pośrednio wspierają szkolenie pracowników w zakresie polityk bezpieczeństwa i obowiązków w zakresie bezpieczeństwa opartych na rolach.

73. Które z poniższych jest ostatecznym celem mierników wydajności bezpieczeństwa informacji?

a. Aby wskazać problemy
b. Aby określić zakres zasobów do naprawy
c. Śledzenie własności danych
d. Aby poprawić bezpieczeństwo informacji

73. d. Ostatecznym celem mierników wydajności bezpieczeństwa informacji jest wsparcie wymagań organizacyjnych i pomoc w wewnętrznych wysiłkach na rzecz poprawy bezpieczeństwa informacji. Pośrednie korzyści z pomiaru wydajności, prowadzące do ostatecznego celu, obejmują pomoc w identyfikowaniu problemów, określaniu zakresu zasobów do naprawy, śledzeniu stanu działań naprawczych i określaniu ilościowym sukcesów. Pomiar tworzy również odpowiedzialność za wyniki poprzez śledzenie własności danych i związanych z nimi działań. 74. Co powinien zrobić kierownik ds. bezpieczeństwa informacji, gdy ryzyko szczątkowe nie zostało zredukowane do akceptowalnego poziomu?

a. Powtórz cykl zarządzania ryzykiem.
b. Opracuj nowe zasady i procedury.
c. Wdrażaj nowe technologie bezpieczeństwa.
d. Ustal konkretny harmonogram oceny ryzyka.

74. a. Jeżeli ryzyko szczątkowe nie zostało zredukowane do akceptowalnego poziomu, kierownik ds. bezpieczeństwa informacji musi powtórzyć cykl zarządzania ryzykiem, aby zidentyfikować sposób obniżenia ryzyka szczątkowego do akceptowalnego poziomu. Pozostałe trzy opcje nie są wystarczająco silnymi działaniami, aby zmniejszyć ryzyko szczątkowe do akceptowalnego poziomu.

75. Poziom ochrony systemu informatycznego określa się na podstawie oceny którego z poniższych elementów?

1. Dostępność
2. Uczciwość
3. Wrażliwość
4. Krytyczność

a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4

75. c. Wszystkie systemy i aplikacje IT wymagają pewnego poziomu ochrony w celu zapewnienia poufności, integralności i dostępności, co jest określane przez ocenę wrażliwości i krytyczności przetwarzanych informacji, związku systemu z misją organizacji oraz wartości ekonomicznej elementy systemu. Wrażliwość i krytyczność są częścią celu poufności.

76. Który z poniższych typów metryk IT mierzy wyniki świadczenia usług bezpieczeństwa?

1. Mierniki wdrożenia
2. Mierniki efektywności
3. Mierniki wydajności
4. Mierniki wpływu

a. 1 i 2
b. 2 i 3
c. 1 i 4
d. 3 i 4

76. b. Mierniki implementacji mierzą realizację polityki bezpieczeństwa. Mierniki skuteczności i wydajności mierzą wyniki świadczenia usług bezpieczeństwa. Metryki wpływu mierzą wpływ zdarzeń związanych z bezpieczeństwem na działalność lub misję.

77. Który z poniższych czynników wpływa na wiarygodność systemu informacyjnego?

1. Funkcjonalność bezpieczeństwa
2. Kategoryzacja bezpieczeństwa
3. Certyfikacja bezpieczeństwa
4. Zapewnienie bezpieczeństwa

a. 1 i 2
b. 1 i 4
c. 3 i 4
d. 1, 2, 3 i 4

77.b. Dwa czynniki wpływające na wiarygodność systemu informatycznego obejmują funkcjonalność bezpieczeństwa (tj. cechy bezpieczeństwa zastosowane w systemie) oraz zapewnienie bezpieczeństwa (tj. podstawy pewności, że funkcjonalność bezpieczeństwa jest skuteczna w jej zastosowaniu). Kategoryzacja bezpieczeństwa i certyfikacja bezpieczeństwa nie mają tutaj znaczenia, ponieważ kategoryzacja bezpieczeństwa klasyfikuje systemy według poziomów bezpieczeństwa, a certyfikacja bezpieczeństwa dotyczy zatwierdzania nowego systemu przed jego uruchomieniem.

78. W przypadku korzystania z usług systemu informatycznego od zewnętrznego dostawcy usług, które z poniższych elementów są potrzebne do ograniczenia ryzyka bezpieczeństwa?

a. Łańcuch dostaw
b. Łańcuch dowodzenia
c. Łańcuch dokumentów
d. Łańcuch zaufania

78. d. Łańcuch zaufania wymaga, aby organizacja wewnętrzna ustanowiła i zachowała poziom pewności, że każdy zewnętrzny usługodawca rozważy odpowiednią ochronę bezpieczeństwa usług świadczonych na rzecz organizacji wewnętrznej. Łańcuch dowodowy odnosi się do przechowywania dowodów i może obejmować łańcuch dokumentów. Łańcuch dowodzenia jest zasadą zarządzania, która kieruje się hierarchią stanowisk w wydawaniu poleceń podległym pracownikom przez pracownika nadzorującego.

79. Z punktu widzenia bezpieczeństwa, który z poniższych jest najważniejszym dokumentem przygotowanym przez zewnętrznego dostawcę usług systemów informatycznych?

a. Rola bezpieczeństwa dostawcy usług
b. Rola bezpieczeństwa użytkownika końcowego
c. Memorandum o porozumieniu
d. Umowa o poziomie usług

79. d. Dokumentacja usług zewnętrznego systemu informatycznego musi zawierać rolę bezpieczeństwa dostawcy usług, rolę bezpieczeństwa użytkownika końcowego, podpisaną umowę, memorandum porozumienia przed podpisaniem umowy oraz umowę dotyczącą poziomu usług (najważniejsze). Umowa dotycząca poziomu usług (SLA) określa oczekiwania dotyczące wydajności dla każdej wymaganej kontroli bezpieczeństwa, opisuje wymierne wyniki oraz określa środki zaradcze i wymagania dotyczące reakcji w przypadku wszelkich zidentyfikowanych przypadków niezgodności.

80. Do których z poniższych można wykorzystać wyniki przeglądów oceny programu bezpieczeństwa informacji?

1. W celu wsparcia procesu certyfikacji i akredytacji
2. Aby wesprzeć wymóg ciągłego monitorowania
3. Aby przygotować się do audytów
4. Aby poprawić stan bezpieczeństwa systemu

a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4

80. d. Wyniki przeglądów oceny programów bezpieczeństwa informacji mogą zapewnić znacznie bardziej wiarygodną miarę skuteczności bezpieczeństwa. Wyniki te mogą być wykorzystane do (i) spełnienia wymagań dotyczących raportowania wewnętrznego organizacji, (ii) wsparcia procesu certyfikacji i akredytacji systemu, (iii) wsparcia wymagań ciągłego monitorowania, (iv) przygotowania do auditów oraz (v) identyfikacji zasoby potrzebne do poprawy stanu bezpieczeństwa systemu.


81. Które z poniższych nie powinny być zawarte w dokumencie Reguły Zachowania?

a. Kopia polityki bezpieczeństwa
b. Sterowanie do pracy w domu
c. Kontrola dostępu przez telefon
d. Korzystanie z dzieła chronionego prawem autorskim

81. a. Zasady zachowania nie powinny być kompletną kopią zasad bezpieczeństwa lub przewodnika po procedurach, ale raczej obejmować kontrole na wysokim poziomie. Przykłady kontrolek zawartych w regułach zachowania obejmują kontrole pracy w domu i kontrole dostępu telefonicznego, korzystanie z pracy chronionej prawami autorskimi, używanie hasła, połączenia z Internetem, przeszukiwanie baz danych i ujawnianie informacji. Polityka bezpieczeństwa może zawierać akceptowalną politykę użytkowania.

82. Które z poniższych przedstawia najlepszą definicję i równanie dla kompleksowego i ogólnego modelu ryzyka?

a. Naruszenie x zagrożenie x podatność
b. Atak + Zagrożenie + Uderzenie
c. Zagrożenie x podatność x wpływ
d. Atak + Wrażliwość + Uderzenie

82. c. Ryzyko to potencjalny niepożądany wynik wynikający z czynników wewnętrznych lub zewnętrznych, określony na podstawie prawdopodobieństwa wystąpienia i związanych z nim konsekwencji. Innymi słowy, ryzyko jest produktem interakcji między zagrożeniami, słabymi punktami i wpływami. Zagrożenia dotyczą zdarzeń i działań mogących zaszkodzić, słabe punkty to słabości, a skutki są konsekwencjami. Pozostałe trzy wybory są nieprawidłowe, ponieważ nie zawierają wymaganych składników w poprawnym równaniu ryzyka.

83. Które z poniższych zostało uznane za rozsądny poziom ryzyka?

a. Minimalne ryzyko
b. Dopuszczalne ryzyko
c. Ryzyko rezydualne
d. Całkowite ryzyko

83. b. Dopuszczalne ryzyko to poziom ryzyka rezydualnego, który został określony jako rozsądny poziom potencjalnych strat lub zakłóceń dla konkretnego systemu komputerowego. Minimalne ryzyko jest nieprawidłowe, ponieważ jest to zmniejszenie całkowitego ryzyka, które wynika z wpływu istniejących zabezpieczeń lub kontroli. Ryzyko szczątkowe jest błędne, ponieważ wynika z wystąpienia zdarzenia niepożądanego po uwzględnieniu wpływu wszystkich istniejących zabezpieczeń. Całkowite ryzyko jest niepoprawne, ponieważ jest to możliwość wystąpienia niepożądanego zdarzenia, jeśli nie zostaną podjęte żadne działania łagodzące (tj. potencjalne zagrożenie wykorzystujące podatność systemu).

84. Gdy wykonawca reprezentujący organizację korzysta z systemu wewnętrznego w celu połączenia się z systemem wymiany danych organizacji zewnętrznej, wykonawca powinien przestrzegać którego z poniższych uzgodnionych relacji zaufania?

1. Oświadczenia o konflikcie interesów
2. Zasady zachowania
3. Zasady sesji zdalnej
4. Zasady działania
a. Tylko 1
b. Tylko 3
c. 2 i 4
d. 1, 2, 3 i 4

84.d. Aby zachować zgodność z ustalonymi relacjami zaufania, pracownicy i kontrahenci ponoszą taką samą odpowiedzialność (relacje zleceniodawcy i agenta), ponieważ wykonawca działa w imieniu organizacji wewnętrznej. W związku z tym wszystkie warunki, które mają zastosowanie do pracowników, dotyczą w równym stopniu wykonawców. Warunki te obejmują zasady zachowania, zasady sesji zdalnej, zasady działania i podpisane oświadczenia o konflikcie interesów.

85. Celem analizy ryzyka jest określenie a(n):

a. Równowaga techniczna między wpływem ryzyka a kosztem środków ochronnych
b. Równowaga operacyjna między wpływem ryzyka a kosztem środków ochronnych
c. Równowaga ekonomiczna między wpływem ryzyka a kosztem środków ochronnych
d. Równowaga prawna między wpływem zagrożeń a kosztami środków ochronnych

85. c. Celem analizy ryzyka jest pomoc w zarządzaniu systemami w uzyskaniu równowagi ekonomicznej między wpływem ryzyka a kosztami środków ochronnych. Po pierwsze wymienia zagrożenia, a po drugie środki ochronne.

86. Aby oszacować straty, które mogą wystąpić w przypadku zrealizowania zagrożenia lub wykorzystania podatności, która z poniższych kategorii strat pozwala kierownictwu w najlepszy sposób oszacować ich potencjalne straty?

a. Strata jednorazowa, strata rzeczywista
b. Oczekiwana strata, katastrofalna strata
c. Strata katastrofalna, strata rzeczywista
d. Oczekiwana strata, strata jednorazowa

86. d. Zazwyczaj identyfikuje się dwie kategorie strat, w tym (i) straty spowodowane zagrożeniami o racjonalnie przewidywalnych częstościach występowania, określane jako oczekiwane straty wyrażone w dolarach rocznie i są obliczane jako iloczyn częstości występowania, potencjału straty i współczynnika podatności oraz (ii) strat spowodowanych zagrożeniami o bardzo niskim współczynniku występowania (niskie prawdopodobieństwo), które są trudne do oszacowania, ale zagrożenie spowodowałoby bardzo dużą stratę, gdyby miało wystąpić (ryzyko wysokiego ryzyka), określane jako strata pojedynczego zdarzenia i wyrażane jako iloczyn potencjału straty, współczynnika podatności i wartości aktywów. Strata katastroficzna jest określana jako strata większa niż kapitał własny. Rzeczywista strata to ilość utraconego majątku lub życia. Zarówno strata katastrofalna, jak i strata rzeczywista nie podlegają ocenie ryzyka, ponieważ nie są możliwe do oszacowania.

87. Z punktu widzenia odpowiedzialności za bezpieczeństwo, które z poniższych stwarzają zagrożenie dla bezpieczeństwa?

a. Kierownictwo i kontrahenci
b. Pracownicy etatowi i pracownicy warunkowi
c. Kadra kierownicza i pracownicy etatowi
d. Sprzedawcy i konsultanci

87. b. Większość kadry kierowniczej ma umowę o pracę zawierającą zasady, praktyki, procedury i kary w zakresie bezpieczeństwa za nieprzestrzeganie takich zasad i praktyk. Kontrahenci, dostawcy i konsultanci są związani formalnymi zasadami zaangażowania. Pracownicy zatrudnieni na pełny etat działają na zasadzie "zatrudnienia do woli"; pracownicy nie mają formalnej umowy i mogą opuścić firmę lub pracodawca może w każdej chwili rozwiązać umowę o pracę. Pracownicy warunkowi są pracownikami zatrudnionymi w niepełnym lub niepełnym wymiarze czasu pracy (tymczasowi) i nie mają formalnej umowy. W przypadku braku formalnej umowy lub zasad zaangażowania, firmie trudno jest egzekwować lub karać pracowników pełnoetatowych i pracowników warunkowych, którzy naruszają zasady i praktyki bezpieczeństwa. W związku z tym pracownicy pełnoetatowi i pracownicy warunkowi nie są w pełni odpowiedzialni za bezpieczeństwo w przypadku braku formalnej umowy (tj. nie są prawnie związane i niewykonalne), co stanowi zagrożenie dla bezpieczeństwa firmy.

88. Co ostatnią rzeczą do zrobienia po przyjacielskim wypowiedzeniu pracownika?

a. Przeprowadź wywiad końcowy.
b. Natychmiast wyłącz dostęp do komputera.
c. Weź w posiadanie klucze i karty.
d. Wyślij pracownika do doradcy zawodowego.

88.d. Najbezpieczniejszą i pierwszą rzeczą do zrobienia jest (i) natychmiastowe wyłączenie dostępu do komputera, co powinno być standardową procedurą, (ii) przeprowadzenie wywiadu wyjściowego oraz (iii) zabranie w posiadanie kluczy dostępu i kart. Pracownik może zostać skierowany do doradcy zawodowego później (ostatnia rzecz).

89. Które z poniższych stwierdzeń dotyczących klasyfikacji danych i kategoryzacji aplikacji pod kątem wrażliwości jest prawdziwe?

a. Klasyfikacja danych i kategoryzacja aplikacji jest taka sama.
b. Istnieją jasne poglądy na klasyfikację danych i kategoryzację aplikacji.
c. Klasyfikacja danych i kategoryzacja aplikacji muszą być specyficzne dla organizacji.
d. Korzystanie z prostych schematów klasyfikacji danych i kategoryzacji aplikacji jest łatwe.

89.c. Nie ma dwóch takich samych organizacji, co jest szczególnie widoczne w przypadku wielu branż. Na przykład to, co działa dla organizacji rządowej, może nie działać dla organizacji komercyjnej. Przykład klasyfikacji danych jest krytyczny, wysoce wrażliwy, wrażliwy i niewrażliwy.

90. Jaka jest najmniej skuteczna technika ciągłego edukowania użytkowników w zakresie bezpieczeństwa systemów informatycznych?

a. Prezentacja programów wideo uświadamiających bezpieczeństwo
b. Zasady zamieszczania na stronach intranetowych
c. Przedstawianie informacji o bezpieczeństwie w jednym rozmiarze
d. Ogłaszanie dni świadomości bezpieczeństwa

90.c. Dobrze jest unikać odpraw dotyczących bezpieczeństwa w jednym rozmiarze. Ważne jest, aby powiązać obawy dotyczące bezpieczeństwa z konkretnymi zagrożeniami, na jakie napotykają użytkownicy w poszczególnych jednostkach biznesowych lub grupach oraz zapewnić, że bezpieczeństwo jest przedmiotem codziennych rozważań. Luźne zabezpieczenia mogą kosztować pieniądze i czas. Świadomość bezpieczeństwa jest tania i mniej czasochłonna w porównaniu z instalowaniem środków zaradczych.


91. Wiarygodne systemy informacyjne definiuje się jako:

1. Działanie w ramach określonych poziomów ryzyka
2. Postępowanie w przypadku zakłóceń środowiskowych
3. Postępowanie z błędami ludzkimi
4. Obsługa celowych ataków

a. Tylko 1
b. Tylko 3
c. Tylko 4
d. 1, 2, 3 i 4

91.d. Wiarygodne systemy informacyjne to systemy, którym można zaufać, że działają w ramach określonych poziomów ryzyka pomimo zakłóceń środowiskowych, błędów ludzkich i celowych ataków, które mogą wystąpić w określonych środowiskach działania.

92. Która z poniższych kombinacji warunków może narazić zasoby IT na największe ryzyko utraty?

a. Łączność systemów i słabe zarządzanie bezpieczeństwem
b. Łączność systemów i słaba kontrola wrażliwości danych
c. Łączność systemów i brak kopii zapasowych systemu
d. Łączność systemów i niewystarczające zabezpieczenia fizyczne

92. a. Słabe zarządzanie bezpieczeństwem nie prowadzi proaktywnej i systematycznej oceny ryzyka, nie monitoruje skuteczności kontroli bezpieczeństwa i nie reaguje na zidentyfikowane problemy. Ta sytuacja może się znacznie pogorszyć w przypadku połączonych systemów, w których ryzyko jest największe. Pozostałe trzy opcje są wynikiem złego zarządzania bezpieczeństwem.

93. Do której z poniższych kategorii kontroli należy program szkoleniowy z zakresu bezpieczeństwa IT?

a. Kontrola aplikacji
b. Kontrole ogólne
c. Kontrola administracyjna
d. Kontrola techniczna

93. c. Program szkolenia w zakresie bezpieczeństwa jest częścią kontroli administracyjnych, które z kolei mogą być częścią kontroli zarządzania. Kontrole aplikacji odnoszą się do konkretnego systemu aplikacji, podczas gdy kontrole ogólne odnoszą się do centrum komputerowego. Kontrole techniczne mogą być przydatne zarówno w zastosowaniach, jak i w ogólnych obszarach.

94. Jaki jest ostatni krok, gdy insider narusza politykę bezpieczeństwa?

a. Ostrzeżenie ustne
b. Zwolnienie
c. Działania prawne
d. Pisemne ostrzeżenie
v 94.c. Gdy insider narusza zasady bezpieczeństwa, pierwszym krokiem jest ostrzeżenie ustne, następnie ostrzeżenie pisemne, zwolnienie i ostatni krok w postępowaniu sądowym.

95. Do którego z poniższych odnosimy się, gdy dane są przesyłane od użytkowników sieci o dużej liczbie użytkowników do użytkowników sieci o niskim poziomie?

a. Obniżenie danych
b. Aktualizacja danych
c. Aktualizacja danych
d. Udostępnianie danych

95. b. Regrade danych jest terminem używanym, gdy dane są przesyłane od użytkowników sieci o wysokim poziomie do użytkowników sieci o niskim poziomie oraz od użytkowników sieci o niskim poziomie do użytkowników sieci o wysokim poziomie. Obniżenie jakości danych to zmiana etykiety klasyfikacyjnej na niższą etykietę bez zmiany zawartości danych. Aktualizacja danych to zmiana etykiety klasyfikacyjnej na wyższą etykietę bez zmiany zawartości danych. Uwalnianie danych to proces zwracania całej niewykorzystanej przestrzeni dyskowej do systemu, gdy zbiór danych jest zamykany po zakończeniu przetwarzania.

96. Które z poniższych czynności należy wykonać najpierw, aby chronić systemy komputerowe?

a. Zwalczanie nadużyć informacji
b. Walka z hakerami
c. Ograniczanie podatności
d. Łapanie krakersów

96. c. Zmniejszenie podatności zmniejsza potencjalne narażenie i ryzyko. Pozostałe trzy opcje są zgodne z lukami.

97. Które z poniższych są głównymi korzyściami płynącymi z programów uświadamiających, szkoleniowych i edukacyjnych w zakresie bezpieczeństwa dla organizacji?

a. Ograniczenie oszustw
b. Ograniczenie nieautoryzowanych działań
c. Poprawa zachowań pracowników
d. Redukcja błędów i przeoczeń

97. c. Uświadomienie użytkownikom systemów komputerowych ich obowiązków w zakresie bezpieczeństwa oraz nauczenie ich prawidłowych praktyk pomoże użytkownikom zmienić ich zachowanie. Obsługuje również indywidualną odpowiedzialność, która jest jednym z najważniejszych sposobów poprawy bezpieczeństwa komputera. Bez znajomości niezbędnych środków bezpieczeństwa i wiedzy, jak z nich korzystać, użytkownicy nie mogą być naprawdę odpowiedzialni za swoje działania. Pozostałe trzy opcje są przykładami głównych celów świadomości bezpieczeństwa.

98. Kto, opracowując program ochrony danych dla organizacji, powinien być odpowiedzialny za określenie poziomów bezpieczeństwa i profili dostępu dla każdego elementu danych przechowywanych w systemie informatycznym?

a. Administrator bazy danych
b. Programista systemów
c. Właściciel danych
d. Programista aplikacji

98. c. Zwykle właściciel danych określa poziomy bezpieczeństwa, takie jak poufne lub wysoce poufne, oraz profile dostępu określające, kto może co robić, na przykład dodawać, zmieniać lub usuwać elementy danych. To właściciel danych zapłacił lub zasponsorował system dla swojego działu. Administrator bazy danych jest niepoprawny, ponieważ zajmuje się tworzeniem i kontrolowaniem logicznej i fizycznej bazy danych. Programista systemów jest niepoprawny, ponieważ jest odpowiedzialny za instalowanie nowych wersji oprogramowania systemowego i monitorowanie wydajności produktów oprogramowania systemowego. Programista aplikacji jest niepoprawny, ponieważ odpowiada za tworzenie, testowanie i utrzymanie komputerowych programów aplikacyjnych w wybranych językach programowania.

99. Które z poniższych nie jest prawdziwym stwierdzeniem dotyczącym wysiłków związanych z gromadzeniem danych podczas procesu opracowywania wskaźników bezpieczeństwa IT?

a. Proces zbierania danych musi być jak najbardziej nieinwazyjny.
b. Zebrane dane muszą mieć maksymalną użyteczność.
c. Zebrane dane muszą być prawidłowe.
d. Aby zebrać więcej danych, potrzeba więcej zasobów.

99. d. Wysiłek związany z gromadzeniem danych podczas procesu opracowywania metryk bezpieczeństwa IT musi być jak najbardziej nieinwazyjny i maksymalnie użyteczny, aby zapewnić, że dostępne zasoby są wykorzystywane przede wszystkim do rozwiązywania problemów, a nie tylko do zbierania danych w celu ich gromadzenia. Zbieranie prawidłowych danych jest ważniejsze niż zbieranie większej ilości danych.

100. Administratorów systemu lub sieci będzie interesować który z poniższych wskaźników bezpieczeństwa IT?

a. Realizacja
b. Skuteczność
c. Efektywność
d. Uderzenie

100. a. Cztery mierzalne aspekty wskaźników bezpieczeństwa IT przemawiają do różnych interesariuszy. Administratorzy systemów lub sieci chcą wiedzieć, co poszło nie tak podczas działań związanych z wdrażaniem bezpieczeństwa IT. Menedżerowie ds. bezpieczeństwa informacji i programów są zainteresowani skutecznością i wydajnością działań związanych z bezpieczeństwem IT. Dyrektor agencji lub dyrektor generalny (CEO) jest zainteresowany wpływem na biznes i misję działań związanych z bezpieczeństwem IT. Jako główni interesariusze, dyrektor ds. informacji (CIO) i specjalista ds. bezpieczeństwa systemów informatycznych są zainteresowani wynikami metryk bezpieczeństwa IT. Jako drugorzędni interesariusze, dyrektor finansowy (CFO), Generalny Inspektor (IG) lub Główny Zarządzający Audytem (CAE) Audytu Wewnętrznego są zainteresowani opracowaniem i finansowaniem wskaźników bezpieczeństwa IT.


101. Z którym z poniższych wiąże się pojęcie rozważnego człowieka?

a. Należyta staranność i należne zezwolenia
b. Należyta staranność i należne prawa
c. Należyta staranność i należyta staranność
d. Należyta staranność i należne przywileje

101. c. Pojęcie rozważnego człowieka wiąże się z należytą starannością i należytą starannością. Należyta staranność to zachowanie należytej staranności, podczas gdy należyta staranność wymaga od organizacji czujności i sumienności. Dobry porządek w centrum danych to przykład należytej staranności. Koncepcja roztropnego człowieka głosi, że rozsądni ludzie zawsze postępują rozsądnie w tych samych warunkach. Ponieważ ludzie są nieomylni, sądy i prawo wymagają, aby ludzie zawsze zachowywali rozsądną ostrożność. Sądy znajdą właścicieli komputerów odpowiedzialnych za ich niezabezpieczone systemy. Sądy nie ponoszą odpowiedzialności za każde przejęcie komputera. Sądy raczej oczekują, że organizacje staną się w miarę rozważnymi właścicielami komputerów, z należytą starannością (rozsądną starannością) w celu zapewnienia odpowiedniego bezpieczeństwa. Należyta staranność oznacza posiadanie odpowiednich zasad i procedur, kontroli dostępu, zapór sieciowych i innych uzasadnionych środków bezpieczeństwa. Właściciele komputerów nie muszą zachowywać superopieki, wielkiej troski ani nadzwyczajnej troski.

102. Jaki jest cel planu bezpieczeństwa systemu?

1. Udokumentuj wymagania bezpieczeństwa systemu.
2. Opisz przeprowadzane lub planowane kontrole.
3. Nakreśl role i obowiązki.
4. Dokumentuj ochronę bezpieczeństwa systemu.

a. Tylko 1
b. 1 i 2
c. Tylko 4
d. 1, 2, 3 i 4

102. d. Celem planu bezpieczeństwa systemu jest przedstawienie przeglądu wymagań bezpieczeństwa systemu i opisanie środków kontroli wdrożonych lub planowanych w celu spełnienia tych wymagań. Plan bezpieczeństwa systemu określa również role i obowiązki oraz oczekiwane zachowanie wszystkich osób mających dostęp do systemu. Plan bezpieczeństwa systemu należy traktować jako dokumentację ustrukturyzowanego procesu planowania adekwatnej, efektywnej kosztowo ochrony bezpieczeństwa systemu.

103. Co daje autoryzacja zarządzania systemem do przetwarzania informacji?

1. Ważna kontrola jakości
2. Ocena kontroli zarządczych
3. Ocena kontroli operacyjnych
4. Ocena kontroli technicznych

a. Tylko 2
b. Tylko 3
c. Tylko 4
d. 1, 2, 3 i 4
v 103. d. Autoryzacja kierownictwa systemu do przetwarzania informacji zapewnia ważną kontrolę jakości. Autoryzując przetwarzanie w systemie, kierownik akceptuje związane z nim ryzyko. Upoważnienie kierownictwa powinno opierać się na ocenie kontroli zarządczych, operacyjnych i technicznych.

104. Które z poniższych czynności należy wykonać przed przystąpieniem do procesu certyfikacji bezpieczeństwa i akredytacji systemu?

a. Opracowany plan bezpieczeństwa systemu
b. Plan bezpieczeństwa systemu zostanie przeanalizowany
c. Plan bezpieczeństwa systemu zostanie zaktualizowany
d. Plan bezpieczeństwa systemu został zaakceptowany

104. a. Powinny istnieć procedury określające, kto dokonuje przeglądu planu bezpieczeństwa, aktualizuje plan i śledzi planowane kontrole bezpieczeństwa. Ponadto procedury powinny wymagać opracowania i przeglądu planów bezpieczeństwa systemu przed przystąpieniem do procesu certyfikacji bezpieczeństwa i akredytacji systemu.

105. Która z poniższych osób ustala zasady właściwego wykorzystania i ochrony danych i informacji systemu?

a. Główny oficer ds. informacji
b. Funkcjonariusz ds. bezpieczeństwa systemu informatycznego
c. Właściciel systemu informacyjnego
d. Właściciel informacji

105. d. Właściciel informacji odpowiada za ustalenie zasad właściwego wykorzystania i ochrony danych i informacji systemu. Ustanawia kontrole w zakresie wytwarzania, zbierania, przetwarzania, rozpowszechniania i usuwania. Chief Information Officer (CIO) jest niepoprawny, ponieważ CIO jest odpowiedzialny za opracowanie i utrzymanie programu bezpieczeństwa informacji obejmującego całą organizację. Funkcjonariusz ds. bezpieczeństwa systemu informatycznego jest niepoprawny, ponieważ odpowiada za zapewnienie odpowiedniego stanu bezpieczeństwa operacyjnego systemu informatycznego. Właściciel systemu informacyjnego (znany również jako menedżer programu lub właściciel firmy) jest niepoprawny, ponieważ jest odpowiedzialny za całość zakupów, rozwój, integrację, modyfikację lub eksploatację i konserwację systemu informatycznego.

106. Które z poniższych stwierdzi, że każdy użytkownik powinien zostać powiadomiony przed otrzymaniem autoryzacji na dostęp do systemu i zrozumieć konsekwencje niezgodności?

a. Zasady zachowania
b. Zasady dostępu
c. Zasady użytkowania
d. Zasady-informacji

106. a. Zasady zachowania to kontrola bezpieczeństwa jasno określająca obowiązki i oczekiwane zachowanie wszystkich osób mających dostęp do systemu. Regulamin powinien określać konsekwencje niespójnego zachowania lub niezgodności i być udostępniony każdemu użytkownikowi przed otrzymaniem autoryzacji na dostęp do systemu. Podpisy elektroniczne są dopuszczalne do stosowania przy potwierdzaniu zasad postępowania.

107. Podstawowe mechanizmy kontroli bezpieczeństwa można dostosować, korzystając z wyników:

1. Ocena ryzyka
2. Szczegółowe informacje o zagrożeniach
3. Analizy kosztów i korzyści
4. Dostępność kontroli kompensacyjnych

a. Tylko 1
b. 1 i 2
c. 1, 2 i 3
d. 1, 2, 3 i 4

107. d. Podstawowe mechanizmy kontroli bezpieczeństwa można dostosować na podstawie oceny ryzyka i warunków lokalnych, w tym wymagań bezpieczeństwa specyficznych dla organizacji, konkretnych informacji o zagrożeniach, analiz kosztów i korzyści, dostępności mechanizmów kompensacyjnych lub szczególnych okoliczności.

108. W przypadku wskazówek dotyczących zakresu bezpieczeństwa systemu, które z poniższych określeń dotyczą zakresu i głębi implementacji kontroli bezpieczeństwa?

a. Rozważania związane z technologią
b. Zagadnienia związane z infrastrukturą fizyczną
c. Zagadnienia związane ze skalowalnością
d. Rozważania związane z dostępem publicznym

108. c. Wskazówki dotyczące określania zakresu zapewniają organizacji szczegółowe warunki dotyczące stosowania i wdrażania poszczególnych środków kontroli bezpieczeństwa. Kwestie związane ze skalowalnością dotyczą zakresu i głębi implementacji kontroli bezpieczeństwa. Rozważania związane z technologią dotyczą konkretnych technologii, takich jak łączność bezprzewodowa, kryptografia i infrastruktura klucza publicznego. Rozważania związane z infrastrukturą fizyczną obejmują zamki i osłony oraz kontrole środowiskowe dotyczące temperatury, wilgotności, oświetlenia, ognia i zasilania. Rozważania dotyczące dostępu publicznego dotyczą tego, czy identyfikacja i uwierzytelnianie oraz środki kontroli bezpieczeństwa personelu mają zastosowanie do dostępu publicznego.

109. Głównym powodem stosowania kompensacyjnych mechanizmów bezpieczeństwa w systemie informacyjnym jest który z poniższych?

a. Przepisane kontrole
b. Kontrola zarządzania
c. Sterowanie operacyjne
d. Kontrola techniczna

109. a. Kompensacyjne kontrole bezpieczeństwa to kontrole zarządcze, operacyjne lub techniczne stosowane przez organizację, które są wdrożone w miejsce zalecanych kontroli w niskich, umiarkowanych lub wysokich liniach bazowych kontroli bezpieczeństwa. Wszystkie te kontrole zapewniają równoważną lub porównywalną ochronę systemu informacyjnego.

110. Które z poniższych nie jest częścią kontroli operacyjnych, ponieważ odnoszą się do kontroli bezpieczeństwa systemu?

a. Kontrola dostępu
b. Kontrole planowania awaryjnego
c. Kontrola reakcji na incydent
d. Kontrole bezpieczeństwa fizycznego

110. a. Kontrola dostępu, wraz z identyfikacją i uwierzytelnianiem oraz audytem i rozliczalnością, jest częścią kontroli technicznej. Kontrole planowania awaryjnego są nieprawidłowe, ponieważ stanowią część kontroli operacyjnych. Kontrole reagowania na incydenty są nieprawidłowe, ponieważ stanowią część kontroli operacyjnych. Fizyczne kontrole bezpieczeństwa są nieprawidłowe, ponieważ są częścią kontroli operacyjnych.


111. Które z poniższych jest procesem wyboru odpowiednich środków kontroli bezpieczeństwa i stosowania wytycznych dotyczących zakresu bezpieczeństwa systemu?

a. Rozsądne bezpieczeństwo
b. Odpowiednie bezpieczeństwo
c. Normalne bezpieczeństwo
d. Zaawansowana ochrona

111. . Odpowiednie zabezpieczenia definiuje się jako zabezpieczenia współmierne do ryzyka i wielkości szkód wynikających z utraty, niewłaściwego wykorzystania lub nieuprawnionego dostępu do informacji lub ich modyfikacji. Proces doboru odpowiednich środków bezpieczeństwa i stosowania wytycznych scopingu w celu uzyskania odpowiedniego bezpieczeństwa jest wieloaspektowym, opartym na ryzyku działaniem angażującym kadrę kierowniczą i operacyjną w organizacji. Należy pamiętać, że odpowiednie zabezpieczenie jest czymś więcej niż rozsądnym i normalnym zabezpieczeniem i mniej niż zabezpieczeniem zaawansowanym.

112. Które z poniższych nie jest przykładem wspólnej kontroli bezpieczeństwa?

a. Kontrola dostępu
b. Kontrola zarządzania
c. Kontrola operacyjna
d. Sterowanie hybrydowe

112. a. Kontrole bezpieczeństwa nieoznaczone jako kontrole wspólne są uważane za kontrole specyficzne dla systemu i są obowiązkiem właściciela systemu informacyjnego. Na przykład kontrola dostępu jest częścią kontroli technicznej i jest kontrolą specyficzną dla systemu. Wiele kontroli zarządzania i kontroli operacyjnych potrzebnych do ochrony systemu informatycznego może być doskonałymi kandydatami do uzyskania wspólnego statusu kontroli bezpieczeństwa. Wspólne mechanizmy kontroli bezpieczeństwa zmniejszają koszty bezpieczeństwa, gdy są centralnie zarządzane w zakresie opracowywania, wdrażania i oceny. Kontrolki hybrydowe zawierają zarówno kontrolki wspólne, jak i specyficzne dla systemu.

113. Które z poniższych określa adekwatność zabezpieczeń w oprogramowaniu?

1. Jak testowany jest produkt?
2. Jak oceniany jest produkt?
3. Jak produkt jest stosowany w odniesieniu do innych systemów?
4. Jak powstaje produkt w odniesieniu do innych systemów?

a. Tylko 1
b. Tylko 2
c. 3 i 4
d. 1, 2, 3 i 4

113. c. Sposób, w jaki oprogramowanie jest rozwijane, integrowane i stosowane do innych komponentów systemu, wpływa na adekwatność jego bezpieczeństwa. Nawet jeśli produkt pomyślnie przejdzie formalną ocenę bezpieczeństwa, może zawierać luki (np. problemy z przepełnieniem bufora). Korzystanie z przetestowanego i ocenionego oprogramowania niekoniecznie zapewnia bezpieczne i odpowiednie środowisko operacyjne.

114. Który z poniższych elementów nie zastępuje pozostałych trzech elementów?

a. Włączanie dzienników systemowych
b. Przeprowadzanie audytów formalnych
c. Ręczne przeglądanie dzienników systemowych
d. Automatyczne przeglądanie logów systemowych

114. b. Chociaż przeprowadzane okresowo, formalne audyty są przydatne, ale nie zastępują codziennego zarządzania stanem bezpieczeństwa systemu. Włączenie dzienników systemowych i przeglądanie ich zawartości ręcznie lub za pomocą automatycznych podsumowań raportów może czasami być najlepszym sposobem wykrywania nieautoryzowanych zachowań ludzi i systemów oraz wykrywania problemów z bezpieczeństwem. Punktem krytycznym jest tutaj to, że codzienne zarządzanie jest bardziej terminowe i skuteczne niż okresowe audyty, które mogą być za późno.

115. Do której z poniższych zasad bezpieczeństwa odnosi się minimalna funkcjonalność w systemie aplikacji?

a. Bezpieczeństwo jest zależne od każdej organizacji.
b. Bezpieczeństwo jest odwrotnie powiązane ze złożonością.
c. Bezpieczeństwo powinno być warstwowe i mieć różne zabezpieczenia.
d. Bezpieczeństwo powinno opierać się na minimalnych uprawnieniach.

115. b. Bezpieczeństwo jest odwrotnie powiązane ze złożonością; im bardziej złożony system, tym trudniej go zabezpieczyć. Na tym skupia się zabezpieczenie zatytułowane "minimalna funkcjonalność". Bezpieczeństwo powinno odnosić się do każdej organizacji i musi uwzględniać specyficzne potrzeby, budżet i kulturę organizacji. Bezpieczeństwo nie jest absolutne. Na tym skupia się zabezpieczenie zatytułowane "analiza i zarządzanie ryzykiem". Obrona systemu informatycznego wymaga stosowania zabezpieczeń nie tylko w punktach wejścia, ale także w całym obszarze. Na tym skupia się zabezpieczenie zatytułowane "warstwowa i zróżnicowana obrona". Zasada najmniejszych (minimalnych) uprawnień mówi, że programy powinny działać tylko z uprawnieniami niezbędnymi do realizacji ich funkcji. Na tym skupia się zabezpieczenie zatytułowane "najmniejszy przywilej".

116. W którym z poniższych oblicza się ryzyko rezydualne?

a. Znane ryzyko minus nieznane ryzyko
b. Rzeczywiste ryzyko minus prawdopodobne ryzyko
c. Prawdopodobne ryzyko minus możliwe ryzyko
d. Potencjalne ryzyko minus ryzyko objęte ubezpieczeniem
v 116. d. Potencjalne zagrożenia obejmują wszystkie możliwe i prawdopodobne zagrożenia. Środki zaradcze obejmują niektóre, ale nie wszystkie zagrożenia. Dlatego też ryzyko szczątkowe to ryzyko potencjalne minus ryzyko objęte ubezpieczeniem.

117. Które z poniższych jest prawidłowym równaniem w zarządzaniu ryzykiem?

a. Zarządzanie ryzykiem = Badanie ryzyka + Analiza ryzyka + Ocena ryzyka
b. Zarządzanie ryzykiem = Analiza ryzyka + Unikanie ryzyka + Ocena ryzyka
c. Zarządzanie ryzykiem = Ocena ryzyka + Łagodzenie ryzyka + Ocena ryzyka
d. Zarządzanie ryzykiem = Przeniesienie ryzyka + Akceptacja ryzyka + Ocena ryzyka

117. c. Zarządzanie ryzykiem obejmuje ocenę ryzyka, ograniczanie ryzyka i ocenę ryzyka. Ocena ryzyka jest również nazywana analizą ryzyka. Łagodzenie ryzyka obejmuje transfer ryzyka (przypisanie ryzyka), redukcję ryzyka, unikanie ryzyka, podział ryzyka, ograniczanie ryzyka i akceptację ryzyka. Badania ryzyka są częścią analizy ryzyka. Ocena ryzyka skupia się na bieżącej ocenie ryzyka.

118. Co można zrobić z ryzykiem szczątkowym?

a. Może być przypisana lub zaakceptowana.
b. Można go zidentyfikować lub ocenić.
c. Może być zmniejszona lub obliczona.
d. Może być wyeksponowana lub oceniona.

118. a. Ryzyko szczątkowe to pozostałe ryzyko po zastosowaniu środków zaradczych (kontroli) na populację ryzyka. Ryzyko rezydualne jest albo przypisywane stronie trzeciej (np. firmie ubezpieczeniowej) albo akceptowane przez kierownictwo w ramach prowadzenia działalności. Dalsze zmniejszanie ryzyka rezydualnego może nie być opłacalne.

119. Które z poniższych nie jest częścią analizy ryzyka?

a. Majątek
b. Zagrożenia
c. Podatności
d. Środki zaradcze

119. d. Faktyczne wdrożenie środków zaradczych i zabezpieczeń następuje po przeprowadzeniu analizy ryzyka. Analiza ryzyka identyfikuje zagrożenia dla bezpieczeństwa systemu i określa prawdopodobieństwo wystąpienia, wynikający z tego wpływ oraz dodatkowe zabezpieczenia, które mogą złagodzić ten wpływ. Aktywa, zagrożenia i luki są częścią analizy ryzyka.

120. Które z poniższych jest niedopuszczalnym ryzykiem?

1. Koszt atakującego < zysk
2. Przewidywana strata > próg
3. Koszt atakującego > zysk
4. Przewidywana strata < próg

a. 1 i 2
b. 2 i 3
c. 1 i 4
d. 3 i 4

120. a. Ryzyko niedopuszczalne to sytuacja, w której koszt atakującego jest mniejszy niż zysk, a przewidywana przez organizację strata jest większa niż jej próg. Celem organizacji powinno być zwiększenie kosztów atakującego i zmniejszenie strat organizacji.


121. Która z poniższych czynności nie jest możliwa dzięki zabezpieczeniom i kontroli?

a. Redukcja ryzyka
b. Unikanie ryzyka
c. Przeniesienie ryzyka
d. Ocena ryzyka

121. d. Analiza ryzyka identyfikuje zagrożenia dla bezpieczeństwa systemu i określa prawdopodobieństwo wystąpienia, wynikający z tego wpływ oraz dodatkowe zabezpieczenia, które łagodzą ten wpływ. Analiza ryzyka jest czynnością zarządczą wykonywaną przed podjęciem decyzji o konkretnych zabezpieczeniach i kontrolach. Pozostałe trzy opcje są elementem ograniczania ryzyka, który wynika z zastosowania wybranych zabezpieczeń i kontroli. Unikanie ryzyka obejmuje zmniejszenie ryzyka, a przeniesienie ryzyka oznacza przypisanie ryzyka stronie trzeciej.

122. Do którego z poniższych odnosi się wybór i wdrożenie kontroli bezpieczeństwa?

a. Ocena ryzyka
b. Ograniczenie ryzyka
c. Ocena ryzyka
d. Zarządzanie ryzykiem

122. b. Łagodzenie ryzyka obejmuje wybór i wdrożenie kontroli bezpieczeństwa w celu zmniejszenia ryzyka do akceptowalnego poziomu. Analiza ryzyka jest tym samym, co ocena ryzyka. Zarządzanie ryzykiem obejmuje zarówno analizę ryzyka, jak i ograniczanie ryzyka.

123. Które z poniższych jest ściśle związane z akceptacją ryzyka?

a. Wykrywanie ryzyka
b. Zapobieganie ryzyku
c. Tolerancja ryzyka
d. Korekta ryzyka

123. c. Tolerancja na ryzyko to poziom ryzyka, które podmiot lub kierownik jest skłonny przyjąć lub zaakceptować, aby osiągnąć potencjalny pożądany rezultat. Niektórzy menedżerowie akceptują większe ryzyko niż inni ze względu na ich osobiste powinowactwo do ryzyka.

124. Wielkość ryzyka, z jakim może sobie poradzić organizacja, powinna opierać się na jednym z poniższych:

a. Poziom technologiczny
b. Dopuszczalny poziom
c. Niedrogi poziom
d. Mierzalny poziom

124. b. Często strat nie da się zmierzyć wyłącznie w kategoriach pieniężnych, takich jak utrata zaufania i lojalności klientów. Ryzyko powinno być obsługiwane na poziomie akceptowalnym dla organizacji. Zarówno przystępność cenowa, jak i poziom technologiczny różnią się w zależności od typu organizacji (np. mały, średni lub duży rozmiar oraz zależny od technologii lub nie).

125. Pod względem bezpieczeństwa systemów informatycznych, ryzyko definiuje się jako które z poniższych kombinacji?

a. Atak plus podatność
b. Zagrożenie plus atak
c. Zagrożenie plus podatność
d. Zagrożenie plus naruszenie

125. c. Luka w zabezpieczeniach to słabość polityki bezpieczeństwa, procedury, personelu, zarządzania, administracji, sprzętu, oprogramowania lub obiekty wpływające na bezpieczeństwo, które mogą spowodować uszkodzenie systemu informatycznego. Obecność podatności sama w sobie nie powoduje szkód. Jest to stan, który może spowodować uszkodzenie systemu informatycznego przez atak. Zagrożenie to każda okoliczność lub zdarzenie, które może spowodować uszkodzenie systemu w postaci zniszczenia lub modyfikacji danych lub odmowy usługi. Atak to próba naruszenia bezpieczeństwa danych. Ryzyko to prawdopodobieństwo, że dane zagrożenie może wykorzystać określoną lukę w systemie. Ekspozycja to przypadek podatności, w którym straty mogą wynikać z wystąpienia jednego lub więcej ataków. Środek zaradczy to dowolne działanie, kontrola, urządzenie, procedura, technika lub inny środek, który zmniejsza podatność zagrożenia na system. Naruszenie to skuteczne obejście lub wyłączenie kontroli bezpieczeństwa, z wykryciem lub bez wykrycia, które, jeśli zostanie doprowadzone do końca, może spowodować penetrację systemu.

126. Zarządzanie ryzykiem składa się z działań podstawowych i drugorzędnych. Które z poniższych jest przykładem działalności drugorzędnej?

a. Dane analizy ryzyka
b. Ocena ryzyka
c. Ograniczenie ryzyka
d. Metodologia ryzyka

126. a. Zarządzanie ryzykiem musi często opierać się na spekulacjach, najlepszych domysłach, niekompletnych danych i wielu niesprawdzonych założeniach. Dane oparte na ryzyku są kolejnym źródłem niepewności i są przykładem drugorzędnej działalności. Dane do analizy ryzyka zwykle pochodzą z dwóch źródeł: danych statystycznych i analizy eksperckiej. Oba mają wady; na przykład próbka może być zbyt mała lub analiza ekspercka może być subiektywna w oparciu o przyjęte założenia. Ocena ryzyka, czyli proces analizy i interpretacji ryzyka, składa się z trzech podstawowych czynności: (i) określenia zakresu i metodologii, (ii) gromadzenie i synteza danych oraz (iii) interpretacja ryzyka. Metodologia oceny ryzyka powinna być stosunkowo prostym procesem, który można dostosować do różnych jednostek organizacyjnych i obejmować mieszankę osób posiadających wiedzę na temat operacji biznesowych i technicznych aspektów systemów organizacji oraz mechanizmów kontroli bezpieczeństwa. Łagodzenie ryzyka obejmuje wybór i wdrożenie efektywnych kosztowo środków kontroli bezpieczeństwa w celu zmniejszenia ryzyka do akceptowalnego poziomu zarządzania, z zachowaniem obowiązujących ograniczeń. Metodologia ryzyka jest częścią oceny ryzyka. Może być formalna lub nieformalna, szczegółowa lub uproszczona, na wysokim lub niskim poziomie, ilościowa (oparta na obliczeniach) lub jakościowa (na podstawie opisów lub rankingów) lub ich kombinacja. Żadna pojedyncza metoda nie jest najlepsza dla wszystkich użytkowników i wszystkich środowisk. Pozostałe trzy opcje są przykładami działań podstawowych.

127. Z punktu widzenia zarządzania ryzykiem, które z poniższych opcji są nie do przyjęcia?

a. Akceptuję ryzyko
b. Przypisz ryzyko
c. Unikaj ryzyka
d. Odłóż ryzyko


127. d. "Odroczenie ryzyka" oznacza ignorowanie istniejącego ryzyka lub odłożenie problemu do dalszego rozpatrzenia. Jeśli decyzja o odroczeniu ryzyka jest wykalkulowana, istnieje nadzieja, że kierownictwo dysponowało niezbędnymi danymi. "Zaakceptuj ryzyko" jest zadowalające, gdy narażenie jest małe, a koszt ochrony wysoki. "Przypisz ryzyko" jest używane, gdy przypisanie ryzyka komuś innemu kosztuje mniej niż bezpośrednia ochrona przed nim. "Unikanie ryzyka" oznacza wprowadzenie niezbędnych środków, aby incydent związany z bezpieczeństwem w ogóle nie miał miejsca lub aby zdarzenie związane z bezpieczeństwem stało się mniej prawdopodobne lub kosztowne.

128. Czym jest atakujący wielokrotnie używający wielu różnych wektorów ataku do generowania wywołanych okazji?

a. Działania niepożądane
b. Zaawansowane zagrożenie
c. Agent zagrożeń
d. Źródło zagrożenia

128. b. Zaawansowane (trwałe) zagrożenie jest prowadzone przez przeciwnika o wysokim poziomie wiedzy specjalistycznej i znacznych zasobach, co pozwala mu poprzez wykorzystanie wielu różnych wektorów ataku (np. cybernetycznego, fizycznego i oszustwa) generować możliwości osiągnięcia swoich celów. Zaawansowane zagrożenie realizuje swoje cele wielokrotnie przez dłuższy czas, dostosowując się do wysiłków obrońcy, aby mu się przeciwstawić, i z determinacją, aby utrzymać poziom interakcji niezbędny do realizacji swoich celów. Działania niepożądane to działania wykonywane przez agenta zagrożeń na zasobie. Te działania wpływają na jedną lub więcej właściwości zasobu, z którego ten zasób czerpie swoją wartość. Zagrożenie składa się z agenta zagrożenia, docelowego zasobu i niekorzystnego działania tego agenta zagrożenia na tym zasobie. Agenci zagrożeń to podmioty, które mogą niekorzystnie oddziaływać na aktywa. Przykłady agentów zagrożeń obejmują hakerów, użytkowników, procesy komputerowe, personel zajmujący się tworzeniem oprogramowania oraz przypadkowe/zamierzone błędy. Zagrożenia i źródła zagrożeń są takie same, ponieważ ich intencje i metody są ukierunkowane na celowe wykorzystanie podatności lub sytuacji oraz metody, które mogą przypadkowo wywołać podatność.

129. Co oznacza "odstępstwo od polityki bezpieczeństwa zatwierdzonej w całej organizacji"?

a. Akceptacja ryzyka
b. Przypisanie ryzyka
c. Redukcja ryzyka
d. Ograniczanie ryzyka

129. a. Aby odejść od przyjętej w całej organizacji polityki bezpieczeństwa, kierownictwo jednostki biznesowej musi przygotować pismo wyjaśniające przyczynę odstępstwa oraz rozpoznające i akceptujące związane z tym ryzyko. Przypisanie ryzyka to przeniesienie ryzyka na stronę trzecią. Redukcja i ograniczanie ryzyka zajmują się ograniczaniem ryzyka poprzez wdrażanie kontroli.

130. Podczas przeprowadzania analizy ryzyka, roczna ekspozycja na straty jest obliczana w następujący sposób?

a. Wpływ pomnożony przez częstotliwość występowania
b. Wpływ minus częstotliwość występowania
c. Wpływ plus częstotliwość występowania
d. Oddziaływanie podzielone przez częstotliwość występowania

130. a. Do przeprowadzenia analizy ryzyka niezbędne są ilościowe sposoby wyrażenia zarówno potencjalnego wpływu, jak i szacowanej częstotliwości występowania. Istotnymi elementami analizy ryzyka jest ocena szkody, jaką może wyrządzić niekorzystne zdarzenie oraz oszacowanie, jak często takie zdarzenie może mieć miejsce w danym okresie. Ponieważ dokładnego wpływu i częstotliwości nie można dokładnie określić, możliwe jest jedynie przybliżenie straty za pomocą rocznej ekspozycji na straty, która jest iloczynem szacowanego wpływu w dolarach i szacowanej częstotliwości występowania w ciągu roku. Iloczynem wpływu i częstotliwości występowania będzie stwierdzenie straty.


131. Analiza ryzyka zapewnia zarządzanie wszystkimi następującymi elementami z wyjątkiem:

a. Akceptacja wystąpienia szkodliwego zdarzenia
b. Ograniczenie wpływu wystąpienia zdarzenia szkodliwego
c. Ranking aplikacji o znaczeniu krytycznym
d. Uznanie, że istnieje potencjał do straty

131.c. Analiza ryzyka dostarcza kierownictwu wyższego szczebla informacji, na których można oprzeć decyzje, na przykład, czy najlepiej jest zaakceptować lub zapobiec wystąpieniu szkodliwego zdarzenia, zmniejszyć wpływ takich zdarzeń lub po prostu rozpoznać, że istnieje potencjalna strata. Analiza ryzyka powinna pomóc menedżerom porównać koszt prawdopodobnych konsekwencji z kosztem skutecznych zabezpieczeń. Ranking aplikacji o znaczeniu krytycznym następuje po zakończeniu analizy ryzyka. Aplikacje krytyczne to takie, bez których organizacja nie mogłaby funkcjonować. Należy zwrócić odpowiednią uwagę, aby zapewnić, że krytyczne aplikacje i oprogramowanie są wystarczająco chronione przed utratą.

132. Która z poniższych metod postępowania z ryzykiem wiąże się ze stroną trzecią?

a. Akceptacja ryzyka
b. Eliminacja ryzyka
c. Zmniejszenie ryzyka
d. Przenoszenie ryzyka

132. d. W przeniesienie ryzyka bierze udział firma ubezpieczeniowa lub strona trzecia. Wszystkie pozostałe trzy opcje nie dotyczą strony trzeciej, ponieważ są obsługiwane w ramach organizacji.

133. Która z poniższych technik oceny ryzyka bezpieczeństwa wykorzystuje grupę ekspertów jako podstawę do podejmowania decyzji lub osądów?

a. Audyty oceny ryzyka
b. Metoda Delphi
c. Systemy eksperckie
d. Zagrożenia oparte na scenariuszach

133. b. Metoda Delphi wykorzystuje technikę grupowego podejmowania decyzji. Uzasadnieniem zastosowania tej techniki jest to, że czasami trudno jest uzyskać konsensus co do wartości kosztu lub straty oraz prawdopodobieństwa wystąpienia straty. Członkowie grupy nie spotykają się twarzą w twarz. Raczej każdy członek grupy samodzielnie i anonimowo zapisuje sugestie i przesyła uwagi, które są następnie centralnie opracowywane. Ten proces centralnego kompilowania wyników i komentarzy jest powtarzany aż do uzyskania pełnego konsensusu. Audyty oceny ryzyka są nieprawidłowe, ponieważ audyty te nie zapewniają takiego samego konsensusu jak ten osiągnięty przez grupę ekspertów w metodzie Delphi. Zazwyczaj audyty przeprowadza jedna lub dwie osoby, a nie grupy. Systemy eksperckie są niepoprawne, ponieważ są systemami komputerowymi opracowanymi z wiedzą ekspertów-człowieka. Te systemy nie osiągają konsensusu jako grupa ludzi. Zagrożenia oparte na scenariuszach są nieprawidłowe, ponieważ możliwe zagrożenia są identyfikowane na podstawie scenariuszy przez grupę osób. Jednak ten system nie ma takiego samego konsensusu, jak w metodzie Delphi. Proces przesyłania wyników i komentarzy sprawia, że metoda Delphi jest bardziej użyteczna niż inne metody.

134. Tam, gdzie to możliwe, koszty i korzyści technik bezpieczeństwa należy mierzyć w kategoriach pieniężnych. Która z poniższych opcji jest najskuteczniejszym sposobem pomiaru kosztów radzenia sobie ze stosunkowo częstymi zagrożeniami?

a. Straty jednorazowe
b. Oczekiwana roczna strata
c. Straty śmiertelne
d. Straty katastroficzne

134. b. Oczekiwana roczna strata (ALE) to szacowana strata wyrażona w wartościach pieniężnych według rocznej stopy, na przykład w dolarach rocznie. ALE dla danego zagrożenia w odniesieniu do danej funkcji lub zasobu jest równe iloczynowi oszacowań częstości występowania, potencjalnej straty i współczynnika podatności. Strata jednorazowa (SOL) jest nieprawidłowa, ponieważ jest to strata, która może wynikać z pojedynczego wystąpienia zagrożenia. Jest określany dla danego zagrożenia, najpierw obliczając iloczyn potencjalnej straty i współczynnika podatności dla każdej funkcji i zasobu dla analizowanego zagrożenia. Następnie produkty są sumowane, aby wygenerować SOL dla zagrożenia. Ponieważ SOL nie zależy od oszacowania częstości występowania zagrożenia, jest szczególnie przydatne do oceny rzadkich, ale szkodliwych zagrożeń. Jeśli oszacowanie SOL zagrożenia jest niedopuszczalnie wysokie; rozważnym zarządzaniem ryzykiem jest podjęcie działań zabezpieczających w celu zmniejszenia SOL do akceptowalnego poziomu. Zarówno straty śmiertelne, jak i katastrofalne są duże i rzadkie. Straty śmiertelne pociągają za sobą utratę życia ludzkiego, a katastrofalne pociągają za sobą ogromne straty finansowe. Krótko mówiąc, ALE jest przydatne w przypadku stosunkowo częstych zagrożeń, podczas gdy SOL i straty śmiertelne lub katastrofalne dotyczą rzadkich zagrożeń.

135. Ankiety i statystyki wskazują, że największym zagrożeniem dla każdego systemu komputerowego to:

a. Nieprzeszkoleni lub niedbali użytkownicy
b. Sprzedawcy i kontrahenci
c. Hakerzy i crackerzy
d. Pracownicy

135. d. Pracownicy wszystkich kategorii stanowią największe zagrożenie dla każdego systemu komputerowego, ponieważ cieszą się największym zaufaniem. Mają dostęp do systemu komputerowego, znają fizyczny układ terenu i mogą nadużywać władzy i autorytetu. Większość zaufanych pracowników ma możliwość popełnienia oszustwa, jeśli kontrole w systemie są słabe. Konsekwencją nieprzeszkolonych lub niedbałych użytkowników jest powstawanie błędów i innych drobnych niedogodności. Chociaż dostawcy i kontrahenci stanowią zagrożenie, nie są tak wielkim zagrożeniem jak pracownicy. Dzięki odpowiednim kontrolom bezpieczeństwa zagrożenia pochodzące od hakerów i crackerów można zminimalizować, jeśli nie całkowicie wyeliminować. Hakerzy i crackerzy są tacy sami i uzyskują dostęp do systemów komputerowych dla zabawy i / lub uszkodzenia.

136. Zarządzanie ryzykiem składa się z oceny ryzyka i łagodzenia ryzyka. Które z poniższych nie jest elementem ograniczania ryzyka?

a. Pomiar ryzyka
b. Dobór odpowiednich zabezpieczeń
c. Wdrażanie i testowanie zabezpieczeń
d. Akceptacja ryzyka szczątkowego

136. a. Termin zarządzanie ryzykiem jest powszechnie używany do definiowania procesu określania ryzyka, stosowania kontroli w celu zmniejszenia ryzyka oraz następnie określenie, czy ryzyko szczątkowe jest akceptowalne. Zarządzanie ryzykiem wspiera dwa cele: pomiar ryzyka (ocena ryzyka) oraz wybór odpowiednich mechanizmów kontrolnych, które mogą zredukować ryzyko do akceptowalnego poziomu (łagodzenie ryzyka). Dlatego pomiar ryzyka jest częścią oceny ryzyka. Pozostałe trzy wybory są nieprawidłowe, ponieważ są elementami ograniczania ryzyka. Łagodzenie ryzyka obejmuje trzy kroki: określenie obszarów, w których ryzyko jest niedopuszczalne; wybór skutecznych zabezpieczeń i ocena kontroli; oraz określenie, czy ryzyko szczątkowe jest akceptowalne.

137. Wartość informacji mierzy się jej:

a. Ujemna wartość
b. Wartość dla właściciela
c. Wartość dla innych
d. Wartość natychmiastowego dostępu

137.c. Wartość informacji mierzy się tym, czego inni oczekują od właściciela. Wartość ujemna wchodzi w grę, gdy występuje problem z bezpieczeństwem, ochroną lub jakością produktu. Na przykład ujemna wartość produktu wpływa na klientów, producentów, dostawców i hakerów, którzy mogą wykorzystać niebezpieczny lub niezabezpieczony produkt. Wartość natychmiastowego dostępu jest sytuacyjna i osobista.

138. Ryzyko to możliwość, że coś niekorzystnego przydarzy się organizacji. Który z poniższych kroków jest najtrudniejszy do wykonania w procesie zarządzania ryzykiem?

a. Profil ryzyka
b. Ocena ryzyka
c. Ograniczenie ryzyka
d. Ryzyko konserwacji

138. b. Zarządzanie ryzykiem to proces oceny ryzyka, podejmowania kroków w celu zmniejszenia ryzyka do akceptowalnego poziomu i utrzymania tego poziomu ryzyka. Zarządzanie ryzykiem obejmuje dwie podstawowe i jedną podstawową działalność. Ocena i ograniczanie ryzyka to podstawowe działania, a analiza niepewności jest podstawą. Ocena ryzyka, proces analizy i interpretacji ryzyka, składa się z trzech podstawowych czynności: (i) określenia oceny zakresu i metodologii, (ii) gromadzenie i synteza danych oraz (iii) interpretacja ryzyka. Ocena ryzyka może koncentrować się na wielu różnych obszarach kontroli (w tym zarządzaniu, technicznych i operacyjnych). Te mechanizmy kontrolne można zaprojektować w nowej aplikacji i włączyć do wszystkich obszarów funkcji i operacji organizacji (w tym telekomunikacyjnych centrów danych i jednostek biznesowych). Ze względu na charakter zakresu i zakres oceny ryzyka jest to najtrudniejsza do wykonania. Profil ryzyka i utrzymanie ryzyka nie są najtrudniejsze do osiągnięcia, ponieważ są produktami ubocznymi procesu oceny ryzyka. Profil ryzyka dla systemu komputerowego lub obiektu obejmuje identyfikację zagrożeń oraz opracowanie kontroli i polityk w celu zarządzania ryzykiem. Łagodzenie ryzyka obejmuje wybór i wdrożenie efektywnych kosztowo środków kontroli bezpieczeństwa w celu zmniejszenia ryzyka do akceptowalnego poziomu zarządzania, z zachowaniem obowiązujących ograniczeń. Ponownie, ograniczanie ryzyka następuje po zakończeniu procesu oceny ryzyka.

139. Celem zarządzania ryzykiem jest to, że ryzyko musi być:

a. Wyłączony
b. Uniemożliwiono
c. Unikany
d. Zarządzany

139. d. Ryzykiem należy zarządzać, ponieważ nie można go całkowicie wyeliminować ani uniknąć. Niektórym zagrożeniom nie można zapobiec w sposób efektywny kosztowo.

140. Jak nazywa się zdarzenie ryzyka, które jest możliwą do zidentyfikowania niepewnością?

a. Znany-nieznany
b. Nieznany-nieznany
c. Znany-znany
d. Nieznany-znany

140. a. Znane-nieznane to możliwa do zidentyfikowania niepewność. Nieznane nieznane jest zdarzeniem ryzyka, którego istnienia nie można sobie wyobrazić. Nie ma ryzyka w znane-wiadome, ponieważ nie ma niepewności. Nieznane nie ma tutaj znaczenia.


141. Które z poniższych jest opcjonalnym wymogiem dla organizacji?

a. Zasady
b. Procedury
c. Normy
d. Wytyczne

141. d. Wytyczne pomagają użytkownikom, personelowi systemów i innym osobom w skutecznym zabezpieczaniu ich systemów. Wytyczne są sugestywne i nie są obowiązkowe w organizacji.

142. Który z poniższych schematów klasyfikacji danych jest najmniej wrażliwy?

a. Niesklasyfikowane
b. Niesklasyfikowane, ale wrażliwe
c. Sekret
d. Poufny

142. a. Dane, które nie są wrażliwe lub sklasyfikowane, są niesklasyfikowane. Jest to kategoria najmniej wrażliwa, podczas gdy tajne jest kategorią najbardziej wrażliwą.

143. Które z poniższych nie jest przykładem tajemnicy handlowej?

a. Listy klientów
b. Nazwy dostawców
c. Specyfikacja techniczna
d. Nazwiska pracowników

143. d. Aby kwalifikować się jako tajemnica handlowa, informacje muszą mieć konkurencyjną wartość lub przewagę dla właściciela lub jego firmy. Tajemnice handlowe mogą obejmować informacje techniczne oraz listy klientów i dostawców. Nazwiska pracowników nie należą do kategorii tajemnicy handlowej, ponieważ są to informacje publiczne, wymagające ochrony przed rekruterami.

144. Które z poniższych dotyczy zasad i procedur specyficznych dla systemu?

a. Kontrola techniczna
b. Sterowanie operacyjne
c. Kontrola zarządzania
d. Kontrola rozwoju

144. c. Kontrole zarządcze to działania podejmowane w celu zarządzania rozwojem, konserwacją i użytkowaniem systemu, w tym polityki, procedury i zasady postępowania specyficzne dla systemu, indywidualne role i obowiązki, indywidualna odpowiedzialność i decyzje dotyczące bezpieczeństwa personelu. Kontrole techniczne obejmują kontrole sprzętu i oprogramowania służące do zapewniania automatycznej ochrony systemu komputerowego lub aplikacji. Kontrole techniczne działają w ramach systemów technicznych i aplikacji. Kontrole operacyjne to codzienne procedury i mechanizmy stosowane do ochrony systemów operacyjnych i aplikacji. Kontrole operacyjne wpływają na środowisko systemu i aplikacji. Kontrole rozwoju obejmują proces zapewnienia, że odpowiednie kontrole są rozważane, oceniane, wybierane, projektowane i wbudowane w system podczas jego wczesnych etapów planowania i rozwoju oraz że ustanowiony jest ciągły proces w celu zapewnienia ciągłości działania na akceptowalnym poziomie ryzyka podczas etapy instalacji, wdrożenia i eksploatacji.

145. Przykładem której z poniższych jest polityka organizacyjna dotycząca poczty elektronicznej?

a. Polityka doradcza
b. Polityka regulacyjna
c. Szczegółowa polityka
d. Polityka informacyjna

145.c. Polityki doradcze, regulacyjne i informacyjne mają szeroki charakter i obejmują wiele tematów i obszarów zainteresowań. Polityka e-mailowa jest przykładem specyficznej polityki dotyczącej komunikacji pomiędzy i pomiędzy jednostkami.

146. Co należy zrobić, gdy pracownik odchodzi z organizacji?

a. Przegląd ostatniej oceny wyników
b. Przegląd polityk kadrowych
c. Przegląd umów o zachowaniu poufności
d. Przegląd polityk organizacyjnych

146. c. Kiedy pracownik opuszcza organizację, należy mu przypomnieć o umowach o zachowaniu poufności, które podpisał w momencie zatrudnienia. Niniejsza umowa obejmuje środki ochrony informacji poufnych i zastrzeżonych, takich jak tajemnice handlowe i wynalazki.

147. W przypadku bezpieczeństwa komputera integralność nie oznacza, które z poniższych?

a. Precyzja
b. Autentyczność
c. Kompletność
d. Aktualność

147. d. Terminowość jest częścią celu dostępności, podczas gdy dokładność, autentyczność i kompletność są częścią celu integralności.

148. W przypadku bezpieczeństwa komputerowego poufność nie oznacza, które z poniższych?

a. Niezaprzeczalność
b. Tajność
c. Prywatność
d. Wrażliwość

148. a. Niezaprzeczalność jest częścią celu uczciwości, podczas gdy poufność, prywatność, wrażliwość i krytyczność są częścią celu poufności.

149. Który z poniższych celów bezpieczeństwa jest przeznaczony wyłącznie do zamierzonych zastosowań?

a. Poufność
b. Uczciwość
c. Dostępność
d. Odpowiedzialność

149. c. Dostępność dotyczy wyłącznie zamierzonych zastosowań, a nie innych zastosowań. Inną definicją dostępności jest zapewnienie terminowego i niezawodnego dostępu do informacji systemowych oraz korzystania z nich przez uprawnione podmioty. Poufność (C), integralność (I) i dostępność (A) to cele bezpieczeństwa i często nazywane są triadą CIA. Poufność to zachowanie autoryzowanych ograniczeń dostępu do informacji i ich ujawniania. Integralność to właściwość polegająca na tym, że chronione i wrażliwe dane nie zostały zmodyfikowane ani usunięte w nieautoryzowany i niewykryty sposób. Odpowiedzialność to śledzenie działań podmiotu wyłącznie dla tego podmiotu.

150. Zaawansowany standard szyfrowania (AES) jest przydatny do zabezpieczania których z poniższych?

a. Materiały poufne, ale tajne
b. Tajny, ale tajny materiał
c. Ściśle tajny, ale niesklasyfikowany materiał
d. Wrażliwy, ale niesklasyfikowany materiał

150. d. Zaawansowany standard szyfrowania (AES) to algorytm szyfrowania używany do zabezpieczania poufnych, ale niesklasyfikowanych materiałów. Utrata, niewłaściwe użycie lub nieautoryzowany dostęp lub modyfikacja poufnych, ale niesklasyfikowanych materiałów może negatywnie wpłynąć na interesy bezpieczeństwa organizacji. AES nie jest przydatny do zabezpieczania materiałów poufnych, ale niejawnych. AES nie jest przydatny do zabezpieczania tajnych, ale tajnych materiałów. AES nie jest przydatny do zabezpieczania ściśle tajnych, ale niesklasyfikowanych materiałów. Ściśle tajne nie może być odtajnione.


151. Schematy klasyfikacji danych biznesowych zwykle nie obejmują, które z poniższych?


a. Prywatny
b. Publiczny
c. Tylko do użytku wewnętrznego
d. Sekret

151. d. Terminy klasyfikacji danych, takie jak tajne i ściśle tajne, są najczęściej używane przez rząd. Terminy używane w innych opcjach zwykle należą do schematu klasyfikacji danych biznesowych.

152. Dane zawierające tajemnice handlowe są przykładem którego z poniższych schematów klasyfikacji danych?

a. Sklasyfikowany
b. Niesklasyfikowane
c. Niesklasyfikowane, ale wrażliwe
d. Poufne

152. c. Kategoria niejawna obejmuje poufne, poufne, tajne i ściśle tajne. Kategoria jawna to informacja publiczna, natomiast kategoria jawna, ale wrażliwa, wymaga pewnej ochrony, jak w przypadku tajemnic handlowych.

153. Które z poniższych pomaga dostosować się do innych?

a. Polityka
b. Procedury
c. Standard
d. Wytyczne

153. b. Procedury zwykle pomagają w przestrzeganiu obowiązujących polityk, standardów i wytycznych, ponieważ dotyczą konkretnych kroków w celu wykonania określonego zadania.

154. Do którego z poniższych odnosimy się, gdy co najmniej jednemu celowi bezpieczeństwa (tj. poufności, integralności lub dostępności) przypisano umiarkowaną wartość wpływu, a żadnemu celowi bezpieczeństwa nie przypisano dużej wartości wpływu dla systemu informacyjnego?

a. System o niskim wpływie
b. System o umiarkowanym wpływie
c. System o dużym wpływie
d. System bez wpływu

154. b. System o niskim wpływie definiuje się jako system informacyjny, w którym wszystkim trzem celom bezpieczeństwa (tj. poufność, integralność i dostępność) przypisano potencjalną wartość wpływu na poziomie niskim. W systemie o umiarkowanym wpływie co najmniej jeden cel jest przypisany jako średni, a żaden cel nie jest przypisany jako wysoki. W systemie o dużym wpływie przynajmniej jeden cel jest przypisany jako wysoki. System bez wpływu jest nieprawidłowy, ponieważ każdy system będzie miał jakiś wpływ, niski, średni lub wysoki.

155. Która z poniższych kontroli bezpieczeństwa jest potrzebna, gdy dane są przenoszone z niskich użytkowników sieci do wysokich użytkowników sieci?

1. Ochrona oprogramowania / sprzętu
2. Zautomatyzowane przetwarzanie
3. Automatyczne blokowanie
4. Automatyczne filtrowanie

a. 1 i 2
b. 1 i 3
c. 2 i 3
d. 3 i 4

155. b. Dane powinny być oczyszczone lub oddzielone między danymi/użytkownikami w sieci o wysokim poziomie a danymi/użytkownikami w sieci o niskim poziomie. Gdy dane są przesyłane od użytkowników o niskim poziomie dostępu do użytkowników sieci o wysokim poziomie (tj. dane są uaktualniane), techniki automatycznego blokowania danych za pomocą zapór sieciowych i do regulacji transferu potrzebne są zabezpieczenia programowe / sprzętowe. Gdy dane są przesyłane od użytkowników sieci o wysokim poziomie dostępu do użytkowników sieci o niskim poziomie dostępu (tj. dane są uaktualniane), do regulacji przesyłania potrzebne są zabezpieczenia programowe/sprzętowe, zautomatyzowane przetwarzanie i techniki automatycznego filtrowania. Celem technik automatycznego przetwarzania, blokowania i filtrowania jest próba wyeliminowania lub zidentyfikowania wirusów i innych transferów złośliwego kodu. Celem ochrony oprogramowania / sprzętu jest ułatwienie przesyłania danych między sieciami prywatnymi i publicznymi.

156. Które z poniższych jest warunkiem wstępnym szkolenia w zakresie bezpieczeństwa IT?

a. Orzecznictwo
b. Edukacja
c. Świadomość
d. Trening

156. c. Świadomość, szkolenie i edukacja to ważne procesy pomagające członkom personelu w wypełnianiu ich ról i obowiązków związanych z bezpieczeństwem technologii informatycznych, ale nie są one tym samym. Programy uświadamiające są warunkiem wstępnym szkolenia w zakresie bezpieczeństwa IT. Szkolenie jest bardziej formalne i bardziej aktywne niż działania uświadamiające i jest ukierunkowane na budowanie wiedzy i umiejętności ułatwiających wykonywanie pracy. Edukacja integruje wszystkie umiejętności i kompetencje w zakresie bezpieczeństwa różnych specjalistów funkcjonalnych i dodaje multidyscyplinarne badanie pojęć, zagadnień i zasad. Zwykle rzadko organizacje wymagają dowodu kwalifikacji lub certyfikatu jako warunku powołania.

157. Opracowując polityki bezpieczeństwa systemów informatycznych, organizacje powinny zwracać szczególną uwagę na które z poniższych?

157. c. Stosunkowo nowe ryzyko, na które zwraca się szczególną uwagę w polityce organizacyjnej to zachowanie użytkownika. Niektórzy użytkownicy mogą nie mieć żadnych skrupułów w stosunku do przeglądania poufnych plików organizacji na komputerach lub nieodpowiednich witryn internetowych, jeśli nie ma jasnych wskazówek dotyczących akceptowanych typów zachowań użytkowników. Zagrożenia te nie istniały przed powszechnym wykorzystaniem sieci, poczty elektronicznej i Internetu.

158. Powszechną techniką zwiększania użyteczności polityk bezpieczeństwa systemów informatycznych organizacji jest rozróżnienie między:

a. Warunki i procedury
b. Zasady i wytyczne
c. Zasady i praktyki
d. Zasady i standardy

158. b. Polityki generalnie określają podstawowe wymagania, które najwyższe kierownictwo uważa za imperatywne, podczas gdy wytyczne zawierają bardziej szczegółowe zasady wdrażania szerszych polityk. Wytyczne, chociaż zachęcane, nie są uważane za obowiązkowe.

159. Kto musi ponosić główną odpowiedzialność za określenie poziomu ochrony potrzebnej dla zasobów IT?

a. Analitycy bezpieczeństwa systemów informatycznych
b. Menedżerowie biznesu
c. Menedżerowie bezpieczeństwa systemów informatycznych
d. Audytorzy systemów informatycznych

159. b. Menedżerowie biznesowi (kierownicy funkcjonalni) powinni ponosić główną odpowiedzialność za określenie poziomu ochrony potrzebnej dla zasobów systemów informatycznych wspierających operacje biznesowe. Dlatego menedżerowie biznesowi powinni ponosić odpowiedzialność za zarządzanie ryzykiem bezpieczeństwa informacji związanym z ich działalnością, podobnie jak w przypadku każdego innego rodzaju ryzyka biznesowego. Zarówno analitycy, jak i menedżerowie bezpieczeństwa systemów informatycznych mogą asystować menedżerowi biznesowemu, natomiast audytor systemów może ocenić poziom ochrony dostępny w systemie informatycznym. Poziom ochrony zaczyna się na poziomie dyrektora generalnego (CEO). Oznacza to posiadanie polityki zarządzania zagrożeniami, odpowiedzialnością i zobowiązaniami, która znajdzie odzwierciedlenie w zachowaniu pracowników, etyce oraz politykach i praktykach zakupowych. Bezpieczeństwo informacji musi być w pełni zintegrowane ze wszystkimi odpowiednimi politykami organizacyjnymi, co może mieć miejsce tylko wtedy, gdy świadomość bezpieczeństwa istnieje na wszystkich poziomach.

160. Która z poniższych opcji jest lepszą metodą zapewnienia, że kwestie bezpieczeństwa systemów informatycznych otrzymały odpowiednią uwagę kierownictwa wyższego szczebla organizacji?

a. Ustanowienie komitetu na poziomie technicznym
b. Ustanowienie komitetu na poziomie polityki
c. Ustanowienie komitetu kontrolnego
d. Ustanowienie komitetu wyższego szczebla

160. d. Niektóre organizacje powołały komitety wyższego szczebla składające się z menedżerów wyższego szczebla, aby zapewnić odpowiednią uwagę i wsparcie kwestiom technologii informacyjnej, w tym bezpieczeństwu informacji. Pozostałe komisje zbierają dane dotyczące konkretnych kwestii, którymi zajmuje się każda komisja, i rekomendują działania do zatwierdzenia komisjom wyższego szczebla.


161. Jaka jest kluczowa cecha, która powinna być wspólna dla wszystkich centralnych grup bezpieczeństwa systemów informatycznych?

a. Organizacyjne relacje sprawozdawcze
b. Obowiązki w zakresie bezpieczeństwa systemów informatycznych
c. Pomoc techniczna w zakresie bezpieczeństwa systemów informatycznych
d. Wsparcie otrzymane od innych jednostek organizacyjnych

161. b. Dwie kluczowe cechy, które centralna grupa ds. bezpieczeństwa powinna obejmować (i) jasno określone obowiązki w zakresie bezpieczeństwa informacji oraz (ii) wydzielone zasoby personelu do wykonywania tych obowiązków.

162. Aby zapewnić, że polityki bezpieczeństwa systemów informatycznych służą jako podstawa programów bezpieczeństwa systemów informatycznych, organizacje powinny łączyć:

a. Polityki do standardów
b. Polityki wobec ryzyka biznesowego
c. Zasady do procedur
d. Zasady kontroli

162. b. Opracowanie kompleksowego zestawu zasad jest pierwszym krokiem do ustanowienia programu bezpieczeństwa obejmującego całą organizację. Polityka powinna być powiązana z ryzykami biznesowymi i dostosowywana na bieżąco, aby reagować na nowo zidentyfikowane ryzyka lub obszary nieporozumień.

163. Która z poniższych jest użyteczną techniką wywierania wrażenia na użytkownikach, jak ważne są ogólnoorganizacyjne zasady bezpieczeństwa systemów informatycznych?

a. Udostępnianie polityk przez Internet
b. Zapewnienie dostępności polis za pośrednictwem fizycznych tablic ogłoszeniowych
c. Wymaganie podpisanego oświadczenia od wszystkich użytkowników, że będą przestrzegać zasad
d. Zapewnienie dostępności polis za pośrednictwem elektronicznych tablic ogłoszeniowych

163. c. Oświadczenie jest wymagane od nowych użytkowników w momencie pierwszego dostępu do zasobów systemu informatycznego oraz od wszystkich użytkowników okresowo, zwykle raz w roku. Wymaganie podpisanego oświadczenia może służyć jako użyteczna technika uświadomienia użytkownikom, jak ważne jest zrozumienie zasad organizacji. Ponadto, jeśli użytkownik był później zamieszany w naruszenie bezpieczeństwa, oświadczenie może służyć jako dowód, że został poinformowany o zasadach organizacji.

164. Które z poniższych rozważa utratę celów bezpieczeństwa (tj. poufności, integralności i dostępności), po których można oczekiwać, że będą miały ograniczony, poważny lub poważny negatywny wpływ na operacje, aktywa, systemy lub osoby fizyczne organizacji oraz na inne organizacje?

a. Niewielki wpływ
b. Umiarkowany wpływ
c. Potencjalny wpływ
d. Duży wpływ

164. c. Potencjalny wpływ uwzględnia wszystkie trzy poziomy wpływu, takie jak (i) ograniczony niekorzystny wpływ o niewielkim wpływie, (ii) poważny niekorzystny wpływ o umiarkowanym wpływie oraz (iii) poważny lub katastrofalny niekorzystny wpływ o dużym wpływie.

165. Z jakich powodów nie można utrzymać skutecznych środków bezpieczeństwa systemów informatycznych?

a. Brak świadomości
b. Brak polityki
c. Brak procedury
d. Brak egzekwowania

165. d. Jeśli pracownicy widzą, że kierownictwo nie traktuje poważnie egzekwowania polityki bezpieczeństwa, nie będą zwracać uwagi na bezpieczeństwo, minimalizując w ten sposób jego skuteczność. Oprócz braku egzekucji problemem jest niespójna egzekucja.

166. Kryteria wrażliwości dla komputerowego systemu informacyjnego nie są zdefiniowane w odniesieniu do których z poniższych?

a. Wartość posiadania systemu aplikacji
b. Koszt opracowania i utrzymania systemu aplikacji
c. Wartość posiadania potrzebnych informacji
d. Koszt braku systemu aplikacji

166. b. Kryteria wrażliwości są w dużej mierze definiowane w kategoriach wartości posiadania lub kosztu braku systemu aplikacji lub potrzebnych informacji.

167. Co należy zrobić w pierwszej kolejności po nieprzyjaznym wypowiedzeniu pracownika?

a. Natychmiast wypełnij formularz wylogowania.
b. Wyślij pracownika do działu księgowości po ostatnią wypłatę.
c. Szybko usuń dostęp do systemu.
d. Wyślij pracownika do działu kadr po świadczenia statusu.

167. c. Niezależnie od tego, czy zakończenie jest przyjazne, czy nieprzyjazne, najlepszą praktyką bezpieczeństwa jest szybkie wyłączenie dostępu do systemu, w tym logowania do systemów. Przetwarzanie zewnętrzne często wiąże się z formularzem wyrejestrowania parafowanym przez każdego kierownika funkcjonalnego, który jest zainteresowany oddzieleniem pracownika. Formularz wylogowania jest rodzajem listy kontrolnej. Odesłanie pracownika do działu księgowości i kadr może nastąpić później.

168. Które z poniższych mają podobną strukturę i uzupełniające się cele?

a. Szkolenie i świadomość
b. Hakerzy i użytkownicy
c. Zgodność i zdrowy rozsądek
d. Trzeba wiedzieć i zagrożenia

168. a. Szkolenie sprawia, że ludzie uczą się nowych rzeczy i są świadomi nowych problemów i procedur. Mają podobne cele - to znaczy nauczenie się nowej umiejętności lub wiedzy. Dlatego uzupełniają się nawzajem. Haker to osoba, która próbuje naruszyć bezpieczeństwo systemu informatycznego, w szczególności, której intencją jest spowodowanie zakłócenia lub uzyskanie nieuprawnionego dostępu do danych. Z drugiej strony, użytkownik ma przeciwny cel, wykorzystać system do wykonywania swoich obowiązków zawodowych. Dlatego są ze sobą w konflikcie. Zgodność oznacza przestrzeganie norm, zasad lub przepisów bez dozwolonych odstępstw. Z drugiej strony zdrowy rozsądek każe ludziom odchodzić, gdy warunki nie są praktyczne. Dlatego są ze sobą w konflikcie. "Potrzeba wiedzy" oznacza potrzebę dostępu do informacji w celu wykonania pracy. Zagrożenia to działania lub zdarzenia, które, jeśli zostaną zrealizowane, mogą skutkować marnotrawstwem, oszustwem, nadużyciem lub zakłóceniem działalności. Dlatego są ze sobą w konflikcie.

169. Ustanowienie programu własności danych powinno być obowiązkiem:

a. Funkcjonalni użytkownicy
b. Audytorzy wewnętrzni
c. Podmioty przetwarzające dane
d. Zewnętrzni audytorzy

169. a. Użytkownicy funkcjonalni (użytkownicy biznesowi) są właścicielami danych w systemach komputerowych. Dlatego mają niepodzielny interes i odpowiedzialność w ustanowieniu programu własności danych. Audytorzy wewnętrzni/zewnętrzni są niepoprawni, ponieważ nie ponoszą odpowiedzialności za ustanowienie programu własności danych, mimo że polecają jeden. Podmioty przetwarzające dane są niepoprawne, ponieważ są opiekunami danych użytkowników.

170. Kiedy może być skuteczna ochrona systemów informatycznych polityka zostanie naruszona?

a. Po opublikowaniu polityki
b. Kiedy polityka zostanie ponownie przeanalizowana
c. Kiedy zasada jest testowana
d. Gdy egzekwowanie zasad jest przewidywalne

170. d. Polityka bezpieczeństwa systemów informatycznych powinna być upubliczniona, ale faktyczne procedury egzekwowania powinny być utrzymywane w tajemnicy. Ma to na celu zapobieganie naruszeniu zasad, gdy egzekwowanie jest przewidywalne. Element zaskoczenia sprawia, że nieprzewidywalne egzekucje są skuteczniejsze niż te przewidywalne. Polityki powinny być publikowane, aby wszystkie zainteresowane strony zostały poinformowane. Polityki powinny być rutynowo sprawdzane pod kątem ich wykonalności. Zasady powinny być testowane, aby zapewnić dokładność założeń.


171. Istnieje wiele różnych sposobów identyfikacji osób lub grup, które potrzebują specjalistycznego lub zaawansowanego szkolenia. Która z poniższych metod jest najmniej ważna do rozważenia przy planowaniu takiego szkolenia?

a. Kategorie stanowisk
b. Funkcje pracy
c. Specyficzne systemy
d. Określeni dostawcy

171. d. Jedną z metod jest przyjrzenie się kategoriom stanowisk, takich jak kadra kierownicza, menedżerowie funkcyjni lub dostawcy technologii. Inną metodą jest przyjrzenie się funkcjom zadań, takim jak projekt systemu, działanie systemu lub użytkownik systemu. Trzecią metodą jest przyjrzenie się konkretnym zastosowanym technologiom i produktom, zwłaszcza w przypadku zaawansowanych szkoleń dla grup użytkowników i szkoleń dotyczących nowego systemu. Konkretni dostawcy są co najmniej ważni podczas planowania, ale ważni we wdrażaniu.

172. Który z poniższych celów bezpieczeństwa systemów informatycznych jest najważniejszy w programie bezpieczeństwa IT?

a. Cel musi być konkretny.
b. Cel musi być jasny.
c. Cel musi być osiągalny.
d. Cel musi być dobrze zdefiniowany.

172. c. Pierwszym krokiem w procesie zarządzania jest określenie celów bezpieczeństwa systemów informatycznych dla konkretnego systemu. Cel bezpieczeństwa musi być bardziej szczegółowy; powinien być konkretny i dobrze zdefiniowany. Powinno być również określone tak, aby było jasne i osiągalne. Przykładem celu bezpieczeństwa systemów informatycznych jest taki, w którym tylko osoby z działów księgowości i kadr są upoważnione do podawania lub modyfikowania informacji wykorzystywanych do obsługi płac. Jaki jest pożytek z celu bezpieczeństwa, jeśli nie jest on osiągalny, chociaż jest konkretny, jasny i dobrze zdefiniowany?

173. W której z poniższych technik planowania zdefiniowane są potrzeby informacyjne organizacji?

a. Planowanie strategiczne
b. Planowanie taktyczne
c. Operacyjne planowanie
d. Planowanie systemów informatycznych

173. d. Cztery rodzaje planowania pomagają organizacjom identyfikować zasoby IT i zarządzać nimi: planowanie strategiczne, taktyczne, operacyjne i informatyczne. Planowanie IS to specjalna struktura planowania zaprojektowana w celu skoncentrowania planów dotyczących zasobów obliczeniowych organizacji na jej potrzebach biznesowych. Planowanie SI zapewnia organizacji trójfazowe, ustrukturyzowane podejście do systematycznego definiowania, rozwijania i wdrażania wszystkich aspektów jej krótko- i długoterminowych potrzeb informacyjnych. Planowanie strategiczne określa misję, cele i zadania organizacji. Określa również główne działania związane z zasobami obliczeniowymi, jakie organizacja podejmie w celu realizacji tych planów. Planowanie taktyczne określa harmonogramy, zarządza i kontroluje zadania niezbędne do wykonania poszczególnych działań związanych z zasobami obliczeniowymi, przy użyciu krótszego horyzontu planowania niż planowanie strategiczne. Obejmuje planowanie projektów, akwizycje i personel. Planowanie operacyjne integruje plany taktyczne i działania wspierające oraz określa zadania krótkoterminowe, które należy wykonać, aby osiągnąć pożądane rezultaty.

174. Który z poniższych dokumentów jest dość stabilnym dokumentem?

a. Plan strategiczny technologii informacyjnej
b. Plan operacyjny informatyki
c. Plan bezpieczeństwa technologii informacyjnej
d. Plan szkoleń z technologii informatycznych

174. a. Plan strategiczny IT wyznacza szeroki kierunek i cele zarządzania informacją w organizacji oraz wspierania dostarczania usług klientom. Powinien wywodzić się z planu strategicznego organizacji i odnosić się do niego. Plan zazwyczaj zawiera deklarację misji IT, wizję opisującą docelowe środowisko IT przyszłości, ocenę obecnego środowiska oraz szerokie strategie wchodzenia w przyszłość. Plan strategiczny IT jest dość stabilnym dokumentem. Nie wymaga corocznych aktualizacji. Jednak organizacja powinna okresowo przeglądać i aktualizować plan strategiczny IT, jeśli to konieczne, aby odzwierciedlić znaczące zmiany w misji lub kierunku IT. Strategie przedstawione w planie strategicznym IT stanowią podstawę planu operacyjnego IT, który obejmuje plany bezpieczeństwa i szkolenia. Plan operacyjny IT opisuje, w jaki sposób organizacja wdroży plan strategiczny. Plan operacyjny określa logiczne kroki służące osiągnięciu strategicznej wizji IT. Może przedstawiać harmonogram wdrażania, identyfikować kluczowe etapy, określać inicjatywy projektowe i obejmować szacunki zasobów (np. finansowania i personelu). Plan operacyjny powinien identyfikować zależności między strategiami IT i przedstawiać logiczną sekwencję inicjatyw projektowych, aby zapewnić płynną realizację. Plany bezpieczeństwa IT i plany szkoleń są nieprawidłowe, ponieważ są składnikami planu operacyjnego IT. Plany bezpieczeństwa powinny być opracowany dla organizacji lub indywidualnego systemu. Plany te dokumentują kontrole i zabezpieczenia mające na celu utrzymanie integralności informacji i zapobieganie złośliwemu/przypadkowemu użyciu, zniszczeniu lub modyfikacji zasobów informacyjnych w organizacji. Plany szkoleniowe dokumentują rodzaje szkoleń, jakich pracownicy IT będą wymagać, aby skutecznie wykonywać swoje obowiązki. Plany operacyjne IT, plany bezpieczeństwa , i plany treningowe podlegają ciągłym zmianom.

175. c. Plan operacyjny w zakresie technologii informatycznych odpowiada na wszystkie poniższe pytania, z wyjątkiem:

a. Jak się tam dostaniemy?
b. Kiedy to się skończy?
c. Jaki jest nasz cel?
d. Kto to zrobi?

175. c. Plan operacyjny IT opisuje, w jaki sposób organizacja wdroży plan strategiczny. Zazwyczaj plan operacyjny odpowiada na pytania: Jak się tam dostaniemy? Kiedy to się skończy? Kto to zrobi? Plan strategiczny odpowiada na pytanie: Jaki jest nasz cel?

176. Które z poniższych spełnia kryteria strategicznego planu IT?

a. Opracowywanie modeli informatyki korporacyjnej
b. Inicjowanie przeprojektowania procesu pracy
c. Prowadzenie planowania systemów biznesowych
d. Ocena środowiska wewnętrznego i zewnętrznego

176. d. Planowanie strategiczne IT to myślenie dalekosiężne. Planiści stosują techniki analityczne, kreatywność i rozsądną ocenę, aby przewidywać wymagania przyszłości. Podejście do planowania strategicznego zapewnia ramy do ograniczania zakresu i przedstawiania wyników myślenia dalekosiężnego. Podejście do planowania strategicznego powinno wspierać myślenie strategiczne i innowacje, oceniać misję, wizję i strategie organizacji, określać misję, wizję i cele IT oraz oceniać środowisko wewnętrzne i zewnętrzne. Wpływy wewnętrzne to te, które mają wpływ na zarządzanie organizacją, takie jak klienci, konkurenci, kontrahenci, dostawcy i organizacje użytkowników (tj. środowisko wewnętrzne). Wpływy zewnętrzne mają szeroki zakres, często narzucane ze środowiska zewnętrznego i poza kontrolą organizacji. Organizacja czerpie swoje wyzwania i możliwości z wpływów zewnętrznych, takich jak społeczność finansowa, rządy i przemysł (tj. Środowisko zewnętrzne). Pozostałe trzy opcje są przykładami podejść IT do wspomagania opracowywania planów strategicznych i obejmują modele IT dla przedsiębiorstw, przeprojektowanie procesów pracy i planowanie systemów biznesowych. Modele korporacyjne zapewniają środki do badania obecnego środowiska. Nie sprzyjają rozwojowi kierunku organizacyjnego (tj. misji i wizji). Nie spełniają więc kryteriów planowania strategicznego. Przeprojektowanie procesu pracy jest równoznaczne z następującymi koncepcjami: przeprojektowanie biznesu, doskonalenie procesów biznesowych i projektowanie procesów biznesowych. Takie podejście pomaga menedżerom zdefiniować relacje i działania w organizacji. Systemy biznesowe - planowanie służy do identyfikacji wymagań informacyjnych, ale nie uwzględnia strategicznych metodologii. Podejścia do planowania informacji nie badają kwestii kulturowych organizacji ani nie zapewniają strategicznego ukierunkowania pracy.

177. Które z poniższych nie jest przykładem deklaracji misji IT?

a. Usprawnienie procesów pracy poprzez automatyzację
b. Zachowanie rzetelności i aktualności informacji
c. Przewidywanie postępów i problemów technologicznych
d. Minimalizacja kosztów organizacji poprzez efektywne wykorzystanie technologii informatycznych

177. b. Utrzymanie rzetelności i aktualności informacji to deklaracja celu. Cele określają cele, które wspierają misję organizacji. Misja IT wspiera misję organizacji zapisaną w jej planie strategicznym. Deklaracja misji IT określa podstawową koncepcję IT, powód istnienia IT oraz sposób, w jaki IT wspiera misję organizacji. Misję IT można zbadać trzykrotnie w trakcie procesu planowania: na początku, po analizie obecnego otoczenia i na końcu. Organizacja IT gromadzi, zarządza, kontroluje, rozpowszechnia i chroni informacje wykorzystywane przez organizację. IT wspiera misję organizacji poprzez usprawnianie procesów pracy poprzez automatyzację, przewidywanie postępów i problemów technologicznych oraz minimalizowanie kosztów organizacji poprzez efektywne wykorzystanie IT.

178. Plan operacyjny w zakresie technologii informatycznych nie obejmuje:

a. Ocena ryzyka
b. Opisy projektów
c. Szacunki zasobów projektu
d. Harmonogramy realizacji projektów

178. a. Ocena ryzyka jest częścią strategicznego planu IT wraz z misją, wizją, celami, analizą środowiskową, strategiami i krytycznymi czynnikami sukcesu. Zazwyczaj plan strategiczny obejmuje okres 5 lat i jest aktualizowany co roku. Planowanie operacyjne IT rozpoczyna się, gdy kończy się planowanie strategiczne. Podczas planowania operacyjnego organizacja opracowuje realistyczne podejście do realizacji swojej wizji w oparciu o dostępne zasoby. Plan operacyjny IT składa się z trzech głównych części: opisów projektów, szacunków zasobów projektowych i harmonogramów realizacji projektów. W zależności od swojej wielkości i złożoności projektów, organizacja może również zawierać następujące rodzaje dokumentów: część planu operacyjnego , podsumowanie planu bezpieczeństwa, plany informacyjne i plany technologii informacyjnej.

179. Zakres informacyjnego planu taktycznego nie obejmuje:

a. Plany budżetowe
b. Plany rozwoju i utrzymania systemu aplikacji
c. Plany wsparcia technicznego
d. Cele usługi

179. d. Zakres taktycznego planu IT obejmuje plany budżetowe, plany rozwoju i konserwacji systemów aplikacji oraz plany wsparcia technicznego, ale nie cele usług. Dzieje się tak, ponieważ cele usług są częścią planu operacyjnego IT wraz z celami wydajności. Plany operacyjne opierają się na planie taktycznym, ale są bardziej szczegółowe, stanowiąc ramy codziennych działań. Plany operacyjne skupiają się na osiągnięciu celów usługowych. Skuteczne plany skupiają uwagę na celach, pomagają przewidywać zmiany i potencjalne problemy, służą jako podstawa podejmowania decyzji i ułatwiają kontrolę. Plany IT są oparte na planach całej organizacji. Plany strategiczne, taktyczne i operacyjne IT określają kierunek i koordynację działań niezbędnych do wspierania celów misji, zapewniają, że IT spełnia wymagania użytkowników oraz umożliwiają kierownictwu IT skuteczne radzenie sobie z obecnymi i przyszłymi zmieniającymi się wymaganiami. Szczegółowe plany przechodzą od abstrakcyjnych pojęć do ściśle kontrolowanych harmonogramów realizacji. Plany taktyczne obejmują około 1 rok. Plany taktyczne przedstawiają szczegółowy obraz działań IT i koncentrują się na tym, jak osiągnąć cele IT. Plany taktyczne zawierają informacje budżetowe z wyszczególnieniem alokacji zasobów lub środków przeznaczonych na komponenty IT. Często budżet jest podstawą do opracowania planów taktycznych.

180. Ważną miarą sukcesu każdego projektu informatycznego jest to, czy:
a. Projekt został ukończony na czas
b. Projekt został zrealizowany w ramach budżetu
c. Kierownik projektu zachował zasoby organizacyjne
d. Projekt osiągnął przewidywane korzyści

180. d. Jeden z kluczowych atrybutów udanych inwestycji informatycznych wymaga, aby organizacje wykorzystywały przewidywane korzyści, a nie terminowe i zgodne z budżetem zakończenie projektu jako ważne mierniki sukcesu każdego projektu informatycznego. Cele biznesowe należy przełożyć na cele, zorientowane na wyniki mierniki wydajności, zarówno ilościowe, jak i jakościowe, które mogą stanowić podstawę pomiaru wpływu inwestycji informatycznych. Kierownictwo regularnie monitoruje postęp realizowanych projektów IT pod kątem przewidywanych kosztów, harmonogramu, wydajności i dostarczanych korzyści. Nie ma znaczenia, czy kierownik projektu zachował zasoby organizacyjne, o ile projekt osiągnął przewidywane korzyści. Osiągnięcie (pozostałych dwóch) wyborów nie zapewnia automatycznie przewidywanych korzyści projektu.


181. Decyzje kadrowe i procedury zatrudniania mają kluczowe znaczenie w rozwiązywaniu problemów i problemów związanych z bezpieczeństwem komputerowym. Która z poniższych jest poprawną sekwencją kroków związanych z procesem rekrutacyjnym?

1. Określanie czułości pozycji
2. Definiowanie obowiązków zawodowych
3. Wypełnianie pozycji
4. Ustalenie poziomów dostępu do komputera

a. 1, 2, 3 i 4
b. 2, 4, 3 i 1
c. 2, 4, 1 i 3
d. 1, 4, 2 i 3

181. c. Kwestie kadrowe są ściśle powiązane z logicznymi kontrolami bezpieczeństwa dostępu. Na wczesnym etapie procesu definiowania stanowiska należy zidentyfikować i zająć się kwestiami bezpieczeństwa. Po szerokim zdefiniowaniu stanowiska i obowiązków, odpowiedzialny przełożony powinien określić rodzaj poziomów dostępu do komputera (np. dodawanie, modyfikowanie i usuwanie) wymaganych dla tego stanowiska lub pracy. Znajomość obowiązków zawodowych i poziomów dostępu, których wymaga dane stanowisko, jest niezbędna do określenia wrażliwości stanowiska (czy wymagane jest poświadczenie bezpieczeństwa). Odpowiedzialny przełożony powinien prawidłowo określić poziomy wrażliwości pozycji i poziomy dostępu do komputera, aby można było przeprowadzić odpowiednie, opłacalne kontrole w tle i metody przesiewowe. Po ustaleniu wrażliwości stanowiska, stanowisko jest gotowe do obsadzenia. Kontrole przeszłości i metody przesiewowe pomagają określić, czy dana osoba jest odpowiednia na dane stanowisko. Poziomy dostępu do komputera i czułość pozycji można również określić równolegle.

182. Ustanowienie programu funkcji bezpieczeństwa systemu informatycznego w organizacji powinno być obowiązkiem

a. Zarządzanie systemami informacyjnymi
b. Audytorzy wewnętrzni
c. Specjaliści ds. zgodności
d. Zewnętrzni audytorzy

182. a. Zarówno zarządzanie systemami informacyjnymi, jak i funkcjonalne zarządzanie użytkownikami ponoszą wspólną i wspólną odpowiedzialność za ustanowienie funkcji bezpieczeństwa systemów informatycznych w organizacji. Dzieje się tak, ponieważ użytkownik funkcjonalny jest właścicielem danych, a zarządzający systemami informatycznymi opiekunem danych. Audytorzy wewnętrzni/zewnętrzni oraz inspektorzy ds. zgodności nie ponoszą odpowiedzialności za faktyczne ustanowienie takiej funkcji; chociaż przedstawiają kierownictwu zalecenia dotyczące ustanowienia takiej funkcji.

183. Zarządzanie ryzykiem to agregacja których z poniższych?

1. Ocena ryzyka
2. Ograniczanie ryzyka
3. Bieżąca ocena ryzyka
4. Profil ryzyka

a. 1 i 2
b. 2 i 3
c. 1 i 4
d. 1, 2 i 3

183. d. Zarządzanie ryzykiem to połączenie oceny ryzyka, ograniczania ryzyka i bieżącej oceny ryzyka. Profil ryzyka dla systemu komputerowego lub obiektu obejmuje identyfikację zagrożeń oraz opracowanie kontroli i zasad w celu zarządzania ryzykiem.

184. Które z poniższych nie jest głównym powodem prowadzenia oceny ryzyka?

a. Jest to wymagane przez prawo lub rozporządzenie.
b. Jest zintegrowany z cyklem rozwoju systemu.
c. To dobra praktyka bezpieczeństwa.
d. Wspiera cele biznesowe.

184. a. Ocena ryzyka powinna być prowadzona i zintegrowana z procesem cyklu życia systemu / oprogramowania (SDLC) dla systemów informatycznych nie dlatego, że jest to wymagane przez prawo lub regulacje, ale dlatego, że jest to dobra praktyka w zakresie bezpieczeństwa i wspiera cele biznesowe lub misję organizacji.

185. Które z poniższych jest pierwszym krokiem w procesie oceny ryzyka?

a. Identyfikacja zagrożenia
b. Identyfikacja podatności
c. Charakterystyka systemu
d. Ocena ryzyka

185. c. Charakterystyka systemu to pierwszy krok w procesie oceny ryzyka. Podczas charakteryzowania systemu, krytyczność misji i wrażliwość są opisane w sposób wystarczający do stworzenia podstawy dla zakresu oceny ryzyka. Scharakteryzowanie systemu informacyjnego określa zakres działań związanych z oceną ryzyka, wyznacza granice autoryzacji operacyjnej lub akredytacji oraz dostarcza informacji (np. sprzęt, oprogramowanie, łączność systemu i powiązany personel). Ten krok rozpoczyna się od określenia granic systemu, zasobów i informacji.

186. System o niskim wpływie nie wymaga którego z poniższych, aby w pełni scharakteryzować system?

a. Kwestionariusze
b. Praktyczne testy i ocena bezpieczeństwa
c. Wywiady
d. Zautomatyzowane narzędzia do skanowania

186. b. Wpływ systemu można zdefiniować jako niski, średni lub wysoki. Na przykład system, który ma niewielki wpływ, może nie wymagać praktycznych testów i oceny bezpieczeństwa. Do zebrania informacji potrzebnych do pełnego scharakteryzowania systemu można wykorzystać różne techniki, takie jak kwestionariusze, wywiady, przeglądy dokumentacji i automatyczne narzędzia skanujące.

187. Na którym z poniższych opiera się poziom wysiłku i szczegółowość oceny ryzyka?

a. Identyfikacja zagrożenia
b. Identyfikacja podatności
c. Ocena ryzyka
d. Kategoryzacja bezpieczeństwa

187. d. Poziom nakładu pracy i szczegółowość (tj. poziom szczegółowości, na której ocena bada bezpieczeństwo systemu) oceny ryzyka są oparte na kategoryzacji bezpieczeństwa.

188. Które z poniższych można wykorzystać do rozszerzenia przeglądów źródeł podatności w procesie oceny ryzyka identyfikacji podatności?

a. Testy penetracyjne
b. Poprzednie oceny ryzyka
c. Poprzednie raporty z audytu
d. Listy podatności

188. a. Testy penetracyjne i metody testowania bezpieczeństwa systemu (np. użycie zautomatyzowanych narzędzi do skanowania podatności oraz metod bezpieczeństwa, testowania i oceny) można wykorzystać do rozszerzenia przeglądów źródeł podatności i zidentyfikowania podatności, które mogły nie zostać wcześniej zidentyfikowane w innych źródłach.

189. Kroki analizy ryzyka wykonywane podczas procesu oceny ryzyka nie obejmują, które z poniższych?

a. Analiza kontrolna
b. Określenie prawdopodobieństwa
c. Identyfikacja podatności
d. Określenie ryzyka

189. c. Analiza ryzyka obejmuje cztery podetapy: analizę kontroli, określenie prawdopodobieństwa, analizę wpływu i określenie ryzyka. Identyfikacja podatności jest przeprowadzana przed analizą ryzyka. Wyniki analizy kontrolnej są wykorzystywane do wzmocnienia określenia prawdopodobieństwa, że określone zagrożenie może skutecznie wykorzystać daną lukę. W analizie kontrolnej wykorzystywane są listy kontrolne i kwestionariusze.

190. W odniesieniu do zewnętrznych dostawców usług działających w zewnętrznych środowiskach systemowych, który z poniższych elementów jest wymagany, gdy pozostałe trzy elementy nie są obecne, aby zapewnić wystarczającą pewność?,

a. Poziom zaufania
b. Kontrola kompensacyjna
c. Poziom kontroli
d. Łańcuch zaufania

190. b. W przypadku, gdy nie można ustanowić wystarczającego poziomu zaufania, poziomu kontroli lub łańcucha zaufania w systemie zewnętrznym i/lub przez zewnętrznego dostawcę usług na podstawie umowy o poziomie usług (SLA), organizacja wewnętrzna stosuje mechanizmy kontroli kompensacji lub akceptuje większe stopień ryzyka. Kontrole kompensacyjne obejmują kontrole zarządcze, operacyjne i techniczne zamiast zalecanych kontroli, które zapewniają równoważną lub porównywalną ochronę. Zewnętrzny usługodawca obsługujący i kontrolujący zewnętrzny system informacyjny może świadczyć usługę, z której korzysta organizacja wewnętrzna w relacji konsument-producent. Przykłady takich relacji obejmują przedsięwzięcia typu joint venture, partnerstwa, outsourcing, licencjonowanie i ustalenia dotyczące łańcucha dostaw.


191. Zalecenia dotyczące kontroli bezpieczeństwa wydane podczas procesu oceny ryzyka stanowią dane wejściowe dla których z poniższych?

a. Analiza wpływu
b. Ograniczenie ryzyka
c. Ocena ryzyka
d. Analiza kontrolna

191. b Analiza ryzyka, analiza wpływu i analiza kontroli są wykonywane przed zaleceniami kontroli bezpieczeństwa. Dlatego zalecenia dotyczące kontroli bezpieczeństwa są niezbędnym wkładem w proces ograniczania ryzyka.

192. Które z poniższych powinno odzwierciedlać wyniki procesu oceny ryzyka?

1. Zalecenia dotyczące kontroli
2. Ustalenia ryzyka
3. Plany działań i kamienie milowe
4. Plany bezpieczeństwa systemu

a. 1 i 2
b. 1 i 3
c. 2 i 4
d. 3 i 4

192. d. Organizacje powinny zapewnić, że wyniki oceny ryzyka są odpowiednio odzwierciedlone w planie działania systemu, kamieniach milowych i planach bezpieczeństwa systemu. Zalecenia kontrolne i określenia ryzyka są wykonywane przed udokumentowaniem wyników oceny ryzyka.

193. W jaki z poniższych sposobów stosuje się kategoryzację bezpieczeństwa systemu?

1. Aby określić minimalne podstawowe środki kontroli bezpieczeństwa
2. Aby pomóc w oszacowaniu poziomu pary zagrożenia i podatności
3. Zmniejszenie ryzyka szczątkowego do akceptowalnego poziomu
4. Aby powtórzyć cykl zarządzania ryzykiem w celu uzyskania lepszych wyników

a. 1 i 2
b. 1 i 3
c. 2 i 4
d. 3 i 4

193. a. Kategoryzacja zabezpieczeń jest stosowana na dwa sposoby: (i) w celu określenia, które podstawowe zabezpieczenia są wybrane oraz (ii) w celu pomocy w oszacowaniu poziomu ryzyka stwarzanego przez parę zagrożeń i podatności zidentyfikowanych na etapie oceny ryzyka. Pozycje 3 i 4 stanowią część etapu ograniczania ryzyka.

194. Z punktu widzenia ekonomii skali ocena, wdrażanie i monitorowanie działań wspólnych kontroli bezpieczeństwa nie są przeprowadzane na którym z poniższych poziomów?

a. Poziom organizacyjny
b. Indywidualny poziom systemu
c. Poziom wielu systemów
d. Poziom funkcjonalny

194. b. Wspólne zabezpieczenia nie przynoszą korzyści na poziomie pojedynczego systemu, ponieważ przynoszą korzyści wielu systemom i ma tu zastosowanie zasada ekonomii skali. Organizacje mogą wykorzystywać mechanizmy kontrolne stosowane w wielu systemach, wyznaczając je jako wspólne mechanizmy kontrolne, w przypadku których działania związane z oceną, wdrażaniem i monitorowaniem są przeprowadzane na poziomie organizacji lub według poziomu funkcjonalnego lub obszarów o określonej specjalizacji (np. zasobów ludzkich i bezpieczeństwa fizycznego).

195. Które z poniższych nie jest celem procesu ewaluacji i oceny zarządzania ryzykiem w celu zapewnienia, że system nadal działa w bezpieczny sposób?

a. Zaimplementuj silny program do zarządzania konfiguracją.
b. Na bieżąco monitoruj bezpieczeństwo systemu.
c. Wyeliminuj wszystkie potencjalne zagrożenia, luki i zagrożenia w systemie.
d. Śledź ustalenia z procesu oceny kontroli bezpieczeństwa.

195. c. Ponieważ eliminowanie wszystkich potencjalnych zagrożeń, słabych punktów i ryzyka dla systemu nie jest praktyczne ani opłacalne, kierownictwo powinno brać pod uwagę tylko możliwe zagrożenia, słabe punkty i ryzyka dla systemu, aby kierownictwo mogło lepiej przygotować system do działania w jego zamierzone środowisko bezpiecznie, bezpiecznie i skutecznie.

196. Które z poniższych stwierdzeń nie jest prawdziwe? Zarządzanie ryzykiem to proces, który umożliwia menedżerom bezpieczeństwa IT:

a. Zrównoważyć koszty operacyjne i ekonomiczne środków ochronnych
b. Osiągnij korzyści w zakresie niezbędnych funkcji bezpieczeństwa
c. Chroń systemy informatyczne i dane wspierające misję organizacji
d. Poproś o finansowanie, aby kompleksowo chronić wszystkie systemy, zasoby i dane

196. d. Większość organizacji ma napięty budżet na bezpieczeństwo IT; dlatego wydatki na bezpieczeństwo IT muszą być analizowane tak samo dokładnie, jak inne decyzje zarządcze. Nie jest mądrze chronić wszystkie systemy, zasoby i dane w sposób kompleksowy. Zarządzanie ryzykiem to proces, który pozwala menedżerom bezpieczeństwa IT zrównoważyć koszty operacyjne i ekonomiczne środków ochronnych w celu osiągnięcia niezbędnych funkcji bezpieczeństwa oraz ochrony systemów IT i danych wspierających misję organizacji.

197. Na którym z poniższych nie opiera się plan działania i dokument przedstawiający kamienie milowe wykorzystywane w procesie oceny bezpieczeństwa i autoryzacji?

a. Analiza wpływu na bezpieczeństwo
b. Ocena kontroli bezpieczeństwa
c. Analiza wpływu na biznes
d. Ciągłe działania monitorujące

197. c. Analiza wpływu na biznes (BIA) jest częścią procesu planowania ciągłości działania (BCP), a nie procesu oceny bezpieczeństwa i autoryzacji. Pozostałe trzy opcje są częścią procesu oceny bezpieczeństwa i autoryzacji. Dokument planu działania i kamieni milowych (POA & M) jest opracowywany w celu pokazania działań naprawczych w celu skorygowania słabości zauważonych podczas oceny kontroli bezpieczeństwa oraz wyników analizy wpływu na bezpieczeństwo w celu zmniejszenia słabości systemu. Dokument POA & M zawiera również ciągłe działania monitorujące.

198. Jeśli system informatyczny nie został jeszcze zaprojektowany, poszukiwanie luk w zabezpieczeniach nie powinno skupiać się na którym z poniższych?
a. Zasady bezpieczeństwa
b. Procedury bezpieczeństwa
c. Planowane zabezpieczenia
d. białe papiery

198. c. Planowane zabezpieczenia są opisane w dokumentacji projektowej zabezpieczeń, która pojawia się po zidentyfikowaniu podatności. Jeśli system informatyczny nie został jeszcze zaprojektowany, poszukiwanie podatności powinno koncentrować się na politykach bezpieczeństwa organizacji, procedurach bezpieczeństwa, definicjach wymagań systemowych oraz analizach produktów bezpieczeństwa dostawcy lub deweloperów (np. white papers).

199. Która z poniższych proaktywnych metod technicznych jest stosowana w celu uzupełnienia przeglądu kontroli bezpieczeństwa?

a. Narzędzie do skanowania informacji
b. Narzędzie do skanowania luk
c. Narzędzie do skanowania sieci
d. Narzędzie do testowania penetracji

199. d. Narzędzie do testów penetracyjnych może być wykorzystane w celu uzupełnienia przeglądu zabezpieczeń i zapewnienia, że różne aspekty systemu informatycznego są zabezpieczone. Testy penetracyjne są przeprowadzane po przeglądzie kontroli bezpieczeństwa, który obejmuje użycie zautomatyzowanego narzędzia do skanowania informacji, zautomatyzowanego narzędzia do skanowania podatności i zautomatyzowanego narzędzia do skanowania sieci oraz testowania i oceny bezpieczeństwa. Testy penetracyjne wykorzystują wyniki uzyskane z przeglądu kontroli bezpieczeństwa.
200. Kiedy pracownik organizacji korzysta z systemu wewnętrznego w celu połączenia się z systemem wymiany danych organizacji zewnętrznej, czy pracownik powinien przestrzegać którejśz poniższych uzgodnionych relacji zaufania?

1. Oświadczenia o konflikcie interesów
2. Zasady zachowania
3. Zasady sesji zdalnej
4. Zasady działania
a. 1 i 2
b. 2 i 3
c. 1, 3 i 4
d. 1, 2, 3 i 4

200.d. Pracownicy organizacji powinni być związani warunkami zgodnymi z wszelkimi uzgodnionymi relacjami zaufania między wewnętrznym właścicielem systemu a zewnętrznym właścicielem systemu. Warunki te obejmują zasady zachowania, zasady sesji zdalnej, zasady działania i podpisane oświadczenia o konflikcie interesów.


201. Której z poniższych kwestii nie dotyczy cel bezpieczeństwa lub zasada poufności?

a. Autentyczność
b. Wrażliwość
c. Tajność
d. Krytyczność

201. a. Uwierzytelnianie jest częścią celu lub zasady bezpieczeństwa integralności, podczas gdy pozostałe trzy opcje są częścią celu lub zasady poufności.

202. Które z poniższych nie jest celem bezpieczeństwa IT?

a. Poufność
b. Uczciwość
c. Zbiór
d. Dostępność

202. c. Agregacja to element wrażliwości, w którym dane są podsumowywane w celu zamaskowania szczegółów przedmiotu. Pozostałe trzy wybory są celem bezpieczeństwa IT.

203. Które z poniższych nie jest wynikiem zarządzania bezpieczeństwem informacji?

a. Dopasowanie strategiczne
b. Zasób informacyjny
c. Zarządzanie ryzykiem
d. Zarządzanie zasobami

203. b. Zasób informacyjny to zasób o znaczeniu krytycznym dla firmy, bez którego większość organizacji nie działałaby prawidłowo. Jest to czynnik umożliwiający biznes, a nie wynik. Pozostałe trzy opcje są przykładami wyników zarządzania bezpieczeństwem informacji.

204. Które z poniższych nie jest wkładem do strategii zarządzania ryzykiem i bezpieczeństwa informacji?

a. Strategia biznesowa
b. Wymagania bezpieczeństwa
c. Procesy biznesowe
d. Ocena ryzyka

204. b. Wymogi bezpieczeństwa są wynikiem działań związanych z zarządzaniem ryzykiem. Dane wejściowe do strategii zarządzania ryzykiem i bezpieczeństwa informacji obejmują strategię biznesową, procesy biznesowe, oceny ryzyka, analizę danych wejściowych biznesowych, zasoby informacyjne i wymogi regulacyjne.

205. Która z poniższych nie jest poprawną metodą wyrażania podstaw bezpieczeństwa informacji?

a. Normy techniczne
b. Standardy proceduralne
c. Standardy dostawcy
d. Standardy kadrowe

205. c. Bazy bezpieczeństwa informacji można wyrazić jako standardy techniczne, proceduralne i osobiste, ponieważ są one wewnętrzne w organizacji. Oprócz powyższych standardów, podstawa powinna uwzględniać przepisy prawa, regulacje, polityki, dyrektywy oraz misję organizacji/biznes/wymagania operacyjne, które mogą identyfikować wymagania dotyczące bezpieczeństwa. Dostawcy są zewnętrzni w stosunku do organizacji i trudno byłoby dostosować ich standardy do punktu odniesienia ze względu na wielu dostawców. Ponadto standardy dostawców mogą być nieprzewidywalne i niestabilne.

206. Jeśli chodzi o zarządzanie bezpieczeństwem informacji, które z poniższych nie ulega zmianie, w przeciwieństwie do innych?

a. Programy
b. Majątek
c. Misja
d. Praktyki

206. c. Podstawowa misja organizacji nie ulega zmianie, ponieważ jest to naczelna zasada, której należy przestrzegać przez cały czas. Jednak organizacja może zmienić swoje praktyki bezpieczeństwa i mechanizmy ochrony zasobów IT i programów komputerowych. Zmiany te muszą jednak mieścić się w granicach wymogów i wytycznych misji. Należy pamiętać, że zarządzanie bezpieczeństwem informacji musi być zgodne z zasadami ładu informatycznego i ładu korporacyjnego.

207. Jaki jest najważniejszy cel planowania bezpieczeństwa systemu?

a. Poprawa ochrony zasobów systemu informatycznego
b. Aby chronić bardzo wrażliwe systemy
c. Aby chronić wysoce krytyczne systemy
d. Skupić się na akredytowanych systemach

207. a. Najważniejszym celem planowania bezpieczeństwa systemu jest poprawa ochrony zasobów systemu informatycznego (np. systemów, programów, ludzi, danych i sprzętu). Wszystkie systemy informacyjne mają pewien poziom wrażliwości i krytyczności, a niektóre systemy mogą być akredytowane. Wrażliwe, krytyczne i akredytowane systemy są częścią zasobów systemu informatycznego i wymagają ochrony w ramach dobrych praktyk zarządzania.

208. Który z poniższych typów polityk ma zwykle szeroki zakres i funkcję?

a. Zasady programu
b. Zasady dotyczące konkretnego problemu
c. Zasady specyficzne dla systemu
d. Zasady sieciowe

208. a. Polityka programowa ma zwykle szeroki zakres, ponieważ nie wymaga dużych zmian w czasie, podczas gdy inne rodzaje polityk będą prawdopodobnie wymagać częstszych korekt w miarę zmian technologii.

209. Które z poniższych nie jest częścią umów o dostępie?

a. Umów o zakazie ujawniania
b. Umowy dotyczące zasad zachowania
c. Umowy o pracę
d. Umowy dotyczące konfliktu interesów

209. c. Umowy o pracę mają pierwszeństwo przed umowami o dostępie. Umowy dostępu obejmują nieujawnianie, dopuszczalne użytkowanie, zasady zachowania i konflikt interesów dla osób wymagających dostępu do informacji i zasobów systemu informacyjnego przed autoryzacją dostępu do takich zasobów.

210. Które z poniższych powiązań zapewnia koncentrację na wysokim poziomie?

a. Połącz wskaźniki bezpieczeństwa informacji z celami strategicznymi organizacji
b. Połącz wskaźniki bezpieczeństwa informacji z celami strategicznymi organizacji
c. Połącz działania związane z bezpieczeństwem informacji z planowaniem strategicznym na poziomie organizacji
d. Połącz wskaźniki bezpieczeństwa informacji z wydajnością programu bezpieczeństwa informacji

210. c. Metryki bezpieczeństwa informacji zapewniają koncentrację na niskim poziomie, podczas gdy działania związane z bezpieczeństwem, które są częścią programu bezpieczeństwa, zapewniają koncentrację na wysokim poziomie. Metryki bezpieczeństwa monitorują i mierzą wdrażanie i skuteczność kontroli bezpieczeństwa w kontekście programu bezpieczeństwa.


211. Który z poniższych wskaźników bezpieczeństwa IT koncentruje się na wdrożeniu?

a. Odsetek użytkowników systemu, którzy przeszli podstawowe szkolenie uświadamiające
b. Procent systemów operacyjnych, które zostały ukończone
certyfikacja i akredytacja po dużych zmianach
c. Odsetek nowych systemów, które przeszły certyfikację i akredytację przed wdrożeniem
d. Odsetek systemów pomyślnie rozwiązanych podczas testowania planu awaryjnego

211. a. Przykładem mierników wdrożeniowych jest "Odsetek użytkowników systemu, którzy przeszli podstawowe szkolenie uświadamiające". Pozostałe trzy wybory to przykłady mierników efektywności. Mierniki wdrożenia mierzą wyniki wdrożenia polityk bezpieczeństwa, procedur i kontroli (tj. pokazują postęp w wysiłkach wdrożeniowych). Mierniki skuteczności/wydajności mierzą wyniki dostarczania usług bezpieczeństwa (tj. monitorują wyniki wdrażania kontroli bezpieczeństwa).

212. Który z poniższych mierników bezpieczeństwa IT koncentruje się na wydajności?

a. Odsetek systemów pomyślnie testujących plan awaryjny w alternatywnym miejscu przetwarzania
b. Odsetek systemów wykorzystujących zautomatyzowane narzędzia do walidacji wydajności okresowej konserwacji
c. Odsetek osób poddanych kontroli przed uzyskaniem dostępu do informacji organizacyjnych i systemów informatycznych
d. Procent elementów systemu, które podlegają konserwacji zgodnie z harmonogramem

212. d. Przykładem mierników wydajności jest "Procent elementów systemu, które podlegają konserwacji zgodnie z harmonogramem". Pozostałe trzy opcje to przykłady metryk implementacji. Mierniki skuteczności/wydajności mierzą wyniki dostarczania usług bezpieczeństwa (tj. monitorują wyniki wdrażania kontroli bezpieczeństwa). Mierniki wdrożenia mierzą wyniki wdrożenia polityk bezpieczeństwa, procedur i kontroli (tj. pokazują postęp w wysiłkach wdrożeniowych).

213. Które z poniższych jest warunkiem wstępnym szkolenia w zakresie bezpieczeństwa IT?

a. Podstawy bezpieczeństwa
b. Świadomość
c. Znajomość bezpieczeństwa
d. Edukacja

213. b. Programy uświadamiające są warunkiem wstępnym szkolenia w zakresie bezpieczeństwa IT. Programy uświadamiające przygotowują grunt pod szkolenie poprzez zmianę postawy organizacyjnej w celu uświadomienia wagi bezpieczeństwa i negatywnych konsekwencji jego niepowodzenia.

214. Której z poniższych kwestii nie dotyczy cel bezpieczeństwa lub zasada integralności?

a. Precyzja
b. Prywatność
c. Niezaprzeczalność
d. Odpowiedzialność

214. b. Prywatność jest częścią celu lub zasady poufności, podczas gdy pozostałe trzy opcje są częścią celu lub zasady uczciwości. Ochrona prywatności to ustanowienie mechanizmów kontrolnych zapewniających bezpieczeństwo i poufność zapisów danych oraz ograniczanie dostępu do takich zapisów. Poufność to zachowanie autoryzowanych ograniczeń dostępu do informacji i ich ujawniania, w tym środków ochrony prywatności i informacji zastrzeżonych. Stąd prywatność i poufność są ze sobą powiązane. Integralność to właściwość polegająca na tym, że chronione i wrażliwe dane nie zostały zmodyfikowane lub usunięte w nieautoryzowany i niewykryty sposób. Dokładność to jakościowa ocena poprawności danych lub braku błędów (tj. dane wymagają integralności). Niezaprzeczalność to usługa, która służy do zapewnienia integralności i pochodzenia danych w taki sposób, że integralność i pochodzenie mogą być zweryfikowane i zweryfikowane przez stronę trzecią. Odpowiedzialność generuje wymagania dotyczące działań jednostki, które mają być przypisane jednoznacznie do tej osoby (tj. wspiera zapobieganie, wykrywanie, izolację błędów i niezaprzeczalność). Dlatego dokładność, rozliczalność i niezaprzeczalność wymagają, aby dane i informacje były integralne. Jeżeli dane, którymi zajmuje się dana osoba, nie są dokładne i jeśli dana osoba może odmówić wysłania lub otrzymania wiadomości, w jaki sposób ta osoba może zostać pociągnięta do odpowiedzialności za swoje działania? Należy zauważyć, że terminy integralność, dokładność, niezaprzeczalność i odpowiedzialność mają różne definicje i znaczenia w zależności od kontekstu użycia.

215. Która z poniższych odpowiedzi weryfikuje, czy pozostałe trzy zasady bezpieczeństwa zostały odpowiednio spełnione przez konkretną implementację?

a. Ubezpieczenie
b. Uczciwość
c. Poufność
d. Dostępność

215. a. Zapewnienie weryfikuje, czy zasady bezpieczeństwa, takie jak integralność, dostępność, poufność i odpowiedzialność zostały odpowiednio spełnione przez konkretną implementację.

216. Jeśli chodzi o zarządzanie bezpieczeństwem informacji, które z poniższych czynności powinny mieć miejsce w przypadku niezgodności?

a. Zmiana zasad
b. Zmiana procedur
c. Zmiana w praktykach
d. Oceny okresowe

216. d. Okresowe oceny i raporty z działań mogą być cennym sposobem identyfikacji obszarów niezgodności. Pozostałe trzy wybory mogą wynikać z ocen okresowych.

217. Które z poniższych elementów należy wziąć pod uwagę przy wyznaczaniu granic systemu i ustalaniu poziomu bazowego kontroli?

a. Poufność
b. Poziomy wpływu
c. Uczciwość
d. Dostępność

217. b. Poziomy wpływu (tj. niski, średni lub wysoki) muszą być brane pod uwagę przy wyznaczaniu granic systemu i przy wyborze początkowego zestawu kontroli bezpieczeństwa (tj. poziomu bazowego kontroli). Poufność, integralność i dostępność to cele bezpieczeństwa, dla których oceniany jest potencjalny wpływ.

218. Które z poniższych nie jest elementem jakości informacji?

a. Odtwarzalność
b. Pożytek
c. Uczciwość
d. Obiektywność

218. a. Jakość informacji to termin obejmujący integralność użyteczności i obiektywność. Odtwarzalność oznacza, że informacje mogą być w znacznym stopniu odtworzone, z zastrzeżeniem dopuszczalnego stopnia niedokładności.

219. Która z poniższych struktur zarządzania bezpieczeństwem informacji zapewnia tworzenie mechanizmów komunikacji międzyorganizacyjnej i wewnątrzorganizacyjnej przy ustanawianiu odpowiednich polityk, procedur i procesów związanych z zarządzaniem ryzykiem i strategiami bezpieczeństwa informacji?

a. Scentralizowane zarządzanie
b. Zdecentralizowane zarządzanie
c. Zarządzanie hybrydowe
d. Zarządzanie wirtualne

219. a. Model ładu bezpieczeństwa informacji powinien być zgodny z modelem ładu informatycznego i modelem ładu korporacyjnego. Scentralizowane podejście do zarządzania wymaga silnego, dobrze poinformowanego kierownictwa centralnego i zapewnia spójność w całej organizacji. Scentralizowane struktury zarządzania zapewniają również mniejszą autonomię organizacjom podrzędnym (sektorowym), które są częścią organizacji macierzystej. Aby osiągnąć scentralizowane zarządzanie, tworzone są mechanizmy komunikacji międzyorganizacyjnej i wewnątrzorganizacyjnej. Zarządzanie zdecentralizowane jest przeciwieństwem zarządzania scentralizowanego, zarządzanie hybrydowe jest kombinacją zarządzania scentralizowanego i zdecentralizowanego, a zarządzanie wirtualne nie istnieje i nie powinno istnieć.

220. Który z poniższych wyników zarządzania bezpieczeństwem informacji, będącym częścią zarządzania technologią informacyjną (IT), wiąże się z inwestycjami w zarządzanie ryzykiem?

a. Dopasowanie strategiczne
b. Procesy zarządzania ryzykiem
c. Zasoby zarządzania ryzykiem
d. Dostarczona wartość

220. d. Model ładu bezpieczeństwa informacji powinien być zgodny z modelem ładu informatycznego i modelem ładu korporacyjnego. Wartość dostarczona oznacza optymalizację inwestycji zarządzania ryzykiem w celu wsparcia celów organizacyjnych (tj. domaganie się wartości z inwestycji). Dopasowanie strategiczne oznacza, że decyzje dotyczące zarządzania ryzykiem podejmowane w funkcjach biznesowych powinny być spójne z celami i zadaniami organizacji. Procesy zarządzania ryzykiem określają, oceniają, reagują i monitorują ryzyko dla operacji i aktywów organizacyjnych, osób i innych organizacji. Zasoby zarządzania ryzykiem zajmują się efektywną i efektywną alokacją danych zasobów.

221. Które z poniższych struktur zarządzania bezpieczeństwem informacji ustanawiają odpowiednie polityki, procedury i procesy związane z zarządzaniem ryzykiem i strategiami bezpieczeństwa informacji kosztem spójności w całej organizacji?

a. Scentralizowane zarządzanie
b. Zdecentralizowane zarządzanie
c. Zarządzanie hybrydowe
d. Zarządzanie wirtualne

221. b. Model ładu bezpieczeństwa informacji powinien być zgodny z modelem ładu informatycznego i modelem ładu korporacyjnego. Podejście zdecentralizowane uwzględnia podległe (sektorowe) organizacje o rozbieżnych potrzebach biznesowych i środowiskach jednostek operacyjnych kosztem spójności w całej organizacji. Skuteczność tego podejścia znacznie zwiększa dzielenie się informacjami o ryzyku pomiędzy podległymi jednostkami, tak aby żaden podległy sektor nie był w stanie przenieść ryzyka na inny bez świadomej zgody tych ostatnich. Sektor dzieli się również informacjami dotyczącymi ryzyka z organizacją macierzystą w celu określenia jego wpływu na organizację jako całość. Zarządzanie scentralizowane jest przeciwieństwem zarządzania zdecentralizowanego, zarządzanie hybrydowe jest połączeniem zarządzania scentralizowanego i zdecentralizowanego, a zarządzanie wirtualne nie istnieje i nie powinno istnieć.

222. Które z poniższych nie jest przykładem specyficznego problemu polityki?

a. Korzystanie z nieautoryzowanego oprogramowania
b. Zasady bezpieczeństwa pracy
c. Nabycie oprogramowania
d. Praca z komputerem w domu

222. b. Operacyjne reguły bezpieczeństwa są częścią polityki bezpieczeństwa specyficznego dla systemu, podczas gdy pozostałe trzy opcje są częścią polityk specyficznych dla problemu.

223. Który z poniższych wskaźników bezpieczeństwa IT koncentruje się na skuteczności?

a. Średnia częstotliwość przeglądów i analiz zapisów audytu pod kątem nieodpowiednich działań
b. Procent incydentów bezpieczeństwa spowodowanych niewłaściwą konfiguracją kontroli dostępu
c. Procent ustaleń dziennika audytu zgłoszonych odpowiednim urzędnikom
d. Odsetek systemów wykorzystujących zautomatyzowane mechanizmy do przeprowadzania analiz i raportowania niewłaściwych działań

223. b. Przykładem mierników efektywności jest "Procent incydentów bezpieczeństwa spowodowanych niewłaściwie skonfigurowanymi kontrolami dostępu". Pozostałe trzy opcje dotyczą wydajności i wdrożenia metryki. Przejrzane zapisy audytu dotyczą metryk wydajności, podczas gdy ustalenia dziennika audytu i zautomatyzowane mechanizmy dotyczą metryk implementacji. Mierniki skuteczności lub wydajności mierzą wyniki dostarczania usług bezpieczeństwa (tj. monitorują wyniki wdrażania kontroli bezpieczeństwa). Mierniki wdrożenia mierzą wyniki wdrożenia polityk bezpieczeństwa, procedur i kontroli (tj. pokazują postęp w wysiłkach wdrożeniowych).

224. Który z poniższych wskaźników bezpieczeństwa IT koncentruje się na wpływie? a. Odsetek pracowników ochrony systemów informatycznych, którzy przeszli szkolenie w zakresie bezpieczeństwa

b. Procent systemów zgodnych z konfiguracją bazową
c. Suma kosztów każdego incydentu w okresie sprawozdawczym
d. Procent zmian w konfiguracji udokumentowanych w najnowszych konfiguracjach podstawowych

224. c. Przykładem mierników wpływu jest "Suma kosztów każdego incydentu w okresie sprawozdawczym". Pozostałe trzy opcje to przykłady metryk implementacji. Metryki wpływu mierzą wyniki działań i zdarzeń związanych z bezpieczeństwem na działalność lub misję (tj. zapewniają najbardziej bezpośredni wgląd w wartość zabezpieczeń dla firmy). Mierniki wdrożenia mierzą wyniki wdrożenia polityk bezpieczeństwa, procedur i kontroli (tj. pokazują postęp w wysiłkach wdrożeniowych).

225. Szkolenie z bezpieczeństwa IT zapewnia który z poniższych poziomów?

a. Dane
b. Informacja
c. Wiedza
d. Wgląd

225.c. Szkolenie w zakresie bezpieczeństwa IT zapewnia poziomy wiedzy, świadomość zapewnia poziomy danych i informacji, a edukacja zapewnia poziomy wglądu.





[ 1154 ]