Auditarea Si Corectata

auditarea SI
MULTIPLE CHOICE 1. Din definitia urmatoare a auditului lipsesc 4 grupuri de cuvinte.
Auditul este un proces sistematic de obtinere si evaluare obiectiva a referitoare la diferitelor actiuni economice si evenimente, pentru a certifica gradul in care acestea corespund unor, in vederea transmiterii acestei certificari catre . Pentru completarea spatiilor libere din definitia de mai sus a auditului se propun urmatoarele grupe de cuvinte: 1. dovezi; 2. criterii prestabilite; 3. declaratii, raportari si evaluari; 4. utilizatorii interesati. Mai jos sunt date 4 variante cu ordinea de utilizare in definitie a acestor grupe de cuvinte:
a. b. c. d.
1, 2, 3, 4. 1, 3, 2, 4. 3, 2, 1, 4. 3, 2, 4, 1. Indicati varianta corecta independent de acordurile gramaticale.
ANS: B 2. Despre auditul intern se poate spune ca are in principal urmatoarele obiective: a. Stimularea si promovarea eficientei si eficacitatii tuturor functiilor si aplicatiilor
entitatii.
b. Asigurarea oportunitatii raportarilor de orice natura, in special a celor
financiare.
c. Mentinerea conformitatii cu legile si normele de reglementare aplicabile.
Indicati varianta eronata.

ANS: B 3. Abordarea Top Down in imbunatatirea securitatii incepe cu: a. Precizarea nivelului de la care trebuie asigurata securitatea. b. Analiza regulilor de securitate/politicilor/practicilor curente in cadrul
organizatiei.
c. Definirea obiectivelor de securitate de baza legate de disponibilitate,
confidentialitate si integritate.
d. Analiza amenintarilor.
Indicati afirmatia eronata.

ANS: A 4. Pentru completarea spatiilor libere din definitia de mai jos a managementului securitatii
sistemului informatic se vor folosi urmatoarele grupe de cuvinte:
1 a managementului integrat; 2. efectelor riscurilor; 3. crearea instrumentelor;

4. analiza riscurilor si implementarea solutiilor .
Managementul securitatii sistemului informatic este acea componenta care urmareste necesare pentru destinate limitarii asupra sistemului informatic. Varianta cu ordinea de utilizare corecta in text a acestor grupe de cuvinte se afla printre cele de mai jos. In varianta grupurile de cuvinte sunt reprezentate de numarul lor de ordine de mai sus:
a. b. c. d.
1, 2, 3, 4. 1, 3, 2, 4. 3, 2,1, 4. 1, 3, 4, 2. Indicati varianta corecta
ANS: D 5. Managementul riscurilor impune printre altele si urmatoarele: a. b. c. d.
Auditul institutiilor publice. Testarea vulnerabilitatilor si accesului neautorizat. Monitorizare (detectarea accesului neautorizat, dispozitive de identificare etc) Instalarea si administrarea serviciilor de incredere. Identificati afirmatia eronata.
ANS: A 6. Pentru documentele din clasa 2 de importanta:
1. Trebuie sa existe functii pentru verificarea integritatii hardware si firmware. 2. Se verifica daca au fost testate cu succes mecanismele de securitate. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d.
Doar 1. Doar 2. Amandoua. Nici una. Alegeti varianta corecta
ANS: C 7. Sistemele informatice prezinta cateva particularitati ce trebuie avute in vedere in evaluarea
riscului: 1. Structura organizatorica 2. Natura specifica a procesarii datelor 3. Aspecte procedurale Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. Doar 1. b. Doar 2. c. Doar 3.
d. Toate trei. e. Nici una.
Alegeti varianta corecta

ANS: D 8. In vederea determinarii controalelor care trebuie implementate cu scopul limitarii producerii
riscurilor la care este expus sistemul sau pentru limitarea efectelor producerii riscurilor, primii patru pasi care se parcurg sunt urmatorii:
a. b. c. d.
Identificarea resurselor. Determinarea riscului (probabilitatii) pentru fiecare vulnerabilitate identificata. Estimarea expunerii sau a pierderii potentiale pentru fiecare amenintare. Identificarea setului de controale care trebuie implementate pentru fiecare amenintare. Indicati afirmatia incorecta.
ANS: A 9. Pentru auditarea controlului administrarii parolelor auditorul va analiza urmatoarele aspecte: a. Care sunt restrictiile privitoare la lungimea numelui utilizatorului? b. Se respecta unicitatea parolelor? Exista restrictii privitoare la posibilitatea de
a refolosi o anumita parola? In acest sens se va verifica daca exista un registru al parolelor care sa ofere un istoric al acestora. c. Existenta unor restrictii referitoare la durata de viata a parolelor. d. Cat de protejat este fisierul sistem continand parolele de acces? (Se procedeaza la criptarea acestor fisiere?). Indicati afirmatia eronata.
ANS: A 10. Cu ocazia auditarii controlului conturilor privilegiate auditorul trebuie sa verifice printre altele
si urmatoarele: 1. Unicitatea parolelor definite pentru conturile utilizatorilor privilegiati la nivelul serverelor. 2. Daca administratorii de retea se conecteaza la sistem prin conturi privilegiate sau dispun de conturi exclusive. 3. Nivelul de adecvare a drepturilor asociate conturilor privilegiate. 4. Derularea unui control periodic asupra drepturilor de acces atasate conturilor privilegiate. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
Doar 1 si 2 Doar 1, 2 si 3. Doar 1, 2 si 4. Toate Nici una. Alegeti varianta corecta.
ANS: D
11. Cand este vorba de controlul accesului la retea, auditorul ar trebui sa raspunda porintre altele,
la urmatoarle intrebari:
a. Cum se realizeaza autentificarea conectarilor de la distanta? b. In cazul retelelor mari, sunt ele organizate pe domenii distincte? c. In cazul retelelor partajate, mai ales daca acestea se extind in afara organizatiei, ce
controale sunt implementate pentru a se verifica daca utilizatorii pot accesa toate portiunile de retea? Indicati afirmatia eronata.
ANS: C 12. Urmarirea cauzelor care au permis producerea atacului si a modului in care au fost ele
remediate presupune :
a. b. c. d. e.
Verificarea masurii in care toate serviciile au fost restaurate. Limitarea efectului deficientei care a permis producerea incidentului. Daca este necesara revederea procedurii de raspuns la incidente. Daca sunt necesare schimbari in configurarea firewall-ului. Daca este necesara realizarea unor proceduri legale sau de asigurare (unele riscuri pot fi subiectul unor asigurari la firmele specializate). Indicati afirmatia eronata.
ANS: B 13. Planurile prevazute a fi elaborate de institututie referitor la activitatea ce se va desfasura in caz
de atac, pana la revenirea activitatii la o desfasurare normala, trebuie sa prevada referitor la software backup urmatoarele: 1. Realizarea de copii ale sistemului de operare si ale aplicatiilor (se realizeaza in masura in care licenta permite acest lucru). 2. Copiile trebuie pastrate in loc sigur (chiar alte locatii decat sediul firmei). Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d.
Doar 1. Doar 2. Amandoua. Nici una. Alegeti varianta corecta.
ANS: C 14. Despre validarea intrarilor de date se poate spune ca: a. Se poate realiza numai automat. b. Controalele de validare trebuie sa asigure indeplinirea criteriilor de validare
prestabilite a datelor.
c. Reduce riscul introducerii de date incorecte.

ANS: A
15. Auditul intern trebuie sa aiba in vedere ca riscurile introduse de TI ar putea afecta: a. Confidentialitatea datelor: protectia impotriva dezvaluirii neautorizate b. Integritatea datelor: folosirea unor informatii precise, corecte, completate de c.
factorul decizional Disponibilitatea datelor: existenta datelor necesare. Indicati varianta incompleta.
ANS: C 16. Despre definitia auditului financiar si rolul controlului intern in cadrul auditului
financiar se poate spune ca: 1. Auditul financiar consta in activitatea desfasurata de auditori independenti avand drept obiectiv exprimarea unei opinii, potrivit careia situatiile financiare au fost intocmite, sub toate aspectele semnificative, in conformitate cu interesele nationale. 2. Auditorul financiar se bazeaza in planificarea activitatii si obtinerea probelor de audit pe calitatea controlului intern existent la entitatea auditata. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d.
Doar 1. Doar 2. Nici una. Amandoua. Alegeti varianta corecta.
ANS: B 17. Printre principalele categorii de amenintari se numara si urmatoarele: a. b. c. d.
Amenintari avand caracter aleatoriu. Amenintari legate de identificare/autorizare Amenintari privind credibilitatea serviciilor Amenintari secrete. Indicati afirmatia eronata.
ANS: A 18. Obiectivele de securitate pot fi sintetizate astfel:
1. Informatia sa fie disponibila si utilizabila atunci cand este solicitata si sistemele care ofera respectiva informatie sa prezinte mecanisme adecvate de protectie la atacuri si de identificare a efectelor atacurilor (disponibilitate). 2. Informatia sa fie accesibila tuturor utilizatorilor (confidentialitate) 3. Informatia este protejata impotriva modificarilor neautorizate (integritate) 4. Tranzactiile ca si informatia transferata in mod electronic intre partenerii de afaceri sa fie nealterata (autenticitate si nonrepudiere). Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. Doar 1 si 2. b. Doar 2 si 3. c. Doar 2, 3 si 4.
d. Doar 3 si 4 e. Nici una.
Alegeti varianta corecta.

ANS: D 19. Managementul riscurilor impune printre altele si urmatoarele: a. b. c. d.
Analize de risc (vulnerabilitati) Politici de securitate Schema de securitate TI Auditul institutiilor publice. Identificati afirmatia eronata.
ANS: D 20. Despre documentele din clasa 3 de importanta se poate spune ca: a. Sunt confidentiale in cadrul organizatiei si protejate fata de accesul extern. b. Incepand de la acest nivel integritatea datelor este vitala. c. Afectarea confidentialitatii acestor date ca urmare a unui acces neautorizat poate
afecta eficienta operationala a organizatiei, poate genera pierderi financiare si oferi un avantaj competitorilor, dar la acest nivel afectarea confidentialitatii datelor inca nu cauzeaza scaderea increderii clientilor. Indicati afirmatia eronata.
ANS: C 21. Matricea de analiza a riscurilor este folosita in parcurgerea pasilor urmatori:
1. Identificarea evenimentelor nedorite si a angajatilor afectati de sistem, ca raspuns la criteriile din patratelele hasurate. 2. Managerul responsabil cu securitatea va chestiona fiecare angajat identificat ca fiind afectat de posibile riscuri, cu privire la riscurile asociate fiecarei coloane din matrice. 3. Determinarea controalelor care privesc fiecare problema de securitate. 4. Asignarea responsabilitatilor de implementare a masurilor de securitate. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
Doar 1 si 2 Doar 1, 2 si 3. Doar 1, 3 si 4. Toate. Nici una. Alegeti varianta corecta.
ANS: C 22. Riscurile sistemului informatic sunt urmare a: a. Vulnerabilitatilor sistemului b. Complexitatii procesului de productie. c. Ciclului de viata a sistemului
d. Nivelului de incredere oferit de controlul intern, nivelul de pregatire a
personalului, calitatea managementului, climatul de munca existent.

e. Calitatii documentatiei existente.
Indicati afirmatia incorecta.

ANS: B 23. Printre recomandarile facute de Green Book - Password Management Guideline se afla si
urmatoarele:
a. Nu este admisa utilizarea parolelor implicite. b. Parolele pot sa nu fie vizibile in momentul tastarii. c. Se recomanda ca parolele sa fie astfel alese incat sa fie usor de tastat de catre
utilizator astfel incat un observator sa nu poata vedea parola in momentul introducerii de la tastatura. d. Nu este permisa divulgarea parolelor intre utilizatori (spre exemplu de multe ori un utilizator lasa colegului de birou, care ii preia sarcinile in perioada zilelor de concediu, propria parola). Indicati afirmatia eronata.
ANS: B 24. Cand este vorba de controlul accesului la retea, auditorul ar trebui sa raspunda printre altele, la
urmatoarle intrebari:
a. Sunt protejate transmisiile in retea? Cum se realizeaza aceasta protectie. b. In ce masura disponibilitatea facilitatilor dial-up este este asigurata pe tot timpul. c. Ce controale se folosesc pentru diagnosticul porturilor.

ANS: B 25. Cand misiunea de audit impune verificarea modului in care se realizeaza controlul
conexiunilor externe la retea, auditorul va trebui sa gaseasca raspunsuri, printre altele, si la urmatoarele intrebari 1. Conexiunile externe sunt folosite pentru scopuri valide impuse de activitatea din cadrul organizatiei? 2. Exista controale care sa previna realizarea unor conexiuni care ar putea submina securitatea sistemului? 3. Ce controale exista pentru a preveni navigarea neproductiva pe Internet a personalului in afara sarcinilor de serviciu? Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
Doar 1. Doar 2. Doar 1 si 3. Toate trei. Nici una. Alegeti varianta corecta.
ANS: D
26. Tipuri de firewall: a. Firewall la nivel de retea. Folosesc routere la nivelul caruia sunt definite regulile
privind cine si ce are voie sa acceseze in reteaua privata. Aceasta tehnica se realizeaza prin filtrarea de pachete. b. Firewall pentru hard disk. c. Servere proxy. d. Porti la nivel circuit: proxy local functionand ca un filtru de pachet. Indicati afirmatia eronata.
ANS: B 27. In cadrul organizatiei trebuie sa existe o politica de backup pentru fiecare sistem sau grup de
sisteme care trebuie sa cuprinda:

a. Cand si cum (partial sau total) se realizeaza copiile, unde se pastreaza aceste copii
si pentru cat timp?

b. Frecventa realizarii copiilor si cine este responsabil pentru verificarea
corectitudinii lor? c. In mod distinct, o descriere detaliata a modului de salvare a sistemului de operare. d. Cum se realizeaza evidenta copiilor in arhiva si cum pot fi recuperate copiile din arhiva (persoane autorizate sa depuna/ridice copii, inregistrarea datei depunerii/ridicarii copiilor, data returnarii copiilor la arhiva si persoana care a facut reidicarea/returnarea copiilor etc). Indicati afirmatia fara legatura cu intrebarea.
ANS: C 28. Tipurile de controale aplicate asupra datelor de intrare sunt urmatoarele : a. b. c. d.
Controlul formularului. Controlul domeniului de definitie a atributelor. Controlul acuratetei aritmetice. Controlul existentei datelor. Indicati afirmatia eronata.
ANS: A 29. Printre riscurile generate de tehnologia informationala se afla si:
1. Dependenta de capacitatile de functionare ale echipamentelor si programelor informatice; 2. Reducerea implicarii factorului uman; 3. Absenta autorizarii traditionale; 4. Lipsa dovezilor tranzactiilor. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d.
Doar 1 si 2. Doar 2 si 3 Doar 2 si 4. Toate
e. Nici una.
Alegeti varianta corecta.

ANS: D 30. Cate faze generale se disting in cadrul activitatii de audit a sistemelor informatice?
Indicati varianta corecta. a. 8. b. 5. c. 7. d. 6.

ANS: C 31. Printre principalele categorii de amenintari se numara si urmatoarele: a. b. c. d.
Amenintari ale integritatii/acuratetei. Amenintari privind siguranta accesului. Amenintari de natura repudierii Amenintari legale. Indicati afirmatia eronata.
ANS: B 32. Despre analiza riscurilor se poate spune ca:
1. Este un proces de evaluare a vulnerabilitatilor sistemului si a amenintarilor la care acesta este expus. 2. Procesul de analiza identifica consecintele probabile ale riscurilor, asociate cu vulnerabilitatile. 3. Ofera bazele intocmirii unui plan de securitate care sa raspunda unui raport corespunzator eficienta-cost. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
Doar 1 Doar 2. Doar 3. Toate trei. Nici una. Alegeti varianta corecta.
ANS: D 33. Printre pasii de parcurs in cadrul procesului de analiza a riscurilor se afla si urmatorii: a. Stabilirea politicii generale de securitate a sistemului informational. Politica
generala de securitate va cuprinde reguli, norme, obligatii si responsabilitati aplicabile tuturor categoriilor de informatii, procese de prelucrare si angajati din cadrul organizatiei. b. Reproiectarea sistemului. c. Managementul evenimentelor.

ANS: B 34. Pentru clasa 3 de securitate protejarea accesului controlat presupune recomandarile precizate
pentru clasa 2 de senzitivitate la care se adauga:

a. Manualul caracteristicilor de securitate, identificarea si autorizarea (nu se admite
definirea de conturi la nivel de grup), calitatea controlului accesului (controlul atribuirii de privilegii) si testarea securitatii. b. Responsabilitatea utilizatorului: utilizatorii au responsabilitatea actiunilor lor. De aceea trebuie sa existe posibilitatea de audit trail impreuna cu functii de monitorizare si alerta. Jurnalele de audit (audit logs) trebuie sa fie protejate. c. Reutilizarea obiectelor: Este de dorit ca obiectele folosite de o persoana sa fie reinitializate inainte de a fi utilizate de o alta persoana. Indicati afirmatia eronata.
ANS: C 35. Printre riscurile ce pot fi identificate in urma evaluarii unui sistem informatic se pot afla si
1. Riscul asociat accesului fizic. 2. Riscul asociat retelei de comunicatii. 3. Riscul vechimii organizatiei. 4. Riscul functiilor sistemului. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
Doar 1 si 2. Doar 1, 2 si 3. Doar 1, 2 si 4. Toate Nici una. Alegeti varianta corecta.
ANS: C 36. Minimizarea riscurilor se poate realiza pe urmatoarele cai: a. b. c. d. e.
Dezvoltarea si modificarea sistemului informatic. Pregatirea personalului pentru reducerea riscului. Mentinerea securitatii fizice. Controlul accesului la date, hardware si retele. Controlul tranzactiilor Indicati afirmatia eronata.
ANS: A 37. Printre recomandarile facute de Green Book - Password management Guideline se afla si
urmatoarele:
a. Se recomanda ca administratorul sa nu partajeze propria parola cu alti utilizatori. b. Utilizatorii trebuie instruiti asupra modului de alegere a parolei si constientizati
asupra pericolului spargerii parolelor c. Utilizatorii nu pot avea acces la fisierele care stocheaza parolele. d. Un utilizator poate schimba parola altui utilizator. Indicati afirmatia eronata.
ANS: D 38. Cand misiunea de audit impune verificarea modului in care se realizeaza controlul
conexiunilor externe la retea, auditorul va trebui sa gaseasca raspunsuri, printre altele, si la urmatoarele intrebari: 1. Cat de bine este protejat gateway-ul dintre Internet si mediul firmei? 2. Ce controale exista pentru a preveni accesarea unor site-uri inadacvate? 3. Cat de bine sunt protejate conexiunile externe ale retelei pentru folosirea EDI si EFT (Electronic Data Interchange si Electronic Found Transfer) ? Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
ANS: D 39. Despre firewall se poate spune ca: a. Un firewall controleaza legaturile dintre calculatoarele retelei private a
organizatiei.
b. Un firewall este realizat, de obicei, printr-o combinatie de software si hardware. c. Firewall-ul reprezinta implementarea politicii de securitate in termeni de
configurare a retelei. Indicati afirmatia eronata.

ANS: A 40. Pentru ca politica de securitate sa fie functionala si eficienta trebuie dezvoltate metode de
monitorizare a utilizarii calculatoarelor si a retelei precum si proceduri specifice aplicabile in momentul depistarii unor tentative de infiltrare in retea. Firewall-urile pot fi configurate sa declanseze alarme sonore atunci cand sunt sesizate actiuni suspecte si de asemenea genereaza fisiere jurnal continand informatii pretioase legate de traficul dinspre/spre retea. Referitor la aceste posibilitati ale firewall-ului auditorul va urmari:
a. Masura in care configurarea firewall-ului este corecta si eficienta b. Daca firewall-ul genereaza jurnale cu informatii legate de traficul dinspre/spre
retea.
c. Frecventa analizei acestor jurnale d. Masurile luate in cazul actiunilor suspecte semnalate de firewall, rapiditatea
acestor masuri. Indicati afirmatia eronata.
ANS: B 41. In cadrul organizatiei trebuie sa existe o politica de restore care trebuie sa cuprinda: a. Persoana responsabila cu verificarea corectei operari. b. O descriere detaliata a modului de restaurare a datelor pentru toate aplicatiile. c. In mod distinct, o descriere detaliata a modului de restaurare a sistemului de
operare.
d. Obligativitatea testarii zilnice a politicii de restore.

ANS: D 42. Testul cifrei de control se aplica asupra datelor de intrare reprezentand elemente codificate si
urmareste rejectarea codurilor eronate introduse. Cauza erorii la nivelul elementelor codificate poate fi:
a. b. c. d.
Trunchierea Adaugarea unui caracter suplimentar Transcrierea incorecta a codului in documentul primar Scrirea codului cu majuscule in loc de cifre sau litere mici.. Indicati afirmatia eronata.
ANS: D 43. Din definitia urmatoare a auditului sistemelor informatice lipsesc 4 grupuri de cuvinte.
Auditul sistemelor informatice este activitatea prin care auditorul in urma unor probe specifice de audit, isi exprima , asupra modului in care sistemul informatic permite strategice ale entitatii in conditiile a tuturor resurselor informatice. Pentru completarea spatiilor libere din definitia de mai jos a auditului se propun urmatoarele grupe de cuvinte 1. Colectare si evaluare. 2. Atingere obiective. 3. Opinie. 4. Utilizare eficienta.
a. b. c. d.
1, 2, 3, 4. 1, 3, 2, 4. 3, 2, 1, 4. 3, 2 ,4, 1. Indicati varianta corecta independent de acordurile gramaticale.
ANS: B 44. Securitatea tehnologiilor informatice (TI) presupune: a. b. c. d.
Confidentialitate. Integritate. Vigilenta. Conformitate cu legislatia.

ANS: C 45. Printre sarcinile ce revin managementului la varf privitor la securitatea sistemului informatic
se afla si urmatoarele:
a. Sa fie informat despre securitatea informatiei stocate si procesate in cadrul
sistemului
b. Sa stabileasa directia strategiei si politicii in domeniul securitatii IT si sa
defineasca un profil de risc asumat Identificarea resurselor necesare efortului de realizare a sistemului de securitate stabilit prin politicile elaborate. d. Asignarea responsabilitatilor la nivelul conducerii. Indicati afirmatia incorecta.
c. ANS: C 46. Printre pasii de parcurs in cadrul procesului de analiza a riscurilor se afla si urmatorii: a. Managementul societatii sau institutiei. b. Definirea arhitecturii de securitate care raspunde cel mai bine cerintelor
organizatiei. c. Control si feed-back. Indicati afirmatia eronata.

ANS: A 47. Printre altele politica de securitate se refera la:
1. Definirea resurselor si serviciilor accesibile utilizatorilor. 2. Controlul accesului. 3. Politici si metode pentru identificarea si autentificarea locala si la distanta a utilizatorilor 4. Utilizarea metodelor si dispozitivelor de criptare pentru a mari viteza de transmisie a datelor. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
Doar 1 si 2. Doar 2 si 3. Doar 1, 2 si 3. Doar 3 si 4. Nici una. Alegeti varianta corecta.
ANS: C 48. Auditul sistemului de securitate reprezinta un demers deosebit de complex care:
1. Porneste de la evaluarea politicii si planului de dezvoltare. 2. Continua cu analiza arhitecturii de securitate, arhitecturii retelei, configuratiilor hard si soft, teste de penetrare etc.
Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate

a. b. c. d.
ANS: B 49. Printre riscurile ce pot fi identificate in urma evaluarii unui sistem informatic se pot afla si
1. Riscul asociat personalului 2. Riscul asociat personalului de specialitate 3. Riscul asociat managerilor 4. Riscul asociat ciclului de dezvoltare. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
Doar 1 si 2. Doar 1, 2 si 3. Doar 1, 2 si 4. Toate. Nici una. Alegeti varianta corecta.
ANS: B 50. Controlul accesului presupune printre altele: a. b. c. d.
Controlul administrarii conturilor utilizator. Monitorizarea crearii conturilor utilizatorilor. Controlul administrarii parolelor. Controlul configurarii profilelor pentru utilizatori sau grupuri de utilizatori. Indicati afirmatia eronata.
ANS: B 51. Cu ocazia auditarii controlului configurarii profilelor pentru utilizatori sau grupuri de
utilizatori auditorul va verifica: . a. Masura in care drepturile de acces acordate utilizatorilor corespund intereselor acestora. b. Masura in care are loc reevaluarea periodica a drepturilor de acces ale utilizatorilor. c. Masura in care departamentul de resurse umane transmite informatii privind: transferurile de personal in cadrul companiei, modificarile responsabilitatilor in cadrul posturilor, plecari de angajati din firma. Sunt dezactivate sau chiar sterse in timp util conturile angajatilor care au parasit firma? Indicati afirmatia eronata.
ANS: A
52. Pentru ca un firewall sa poata fi implementat in mod eficient politica de securitate trebuie sa
identifice si sa stabileasca:
a. Responsabilitatile utilizatorilor din punctul de vedere al securitatii si modului de
acces la retea.
b. Metodele de autentificare a utilizatorilor interni sau aflati la distanta. c. Mecanismele de criptare a datelor memorate sau transmise prin retea. d. Masurile de identificare a virusilor care ar putea intra in sistem.

ANS: D 53. Profitand de faptul ca un firewall este dispus intre doua retele, el mai poate fi folosit si in alte
scopuri decat acela de control al accesului si anume: 1. Pentru a monitoriza comunicatiile dintre retea si inregistrarea tuturor comunicatiilor dintre o retea interna si o retea externa. De exemplu, un firewall poate monitoriza, inregistra serviciile folosite si cantitatea de date transferata prin conexiuni TCP/IP intre propria retea si lumea exterioara; 2. Un firewall poate fi folosit pentru interceptarea si inregistrarea tuturor comunicatiilor dintre reteaua interna si exterior; 3. Daca o organizatie are mai multe retele, separate din punct de vedere geografic, fiecare avand cate un firewall, exista posibilitatea programarii acestor firewalluri pentru a cripta automat continutul pachetelor transmise intre ele. In acest fel, prin suportul Internet, organizatia isi poate realiza propria retea virtuala privata. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
ANS: D 54. Despre posibilitatile unui firewall de a lupta impotriva virusilor si a altor categorii de
programe de ofensiva se poate spune ca:

a. Sistemele firewall pot oferi o protectie sigura impotriva virusilor si a altor categorii
de programe de ofensiva.
b. Ecranarea realizata prin firewall nu este suficienta, de aceea se recomanda c.
utilizarea unui soft de scanare a virusilor pe toate calculatoarele din retea. Auditorul va urmari masura in care s-a prevazut utilizarea de firewall pentru filtrarea intrarilor dinspre Internet si utilizarea de programe antivirus, actualizate permanent si executate regulat. Indicati afirmatia eronata.
ANS: A 55. Auditul aplicatiei presupune printre altele si urmatoarele:
a. Controlul conceperii aplicatiei. b. Controlul acuratetei, integritatii si completitudinii intrarilor, prelucrarilor si
iesirilor aplicatiei.
c. Controlul integrarii datelor. d. Controlul functionalitatii calculatorului.

ANS: D 56. In cadrul verificarii modului cum sunt solutionte tranzactiilor refuzate de sistem
auditorul va trebui sa verifice:

a. Cum se solutioneaza tranzactiile acceptate de sistem (care au trecut testul de
validare).
b. Cine raspunde de verificarea acestor date de intrare si de reintroducerea lor. c. Daca sunt generate liste continand intrarile rejectate.

ANS: A 57. Din enumerarea de mai jos marcata cu linioare, lipsesc 5 grupuri de cuvinte. Principalele categorii de activitati care se desfasoara in cadrul auditarii sistemelor informatice se refera la verificarea:
- sistemului informatic - si a modului de desfasurare a activitatilor sistemului informatic - si in special al procedurilor de control automat, al validarilor, al prelucrarilor datelor si distributiei rezultatelor - de calculatoare - drepturi de acces, firewall, antivirus, etc. - de recuperare in caz de dezastre. Pentru completarea spatiilor libere din enumerarea de mai sus se propun urmatoarele grupe de cuvinte: 1. Managementului 2. Securitatii retelelor 3. Aplicatiilor informatice 4. Securitatii fizice 5. Planurilor si procedurilor Mai jos sunt date 4 variante cu ordinea de utilizare in enumerare a acestor grupe de cuvinte: Indicati varianta corecta a. 1, 4, 3, 2, 5. b. 1, 3, 2, 4, 5. c. 3, 2, 5, 1, 4. d. 5, 3, 2 ,4, 1.
ANS: A 58. Printre intrebarile cheie prin care se poate obtine o prima imagine privind securitatea sistemului informatic al unei companii se afla si urmatoarele: a. Este software-ul organizatiei certificat de o institutie specializata? Este configurat
si instalat sigur? Se realizeaza periodic misiuni de audit ale sistemului?

b. Sunt parolele sigure (se verifica daca sunt: usor de ghicit, schimbate periodic, se
folosesc parole temporare sau implicite)? Pot angajatii sa vada parolele in momentul tastarii? Se blocheaza automat ecranele dupa 2 ore de inactivitate? c. Sunt incriptate cele mai importante date stocate in sistem? d. Cat de accesibil este echipamentul? PC-urile si serverele sunt plasate in apropierea zonelor de acces public? Indicati intrebarea ce contine o eroare (celelalte sunt bine formulate).
ANS: B 59. Printre sarcinile ce revin managementului la varf privitor la securitatea sistemului informatic
a. b. c. d.
Stabilirea prioritatilor. Sustinerea schimbarilor. Definirea valorilor culturale legate de constientizarea riscurilor. Contactarea auditorilor interni si externi. Indicati afirmatia incorecta.
ANS: D 60. Politica de securitate presupune printre altele si elaborarea: a. b. c. d.
Structurilor de securitate. Planului de actvitate a societatii sau institutiei. Directivelor si normelor de securitate in cadrul sistemului. Clasificarii informatiilor. Indicati afirmatia eronata.
ANS: B 61. Printre altele politica de securitate se refera la:
1. Auditul sistemului informational. 2. Protectia 3. Manualele de securitate 4 Educatie si certificare. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
Doar 1 si 2 Doar 2 si 3 Doar 2, 3 si 4 Doar 3 si 4 Nici una. Alegeti varianta corecta
ANS: C 62. Auditul securitatii sistemului informatic realizeaza o evaluare obiectiva care va indica: a. Riscurile la care sunt expuse valorile organizatiei (hard, soft, informatii etc). b. Expunerea organizatiei in cazul in care sunt luate masurile necesare limitarii
riscurilor identificate.
c.
Eficienta si eficacitatea sistemului de securitate pe ansamblu si eficacitatea pe fiecare componenta a sa. Indicati afirmatia incorecta.
ANS: B 63. Printre pierderile cauzate de riscurile prezentate de un sistem informatic se pot numara si:
1. Fraude produse prin intermediul sistemului. 2. Divulgarea neautorizata a informatiilor. 3. Furtul de echipamente si informatii. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
ANS: D 64. Controlul accesului presupune printre altele: a. Controlul conturilor privilegiate. b. Controlul legaturii la retea. c. Controlul procesului de pornire a sistemului. d. Controlul accesului de la distanta.

ANS: B 65. Cu ocazia auditarii controlului configurarii profilelor pentru utilizatori sau grupuri de
utilizatori auditorul va verifica:

a. Cine este raspunzator de controlul asupra autorizarii si masura in care
managementul verifica periodic executarea acestor controale.

b. Ce verificari periodice se desfasoara pentru identificarea conturilor inactive si
minimizarea riscului accesului neautorizat prin aceste conturi.

c. Care este intervalul de timp ales pentru a salva fisierul cu conturi.

ANS: C 66. Politica de securitate pe segmentul firewall se realizeaza printre altele si pe urmatoarele
coordonate:
a. b. c. d.
Siguranta. Identificare si stocare. Responsabilitate si audit. Controlul accesului. Indicati afirmatia eronata.
ANS: B 67. In vederea protejarii fata de atacul cu virusi se recomanda luarea urmatoarelor masuri: a. Informarea utilizatorilor cu privire la pericolul si modul de propagare al virusilor b. Instalarea pe toate caculatoarele din retea de programe antivirus, actualizarea
acestora facandu-se la cel putin anual. c. Trebuie sa existe programe pentru detectarea macro virusilor rezidenti in memorie. d. In cazul detectarii unui virus se va proceda la deconectarea din retea a calculatorului respectiv si anuntarea departamentului IT din organizatie. Indicati afirmatia eronata.
ANS: B 68. Despre criptare se poate spune ca:
1. Utilizarea unor algoritmi pentru criptarea (cifrarea) informatiilor transmise reprezinta astazi singurul mijloc de rezolvare a problemelor privitoare la deconspirarea informatiilor transmise in retele. 2. Prin criptare, mesajele vor fi transformate, pe baza unei chei de criptare, astfel incat sa poata fi intelese doar de destinatar. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d.
Doar 1 Doar 2 Amandoua Nici una. Alegeti varianta corecta.
ANS: B 69. Auditul aplicatiei presupune printre altele si urmatoarele: a. b. c. d.
Controlul fiabilitatii sistemului de calcul. Controlul securitatii. Controlul perenitatii. Controlul exploatarii. Indicati afirmatia eronata.
ANS: A 70. a. b. c. d.
In derularea procedurilor de control al prelucrarilor auditorul va trebui sa tina seama de: Tipologia sistemului informatic. Modalitatile de introducere a datelor in sistem si procesarea acestora. Vechimea sistemului informatic. Nivelul de descentralizare a prelucrarilor. Indicati afirmatia eronata.
ANS: C 71. In fundamentarea planului sau de audit si in precizarea procedurilor de audit cele mai adecvate conditiilor concrete de desfasurare a auditului, auditul financiar va utiliza: 1. Toate activitatile desfasurate de auditorul sistemului informatic
2. Raportul auditorului sistemului informatic asupra eficientei, calitatii si sigurantei in exploatare a sistemului informatic. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate:
a. b. c. d.
ANS: C 72. Printre punctele cheie legate de controlul securitatii a putea fi si urmatoarele: a. Politica de securitate redactata. b. Alocarea responsabilitatilor privind securitatea. c. Educarea si pregatirea utilizatorilor in problema colaborarii intre colective de
proiectare.
d. Raportarea incidentelor de securitate.

ANS: C 73. Printre sarcinile ce revin managementului executiv privitor la securitatea sistemului informatic
a. Scrierea politicii de securitate. b. Asigurarea ca rolurile individuale, responsabilitatile si autoritatile
sunt clar comunicate si intelese.

c. Identificarea amenintarilor si vulnerabilitatilor si a practicilor aplicabile. d. Punerea la punct a infrastructurii de comunicatie.

ANS: D 74. Pentru a defini resursele si serviciile accesibile utilizatorilor se stabilesc printre altele si
urmatorele elemente:
a. Serviciile care pot fi accesibile utilizatorilor interni (ex.: e-mail, htp, www) b. Eventualele restrictii impuse in utilizarea acestor servicii. c. Utilizatorii care nu au dreptul sa acceseze Internet-ul.
Indicati afirmatia eronata

ANS: C 75. Printre principiile care pot fi folosite in clasificarea datelor se afla si urmatoarele:
1. Valoarea informatiei pentru companie; 2. Valoarea informatiei pe piata; 3. Costul informatiei respective; 4. Costul reluarii transmiterii unei informatii distruse; Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
Doar 1, 2 si 3 Doar 2 si 3 Doar 2, 3 si 4. Doar 3 si 4 Nici una. Alegeti varianta corecta.
ANS: A 76. Despre securitatea sistemelor informatice se poate spune ca:
1. Este realizata prin controale logice de acces. 2. Aceste controale asigura accesul tuturor utilizatorilor la sisteme, programe si date. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d.
ANS: A 77. Printre pierderile cauzate de riscurile prezentate de un sistem informatic se pot numara si:
1. Distrugerea fizica a echipamentelor. 2. Distrugerea unor fisiere continand date. 3 Intreruperile de curent etc. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
ANS: C 78. Atacurile de nivel 2 si 3 sunt posibile datorita:
1. Configurarii gresite realizate de administratorul retelei. 2. Vulnerabilitati interne software-ului. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d.
Doar 1. Doar 2. Amandoua. Nici una.
ANS: C
79. Cu ocazia auditarii controlului conturilor privilegiate auditorul trebuie sa verifice printre altele
si urmatoarele:
a. Cum sunt folosite jurnalele conturilor administratorilor de sistem si ale conturilor
privilegiate.
b. Daca nu se schimba prea des parolele administratorilor de sistem. c. Cum este solutionata problema conturilor privilegiate apartinand unor utilizatori
care au plecat din firma.

d. Existenta documentatiei privind procedurile de acordare, creare si utilizare a
conturilor privilegiate. Indicati afirmatia eronata.

ANS: B 80. Despre disponibilitatea serviciului unui firewall se poate spune ca: a. Firewall-ul trebuie sa fie disponibil 5 zile x 24 ore. b. Managemetul schimbarii: updatarea si configurarea schimbarilor trebuie realizate
in conformitate cu procesul de asigurare a calitatii. c. Alertele trebuie sa se produca in cazul "caderii" unor servicii/procese importante. d. Servicii imprtante, cum ar fi WWW proxy trebuie configurate astfel incat sa prezinte disponibilitate ridicata. Indicati afirmatia eronata.
ANS: A 81. In vederea protejarii fata de atacul cu virusi se recomanda luarea urmatoarelor masuri: a. In cazul detectarii unui virus se va proceda la deconectarea din retea a
calculatorului respectiv si anuntarea departamentului IT din organizatie b. Realizati periodic backup-ul serverelor c. Restrictionati accesul utilizatorilor la floppy discuri d. Daca o aplicatie instalata pe server sau local este in mod Read-Only, dezactivati acest mod. Indicati afirmatia eronata.
ANS: D 82.
Securitatea fizica se evalueaza printre altele pe urmatoarele componente: 1. Cladiri 2. Transportul datelor 3. Copii de siguranta 4. Discuri Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
ANS: D 83. In legatura cu controlul calitatii metodelor de realizare a aplicatiilor si controlul calitatii
procedurilor de exploatare o deosebita atentie prezinta printre altele urmatoarele tipuri de controale:
a. b. c. d.
Controlul intrarii in cladirea sistemului de calcul. Controlul prelucrarilor. Controlul integritatii fisierelor. Controlul iesirilor. Indicati afirmatia eronata.
ANS: A 84. In cadrul controlului fisierelor si al bazei de date, auditorul va trebui sa verifice in legatura cu
transferul fisierelor, masura in care:

a. b. c. d.
Au fost autorizate procedurile de transfer ale fisierelor din vechiul in noul sistem Procedurile au fost realizate de persoanele imputernicite S-a asigurat completitudinea si corectitudinea transferului. Este asigurata transparenta operatiilor de transfer. Indicati afirmatia eronata.
ANS: D 85. Din defintia de mai jos a amenintarii lipsesc 4 grupuri de cuvinte.
O amenintare reprezinta un care poate afecta securitatea (confidentialitatea, integritatea, disponibilitatea) unui , componenta a , conducand la o potentiala ... sau defectiune. Pentru completarea spatiilor libere din definitia de mai sus se propun urmatoarele grupe de cuvinte: 1. pierdere 2. bun 3. sistem informatic 4. pericol. Mai jos sunt date 4 variante cu ordinea de utilizare in definitie a acestor grupe de cuvinte:
a. b. c. d.
1, 2, 3, 4. 1, 3, 2, 4. 4, 2, 3, 1. 3, 2 ,4, 1. Indicati varianta corecta independent de acordurile gramaticale.
ANS: C 86. Printre punctele cheie legate de controlul securitatii ar putea fi si urmatoarele: a. b. c. d.
Controlul virusilor. Plan de continuare a activitatii (in caz de dezastre). Controlul software-ului licentiat. Salvarea datelor si gestiunea copiilor difuzate in exterior.

ANS: D 87.
Printre sarcinile ce revin managementului executiv privitor la securitatea sistemului informatic se afla si urmatoarele:
a. Conduce reevaluarile si testele periodice b. Implementeaza mijloacele de detectare a intruziunilor si modalitatile de raspuns
la incidente. c. Asigura pregatirea utilizatorilor cu privire la necesitatea respectarii cerintelor de corectitudine. d. Asigura ca securitatea sa fie o parte integranta a ciclului de viata al proceselor si detalierea cerintelor de securitate la nivelul fiecarei faze a ciclului de viata. Indicati afirmatia incorecta.
ANS: C 88. Pentru a defini resursele si serviciile accesibile utilizatorilor se stabilesc printre altele si
urmatorele elemente:
a. Serviciile furnizate de organizatie comunitatii Internet b. Host-urile interne de la care se poate sau nu se poate "iesi" in Internet. c. Host-urile interne care nu pot fi accesate din exterior.

ANS: C 89. Printre principiile care pot fi folosite in clasificarea datelor se afla si urmatoarele:
1. Consecintele generate de imposibilitatea de a accesa o anumita informatie; 2. Gradul de utilitate a informatiei in raport cu obiectivele organizatiei; 3. Motivatia posibila a unor terte persoane, eventual competitori organizatiei, de a accesa, modifica sau distruge o anume informatie; 4. Impactul asupra credibilitatii organizatiei ca urmare a scaderii calitatii produselor sale. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
Doar 1 si 2 Doar 1, 2 si 3 Doar 2, 3 si 4. Doar 3 si 4 Nici una. Alegeti varianta corecta..
ANS: B 90. In functie de vulnerabilitatile care le genereaza, riscurile asociate sistemului informatic se pot
clasifica in: 1. Riscuri de mediu. 2. Riscuri asociate mediului. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d.
ANS: C 91. Pentru determinarea pierderilor posibil a fi inregistrate de organizatie ca urmare a producerii
riscurilor aferente sistemului informatic trebuie sa se tina seama de urmatoarele situatii posibile: 1. Impactul unor riscuri in planul pierderilor cauzate poate fi mare, dar probabilitatea producerii unor astfel de riscuri este mai redusa (exemplu: producerea unui cutremur). 2. Pierderile cauzate de producerea unui anumit risc sunt de valori medii, dar frecventa de producere a acestor amenintari este mare. 3. Pierderile pot fi ocazionale. 4. Pot exista atacuri asupra sistemului informatic, dar acestea sa nu conduca la producerea de efecte negative (exemplu: detectarea la timp a unor incercari de intruziune in sistem). Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
ANS: D 92. Raspunsul la atacurile de nivel trei, patru sau cinci se recomanda sa se realizeze prin: a. Izolarea segmentului de retea astfel incat atacul sa nu poata fi extins la nivelul
intregii retele locale.

b. Oprirea tuturor calculatoarelor din retea pana la identificarea sursei atacului. c. Permiterea continuarii atacului si inregistrarea tuturor dovezilor referitoare la d.
acesta. Identificarea sursei atacului. Indicati afirmatia eronata.
ANS: B 93. In cadrul controlului proceselor de conectare si deconectare auditorul trebuie sa verifice
printre altele si urmatoarele:

a. Daca exista controale automate adecvate pentru limitarea numarului de incercari
nereusite de conectare la contul unui utilizator? De obicei, numarul de incercari este limitat la cinci. b. Daca sunt prevazute in procedura de logare mesaje de atentionare privind tentative de acces neautorizat.
c. Daca exista implementate controale pentru verifica daca logarea se realizeaza
numai de la calculatorul la care are acces utilizatorul conform procedurii fixate. Indicati afirmatia eronata.
ANS: A 94. Procedura de raspuns la incidente trebuie sa prevada urmatorii pasi: a. Constituirea echipei de actiune in caz de incidente. b. Evaluarea rapida a incidentului detectat: identificarea sursei amenintarii. c. Identificarea rezultatului amenintarii produse si anume afectarea: integritatii,
confidentialitatii, disponibilitatii sistemelor/serviciilor/datelor. Indicati afirmatia eronata.

ANS: A 95. Despre autentificare se poate spune ca: a. Este o tehnica prin care un proces verifica un subiect care poate fi o persoana, o
masina, un proces. Vom putea astfel sti daca partenerul de comunicatie este cel presupus si nu un impostor. b. Autentificarea foloseste ceea ce este cunoscut pentru ambele parti, dar nu si de alte persoane si anume ce este subiectul, ce are sau ce stie subiectul. c. Tehnicile de autentificare pot fi biologice (imaginea irisului, amprenta vocala, palmara sau digitala. ADN-ul, dinamica scrisului etc) sau pot folosi parole, carduri de identificare, smart-token-uri etc. Indicati afirmatia eronata.
ANS: C 96. Securitatea fizica se evalueaza printre altele pe urmatoarele componente:
1. Calculatoare desktop 2. Laptop-uri/calculatoare portabile 3. Imprimante 4. "Clean desks" Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
ANS: D 97. In cadrul auditarii aplicatiei se va urmari daca prin modul in care a fost gandita
functionalitatea aplicatiei s-a respectat si principiul separarii functiilor incompatibile. Aceasta cerinta determina ca aplicatia sa ofere una din urmatoarele facilitati: 1. Proceduri de validare a operatiilor de introducere a datelor de catre persoanele cu responsabilitati pe linia autorizarii intrarilor;
2. Proceduri de generare a situatiilor pentru controlul datelor introduse in sistem (pentru analiza posteriori de catre un superior ierarhic); 3. O combinare a celor doua proceduri prezentate mai sus. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
Doar 1. Doar 2. Doar 1 si 3. Toate trei Nici una. Alegeti varianta corecta.
ANS: D 98. In legatura cu functionalitatea aplicatiei auditorul va trebui sa determine printre altele, masura
in care:
a. Exista anumite prelucrari pe care aplicatia trebuie sa le execute, dar nu le
realizeaza sau le realizeaza greoi. b. Sunt functionalitati care lipsesc si sa precizeze care sunt acestea. c. Aplicatia raspunde stilului si metodei de lucru specifice utilizatorului. d. Aplicatia poate fi realizata in termenul stabilit. Indicati afirmatia eronata.
ANS: D 99. Deosebirea dintre amenintari si riscuri consta in aceea ca
1. Amenintarile exprima probabilitatea producerii unor evenimente adverse potentiale. 2. In timp ce riscurile exprima frecventa producerii amenintarilor. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d.
ANS: D 100. Printre principalele tipuri de vulnerabilitati ale unui sistem informatic al unei organizatii se
numara si urmatoarele: 1. Vulnerabilitati umane; 2. Vulnerabilitati fizice; 3. Vulnerabilitati naturale. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d.
Doar 1. Doar 2. Toate trei. Nici una. Din aceste cinci variante alegeti varianta corecta.
ANS: C 101. Printre sarcinile ce revin managementului executiv privitor la securitatea sistemului informatic
a. Dezvoltarea unui cadru de securitate si control care consta din standarde, masuri,
practici si proceduri dupa aprobarea politicii.

b. Decide cu privire la resursele disponibile, prioritatile si masurile pe care si le poate
permite organizatia.
c. Stabileste masurile de monitorizare pentru detectarea si inlaturareasurselor de erori
provenite din introducerea datelor.

d. Conduce reevaluarile si testele periodice;

ANS: C 102. Datele sunt clasificate pe patru nivele si anume: a. b. c. d.
Date publice (informatie neclasificata) Date secret de serviciu. Date confidentiale Date secrete (top secret"). Identificati afirmatia incorecta.
ANS: B 103. In vederea clasificarii datelor nu se are in vedere doar continutul datelor si informatiilor din
sistem ci si o serie de alte aspecte si anume: 1. Toate datele au un anume proprietar. Sistemul informatic recunoaste drept proprietar utilizatorul care a creat respectivele date in sistem; 2. Proprietarul datelor trebuie sa precizeze ce alti utilizatori nu au dreptul sa acceseze respectivele date; 3. Proprietarul are responsabilitatea asupra datelor sale si trebuie sa le asigure securitatea impreuna cu administratorul in conformitate cu nivelul de clasificare fixat; 4. Toate documentele generate de sistem trebuie sa fie la randul lor clasificate, iar nivelul de clasificare este recomandat sa fie inscris in procesul verbal de predare-primire a corespondentei. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
Doar 1 si 2 Doar 1, 2 si 3 Doar 2 si 3. Doar 2 si 4. Nici una. Alegeti varianta corecta.
ANS: Doar 1 si 3 104. Riscurile sistemului informatic trebuie:
a. Evaluate din punct de vedere al gravitatii efectelor lor. b. Evaluate din punct de vedere al probabilitatii producerii lor. c. Estimate probabilistic pentru fiecare producere a unui risc si per total riscuri.

ANS: C 105. Metodele de minimizare a riscurilor trebuie sa raspunda printre altele urmatoarelor
imperative: 1 Creeaza din start un sistem informatic corect! 2. Pregateste utilizatorii pentru procedurile de securitate! 3. Odata sistemul pornit, mentine securitatea sa fizica! 4. Securitatea fizica asigurata, previne accesul neautorizat! Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
ANS: D 106. Referitor la controlul administrarii conturilor utilizator, auditorul va trebui sa se edifice asupra
urmatoarelor probleme: 1. In ce masura sunt cunoscute si aplicate standardele si practicile cele mai bune in domeniu? 2. Daca exista definite proceduri pentru administrarea conturilor si care este continutul acestor proceduri. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d.
Doar 1. Doar 2. Amandoua. Nici una. Alegeti varianta corecta.
ANS: C 107. In cadrul controlului proceselor de conectare si deconectare auditorul trebuie sa verifice
printre altele si urmatoarele:

a. Daca sistemul a fost configurat sa nu permita conectari simultane folosind acelasi
cont de utilizator.
b. In ce masura utilizatorii sunt limitati sa se log-eze in anumite zile din saptamana. c. Daca sistemul a fost configurat ca dupa o anumita perioada de inactivitate
inregistrata la calculatoarele din retea sa se declanseze automat procedura de login. Indicati afirmatia eronata.
ANS: C 108. In cazul producerii unui atac, este necesar sa se raspunda la urmatoarele intrebari: a. b. c. d. e.
Atacatorul a penetrat cu succes sistemul? Bresa creata ii permite sa intre oricand in sistem? Cati intrusi au fost detectati? Cat de extins este efectul incidentului? Care este principalul pericol (afectarea confidentialitatii, desponibilitasii etc)? Indicati afirmatia eronata.
ANS: C 109. Autentificarea prin semnatura digitala face ca: a. Emitatorul sa poata verifica identitatea pe care pretinde ca o are receptorul.
Aceasta cerinta este necesara, de exemplu, in sistemele financiare: este necesar sa se asigure ca un ordin de cumparare sau de plata apartine companiei cu al carei cont bancar se va opera. b. Emitatorul sa nu poata repudia ulterior continutul mesajului. Aceasta necesitate asigura protejarea bancilor impotriva fraudelor: un client ar putea acuza banca implicata in tranzactie, pretinzand, de exemplu, ca nu a emis un anumit ordin (de plata). c. Receptorul sa nu poata pregati el insusi mesajul. In cazul unei tranzactii financiare cu o banca, aceasta cerinta protejeaza clientul daca banca incearca sa-i falsifice mesajul. Indicati afirmatia eronata.
ANS: A 110. Referitor la discuri, controlul securitatii fizice trebuie sa se bazeze pe urmatoarele
recomandari: 1. O atentie deosebita trebuie acordata procedurilor de stergere a datelor din discuri, stiindu-se faptul ca stergerea se realizeaza in doi pasi: stergere logica si respectiv stergere fizica. 2. De aceea se recomada stergerea completa a datelor (in acest scop recomandandu-se utilizarea unui produs standard). 3. O atentie marita se va acorda procedurilor de stergere din dischete cu atat mai mult cu cat exista programe speciale de recuperare a datelor sterse din astfel de suporturi. 4. O masura de precautie ar fi dezactivarea unitatilor floppy. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
ANS: D
111. In procesul auditarii aplicatiei se va tine seama de sarcinile administratorului de retea intre
care se afla si urmatoarele:

a. b. c. d.
sa asigure functionarea controlului logic asa cum s-a prevazut. sa asigure actualizarea controlului logic. sa verifice existenta backup-ului aplicatiei. sa raporteze managerului cerintele utilizatorilor. Indicati afirmatia eronata.
ANS: D 112. Referitor la comunicarea sistemului cu utilizatorul auditorul va trebui sa gaseasca raspuns la
urmatoarele intrebari:
a. b. c. d.
Este usor "sa te pierzi" in program? Exista optiuni de lucru care pot fi confundate cu altele? Care sunt mesajele de eroare? Sunt utile, explicite? Rezultatele sunt disponibile in timp util? Indicati afirmatia eronata.
ANS: D 113. Principalele tipuri de amenintari ale unui sistem informatic al unei organizatii: a. Dezastre naturale si politice b. Erori software si functionari defectuoase ale hardware-ului c. Actiuni intentionate.
Indicati varianta incorecta.

ANS: C 114. Printre sursele amenintarilor se numara si urmatoarele:
1. Starea vremii 2. Spionajul economic (competitorii). 3. Angajatii 4. Hackerii. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
Doar 2. Doar 2 si 3. Doar 2, 3 si 4. Doar 1. Nici una. Alegeti varianta corecta.
ANS: C 115. Printre principalele activitati implicate de securitatea informatiilor se afla si urmatoarele: a. Politica de dezvoltare - folosind obiectivele de securitate si principiile de baza
drept cadru pentru dezvoltarea politicii de securitate.
b. Roluri si responsabilitati - asigurarea faptului ca rolurile individuale,
responsabilitatile si autoritatile sunt consemnate in documentele de proiectare a cadrului de securitate. c. Proiectarea - dezvoltarea cadrului de securitate si control care consta din standarde, masuri, practici si proceduri. Identificati afirmatia eronata.
ANS: B 116. Pentru date publice (informatie neclasificata) sunt prevazute printre altele, urmatoarele
cerinte:
a. Instalarea de snifere (software sau dispozitiv care captureaza pachetele de date
transmise intr-o retea).

b. Scanare antivirus. c. Deschiderea de conturi doar persoanelor autorizate, conturile putand avea si parole
de acces.
d. Accesul la scriere pentru fisierele de sistem trebuie restrictionat la grupuri de
utilizatori sau masini (calculatoare). Indicati afirmatia incorecta.

ANS: C 117. Elemente de control logic care asigura securitatea sistemelor informatice sunt reprezentate de:
1. Cerintele de confidentialitate a datelor. 2. Controlul autorizarii, autentificarii si accesului. 3. Identificarea utilizatorului si profilele de autorizare. 4. Stabilirea informatiilor necesare utilizator. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
Doar 1 si 2. Doar 1, 2 si 3. Doar 2 si 4. Toate. Nici una. Alegeti varianta corecta
ANS: B 118. Principalele riscuri si accidentele pe care acestea le pot genera sunt: a. b. c. d.
Eroare de operare. Functionarea defectuoasa a software-ului. Date eronate nedectate de sistem. Riscuri asociate componentelor instalatiilor de forta. Indicati afirmatia incorecta.
ANS: D 119. Metodele de minimizare a riscurilor trebuie sa raspunda printre altele urmatoarelor
imperative:
1. Avand controlul accesului, se asigura ca reluarile de proceduri sa fie corecte! 2. Chiar daca exista proceduri de control, cauta cai de a le perfectiona! 3. Chiar daca sistemul pare sigur, el trebuie auditat in scopul identificarii unor noi posibile probleme de securitate! 4. Chiar daca esti foarte vigilent, pregateste-te de dezastre! Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
ANS: D 120. In legatura cu procedurile pentru administrarea conturilor auditorul va verifica daca aceste
proceduri asigura:
a. Crearea de noi conturi utilizator b. Existenta controalelor automate adecvate pentru limitarea numarului de incercari
nereusite de conectare la contul unui utilizator.

c. Dezactivarea sau stergerea prompta a conturilor angajatilor care au plecat din
firma
d. Verificarea periodica a masurii in care drepturile de acces acordate utilizatorilor
corespund atributiilor lor de serviciu. Indicati afirmatia eronata.

ANS: B 121. Auditorul poate verifica daca sistemul permite utilizatorului ca in momentul accesarii contului
sa obtina informatii privind:

a. b. c. d.
Data si ora la care contul a fost prima data accesat. Durata sesiunii de lucru la ultima accesare. Principalele operatii realizate. Incercarile nereusite de accesare a contului (numarul tentativelor si eventual data lor). Indicati afirmatia eronata.
ANS: A 122. Printre actiunile ce trebuie derulate imediat ce s-a identificat un atac asupra sistemului
informatic pot consta in:

a. b. c. d.
Restaurarea informatiei Izolarea masinii subiect al atacului Supravegherea conexiunii cu Internetul a retelei organizatiei Oprirea unuia sau mai multor servere remote access Indicati afirmatia eronata.
ANS: C 123. Metodele de detectare a intruziunilor sunt urmatoarele: a. Metoda profilelor si comportamentului normal. b. Metoda Schneider. c. Metoda tiparului.

ANS: B 124. Referitor la copii de siguranta si evenimente neprevazute, auditorul trebuie sa verifice daca la
nivelul organizatiei exista: 1. Proceduri prin care sa se asigure functionarea sistemului in cazul caderii alimentarii cu energie electrica sau a liniilor de comunicatii. 2. Exista sectoare "sensibile" - bancar, bursier, securitatea statului, energetic etc. care impun asigurarea functionarii continue a sistemelor informatice ceea ce implica existenta unor surse alternative de energie si/sau comunicatii. 3. Planuri bine testate si documentate, actualizate periodic prin care sa se asigure operationalitatea sistemului informatic in conditiile producerii unor evenimente neprevazute. d. Proceduri si controlul aplicarii acestora, privind realizarea copiilor de siguranta si refacerea starii sistemului in cazul "caderii" acestuia ca urmare a unor cauze hardware sau software. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
Doar 1 si 2 Doar 1, 2 si 3. Doar 1, 2 si 4. Toate. Nici una. Alegeti varianta corecta.
ANS: D 125. Auditorul poate acumula probele de care are nevoie pentru a-si sustine concluziile sale cu
privire la auditul aplicatiei sub forma:

a. Documente privind politicile si procedurile de securitate:
- Listele de control al accesului; - Limitele autorizarilor automate ale utilizatorilor; - Jurnalele de securitate; - Cererile de modificari si modul de solutionare a acestora etc. b. Documente privind procedurile de lucru ale aplicatiei. c. Informatiile culese pe baza interviurilor, chestionarelor, testelor efectuate. d. Flowchart-uri (adica machete ale documentelor) aplicatiei. Indicati afirmatia eronata.
ANS: D 126. Controlul datelor de iesire urmareste:
a. Completitudinea si acuratetea iesirilor. b. Respectarea termenelor prevazute pentru obtinerea iesirilor. c. Masura in care iesirile, la cererea utilizatorilor, pot fi dirijate catre imprimanta,
monitor sau un anumit fisier.

d. Este usor "sa te pierzi" in program?

ANS: D 127. Printre principalele tipuri de vulnerabilitati ale unui sistem informatic al unei organizatii se
numara si urmatoarele:
a. Vulnerabilitatile hardware si software b. Vulnerabilitatile mediului de stocare. c. Vulnerabilitati ale mediului de dezvoltare.

ANS: C 128. Printre principalele activitati implicate de securitatea informatiilor se afla si urmatoarele: a. Proiectarea - dezvoltarea cadrului de securitate si control care consta din standarde,
masuri, practici si proceduri.

b. Monitorizarea - stabilirea mijloacelor de monitorizare pentru detectarea si
sesizarea breselor de securitate si asigurarea cunoasterii politicii, standardelor si practicilor minimale de securitate acceptabile. c. Constientizarea, formarea si educarea - constientizarea necesitatii protejarii informatiei si pregatirea utilizatorilor in domeniul practicilor de securitate. Identificati afirmatia eronata.
ANS: B 129. Pentru documentele din clasa 2 de importanta se recomanda sa existe un ghid al utilizatorului
cu caracteristici de securitate, adica: 1. Descrierea mecanismelor de securitate din punctul de vedere al utilizatorului. 2. Ghid pentru administrarea securitatii. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d.
ANS: C 130. Mecanisme de control aplicabile sistemului informatic al organizatiilor sunt reprezentate prin
controale clasificate in:

a. Controale de descurajare a atacurilor.
b. Controale preventive. c. Controale detective. d. Controale corective.

ANS: A 131. In procesul auditarii modului de creare a conturilor utilizatorilor, auditorul va
urmari:
a. Daca la momentul crearii conturilor au existat controale automate adecvate pentru
limitarea numarului de incercari nereusite de conectare la contul unui utilizator. b. Cat de bine este controlata introducerea unui nou user in sistem si cine are aceasta responsabilitate. c. Ce precautii s-au luat impotriva accesului neautorizat printr-un ID implicit, creat de exemplu, la instalarea sistemului de operare. d. Modalitatea de atribuire a ID-ului si parolelor de acces. In acest sens auditorul va urmari daca exista o conventie privitoare la structura ID si daca aceasta este respectata. Indicati afirmatia eronata.
ANS: A 132. Cu ocazia auditarii controlului configurarii profilelor pentru utilizatori sau grupuri de
utilizatori auditorul va verifica: . a. Masura in care drepturile de acces acordate utilizatorilor corespund intereselor acestora. b. Masura in care are loc reevaluarea periodica a drepturilor de acces ale utilizatorilor. c. Masura in care departamentul de resurse umane transmite informatii privind: transferurile de personal in cadrul companiei, modificarile responsabilitatilor in cadrul posturilor, plecari de angajati din firma. Sunt dezactivate sau chiar sterse in timp util conturile angajatilor care au parasit firma? Indicati afirmatia eronata.
ANS: A 133. Refacerea datelor/serviciilor/sistemelor in urma producerii unui incident consta din
urmatoarele actiuni:
a. Restaurarea datelor/serviciilor/programelor. b. Constatarea efectul incidentului. c. Verificarea programelor (pe baza copiilor existente) de pe masinile tinta a
atacurilor. d. Inlaturarea deficientelor care au permis producerea incidentului etc. Indicati afirmatia eronata.
ANS: B 134. Referitor la cladiri, securitatea fizica prevede printre altele ca incinta organizatiei trebuie sa fie
organizata in urmatoarele zone:
a. Zona 1: accesibila publicului. b. Zona 2: neaccesibila publicului ci numai personalului organizatiei. c. Zona 3: Este o zona protejata, cu acces strict controlat accesibila numai pe baza
identificarii persoanelor (de obicei prin carduri de acces sau alte tehnici de identificare. De exemplu tehnicile biometrice). d. Zona 4: Incinta organelor de conducere colectiva (senatul invesitar, consiliul de administratie, etc.). Indicati afirmatia eronata.
ANS: D 135. Controalele securitatii aplicatiei sunt folosite pentru asigurarea: a. b. c. d.
Completitudinea si acuratetea iesirilor. Acuratetei prelucrarilor. Separarii sarcinilor incompatibile intre persoanele implicate in procesarea datelor. Controlul utilizatorilor. Indicati afirmatia eronata.
ANS: A 136. Printre sursele amenintarilor se numara si urmatoarele:
1. Contractori vanzatori care au acces (fizic sau prin retea) la sisteme. 2. Incompatibilitatea unor echipamente. 3. Investigatori particulari. 4. Jurnalisti in cautarea unor subiecte Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
Doar 1 si 2. Doar 2 si 3. Doar 2, 3 si 4. Doar 1, 3 si 4 Nici una. Alegeti varianta corecta.
ANS: D 137. Riscurile asociate sistemului informatic privesc:
1. Pierderea, deturnarea si/sau modificarea datelor si informatiilor din sistem 2. Accesul la sistemul informatic. 3. Afectarea sau chiar intreruperea procesarii datelor. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
Doar 1. Doar 2. Doar 1 si 3 Toate trei. Nici una. Alegeti varianta corecta
ANS: C 138. Nivelul 1 de penetrare a atacului in profunzimea sistemului atacat se manifesta sub forma:
1. Supraincarcarea unei resurse limitate (memoria, largimea de banda de retea, timpul CPU etc.) 2. "Caderea" unui dispozitiv de retea sau a unui calculator gazda (de fapt se face reconfigurarea unei resurse pentru a o face inutilizabila). 3. Atacuri distribuite de tip interzicerea serviciului: atacatorul se infiltreaza in alte sisteme pe care le va folosi cu rol de agenti sau operatori care coordoneaza sistemele desemnate de atacatori. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
Doar 1 Doar 2. Doar 1 si 2. Toate trei. Nici una. Alegeti varianta corecta.
ANS: D 139. Referitor la planurilor prevazute (de Conceptul de Business Continuity Management (BCM))
a fi elaborate de institututie cu privire la activitatea ce se va desfasura (in caz de atac), pana la revenirea activitatii la o desfasurare normala, se poate spune ca acestea trebuie sa cuprinda printre altele: 1. Stabilirea echipei responsabile cu realizarea unui plan de refacere a sistemului formata din personalul din compartimentul de specialitate, auditorul sistemului informatic, utilizatori. 2. Elaborarea procedurilor de verificare a principalelor componente ale sistemului (date, soft, hard, documentatii) in cazul producerii evenimentelor distructive si stabilirea responsabilitatilor. 3. Stabilirea locatiilor in care vor fi pastrate copiile de siguranta, documentatiile si componente hardware. 4. Stabilirea prioritatilor privind procedurile ce trebuie efectuate. Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate
a. b. c. d. e.
ANS: D 140. Controlul intrarilor este folosit pentru a se asigura faptul ca toate tranzactiile sunt: a. introduse corect. b. complete si valide. c. autorizate.
d. aferente perioadei de gestiune precedente.

ANS: D 141. Despre afirmatiile
a) Auditul intern reprezinta activitatea de examinare obiectiva a ansamblului activitatii entitatii economice in scopul furnizarii unei evaluari independente a managementului riscului, controlului si proceselor de conducere a acestuia. b) Pentru auditorul financiar auditul sistemului informatic nu va reprezenta un scop in sine la nivelul entitatii ci va constitui elementul de baza in cadrul activitatii acestuia atat in etapa de planificare a auditului, cat si in perioada de desfasurare a procedurilor de audit se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
ANS: A 142. Despre afirmatiile
a) Auditul intern reprezinta activitatea de examinare obiectiva a ansamblului activitatii entitatii economice in scopul furnizarii unei evaluari independente a managementului riscului, controlului si proceselor de conducere a acestuia. b) Pentru auditorul financiar auditul sistemului informatic este util doar in etapa de planificare a auditului. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
ANS: B 143. Despre afirmatiile
a) Vulnerabilitatile reprezinta orice caracteristici ale sistemului care ar usura posibilitatile concurentei de a afla secretele firmei. b) Amenintarile reprezinta orice pericol potential la care este expus un sistem constand in: acces neautorizat, alterari sau distrugerea datelor, software-ului, resurselor hard sau de comunicatie etc. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
ANS: C 144. Despre afirmatiile
a) Vulnerabilitatile reprezinta orice caracteristici ale sistemului care il pot expune la amenintari. b) Amenintarile reprezinta orice pericol potential la care este expus un sistem constand in: acces neautorizat, alterari sau distrugerea datelor, software-ului, resurselor hard sau de comunicatie etc. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici un
a) Referitor a abordarea Bottom Up in imbunatatirea securitatii se poate spune ca aceasta abordare pleaca de la ce se doreste a fi protejat, de la ce nivel trebuie asigurata securitatea si fata de cine trebuie asigurata aceasta protectie. b) Managementul securitatii este un proces sistematic, continuu si riguros cuprinzand procese de supraveghere, analiza, planificare, control si solutionare a riscurilor sistemului. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Referitor a abordarea Bottom Up in imbunatatirea securitatii se poate spune ca aceasta abordare pleaca de la ce se doreste a fi protejat, de la ce nivel trebuie asigurata securitatea si fata de cine trebuie asigurata aceasta protectie. b) Managementul securitatii este un proces sistematic, continuu si riguros cuprinzand procese de identificare, analiza, planificare, control si solutionare a riscurilor sistemului. Se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Managementul riscurilor reprezinta procesul de implementare si mentinere a contramasurilor de reducere a efectelor riscurilor la un nivel considerat acceptabil de catre managementul organizatiei b) Politica de securitate reprezinta un set de reguli si practici care reglementeaza modul in care o organizatie protejeaza si distribuie produsele sale. se poate spune ca sunt adevarate:
a. b. c. d.
Ambele Doar a Doar b Nici una
a) Managementul riscurilor reprezinta procesul de implementare si mentinere a contramasurilor de reducere a efectelor riscurilor la un nivel considerat acceptabil de catre managementul organizatiei b) Politica de securitate reprezinta un set de reguli si practici care reglementeaza modul in care o organizatie protejeaza si distribuie informatiile si in mod special informatiile sensibile. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Scopul clasificarii informatiilor este de a identifica dificultatea fundamentarii masurilor de control si protectie cele mai adecvate. b) Datele interne reprezinta date procesate in sistem in cadrul diferitelor compartimente functionale pentru care accesul direct, neautorizat trebuie prevenit. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Scopul clasificarii informatiilor este de a identifica riscul aferent diferitelor categorii de informatii in vederea fundamentarii masurilor de control si protectie cele mai adecvate. b) Datele interne reprezinta date procesate in sistem in cadrul diferitelor compartimente functionale pentru care accesul direct, neautorizat trebuie prevenit. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Pentru clasa 3 de securitate securizarea transmisiei de date presupune ca in transmiterea de mesaje sau in utilizarea de programe care comunica intre ele trebuie mentinute confidentialitatea si integritatea. b) In ce priveste clasa 1 de securitate accesul intern sau extern neautorizat la aceste date este critic. Integritatea datelor este vitala. Numarul de utilizatori care au drept de acces la aceste date este foarte limitat si pentru aceste date sunt fixate reguli foarte severe de securitate privind accesul. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Pentru clasa 3 de securitate securizarea transmisiei de date presupune ca in transmiterea de mesaje sau in utilizarea de programe care comunica intre ele trebuie mentinute confidentialitatea si integritatea. b) Clasa 1 de securitate cuprinde date publice (informatie neclasificata). se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Pentru controlul (tinerea sub control a) securitatii sistemelor informatice in cadrul fiecarei organizatii trebuie sa existe o politica de dezvoltare si un plan de securitate care sa asigure implementarea acestei politici. b) Procesele de asigurare a securitatii sistemelor informatice indeplinesc functia de a proteja sistemele impotriva folosirii, publicarii sau modificarii informatiilor stocate. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Pentru controlul (tinerea sub control a) securitatii sistemelor informatice in cadrul fiecarei organizatii trebuie sa existe o politica de dezvoltare si un plan de securitate care sa asigure implementarea acestei politici.
b) Procesele de asigurare a securitatii sistemelor informatice indeplinesc functia de a proteja sistemele impotriva folosirii, publicarii sau modificarii neautorizate, distrugerii sau pierderii informatiilor stocate. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Matricea de analiza a riscurilor ajuta utilizatorii sa identifice potentialele amenintari precum si datele si bunurile care impun protectie. b) Conceptul de risc al sistemului informatic exprima posibilitatea de aparitie a unei neglijente care sa afecteze negativ resursele informationale, financiare si functionarea sistemului. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Matricea de analiza a riscurilor ajuta utilizatorii sa identifice potentialele amenintari precum si datele si bunurile care impun protectie. b) Conceptul de risc al sistemului informatic exprima posibilitatea de aparitie a unei neglijente care sa afecteze negativ resursele informationale, financiare si functionarea sistemului. se poate spune ca sunt adevarate: a. Doar a b. Doar b c. Ambele d. Nici una
a) Cele mai mari riscuri in sistemul informatic al organizatiilor si cele mai mari pierderi financiare sunt determinate de erori neintentionate si omisiuni. b) Existenta riscurilor in sistemul informatic al organizatiilor impune definirea si implementarea unor mecanisme de control cu scopul diminuarii si chiar al eliminarii acestor vulnerabilitati. se poate spune ca sunt adevarate: a. Ambele
b. Doar a c. Doar b d. Nici una ANS: A 158. Despre afirmatiile
a) Cele mai mari riscuri in sistemul informatic al organizatiilor si cele mai mari pierderi financiare sunt determinate de acte de terorism. b) Existenta riscurilor in sistemul informatic al organizatiilor impune definirea si implementarea unor mecanisme de control cu scopul diminuarii si chiar al eliminarii acestor vulnerabilitati. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Controale sunt cuprinse in cadrul strategiei de securitate stabilita in procesul de management al riscurilor. b) Pentru fiecare risc identificat pot fi specificate trei niveluri de risc (scazut, mediu si mare), fiind necesara in continuare, precizarea factorilor care determina respectivul nivel de risc se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Controale sunt cuprinse in cadrul strategiei de securitate stabilita in procesul de management al riscurilor. b) Pentru fiecare risc identificat pot fi specificate doua niveluri de risc (scazut si mare), fiind necesara in continuare, precizarea factorilor care determina respectivul nivel de risc se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Rezultatul atacurilor de nivelul 1 este perceput sub forma un flux de pachete, provenit de la sistemele atacator, care este capabil sa blocheze orice trafic legitim care incearca sa ajunga la calculatorul atacat. b) Atacurile de nivel 2 si 3 se realizeaza atunci cand un utilizator extern obtine acces la fisierele utilizatorilor locali in sensul ca le poate verifica existenta, poate sa le citeasca sau, chiar mai mult, poate executa pe server un numar limitat de comenzi. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Rezultatul atacurilor de nivelul 1 este perceput sub forma un flux de pachete, provenit de la sistemele atacator, care este capabil sa blocheze orice trafic legitim care incearca sa ajunga la calculatorul atacat. b) Atacurile de nivel 4 se realizeaza atunci cand un utilizator extern obtine acces la fisierele utilizatorilor locali in sensul ca le poate verifica existenta, poate sa le citeasca sau, chiar mai mult, poate executa pe server un numar limitat de comenzi. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Atacurile de nivelul 4 se realizeaza de utilizatori locali (care poseda parola de acces in retea si au folder propriu) ce urmaresc obtinerea accesului de citire sau scriere in fisiere (foldere) la care nu sunt autorizati. b) Atacurile de nivelul 4 se realizeaza atunci cand un utilizator extern obtine acces la fisierele utilizatorilor locali in sensul ca le poate verifica existenta, poate sa le citeasca sau, chiar mai mult, poate executa pe server un numar limitat de comenzi. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Atacurile de nivelul 4 se realizeaza de utilizatori locali (care poseda parola de acces in retea si au folder propriu) ce urmaresc obtinerea accesului de citire sau scriere in fisiere (foldere) la care nu sunt autorizati.
b) Atacurile de nivelul 5 ofera utilizatorilor neautorizati de la distanta posibilitatea de a citi si/sau scrie fisiere stocate in reteaua locala. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Vulnerabilitatile sistemului in cazul unui atac de nivel 5 pot fi fatale. b) Atacurile de nivel 5 se realizeaza atunci cand un utilizator extern obtine acces la fisierele utilizatorilor locali in sensul ca le poate verifica existenta, poate sa le citeasca sau, chiar mai mult, poate executa pe server un numar limitat de comenzi. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) In procesul auditarii modului de creare a conturilor utilizatorilor auditorul va urmari respectarea unicitatii ID-ului si a parolelor si masura in care procedura de logare a utilizatorului impune precizarea fie a ID-ului fie a parolei. b) Controlul accesului de la distanta impune auditorului abordarea a doua probleme diferite: controlul retelei/accesul dial-up si controlul conexiunilor externe la retea. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) In procesul auditarii modului de creare a conturilor utilizatorilor auditorul va urmari respectarea unicitatii ID-ului si a parolelor si masura in care procedura de logare a utilizatorului impune precizarea fie a ID-ului fie a parolei. b) Controlul accesului de la distanta impune auditorului abordarea a doua probleme diferite: controlul retelei/accesul dial-up si controlul conexiunilor interne la retea. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b
d. Nici una ANS: D 168. Despre afirmatiile
a) Politica de securitate trebuie sa identifice toate punctele potentiale de atac si sa le protejeze pe fiecare la nivelul specific de securitate. b) Analiza detaliata a situatiei create ca urmare a producerii unui incident presupune: stabilirea prioritatilor, determinarea amplorii afectarii, notificarea administratorilor, managementului, reprezentantului legal si a autoritatilor in caz de nevoie. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
ANS: C 169. Referitor la procedurile de raspuns la incidente de securitate pe firewall, a. Auditorul va trebui sa analizeze si continutul procedurilor de raspuns la incidente. b. Scopul acestor proceduri este de a preciza detaliat care sunt actiunile ce trebuie
intreprinse in cazul detectarii unei incident de securitate provenit din zona de acces a personalului in unitate. c. Actiunile in cazul unei incident urmaresc sa protejeze si refaca conditiile normale de operare a calculatoarelor, serviciilor, informatiilor Indicati afirmatia eronata
a) Politica de securitate trebuie sa identifice toate punctele potentiale de atac si sa le protejeze pe fiecare la acelasi nivel de securitate. b) Analiza detaliata a situatiei create ca urmare a producerii unui incident presupune: stabilirea prioritatilor, determinarea amplorii afectarii, notificarea administratorilor, managementului, reprezentantului legal si a autoritatilor in caz de nevoie. se poate spune ca sunt adevarate:
a. b. c. d.
Ambele Doar a Doar b Nici una
a) In cele mai multe cazuri virusii se protejeaza camuflandu-se in programul gazda, operand cu efect intarziat, unii dintre ei chiar stergandu-si urmele.
b) Viermele se activeaza doar o data cu programul gazda si apoi se multiplica infestand si alte programe. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) In cele mai multe cazuri virusii se protejeaza camuflandu-se in programul gazda, operand cu efect intarziat, unii dintre ei chiar stergandu-si urmele. b) Viermii nu distrug date se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Ca sa se reproduca un vierme are nevoie sa infecteze un program sau un suport de memorie externa. b) Desi pare a realiza o functie in sistem, un troian realizeaza si actiuni neautorizate. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Ca sa se reproduca un vierme nu are nevoie sa infecteze un program sau un suport de memorie externa. b) Desi pare a realiza o functie in sistem, un troian realizeaza si actiuni neautorizate. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Un vierme este un troian folosit pentru a introduce un virus, o bomba sau alte tipuri de atacuri. b) Un virus este un mecanism inclus in sistem de cel care creeaza acel sistem. In acest fel, cel care creeaza o aplicatie are oricand acces in sistem, ocolind sistemele de securitate instalate. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) O bomba este un troian folosit pentru a introduce un virus, o bomba sau alte tipuri de atacuri. b) Un virus este un mecanism inclus in sistem de cel care creeaza acel sistem. In acest fel, cel care creeaza o aplicatie are oricand acces in sistem, ocolind sistemele de securitate instalate. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Spoof este numele generic dat unui program care determina un utilizator neavizat sa cedeze drepturile si privilegiile sale intr-o retea. b) Algoritmii asimetrici se caracterizeaza prin utilizarea unei chei unice folosita atat in procesul de criptare cat si in cel de decriptare. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Spoof este numele generic dat unui program care determina un utilizator neavizat sa cedeze drepturile si privilegiile sale intr-o retea. b) Algoritmii simetrici se caracterizeaza prin utilizarea unei chei unice folosita atat in procesul de criptare cat si in cel de decriptare. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b
d. Nici una ANS: A 179. Despre afirmatiile
a) In cazul algoritmilor simetrici emitatorul si emitentul vor detine o pereche de chei: una publica (cunoscuta de oricine) si una privata (cunoscuta doar de proprietar). b) Ca semnaturi digitale, se pot folosi semnaturi cu cheie secreta sau publica, dar de obicei se prefera cheile publice. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) In cazul algoritmilor simetrici emitatorul si emitentul vor detine o pereche de chei: una publica (cunoscuta de oricine) si una privata (cunoscuta doar de proprietar). b) Ca semnaturi digitale, se pot folosi semnaturi cu cheie secreta sau publica, dar de obicei se prefera cheile publice. se poate spune ca sunt adevarate: a. Nici una b. Ambele c. Doar a d. Doar b
a) IDS-urile (Intrusion Detection System) pot oferi, aproape in timp real, un raspuns automat legat de activitatile neautorizate identificate, posibilitatea de a analiza activitatea curenta (zilnica) din retea in relatie cu activitatea trecuta cu scopul identificarii unor trenduri mai largi sau probleme. b) Transportul copiilor de siguranta catre locatia special rezervata se va face in genti speciale, securizate, de catre persoane avand aceasta responsabilitate stabilita prin procedurile elaborate. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) IDS-urile (Intrusion Detection System) pot oferi, aproape in timp real, un raspuns automat legat de activitatile neautorizate identificate, posibilitatea de a analiza activitatea curenta (zilnica) din retea in relatie cu activitatea trecuta cu scopul identificarii unor trenduri mai largi sau probleme. b) Transportul copiilor de siguranta catre locatia special rezervata se va face in genti speciale, securizate, de catre persoane avand aceasta responsabilitate stabilita prin procedurile elaborate. se poate spune ca sunt adevarate: a. Nici una b. Doar a c. Doar b d. Ambele
a) Trebuie asigurata securitatea fizica a calculatoarelor conectate sau nu in reteaua organizatiei. b) Din punctul de vedere al securitatii laptop-urile/calculatoarele portabile pot genera riscuri legate de divulgarea informatiei, furt si posibilitatea accesului neautorizat la reteaua organizatiei. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Securitatea fizica vizeaza doar calculatoarele conectate in reteaua organizatiei. b) Din punctul de vedere al securitatii laptop-urile/calculatoarele portabile pot genera riscuri legate de divulgarea informatiei, furt si posibilitatea accesului neautorizat la reteaua organizatiei. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Listarea rapoartelor continand informatii confidentiale se va realiza pe imprimante aflate in birourile persoanelor autorizate sa acceseze aceste date.
b) Regula clean desks precizeaza necesitatea securizarii tuturor documentelor si rapoartelor utilizate de catre personalul organizatiei in realizarea sarcinilor de lucru prin depunerea in dulapuri securizate la sfarsitul orelor de program si asigurarea ca accesul persoanelor neautorizate la aceste documente sa nu poata fi posibil. Se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Listarea rapoartelor continand informatii confidentiale se va realiza doar pe imprimante aflate in incinta unitatii care poseda informatiile. b) Regula clean desks precizeaza necesitatea securizarii tuturor documentelor si rapoartelor utilizate de catre personalul organizatiei in realizarea sarcinilor de lucru prin depunerea in dulapuri securizate la sfarsitul orelor de program si asigurarea ca accesul persoanelor neautorizate la aceste documente sa nu poata fi posibil. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
ANS: C 187. Indicati aliniatul gresit din procedura de mai jos
Cea mai populara tehnica de backup este GFS (bunic-tata-fiu) care presupune urmatoarea desfasurare :
a. Se fac copii zilnice. b. Copia zilnica se va rescrie in saptamana urmatoare. c. La sfarsitul saptamanii se realizeaza "copia saptamanii" (corespunde ultimei copii
zilnice).
d. Copia saptamanii se reface saptamana urmatoare. e. La sfarsitul fiecarei luni se realizeaza "copia lunii" ANS: D 188. Planurile prevazute a fi elaborate de institututie referitor la activitatea ce se va desfasura in caz
de atac, pana la revenirea activitatii la o desfasurare normala, trebuie sa prevada referitor la hardware backup urmatoarele:
a. Achizitionarea unui al doilea sistem care poate fi:
- Un sistem Standby Hot care poate prelua imediat functia sistemului operational. - Un sistem Standby Cold, stocat separat si la nevoie conectat pentru a putea fi folosit.
b. Incheierea unui contract cu o firma al carei sistem de procesare a datelor are
aceleasi facilitati si poate sa suporte prelucrarile firmei al carui sistem nu mai este operational. c. Apelarea la o firma care ofera servicii in acest domeniu. d. Contractele de service cu furnizorul hardware sa prevada furnizarea, pe timp nelimitat, a echipamentelor care le vor inlocui pe cele avariate. Indicati activitatea gresita
a) Anumite aplicatii prin natura prelucrarilor si sectoarelor de activitate in care sunt utilizate (sectorul bancar, institutiile financiare etc) impun auditorului derularea unor activitati de identificare a posibilelor operatiuni frauduloase. b) O aplicatie bine realizata prezinta proceduri de control care sa limiteze utilizarea sa necorespunzatoare si in acest caz, controlul fiabilitatii aplicatiei nu mai este necesar. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Anumite aplicatii prin natura prelucrarilor si sectoarelor de activitate in care sunt utilizate (sectorul bancar, institutiile financiare etc) impun auditorului derularea unor activitati de identificare a posibilelor operatiuni frauduloase. b) O aplicatie bine realizata prezinta proceduri de control care sa limiteze utilizarea sa necorespunzatoare, dar si instructiuni de control al fiabilitatii aplicatiei. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Autorizarea intrarilor tranzactiilor poate fi controlata prin identificarea utilizatorului, care a introdus datele in sistem, pe baza privilegiilor asociate ID-urilor utilizatorilor. b) In cadrul controlului formatului se verifica natura datelor, lungimea datelor (evitarea
producerii de trunchieri), numarul de zecimale admis, acceptarea valorilor negative sau doar a celor pozitive, formatul datei calendaristice, aplicarea semnului monetar.
se poate spune ca sunt adevarate: a. Ambele b. Doar a
c. Doar b d. Nici una ANS: A 192. Despre afirmatiile
a) Autorizarea intrarilor tranzactiilor poate fi controlata prin identificarea utilizatorului, care a introdus datele in sistem, pe baza privilegiilor asociate ID-urilor utilizatorilor. b) In cadrul controlului formatului se verifica natura datelor, lungimea datelor (evitarea
producerii de trunchieri), numarul de zecimale admis, acceptarea valorilor negative sau doar a celor pozitive, formatul datei calendaristice, aplicarea semnului monetar.
se poate spune ca sunt adevarate: a. Nici una b. Doar a c. Doar b d. Ambele

ANS: D 193. Controlul domeniului de definitie a atributelor urmareste : a. Incadrarea intr-o multime de valori prestabilita (exemplu: abrevierile judetelor,
tipuri de unitati de masura, tipuri de documente). b. Incadrarea intr-un interval de valori prestabilit (exemplu: salariul angajatilor ia valori in intervalul [2.500, 3.000]). c. Validari ale realizarilor unor atribute diferite, numit si testul dependentei logice dintre campuri. Exemplu: validarile privind corespondenta conturilor - contul X se poate debita doar prin creditarea conturilor A,B sau C. d. Testul "coincidentei" datelor. Marcati activitatea eronata.
a) In cadrul controlului acuratetei aritmetice, pe baza unor date de intrare introduse de operator pot fi verificate elementele calculate din documentul primar. De exemplu, pe baza cantitatii si pretului unitar al unui articol inscris intr-o factura sistemul genereaza automat pe ecran valoarea produsului, TVA-ului, valoarea cu TVA si apoi totalul facturii operatorul putand confrunta aceste sume calculate cu cele inscrise in factura. b) In cadrul controlului existentei datelor testul se refera in principal la validarea datelor de intrare reprezentand coduri. Este suficient sa introduci codul unul client si pe ecran sa se afiseze numele acestuia sau un mesaj de eroare atentionand asupra introducerii unui cod incorect/inexistent. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) In cadrul controlului existentei datelor, pe baza unor date de intrare introduse de operator pot fi verificate elementele calculate din documentul primar. De exemplu, pe baza cantitatii si pretului unitar al unui articol inscris intr-o factura sistemul genereaza automat pe ecran valoarea produsului, TVA-ului, valoarea cu TVA si apoi totalul facturii operatorul putand confrunta aceste sume calculate cu cele inscrise in factura. b) In cadrul controlului acuratetei aritmetice testul se refera in principal la validarea datelor de intrare reprezentand coduri. Este suficient sa introduci codul unul client si pe ecran sa se afiseze numele acestuia sau un mesaj de eroare atentionand asupra introducerii unui cod incorect/inexistent. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) In cadrul testului tranzactiilor duplicate auditorul va trebui sa verifice daca sistemul admite introducerea repetata a acelorasi date. De exemplu, introducerea repetata a unui aceluiasi document (factura, bon de consum etc). b) Controlul securitatii aplicatiei se poate realiza prin: identificarea si autorizarea utilizatorilor, controlul accesului si monitorizarea activitatii utilizatorilor. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) In cadrul testului tranzactiilor duplicate auditorul va trebui sa verifice daca sistemul admite introducerea repetata a acelorasi date. De exemplu, introducerea repetata a aceluiasi numar pentru rubrica valoare. b) Controlul securitatii aplicatiei se poate realiza prin: identificarea si autorizarea utilizatorilor, controlul accesului si monitorizarea activitatii utilizatorilor. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
ANS: C
198. Despre afirmatiile
a) Controlul accesului impune verificarea de catre auditor a urmatoarelor aspecte: controlul accesului la aplicatie prin log-are, restrictionarea accesului la modulele aplicatiei, restrictionarea accesului la anumite functii ale aplicatiei si existenta listelor de control al accesului. b) Tehnica incercarii consta in crearea unui mediu de test, incluzand o copie a aplicatiei si a fisierelor specifice. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Controlul accesului impune verificarea de catre auditor a urmatoarelor aspecte: controlul accesului la aplicatie prin log-are, restrictionarea accesului la modulele aplicatiei, restrictionarea accesului la anumite functii ale aplicatiei si existenta listelor de control al accesului. b) Tehnica incercarii consta in crearea unui mediu de test, incluzand o copie a manualului de utilizare si a fisierelor specifice. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
a) Vulnerabilitatile sistemului in cazul unui atac de nivel 5 pot fi fatale. b) Atacurile de nivel 5 ofera utilizatorilor neautorizati de la distanta posibilitatea de a citi si/sau scrie fisiere stocate in reteaua locala. se poate spune ca sunt adevarate: a. Ambele b. Doar a c. Doar b d. Nici una
ANS: A

Auditarea Si Corectata

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Auditarea Si Corectata

Uploaded by

Copyright:

Available Formats

auditarea SI

MULTIPLE CHOICE 1. Din definitia urmatoare a auditului lipsesc 4 grupuri de cuvinte.

1, 2, 3, 4. 1, 3, 2, 4. 3, 2, 1, 4. 3, 2, 4, 1. Indicati varianta corecta independent de acordurile gramaticale.

Indicati varianta eronata.

Indicati afirmatia eronata.

sistemului informatic se vor folosi urmatoarele grupe de cuvinte:

1 a managementului integrat; 2. efectelor riscurilor; 3. crearea instrumentelor;

1, 2, 3, 4. 1, 3, 2, 4. 3, 2,1, 4. 1, 3, 4, 2. Indicati varianta corecta

ANS: D 5. Managementul riscurilor impune printre altele si urmatoarele: a. b. c. d.

ANS: A 6. Pentru documentele din clasa 2 de importanta:

Doar 1. Doar 2. Amandoua. Nici una. Alegeti varianta corecta

d. Toate trei. e. Nici una.

Alegeti varianta corecta

Doar 1 si 2 Doar 1, 2 si 3. Doar 1, 2 si 4. Toate Nici una. Alegeti varianta corecta.

Doar 1. Doar 2. Amandoua. Nici una. Alegeti varianta corecta.

Indicati afirmatia eronata.

Doar 1. Doar 2. Nici una. Amandoua. Alegeti varianta corecta.

ANS: B 17. Printre principalele categorii de amenintari se numara si urmatoarele: a. b. c. d.

ANS: A 18. Obiectivele de securitate pot fi sintetizate astfel:

d. Doar 3 si 4 e. Nici una.

Alegeti varianta corecta.

Doar 1 si 2 Doar 1, 2 si 3. Doar 1, 3 si 4. Toate. Nici una. Alegeti varianta corecta.

d. Nivelului de incredere oferit de controlul intern, nivelul de pregatire a

personalului, calitatea managementului, climatul de munca existent.

Indicati afirmatia incorecta.

Indicati afirmatia eronata.

sisteme care trebuie sa cuprinda:

si pentru cat timp?

ANS: A 29. Printre riscurile generate de tehnologia informationala se afla si:

Doar 1 si 2. Doar 2 si 3 Doar 2 si 4. Toate

Alegeti varianta corecta.

Indicati varianta corecta. a. 8. b. 5. c. 7. d. 6.

ANS: B 32. Despre analiza riscurilor se poate spune ca:

Indicati afirmatia eronata.

pentru clasa 2 de senzitivitate la care se adauga:

Doar 1 si 2. Doar 1, 2 si 3. Doar 1, 2 si 4. Toate Nici una. Alegeti varianta corecta.

ANS: C 36. Minimizarea riscurilor se poate realiza pe urmatoarele cai: a. b. c. d. e.

configurare a retelei. Indicati afirmatia eronata.

acestor masuri. Indicati afirmatia eronata.

Indicati afirmatia eronata.

1, 2, 3, 4. 1, 3, 2, 4. 3, 2, 1, 4. 3, 2 ,4, 1. Indicati varianta corecta independent de acordurile gramaticale.

ANS: B 44. Securitatea tehnologiilor informatice (TI) presupune: a. b. c. d.

Confidentialitate. Integritate. Vigilenta. Conformitate cu legislatia.

Indicati afirmatia incorecta.

organizatiei. c. Control si feed-back. Indicati afirmatia eronata.

Doar 1 si 2. Doar 2 si 3. Doar 1, 2 si 3. Doar 3 si 4. Nici una. Alegeti varianta corecta.

Teoretic, este posibil ca dintre afirmatiile de mai sus sa fie adevarate

Doar 1. Doar 2. Amandoua. Nici una. Alegeti varianta corecta

Doar 1 si 2. Doar 1, 2 si 3. Doar 1, 2 si 4. Toate. Nici una. Alegeti varianta corecta.

ANS: B 50. Controlul accesului presupune printre altele: a. b. c. d.

Indicati afirmatia eronata.

programe de ofensiva se poate spune ca:

ANS: A 55. Auditul aplicatiei presupune printre altele si urmatoarele:

a. Controlul conceperii aplicatiei. b. Controlul acuratetei, integritatii si completitudinii intrarilor, prelucrarilor si

Indicati afirmatia eronata.

auditorul va trebui sa verifice:

Indicati afirmatia eronata.

si instalat sigur? Se realizeaza periodic misiuni de audit ale sistemului?

ANS: D 60. Politica de securitate presupune printre altele si elaborarea: a. b. c. d.

ANS: B 61. Printre altele politica de securitate se refera la:

Doar 1 si 2 Doar 2 si 3 Doar 2, 3 si 4 Doar 3 si 4 Nici una. Alegeti varianta corecta

Indicati afirmatia eronata.

utilizatori auditorul va verifica:

managementul verifica periodic executarea acestor controale.