Professional Documents
Culture Documents
Isaca.2passeasy - Cism.practice - Test.2022 Nov 16.by - Barton.126q.vceen - LT
Isaca.2passeasy - Cism.practice - Test.2022 Nov 16.by - Barton.126q.vceen - LT
https://www.2passeasy.com/dumps/CISM/
NAUJAS KLAUSIMAS 1
Kai asmeninė informacija perduodama tinklais, PRIVALO būti tinkamai kontroliuojama:
A. pokyčių valdytojai B.
privatumo apsauga C.
sutikimas dėl duomenų perdavimo
D. šifravimo įrenginys
Atsakymas: B
Paaiškinimas:
Privatumo apsauga būtina siekiant užtikrinti, kad gaunančioji šalis turėtų tinkamą asmens duomenų apsaugos lygį. Pokyčių valdymas pirmiausia saugo tik informaciją, o ne asmenų privatumą. Sutikimas yra
viena iš apsaugos priemonių, kurios reikalaujama dažnai, bet ne visada. Šifravimas yra būdas pasiekti faktinį valdymą, tačiau įrenginių valdymas gali neužtikrinti tinkamos privatumo apsaugos ir. todėl
yra dalinis atsakymas.
NAUJAS KLAUSIMAS 2
Kai organizacija įgyvendina informacijos saugumo valdymo programą, jos direktorių valdyba turėtų būti atsakinga už:
Atsakymas: C
Paaiškinimas:
Direktorių valdyba turėtų nustatyti strateginę programos kryptį, kad ji būtų sinchronizuota su įmonės vizija ir verslo tikslais. Valdyba turi įtraukti valdymo programą į bendrą įmonės verslo strategiją.
Informacijos saugumo politiką geriausiai gali parengti kas nors, pavyzdžiui, saugos vadovas, turintis kompetencijos, kad būtų užtikrinta politikos pusiausvyra, apimtis ir dėmesys. Mokymo ir informuotumo
didinimo programas geriausiai gali atlikti saugumo valdymo ir mokymo personalas, siekdamas užtikrinti, kad mokymas vyktų tiksliai ir būtų laikomasi geriausios praktikos. Atitikties auditą geriausia
patikėti vidaus ir išorės auditoriams, kad jie pateiktų objektyvią programos apžvalgą ir tai, kaip ji atitinka teisės aktų ir teisės aktų reikalavimus.
NAUJAS 3 KLAUSIMAS
Kokie būtų didžiausi saugumo pavojai naudojant belaidžio vietinio tinklo (LAN) technologiją?
Atsakymas: C
Paaiškinimas:
Nesąžiningas prieigos taškas apsimetė kaip teisėtas prieigos taškas Rizika yra ta, kad teisėti vartotojai gali prisijungti per šį prieigos tašką ir stebėti savo srautą. Visi kiti pasirinkimai nepriklauso nuo
belaidžio vietinio tinklo (LAN) technologijos naudojimo.
NAUJAS 4 KLAUSIMAS
Kuris iš šių dalykų GERIAUSIAI užtikrintų informacijos saugumo valdymo sėkmę organizacijoje?
Atsakymas: A
Paaiškinimas:
Iniciatyvinio komiteto, kuris tvirtina visus saugumo projektus, buvimas būtų gero valdymo programos požymis. Įstatymų ir taisyklių laikymasis yra valdymo komiteto atsakomybės dalis, tačiau tai nėra išsamus
atsakymas. Sąmoningumo ugdymas yra svarbus visais lygmenimis bet kokioje terpėje, taip pat gero valdymo rodiklis. Tačiau jam turi vadovautis ir jį kaip saugumo projektą patvirtinti valdymo komitetas.
NAUJAS 5 KLAUSIMAS
Žvelgiant iš informacijos saugumo vadovo perspektyvos, kokia tiesioginė nauda iš aiškiai apibrėžtų vaidmenų ir pareigų?
Atsakymas: D
Paaiškinimas:
Be aiškiai apibrėžtų vaidmenų ir pareigų, negali būti ir atsakomybės. Pasirinkimas A yra neteisingas, nes norint laikytis politikos pirmiausia reikia tinkamai apibrėžtos atskaitomybės, todėl tai yra šalutinis
produktas. B pasirinkimas yra neteisingas, nes žmonės gali būti paskirti atlikti netinkamai suplanuotas procedūras. C pasirinkimas yra neteisingas, nes pareigų atskyrimas nėra automatinis, o vaidmenys vis tiek
gali apimti prieštaringų pareigų.
NAUJAS 6 KLAUSIMAS
Kas atsakingas už tai, kad informacija būtų suskirstyta į kategorijas ir būtų imtasi konkrečių apsaugos priemonių?
A. Apsaugos pareigūnas B.
Vyresnioji vadovybė C.
Galutinis vartotojas
D. Saugotojas
Atsakymas: B
Paaiškinimas:
Įprastas visų saugumo aspektų administravimas yra deleguotas, tačiau aukščiausia vadovybė turi išlaikyti bendrą atsakomybę. Apsaugos pareigūnas palaiko ir įgyvendina vyresniosios vadovybės informacijos
saugumą. Galutinis vartotojas neatlieka skirstymo į kategorijas. Saugotojas palaiko ir įgyvendina informacijos saugumo priemones, kaip nurodyta.
NAUJAS 7 KLAUSIMAS
Verslo padalinys ketina įdiegti naują technologiją taip, kad ji pažeis esamus informacijos saugumo standartus. Kokių neatidėliotinų veiksmų turėtų imtis informacijos saugos vadovas?
Atsakymas: C
Paaiškinimas:
Tokio pobūdžio konfliktų sprendimas turėtų būti pagrįstas patikima standarto išimčių leidimo arba neleidimo sąnaudų ir naudos rizikos analize. Bendras sprendimas niekada neturėtų būti priimtas neatlikus tokios
analizės. Esamų standartų vykdymas yra gera praktika; tačiau standartai turi būti nuolat tikrinami atsižvelgiant į naujas technologijas ir jų keliamą pavojų. Standartai neturėtų būti keičiami be tinkamo rizikos
įvertinimo.
NAUJAS 8 KLAUSIMAS
Informacijos saugumo pareigūnas atkreipė dėmesį į naują reglamentą, skirtą apsaugoti informaciją, apdorojamą atliekant tam tikros rūšies sandorius. Pareigūnas PIRMA turėtų:
Atsakymas: C
Paaiškinimas:
Jei organizacija laikosi reikalavimų taikydama esamas kontrolės priemones, būtinybė atlikti kitus su reglamentu susijusius darbus nėra prioritetas. Kiti pasirinkimai yra tinkami ir svarbūs; tačiau tai yra
vėlesni veiksmai ir priklausys nuo to, ar yra kontrolės spragų.
NAUJAS 9 KLAUSIMAS
Kas turėtų būti atsakingas už prieigos prie programos duomenų teisių įgyvendinimą?
A. Duomenų
savininkai B. Verslo procesų savininkai
C. Saugumo valdymo komitetas D. Saugumo
administratoriai
Atsakymas: D
Paaiškinimas:
Saugos administratoriai, kaip saugotojai, yra atsakingi už prieigos prie duomenų teisių įgyvendinimą. Duomenų savininkai yra atsakingi už šių prieigos teisių patvirtinimą. Verslo procesų savininkai kartais taip pat
yra duomenų savininkai ir nebūtų atsakingi už vykdymą. Saugumo valdymo komitetas nebūtų atsakingas už vykdymą.
NAUJAS KLAUSIMAS 10
Informacijos saugumo politikos vykdymą atsako:
Atsakymas: C
Paaiškinimas:
Už informacijos saugumo politikos vykdymą visų pirma atsakingas vyriausiasis informacijos saugumo pareigūnas (CISO). Direktorių valdyba ir vykdomoji vadovybė turėtų užtikrinti,
kad saugumo politika atitiktų įmonės tikslus. Vyriausiasis informacijos pareigūnas (CIO) ir vyriausiasis atitikties pareigūnas (CCO) dalyvauja įgyvendinant politiką, tačiau nėra už tai
tiesiogiai atsakingi.
NAUJAS 10 KLAUSIMAS
Kurį iš šių dalykų SVARBIAUSIAI reikia turėti omenyje vertinant informacijos vertę?
Atsakymas: A
Paaiškinimas:
Galimi finansiniai nuostoliai visada yra pagrindinis veiksnys vertinant informacijos vertę. Pasirinkimai B, C ir D gali būti veiksniai, bet ne pagrindinis veiksnys.
NAUJAS 14 KLAUSIMAS
Išsamiausias saugumo sprendimų verslo pavyzdys.
Atsakymas: A
Paaiškinimas:
Vadovybė pirmiausia domisi saugumo sprendimais, kurie gali sumažinti riziką ekonomiškiausiu būdu. Kad būtų patenkinti organizacijos poreikiai, verslo atvejis turėtų apimti
tinkamus saugos sprendimus, atitinkančius organizacijos strategiją.
NAUJAS 16 KLAUSIMAS
Ką visų pirma naudotų saugos vadybininkas, siūlydamas įgyvendinti saugos sprendimą?
Atsakymas: C
Paaiškinimas:
Informacijos saugumo vadovas turi teikti pirmenybę kontrolėms, pagrįstoms rizikos valdymu ir organizacijos reikalavimais. Informacijos saugos vadovas turi pažvelgti į įvairių
kontrolės priemonių išlaidas ir palyginti jas su nauda, kurią organizacija gaus iš saugos sprendimo. Informacijos saugos vadovas turi turėti žinių apie verslo atvejų
plėtrą, kad parodytų įvairių valdiklių sąnaudas ir naudą. Visi kiti pasirinkimai yra papildomi.
NAUJAS 21 KLAUSIMAS
Kuris iš šių dalykų yra SVARBIAUSIA prielaida norint sukurti informacijos saugumo valdymą organizacijoje?
A. Vadovybės įsipareigojimas B.
Informacijos saugumo sistema C.
Informacijos saugumo organizacinė struktūra D.
Informacijos saugumo politika
Atsakymas: A
Paaiškinimas:
Vyresniosios vadovybės įsipareigojimas yra būtinas, kad kiekvienas kitas elementas būtų sėkmingas. Be vyresniosios vadovybės įsipareigojimo, kiti elementai organizacijoje
greičiausiai bus ignoruojami.
NAUJAS 26 KLAUSIMAS
Kuri iš toliau pateiktos informacijos yra SVARBIAUSIA įtraukti į informacijos saugos standartą?
A. Sukūrimo data B.
Autoriaus vardas C.
Atsakymas: D
Paaiškinimas:
Paskutinė peržiūros data patvirtina standarto valiutą, patvirtindama, kad vadovybė peržiūrėjo standartą, kad įsitikintų, jog niekas nepasikeitė aplinkoje, dėl ko reikėtų atnaujinti
standartą. Autoriaus pavardė, sukūrimo ir juodraščio datos nėra tokios svarbios.
NAUJAS 28 KLAUSIMAS
Kurią informaciją reikia įtraukti į strateginį informacijos saugumo planą SVARBIAUSIA?
Atsakymas: B
Paaiškinimas:
Svarbiausia nupiešti ateities viziją ir tada nubraižyti kelių žemėlapį nuo sustojimo iki norimos ateities būsenos. Darbuotojai, kapitalo investicijos ir misija – visa tai kyla iš šio fondo.
NAUJAS KLAUSIMAS 32
Saugumo technologijos turėtų būti parenkamos VISŲ pirma atsižvelgiant į:
Atsakymas: A
Paaiškinimas:
Svarbiausias vertinimo kriterijus tinkamai parenkant bet kokią saugumo technologiją yra jos gebėjimas sumažinti arba pašalinti verslo riziką. Investicijos į saugumo technologijas
turėtų būti pagrįstos bendra jų verte, palyginti su jų sąnaudomis; vertę galima įrodyti rizikos mažinimo požiūriu. Tai turėtų būti svarbesnė už tai, ar jie naudoja naujas ar
egzotiškas technologijas, ar kaip jos vertinamos prekybos leidiniuose.
NAUJAS KLAUSIMAS 35
Vyresnysis vadovybės įsipareigojimas ir parama informacijos saugumui GERIAUSIAI gali būti gauti per pristatymus, kurie:
Atsakymas: D
Paaiškinimas:
Vyresnioji vadovybė siekia suprasti verslo pagrindą investuoti į saugumą. Tai geriausiai galima pasiekti susiejant saugumą su pagrindiniais verslo tikslais. Vyresnioji
vadovybė nebus taip suinteresuota technine rizika ar sėkmingų atakų pavyzdžiais, jei jie nebus susieti su poveikiu verslo aplinkai ir tikslams. Geriausios pramonės
praktikos yra svarbios vyresniajai vadovybei, tačiau vėlgi, vyresnioji vadovybė jai suteiks reikiamą svarbą, kai ji bus pristatyta kaip pagrindiniai verslo tikslai.
NAUJAS KLAUSIMAS 39
Efektyvų IT valdymą GERIAUSIAI užtikrina:
Atsakymas: D
Paaiškinimas:
Veiksmingas IT valdymas turi būti iniciatyva iš viršaus į apačią, kai valdyba ir vykdomoji vadovybė nustato aiškią politiką, tikslus ir uždavinius bei užtikrina nuolatinę jų stebėseną.
Dėmesys reguliavimo klausimams ir valdymo prioritetams gali būti neefektyvus taikant metodą „iš apačios į viršų“. IT valdymas turi įtakos visai organizacijai ir nėra
susijęs tik su IT valdymu. Teisės skyrius yra bendro valdymo proceso dalis, tačiau negali prisiimti visos atsakomybės.
NAUJAS KLAUSIMAS 41
Norėdamas pagrįsti poreikį investuoti į teismo ekspertizės įrankį, informacijos saugos vadovas PIRMA turėtų:
Atsakymas: D
Paaiškinimas:
Bet kokia investicija turi būti peržiūrėta, siekiant nustatyti, ar ji yra ekonomiškai efektyvi ir palaiko organizacijos strategiją. Svarbu apžvelgti tokio įrankio teikiamas funkcijas ir
funkcionalumą bei pateikti pavyzdžius situacijų, kai įrankis būtų naudingas, tačiau tai iškyla pagrindžiant investicijas ir investicijų grąžą organizacijai.
NAUJAS 42 KLAUSIMAS
Organizacija nusprendė perduoti didžiąją dalį IT skyriaus paslaugų tiekėjui, kuris priegloboja serverius užsienio šalyje. Kuris iš toliau nurodytų saugumo aspektų yra pats svarbiausias?
A. Kilmės šalies įstatymai ir teisės aktai gali būti neįgyvendinami užsienio šalyje. B. Pranešimas apie
saugumo pažeidimą gali būti atidėtas dėl laiko skirtumo C. Reikėtų įdiegti papildomus
tinklo įsibrovimo aptikimo jutiklius, dėl kurių atsiranda papildomas cos D. Bendrovė gali prarasti fizinę serverio
kontrolę ir negalėti stebėti serverio fizinės saugos padėties
Atsakymas: A
Paaiškinimas:
Įmonei taikomi vietiniai šalies, kurioje ji gyvena, įstatymai ir teisės aktai, net jei įmonė nusprendžia pateikti serverius tiekėjui, kuris serverius talpina užsienio šalyje. Galimas įmonei
taikomų vietinių įstatymų pažeidimas gali būti nepripažintas arba ištaisytas (ty patrauktas baudžiamojon atsakomybėn) dėl taikomų vietinių įstatymų stokos ir nesugebėjimo užtikrinti
įstatymų. B variantas nėra problema. Laiko skirtumas neveikia 24 valandas per parą, 7 dienas per savaitę. Pranešimams perduoti paprastai galima naudoti pranešimų gaviklius,
mobiliuosius telefonus, telefonus ir kt. C variantas yra įveikiama problema, kuriai reikia papildomo finansavimo, tačiau ją galima išspręsti. D variantas yra problema, kurią galima
išspręsti. Daugelis prieglobos paslaugų teikėjų standartizavo taikomą fizinės saugos lygį. Reguliarus fizinis auditas arba SAS 70 ataskaita gali išspręsti tokias problemas.
NAUJAS 44 KLAUSIMAS
Kuriame programų kūrimo proceso etape iš pradžių turėtų įsitraukti saugos skyrius?
A. Kai prašoma B.
Atliekant
testavimą C.
Programuojant D. Pagal detalius reikalavimus
Atsakymas: D
Paaiškinimas:
Informacijos saugumas turi būti integruotas į programos dizaino reikalavimus. Tai taip pat turėtų būti organizacijos informacijos saugumo valdymo dalis. Programos savininkas
negali laiku pateikti užklausos dėl saugumo įtraukimo. Sistemos testavimo metu jau per vėlu, nes dėl reikalavimų jau susitarta. Kodo peržiūros yra galutinio kokybės užtikrinimo
proceso dalis.
NAUJAS KLAUSIMAS 48
Priimtinus informacijos saugumo rizikos lygius turėtų nustatyti:
A. teisinis
patarėjas B. saugumo
vadovai C. išorės
auditorius D. die steering committe
Atsakymas: D
Paaiškinimas:
Vyresnioji vadovybė, atstovaujama valdymo komitete, turi galutinę atsakomybę nustatyti, kokio lygio riziką organizacija nori prisiimti.
Teisės patarėjas, išorės auditoriai ir saugumo vadovybė negali priimti tokio sprendimo.
NAUJAS KLAUSIMAS 51
Įgyvendindama informacijos saugumo valdymą, organizacija PIRMA turėtų:
Atsakymas: C
Paaiškinimas:
Pirmas žingsnis įgyvendinant informacijos saugumo valdymą – apibrėžti saugumo strategiją, pagal kurią nustatomos saugumo bazinės linijos. Tinkamų saugumo standartų
priėmimas, rizikos įvertinimas ir saugumo politikos įgyvendinimas yra žingsniai, atitinkantys saugumo strategijos apibrėžimą.
NAUJAS KLAUSIMAS 52
Gauti vyresniosios vadovybės paramą šiltos aikštelės įrengimui GERIAUSIAI galima pasiekti:
Atsakymas: C
Paaiškinimas:
Verslo atvejo kūrimas, įskaitant kaštų ir naudos analizę, bus labiausiai įtikinantis vadovybę. Rizikos įvertinimas gali būti įtrauktas į verslo lengvumą, tačiau pats savaime nebus toks veiksmingas siekiant
gauti vadovybės paramą. Vadovybės informavimas apie teisės aktų reikalavimus gali padėti sulaukti paramos iniciatyvoms, tačiau atsižvelgiant į tai, kad daugiau nei pusė organizacijų nesilaiko
reglamentų, daugeliu atvejų to nepakaks. Geri rodikliai, kurie užtikrina, kad iniciatyvos atitinka organizacinius tikslus, taip pat bus naudingi, tačiau jų nepakanka vadovybei gauti.
NAUJAS 56 KLAUSIMAS
Duomenų savininkai turi sukurti saugią aplinką, kad užtikrintų operacijos konfidencialumą, vientisumą ir prieinamumą. Tai yra informacijos saugumo pavyzdys:
A. bazinis
B. strategija
C. procedur D.
polic
Atsakymas: D
Paaiškinimas:
Politika yra aukšto lygio organizacijos įsitikinimų, tikslų, vaidmenų ir uždavinių pareiškimas. Pagrindinės sąlygos apima minimalų saugos lygį visoje organizacijoje.
Informacijos saugumo strategija suderina informacijos saugos programą su verslo tikslais, o ne pateikia kontrolės pareiškimus. Procedūra yra žingsnis po žingsnio procesas, kaip bus įgyvendinama
politika ir standartai.
NAUJAS KLAUSIMAS 57
Kas galiausiai yra atsakingas už organizacijos informaciją?
A. Duomenų saugotojas
Atsakymas: C
Paaiškinimas:
Direktorių valdyba yra galutinai atsakinga už organizacijos informaciją ir jai pavesta reaguoti į klausimus, turinčius įtakos jos apsaugai. Duomenų saugotojas yra atsakingas už duomenų
priežiūrą ir apsaugą. Paprastai šį vaidmenį atlieka IT skyrius. Vyriausiasis informacijos saugumo pareigūnas (CISO) yra atsakingas už saugumą ir vyresniosios vadovybės nurodymų vykdymą. Vyriausiasis
informacijos pareigūnas (CIO) yra atsakingas už informacines technologijas organizacijoje ir nėra galutinai atsakingas už organizacijos informaciją.
NAUJAS KLAUSIMAS 62
Siekiant veiksmingo strateginio saugumo iniciatyvų derinimo, svarbu, kad:
Atsakymas: B
Paaiškinimas:
Svarbu pasiekti sutarimą dėl rizikos ir kontrolės bei gauti informaciją iš įvairių organizacinių subjektų, nes saugumas turi būti suderintas su organizacijos poreikiais. Valdymo komiteto vadovybės rotacija
nepadeda pasiekti strateginio derinimo. Verslo strategijos atnaujinimas nelemia strateginio saugumo iniciatyvų derinimo. Procedūras ir standartus neprivalo tvirtinti visų skyrių vadovai
NAUJAS 65 KLAUSIMAS
Organizacijos direktorių valdyba sužinojo apie naujausius teisės aktus, kuriuose reikalaujama, kad pramonės organizacijos imtųsi konkrečių apsaugos priemonių, kad apsaugotų konfidencialią klientų
informaciją. Kokių veiksmų valdyba turėtų imtis toliau?
Atsakymas: C
Paaiškinimas:
Už informacijos saugumo valdymą atsako direktorių valdyba ir vykdomoji vadovybė. Šiuo atveju tinkamas veiksmas yra užtikrinti, kad būtų parengtas reikalingų apsaugos priemonių įgyvendinimo
planas, ir reikalauti atnaujinti tą įgyvendinimą.
NAUJAS 66 KLAUSIMAS
Kurie iš šių dalykų retai keičiami atsižvelgiant į technologinius pokyčius?
A. Standartai
B. Procedūros C.
Politika D.
Gairės
Atsakymas: C
Paaiškinimas:
Politika yra aukšto lygio tikslų pareiškimas. Dėl savo aukšto lygio pobūdžio ir plačių veikimo principų jie yra mažiau periodiškai keičiami. Saugumo standartai ir procedūros bei gairės turi būti
peržiūrėtos ir atnaujintos atsižvelgiant į technologijų pokyčių poveikį.
NAUJAS KLAUSIMAS 69
Įmonės el. prekybos svetainėje geras teisinis pareiškimas dėl duomenų privatumo turėtų apimti:
A. pareiškimas apie tai, ką įmonė darys su renkama informacija B. atsisakymas dėl informacijos
tikslumo jos svetainėje C. techninė informacija apie tai, kaip informacija yra
apsaugota D. pareiškimas apie tai, kur informacija yra talpinama.
Atsakymas: A
Paaiškinimas:
Daugumoje privatumo įstatymų ir taisyklių reikalaujama atskleisti, kaip informacija bus naudojama. Atsakomybės apribojimas nėra būtinas, nes jis nesusijęs su duomenų privatumu.
Techninė informacija apie informacijos apsaugą nėra privaloma skelbti svetainėje ir iš tikrųjų nebūtų pageidautina. Neprivaloma nurodyti, kur talpinama informacija.
NAUJAS KLAUSIMAS 71
Kuri iš šių priežasčių yra GERIAUSIA atlikti poveikio verslui analizę (BIA)?
Atsakymas: A
Paaiškinimas:
BIA yra įtraukta į dabartinės rizikos būklės nustatymo procesą ir padeda nustatyti priimtinus poveikio lygius bei esamą atsako lygį, todėl atliekama spragų analizė. Dėl to gali būti sudarytas
tinkamas biudžetas, tačiau tai nėra priežastis atlikti analizę. Analizės atlikimas gali atitikti norminius reikalavimus, sąskaita nėra priežastis ją atlikti. Poveikio verslui analizė yra proceso dalis,
tačiau taip pat reikia nustatyti poreikius ar priimtiną poveikį ar atsaką.
NAUJAS KLAUSIMAS 75
Kuris iš toliau nurodytų dalykų yra GERIAUSIAS pateisinimas įtikinti vadovybę investuoti į informacijos saugumo programą?
A. Išlaidų mažinimas
B. Įmonės politikos laikymasis C. Verslo turto
apsauga
D. Padidėjusi verslo vertė
Atsakymas: D
Paaiškinimas:
Investavimas į informacijos saugumo programą turėtų padidinti verslo vertę ir pasitikėjimą. Sąnaudų mažinimas pats savaime retai motyvuoja įgyvendinti informacijos saugumo programą.
Atitiktis yra antraeilė verslo vertės atžvilgiu. Verslo vertės didinimas gali apimti verslo turto apsaugą.
NAUJAS KLAUSIMAS 76
Kuris iš šių dalykų turėtų būti PIRMAS žingsnis kuriant informacijos saugumo planą?
Atsakymas: B
Paaiškinimas:
Prieš vertindamas techninius pažeidžiamumus ar saugumo suvokimo lygius, informacijos saugos vadovas turi suprasti dabartinę verslo strategiją ir kryptį. Poveikio verslui analizė turėtų būti atlikta prieš
kuriant veiklos tęstinumo planą, tačiau tai nebūtų tinkamas pirmasis žingsnis kuriant informacijos saugumo strategiją, nes joje pagrindinis dėmesys skiriamas prieinamumui.
NAUJAS KLAUSIMAS 80
Kuriant informacijos saugumo ketvirtinę ataskaitą vadovybei, SVARBIAUSIAS elementas, į kurį reikia atsižvelgti, turėtų būti:
Atsakymas: C
Paaiškinimas:
Ryšys su verslo tikslais yra svarbiausias elementas, į kurį atsižvelgtų vadovybė. Informacijos saugumo metrika turėtų būti vertinama atsižvelgiant į poveikį valdymo tikslams. Nors ir svarbios, reikalingos
saugumo žinios nebūtų pirmasis elementas, į kurį reikia atsižvelgti. Pagrindas pagal informacijos saugos metriką bus svarstomas vėliau proceso metu.
NAUJAS 84 KLAUSIMAS
Kuris iš šių dalykų atspindi PAGRINDINĮ privatumo taisyklių akcentą?
Atsakymas: D
Paaiškinimas:
Identifikuojamų asmens duomenų apsaugai daugiausia dėmesio skiriama naujausiuose privatumo reglamentuose, tokiuose kaip Sveikatos draudimo perkeliamumo ir atskaitomybės įstatymas (HIPAA).
Duomenų gavyba yra priimtinas ad hoc ataskaitų teikimo įrankis; ji gali kelti grėsmę privatumui tik pažeidžiant reguliavimo institucijos nuostatas. Tapatybės vagystė yra galima privatumo
pažeidimų pasekmė, bet ne pagrindinis daugelio taisyklių akcentas. Žmogaus teisės sprendžia privatumo klausimus, bet nėra pagrindinis reglamentų akcentas.
NAUJAS KLAUSIMAS 86
Laikinas kai kurių stebėjimo procesų išjungimas, net jei tai pagrįsta operacine rizika, informacijos saugos vadovui gali būti nepriimtina, jei:
Atsakymas: A
Paaiškinimas:
Stebėjimo procesai taip pat reikalingi, kad būtų užtikrintas organizacijos įstatymų ir kitų teisės aktų vykdymas, todėl informacijos saugos vadovas privalės laikytis įstatymų. Pasirinkimai B ir C vertinami kaip
operacinės rizikos dalis. Vargu ar D pasirinkimas bus toks svarbus reguliavimo teisės aktų pažeidimas. Operacinės rizikos priėmimas viršija B, C ir D pasirinkimus.
NAUJAS 88 KLAUSIMAS
Kuris iš šių dalykų būtų naudingiausias siekiant suderinti informacijos saugumą ir organizacijos tikslus?
Atsakymas: C
Paaiškinimas:
Saugumo programa, įgalinanti verslo veiklą, būtų labiausiai naudinga siekiant suderinti informacijos saugumą ir organizacijos tikslus. Visi kiti pasirinkimai yra saugos programos dalis ir atskirai bei
tiesiogiai nepadėtų tiek, kiek saugumo programa.
NAUJAS 93 KLAUSIMAS
Kuriant informacijos saugumo programą, koks yra naudingiausias informacijos šaltinis, norint nustatyti turimus išteklius?
A. Kvalifikacijos testas
B. Pareigybių aprašymai
C. Organizacinė schema D.
Įgūdžių aprašas
Atsakymas: D
Paaiškinimas:
Įgūdžių aprašas padėtų nustatyti turimus išteklius, spragas ir mokymo reikalavimus, reikalingus plėtoti išteklius. Kvalifikacijos tikrinimas yra naudingas, bet tik atsižvelgiant į konkrečius
techninius įgūdžius. Pareigybių aprašymai nebūtų tokie naudingi, nes jie gali būti pasenę arba nepakankamai išsamūs. Organizacinėje schemoje nepateikta išsami informacija, reikalinga
šiai veiklai reikalingų išteklių nustatymui.
NAUJAS 98 KLAUSIMAS
Kuris iš šių būtų SVARBIAUSIAS informacijos saugumo valdymo programos tikslas?
Atsakymas: D
Paaiškinimas:
Pagrindinis informacijos saugumo valdymo tikslas turėtų būti suinteresuotųjų šalių pasitikėjimo informacijos vientisumu ugdymas. Vidaus kontrolės mechanizmų peržiūra labiau
susijusi su auditu, o visiškas rizikos veiksnių pašalinimas nėra praktiškas ar įmanomas. Aktyvus dalyvavimas priimant verslo sprendimus reiškia, kad saugumo poreikiai diktuoja verslo
poreikius, nors iš tikrųjų yra priešingai. Dalyvavimas priimant sprendimus svarbus tik siekiant užtikrinti verslo duomenų vientisumą, kad duomenimis būtų galima pasitikėti.
NAUJAS KLAUSIMAS 99
Naudingiausias būdas apibūdinti informacijos saugumo strategijos tikslus yra:
Atsakymas: A
Paaiškinimas:
Saugumo strategija paprastai apims daugybę problemų, procesų, technologijų ir rezultatų, kuriuos geriausiai galima apibūdinti norimų savybių ir atributų rinkiniu. Kontrolės tikslai
kuriami po strategijos ir politikos sukūrimo. IT sistemų susiejimas su pagrindiniais verslo procesais nesprendžia strategijos problemų. Skaičiuojant metinių nuostolių lūkesčius
informacijos saugumo strategijoje nebūtų apibūdinti tikslai.
Atsakymas: A
Paaiškinimas:
Pirmas žingsnis siekiant pagerinti atskaitomybę – į pareigų aprašymą įtraukti su saugumu susijusias pareigas. Tai dokumentuoja, ko tikisi ir patvirtina organizacija. Kiti
pasirinkimai – tai metodai, užtikrinantys, kad sistemos administratorius būtų apmokytas atlikti pareigų aprašyme nurodytas pareigas.
Atsakymas: C
Paaiškinimas:
Informacijos saugumo valdymo decentralizavimas paprastai leidžia geriau suderinti verslo padalinių poreikius. Paprastai jį administruoti brangiau, nes trūksta masto ekonomijos. Paslaugų
kokybės vienodumas kiekviename padalinyje skiriasi.
Atsakymas: C
Paaiškinimas:
Norint gauti jų paramą, labai svarbu užtikrinti, kad saugos veikla ir toliau būtų suderinta ir paremtų verslo tikslus. Nors vyriausiojo vykdomojo pareigūno (CEO) prisidėjimas prie saugumo
politikos ir vyresniosios vadovybės patvirtinimas saugumo strategijoje užtikrina gerą matomumą ir rodo gerą toną viršuje, tai yra vienkartinis atskiras įvykis, kurį vyresnioji vadovybė gali greitai
pamiršti. . Darbuotojų saugumo supratimo mokymai neturės tiek daug įtakos vyresniosios vadovybės įsipareigojimams.
Atsakymas: C
Paaiškinimas:
Eskalavimo procese kritinėse situacijose turėtų dalyvauti informacijos saugos vadovas kaip pirmasis kontaktas, kad prireikus būtų imtasi atitinkamų eskalavimo veiksmų. Apie A, B ir D
pasirinkimus bus atitinkamai pranešta.
A. Saugumo metrika
B. Tinklo topologija C.
Saugumo architektūra D.
Procesų tobulinimo modeliai
Atsakymas: C
Paaiškinimas:
Saugumo architektūra paaiškina saugumo mechanizmų naudojimą ir ryšius. Saugumo metrika matuoja saugumo praktikos pagerėjimą, tačiau nepaaiškina saugumo technologijų
naudojimo ir sąsajų. Procesų tobulinimo modeliai ir tinklo topologijos diagramos taip pat neaprašo šių technologijų naudojimo ir sąsajų.
Atsakymas: D
Paaiškinimas:
Verslo atvejis rodo tiek tiesioginę, tiek netiesioginę naudą kartu su reikalingomis investicijomis ir laukiama grąža, todėl ją naudinga pateikti vyresniajai vadovybei. Investicijų grąža (ROD
suteiktų tik išlaidas, reikalingas tam, kad būtų išvengta specifinės rizikos, ir nesuteiktų kitos netiesioginės naudos, pvz., proceso tobulinimo ir mokymosi. Pažeidžiamumo vertinimas yra
labiau techninio pobūdžio ir leistų tik nustatyti ir įvertinti pažeidžiamumą. neteikia įžvalgų apie netiesioginę naudą. Tikėtina metinė nuostolių prognozė (ALE) nepasveria vienkartinio
prisijungimo (SSO) diegimo pranašumų, palyginti su įgyvendinimo išlaidomis.
Atsakymas: B
Paaiškinimas:
Vyriausiasis veiklos vadovas (COO) turi aukštą vietą organizacijoje ir turi daugiausiai žinių apie verslo operacijas ir tikslus. Vyriausiasis vidaus auditorius ir vyriausiasis teisės patarėjas yra
tinkami tokios valdymo grupės nariai. Tačiau iniciatyvinio komiteto kūrimo rėmimą turėtų inicijuoti asmuo, išmanantis verslo strategiją ir kryptį. Kadangi saugos vadybininkas ieško šios grupės
vadovybės, jie nėra geriausioje padėtyje prižiūrėti šios grupės formavimą.
Atsakymas: B
Paaiškinimas:
Rizikos vertinimas, įvertinimas ir poveikio analizė bus atskaitos taškas, kuriuo vadovybė atkreips dėmesį į informacijos saugumą. Visi kiti pasirinkimai bus atliekami įvertinus riziką.
A. užtikrinti, kad saugos procesai būtų nuoseklūs visoje organizacijoje B. užtikrinti bazinio
saugumo lygių įgyvendinimą visoje organizacijoje C. užtikrinti, kad saugos
procesai būtų visiškai dokumentuoti D. įgyvendinti pagrindinių
saugos proceso efektyvumo rodiklių stebėjimą.
Atsakymas: A
Paaiškinimas:
Pirmiausia organizacija turi pereiti nuo ad hoc prie kartojamų procesų. Tada organizacija turi dokumentuoti procesus ir įdiegti procesų stebėjimą bei matavimą. Pradinis saugos lygių nustatymas
nebūtinai padės tobulinti procesą, nes pagrindinis dėmesys pirmiausia skiriamas kontrolės tobulinimui. Organizacija turi standartizuoti procesus tiek prieš dokumentuojant, tiek prieš stebėdama
ir matuojant.
Atsakymas: D
Paaiškinimas:
Vykdomosios vadovybės patvirtinimas politikos forma suteikia kryptį ir supratimą. Įdiegus griežtesnę kontrolę, gali būti vengiama. Sąmoningumo ugdymas yra svarbus, bet turi būti grindžiamas
politika. Aktyvus stebėjimas neturės įtakos kultūrai visais lygmenimis.
Atsakymas: A
Paaiškinimas:
Likutinė rizika – tai rizika, kuri išlieka įgyvendinus veiksmingą rizikos valdymo programą; todėl, sumažinus šią sumą, pasiekiama priimtina rizika. Perduota rizika yra rizika, kurią prisiėmė trečioji šalis ir kuri
nebūtinai gali būti lygi minimaliai likutinei rizikai. Kontrolės rizika – tai rizika, kad kontrolė gali neapsaugoti / neaptikti incidento naudojant kontrolės efektyvumo priemonę. Įgimtos rizikos negalima sumažinti
iki minimumo.
Atsakymas: C
Paaiškinimas:
Informacijos ar turto vertės apskaičiavimas yra pirmasis rizikos analizės proceso žingsnis, siekiant nustatyti poveikį organizacijai, o tai yra galutinis tikslas.
Galimos rizikos įvertinimo žingsnis yra nustatyti, kiek produktyvumo galima prarasti ir kiek tai kainuotų. Žinant poveikį, jei tai konfidenciali
informacijos atskleidimas taip pat yra galimos rizikos įvertinimo žingsnis. Kiekvienos nustatytos grėsmės atsiradimo tikimybės matavimas yra grėsmės analizės žingsnis, taigi ir dalinis atsakymas.
Atsakymas: A
Paaiškinimas:
Rizikos žemėlapis arba pagrindinių grėsmių organizacijai makro įvertinimas yra paprastas pirmas žingsnis prieš atliekant rizikos vertinimą. Visų turimų rizikos informacijos šaltinių rinkimas yra rizikos
vertinimo dalis. C ir D pasirinkimai taip pat yra rizikos vertinimo proceso sudedamosios dalys, kurios atliekamos po grėsmių ir verslo žemėlapių sudarymo.
Atsakymas: B
Paaiškinimas:
Pagrindinės kontrolės priemonės pirmiausia sumažina riziką ir yra veiksmingiausios informacijos turtui apsaugoti. Kiti pasirinkimai gali būti galimų pagrindinių valdiklių pavyzdžiai.
Atsakymas: C
Paaiškinimas:
Kontrolės efektyvumas reikalauja, kad būtų patikrinta, ar kontrolės procesas veikė kaip numatyta. Tokie pavyzdžiai kaip dviguba kontrolė arba dvejopo įrašo buhalterija leidžia patikrinti ir užtikrinti, kad
procesas veikė taip, kaip numatyta. Valdymo tipas nėra svarbus, o pranešimas apie gedimą nėra lemiamas valdymo stiprumo. Patikimumas nėra valdymo stiprumo rodiklis; silpnos kontrolės priemonės
gali būti labai patikimos, net jei jos yra neveiksmingos.
Atsakymas: B
Paaiškinimas:
Geriausia rizikos valdymo strategija – sumažinti riziką iki priimtino lygio, nes taip bus atsižvelgta į organizacijos potraukį rizikuoti ir į tai, kad būtų nepraktiška pašalinti visos rizikos. Pasiekti pusiausvyrą tarp
rizikos ir organizacijos tikslų ne visada praktiška. Kuriant politiką reikia atsižvelgti į organizacinę riziką ir verslo tikslus. Gali būti protinga užtikrinti, kad vadovybė suprastų ir priimtų riziką, kurios ji nenori
sušvelninti, tačiau tai yra praktika ir to nepakanka, kad būtų galima laikyti strategiją.
Atsakymas: C
Paaiškinimas:
Rizikos registras yra daugiau nei paprastas sąrašas – jis turėtų būti naudojamas kaip priemonė užtikrinti išsamią dokumentaciją, periodinę visų rizikos elementų peržiūrą ir oficialų atnaujinimą įmonės IT
ir susijusioje organizacijoje. Rizikos nustatymas ir vaidmenų bei atsakomybės už jos mažinimą paskirstymas yra registro elementai. Grėsmių ir tikimybių nustatymas yra du rizikos matricoje apibrėžti
elementai, kurie skiriasi nuo platesnės rizikos registro turinio ir tikslo. Nors į registrą turėtų būti įtraukta metinė nuostolių prognozė (ALE), šis kiekybinis įvertinimas yra tik vienas visos rizikos analizės
programos elementas.
A. threa
B. los
C. vulnerabilit D.
tikimybė
Atsakymas: C
Paaiškinimas:
Įgyvendinus griežtesnę prevencinę kontrolę, pažeidžiamumas sumažinamas, bet ne grėsmės. Nuostoliai ir jų atsiradimo tikimybė negali būti pirmiausia arba tiesiogiai paveikti.
Atsakymas: C
Paaiškinimas:
Turtas turi būti inventorizuotas prieš atliekant bet kurį kitą pasirinkimą.
A. Medžių diagramos B.
Venno diagramos C.
Šilumos diagramos
D. Juostinės diagramos
Atsakymas: C
Paaiškinimas:
Mėsos diagramos, kartais vadinamos stabdžių lempučių diagramomis, greitai ir aiškiai parodo esamą ištaisymo pastangų būklę. Venno diagramos rodo ryšį tarp aibių; medžių diagramos yra
naudingos sprendimų analizei; ir juostinėse diagramose rodomas santykinis dydis.
A. periodiškai iš naujo vertinama, nes rizika gali būti padidinta iki nepriimtino lygio dėl peržiūrėtos sąlygos B. priimta visam laikui, nes
vadovybė jau išleido išteklius (laiką ir darbą), kad padarytų išvadą, kad rizikos lygis yra priimtinas C. išvengta kitą kartą, nes rizika vengimas suteikia geriausią
apsaugą įmonei D. pašalintas iš rizikos žurnalo, kai tik jis bus priimtas
Atsakymas: A
Paaiškinimas:
Rizikos prisiėmimas turėtų būti reguliariai peržiūrimas, siekiant užtikrinti, kad pradinio rizikos prisiėmimo loginis pagrindas vis dar galioja dabartiniame verslo kontekste. Pradinio rizikos
priėmimo pagrindas gali nebegalioti dėl pakeitimo (-ų) ir. taigi, rizikos negalima priimti visam laikui. Rizika yra neatsiejama verslo dalis, todėl pašalinti visą riziką yra nepraktiška ir brangu. Net rizika,
kuri buvo priimta, turėtų būti stebima, ar nesikeičia sąlygos, kurios gali pakeisti pradinį sprendimą.
Atsakymas: C
Paaiškinimas:
A. 0 dienų pažeidžiamumas B.
Kenkėjiška programinė įranga ir šnipinėjimo
programos C. Saugos dizaino
trūkumai D. Neteisinga konfigūracija ir trūksta naujinimų
Atsakymas: D
Paaiškinimas:
Tinklo pažeidžiamumo vertinimu siekiama nustatyti žinomus pažeidžiamumus, remiantis įprastomis klaidingomis konfigūracijomis ir trūkstamais naujinimais. 0 dienų pažeidžiamumai
pagal apibrėžimą anksčiau nebuvo žinomi, todėl jų negalima aptikti. Kenkėjiška programinė įranga ir šnipinėjimo programos paprastai sprendžiamos taikant antivirusinę ir šnipinėjimo
politiką. Saugumo projektavimo trūkumai reikalauja gilesnės analizės.
A. Apibrėžkite saugumo
metriką B. Atlikite rizikos vertinimą
C. Atlikite spragų analizę D.
Įsigykite saugos priemones
Atsakymas: B
Paaiškinimas:
Kuriant informacijos saugumo programą, rizikos įvertinimas yra labai svarbus siekiant nustatyti organizacijos poreikius ir parengti saugumo strategiją. Saugumo metrikų apibrėžimas,
spragų analizės atlikimas ir saugos įrankių įsigijimas yra visi tolesni svarstymai.
A. Rizikos vertinimas B.
Klasifikacija C.
Vertinimas D.
Rizikos mažinimas
Atsakymas: C
Paaiškinimas:
Vertinimas pirmiausia atliekamas siekiant nustatyti ir suprasti turtą, kuriam reikia apsaugos. Rizikos vertinimas atliekamas siekiant nustatyti ir kiekybiškai įvertinti informacijos turtui kylančias
grėsmes, kurios atrenkamos atliekant pirmąjį – vertinimo – žingsnį. Klasifikavimas ir rizikos mažinimas yra žingsniai po vertinimo.
A. Nieko, nes rizikos vertinimas buvo baigtas kuriant B. Turėtų būti atliktas
pažeidžiamumo vertinimas C. Reikėtų atlikti naują rizikos
vertinimą D. Turėtų būti peržiūrėta naujojo pardavėjo
SAS 70 II tipo ataskaita
Atsakymas: C
Paaiškinimas:
Rizikos vertinimo procesas yra nuolatinis ir bet kokie nustatyto proceso pakeitimai turėtų apimti naujos rizikos vertinimą. Nors SAS 70 ataskaitos peržiūra ir pažeidžiamumo įvertinimas gali
būti rizikos vertinimo sudedamosios dalys, nė vienas iš jų nėra pakankamas deramas patikrinimas.
Atsakymas: D
Paaiškinimas:
Serverio vertė turėtų būti pagrįsta jo pakeitimo kaina. Pradinė kaina gali labai skirtis nuo dabartinių išlaidų ir todėl ne tokia svarbi. Programinės įrangos vertė nėra problema,
nes ją galima atkurti iš atsarginės laikmenos. Visų su serveriu susijusių pavojų ALE neatspindi serverio vertės.
A. atlikti išsamų įsilaužėlių technikos organizacijos poveikio įvertinimą B. inicijuoti sąmoningumo ugdymo
mokymus siekiant kovoti su socialine inžinieriumi C. nedelsiant
patarti vyresniajai vadovybei dėl padidėjusios rizikos D. padidinti
stebėjimo veiklą, kad būtų galima anksti nustatyti įsibrovimą
Atsakymas: C
Paaiškinimas:
Informacija apie galimą reikšmingą naują riziką iš patikimų šaltinių turėtų būti pateikta vadovybei kartu su patarimais dėl veiksmų, kurių reikia imtis norint įveikti grėsmę.
Apsaugos vadovas turėtų įvertinti riziką, tačiau vyresnioji vadovybė turėtų būti nedelsiant informuota. Jei sąmoningumo ugdymo mokymai nevykdomi, gali būti
protinga pradėti informavimo kampaniją po pavojaus signalo. Taip pat turėtų būti sustiprinta stebėjimo veikla.
Atsakymas: B
Paaiškinimas:
Rizikos vertinimas turi būti atliekamas nuolat dėl organizacinių ir techninių pokyčių. Kad rizikos vertinimas būtų veiksmingas, turi būti atsižvelgta į visus reikšmingus
pokyčius.
Atsakymas: B
Paaiškinimas:
Atkūrimo taško tikslas (RPO) yra apdorojimo kontrolinis taškas, į kurį atkuriamos sistemos. Be duomenų savininkų, vyriausiasis operacijų pareigūnas (COO) yra labiausiai
išmanantis asmuo, priimantis šį sprendimą. Informacijos saugumo vadybininkui ar vidaus auditui būtų netikslinga nustatyti RPO, nes jie nėra tiesiogiai atsakingi už duomenis
ar operaciją.
Atsakymas: D
Paaiškinimas:
Struktūrinės užklausos kalbos (SQL) injekcija yra viena iš labiausiai paplitusių ir pavojingiausių žiniatinklio programų spragų. Buferio perpildymą ir lenktynių sąlygas labai sunku
rasti ir išnaudoti žiniatinklio programose. Paskirstytos paslaugų atsisakymo (DoS) atakos neturi nieko bendra su žiniatinklio programos kokybe.
A. Kontrolės
rizika B. Įgimta
rizika C. Rizika D.
Likutinė rizika
Atsakymas: D
Paaiškinimas:
Likutinė rizika suteikia vadovybei pakankamai informacijos, kad ji galėtų nuspręsti, kokį rizikos lygį organizacija nori priimti. Kontrolės rizika yra rizika, kad kontrolė gali nepavykti
išvengti nepageidaujamo įvykio. Rizika yra nepageidaujamo įvykio tikimybė. Įgimta rizika yra svarbus veiksnys, į kurį reikia atsižvelgti atliekant rizikos vertinimą.
Atsakymas: B
Paaiškinimas:
Rizika nuolat keičiasi. Anksčiau atliktas rizikos vertinimas negali apimti išmatuotos rizikos, atsiradusios po paskutinio vertinimo.
Nors vertinimas niekada negali būti tobulas ir jame visada yra klaidų, tai nėra svarbiausia periodinio pakartotinio vertinimo priežastis. Nepakanka to, kad kontrolė gali būti veiksmingesnė
siekiant sumažinti išlaidas. Galiausiai rizikos vertinimai neturėtų būti atliekami vien siekiant pagrįsti saugumo funkcijos egzistavimą.
Atsakymas: B
Paaiškinimas:
Nors visa tai yra svarbu, veiksmų punktų sąrašas naudojamas esamam rizikos lygiui sumažinti arba perkelti. Kiti variantai reikšmingai prisideda prie veiksmų įgyvendinimo.
Atsakymas: D
Paaiškinimas:
BIA yra esminis organizacijos veiklos tęstinumo plano komponentas; jame yra tiriamasis komponentas, skirtas atskleisti visus pažeidžiamumus, ir planavimo komponentas, skirtas
rizikos mažinimo strategijoms kurti. Tai pirmas esminis žingsnis planuojant veiklos tęstinumą. Bus atlikta kokybinė ir kiekybinė rizikos analizė, siekiant apibrėžti galimų gamtos ir
žmogaus sukeltų nepageidaujamų reiškinių keliamus pavojus asmenims, įmonėms ir vyriausybinėms įstaigoms.
Vertės priskyrimas turtui yra BIA proceso dalis. Plano įgyvendinimo sąnaudų ir finansinių nuostolių įvertinimas yra kita BIA dalis.
Atsakymas: D
Paaiškinimas:
Turto klasifikavimas turi būti atliekamas siekiant nustatyti turto jautrumą verslo veiklai kylančios rizikos požiūriu, kad būtų galima veiksmingai įgyvendinti proporcingas atsakomąsias
priemones. Nors jautriam turtui apsaugoti leidžiamos didesnės išlaidos ir visada tikslinga sumažinti kontrolės išlaidas, svarbiausia, kad kontrolė ir atsakomosios priemonės būtų
proporcingos rizikai, nes tai pateisins išlaidas. Pasirinkimas B yra svarbus, tačiau jis yra neišsamus atsakymas, nes jis neatsižvelgia į riziką. Todėl D pasirinkimas yra svarbiausias.
Atsakymas: C
Paaiškinimas:
Nors programinės įrangos vagystės, komunalinių paslaugų nutraukimas ir vidinis sukčiavimas yra reikšmingi, klientų pasitikėjimo praradimas yra labiausiai žalingas ir gali sukelti verslo žlugimą.
Atsakymas: C
Paaiškinimas:
Rizikos analizė turėtų atsižvelgti į galimą nuostolių dydį ir tikimybę. Tai galėtų apimti palyginimus su panašaus dydžio įmonių grupe. Ji neturėtų prisiimti vienodo lygio viso turto apsaugos, nes turtas gali turėti
skirtingus rizikos veiksnius. Nuostolių tikimybė neturėtų būti labiau akcentuojama nei nuostolių dydis; rizikos analizė visada turėtų būti vienodai nagrinėjama abiem atvejais.
Atsakymas: B
Paaiškinimas:
Pokyčių valdymo trūkumas yra rimtas trūkumas ir labai padidins informacijos saugumo riziką. Kadangi procedūros paprastai yra neautoritetinės, jų vykdymo trūkumas nėra pagrindinis rūpestis. Sistemos, kurias
kuria trečiųjų šalių pardavėjai, tampa įprastomis ir nesukelia saugumo rizikos padidėjimo tiek, kiek prastas pokyčių valdymas. Prastas pajėgumų valdymas nebūtinai gali kelti pavojų saugumui.
A. pardavimų padaliniai
B. duomenų bazės administrato
C. vyriausiasis informacijos pareigūnas (CIO).
D. pardavimo skyriaus vadovas
Atsakymas: D
Paaiškinimas:
Informacinio ištekliaus savininkas turėtų būti asmuo, turintis sprendimų priėmimo teisę skyriuje, kuris gauna daugiausia naudos iš turto. Šiuo atveju tai būtų pardavimo skyriaus vadovas. Organizacinis vienetas
negali būti turto savininkas, nes tai pašalina asmeninę atsakomybę. Duomenų bazės administratorius yra saugotojas. Vyriausiasis informacijos pareigūnas (CIO) nebūtų šios duomenų bazės savininkas, nes
CTO greičiausiai neturės žinių apie konkrečius pardavimo operacijų poreikius ir saugumo problemas.
A. organizacinis reikalavimas B.
informacinių sistemų reikalavimas C.
informacijos saugumo reikalavimas D.
tarptautinis standartas
Atsakymas: A
Paaiškinimas:
Organizaciniai reikalavimai turėtų nustatyti, kada rizika buvo sumažinta iki priimtino lygio. Informacinės sistemos ir informacijos saugumas neturėtų būti galutinis sprendimas. Kadangi kiekviena
organizacija yra unikali, tarptautiniai geriausios praktikos standartai nėra geriausias sprendimas.
Atsakymas: B
Paaiškinimas:
Politikos išimtys yra pateisinamos tais atvejais, kai atitiktis gali būti sudėtinga arba neįmanoma, o nesilaikymo rizika nusveria nauda.
Užsiėmimas nepateisina politikos išimčių, taip pat negali būti laikomasi reikalavimų. Vartotojo nepatogumai nėra priežastis automatiškai suteikti politikos išimtį.
Atsakymas: C
Paaiškinimas:
Organizacija gali nuspręsti gyventi su specifine rizika, nes apsisaugoti kainuotų daugiau nei galimo nuostolio vertė. Apsaugos priemonės turi atitikti rizikos lygį. Nors atsakomųjų priemonių taikymas gali būti
pernelyg sudėtingas, tai nėra pati įtikinamiausia priežastis. Mažai tikėtina, kad pasaulinė finansų institucija nepatirtų tokių atakų ir jų dažnumo neįmanoma numatyti.
A. Statinis IP adresas B.
Vidinio adreso vertimas C. Būsimo
darbuotojo biografijos patikrinimas D. Darbuotojų
informavimo sertifikavimo programa
Atsakymas: C
Paaiškinimas:
Kadangi ankstesni rezultatai yra tvirtas būsimos veiklos pranašumas, būsimų darbuotojų biografijos patikrinimai geriausiai apsaugo nuo atakų kilimo organizacijoje. Statinis IP adresas mažai padeda užkirsti
kelią vidinei atakai. Vidinio adreso vertimas naudojant nenukreipiamus adresus yra naudingas nuo išorinių atakų, bet ne nuo vidinių atakų. Pageidautini darbuotojai, patvirtinantys, kad susipažino su saugos
politika, tačiau tai negarantuoja, kad darbuotojai elgsis sąžiningai.
A. Darbuotojų pokalbiai
B. Grėsmės nustatymas
C. Turto identifikavimas ir vertinimas
D. Nustatytos rizikos tikimybės nustatymas
Atsakymas: C
Paaiškinimas:
Pirmasis rizikos vertinimo metodikos žingsnis yra viso įmonės turto sistemos apibūdinimas arba identifikavimas ir įvertinimas, siekiant apibrėžti vertinimo ribas. Interviu yra vertinga priemonė norint
nustatyti kokybinę informaciją apie organizacijos tikslus ir toleranciją rizikai.
Interviu naudojami tolesniuose etapuose. Grėsmės nustatomos vėliau ir neturėtų būti atliekamos prieš inventorizaciją, nes daugelis galimų grėsmių nebus taikomos, jei nėra turto, kuriam gresia pavojus.
Tikimybė nustatoma vėliau rizikos vertinimo procese.
Atsakymas: B
Paaiškinimas:
Duomenų klasifikavimo politika apibrėžia apsaugos lygį, kuris turi būti suteiktas kiekvienai duomenų kategorijai. Be šio įpareigoto apsaugos lygio reitingavimo sunku nustatyti, kokie prieigos valdikliai
ar šifravimo lygiai turėtų būti taikomi. Priimtino naudojimo politika labiau orientuota į galutinį vartotoją, todėl konkrečiai nenurodyta, kokios kontrolės priemonės turėtų būti taikomos, kad informacija būtų
tinkamai apsaugota.
Atsakymas: B
Paaiškinimas:
Poveikio verslui analizė (BIA) nustato galimą rizikos rezultatą ir yra būtina norint nustatyti atitinkamas kontrolės išlaidas. Rizikos analizės procesas pateikia išsamius duomenis, tačiau nenustato
konkrečių išteklių rizikai sumažinti, kaip tai daro BIA. Rizikos valdymo subalansuotų rezultatų kortelė yra tikslo pasiekimo matavimo priemonė. Rizika pagrįsta audito programa naudojama siekiant sutelkti
audito procesą į organizacijai svarbiausias sritis.
A. rizikos valdymą iki priimtino lygio, atitinkančio tikslus ir tikslą B. priimti komercinio saugos produkto
teikiamą saugumo poziciją C. įgyvendinti mokymo programą, skirtą ugdyti asmenis informacijos
apsaugos ir rizikos klausimais D. rizikos priemonių valdymas, siekiant užtikrinti, kad jie įvertintų visus informacijos
apsaugos pažeidžiamumas
Atsakymas: A
Paaiškinimas:
Rizikos valdymas – tai visos rizikos organizacijoje nustatymas, priimtino rizikos lygio nustatymas ir efektyvus rizikos valdymas, kuris gali apimti mažinimą arba perdavimą. Komercinių saugos produktų teikiamos
saugumo pozicijos pripažinimas yra metodas, kuris apsiribotų technologijų komponentais ir gali neapsiriboti visomis organizacijos verslo operacijomis. Švietimas yra bendro rizikos valdymo proceso dalis.
Priemonės gali apsiriboti technologijomis ir nepašalintų su technologijomis nesusijusių pavojų.
Atsakymas: B
Paaiškinimas:
Pranešant apie incidentą vyresniajai vadovybei, pirminė informacija, kurią reikia perduoti, turėtų apimti paaiškinimą, kas atsitiko ir kaip pažeidimas buvo pašalintas. Saugos žurnalų suvestinė būtų per daug
techninė, kad būtų galima pranešti vyresniajai vadovybei. Būtų pageidautina atlikti panašių atakų poveikio analizę ir verslo pagrindą, siekiant pagerinti kontrolę; tačiau apie tai bus pranešta vėliau proceso metu.
A. Vyresnysis vadovas B.
Apsaugos vadovas C.
Duomenų savininkas
D. Saugotojas
Atsakymas: C
Paaiškinimas:
Duomenų savininkas yra atsakingas už tinkamo duomenų klasifikavimo taikymą. Aukščiausioji vadovybė galiausiai yra atsakinga už organizaciją. Apsaugos pareigūnas yra atsakingas už apsaugos taikymą
pagal savininko nurodytą įslaptinimo lygį. Technologijų grupei duomenų savininkas perduoda duomenų saugojimą, tačiau grupė informacijos neskirsto.
Atsakymas: B
Paaiškinimas:
Visi pasirinkimai yra informacijos klasifikavimo pranašumai. Tačiau svarbiausias proceso privalumas yra nustatyti kontrolės priemones, kurios visais atvejais yra proporcingos rizikai.
A. remti įmonės verslo tikslus teikdama su sauga susijusią pagalbos paslaugą B. būti atsakinga už informacijos saugos
komandos nario informacijos saugumo pareigų nustatymą ir dokumentavimą C. užtikrinti, kad įmonės informacijos saugos politika atitiktų pasaulinė geriausia praktika
ir standartas D. užtikrina, kad informacijos saugumo lūkesčiai būtų perteikti darbuotojui
Atsakymas: A
Paaiškinimas:
Informacijos saugumo organizacija yra atsakinga už B ir D parinktis organizacijoje, tačiau tai nėra pagrindinė jos misija. Būtina peržiūrėti ir priimti atitinkamus standartus (C variantas). Pagrindinis
informacijos saugumo organizacijos tikslas yra užtikrinti, kad saugumas paremtų bendrus įmonės verslo tikslus.
Atsakymas: C
Paaiškinimas:
Sėkminga rizikos valdymo praktika sumažina liekamąją organizacijos riziką. Pasirinkimas A yra neteisingas, nes tai, kad bendra rizika buvo kiekybiškai įvertinta, nebūtinai rodo sėkmingą rizikos valdymo
praktiką. Pasirinkimas B yra neteisingas, nes praktiškai neįmanoma pašalinti būdingos rizikos.
D pasirinkimas yra neteisingas, nes nors kontrolės rizikos susiejimas su verslu gali pagerinti atskaitomybę, tai nėra taip pageidautina, kaip sumažinti likutinę riziką.
Atsakymas: B
Paaiškinimas:
Išvardinus visus galimus scenarijus, kurie gali atsirasti, kartu su grėsmėmis ir poveikiu, bus geriau apibrėžta rizika ir lengviau priimti pagrįstą diskusiją ir priimti sprendimą. Vien apskaičiuotų našumo
nuostolių, informacinio turto vertės ir pažeidžiamumo įvertinimų nepakaktų.
Atsakymas: C
Paaiškinimas:
Turto identifikavimas ir įvertinimas yra pagrindas rizikos valdymo pastangoms, nes tai susiję su turto kritiškumu ir jautrumu. Valdymo parama visada yra svarbi, bet nėra svarbi nustatant rizikos valdymo
pastangų proporcingumą. ALE skaičiavimai galioja tik tuo atveju, jei turtas iš pradžių buvo nustatytas ir tinkamai įvertintas. Motyvai, priemonės ir galimybės jau turėtų būti įtrauktos į rizikos vertinimą.
Sėkminga informacijos saugumo valdymo programa turėtų naudoti kurį iš šių dalykų, kad nustatytų išteklių, skirtų poveikio mažinimui, kiekį?
Atsakymas: A
Paaiškinimas:
Rizikos analizės rezultatai yra naudingiausias ir išsamiausias informacijos šaltinis nustatant, kiek išteklių reikia skirti poveikio mažinimui. Audito ataskaitos išvadose gali būti neatsižvelgta į
visas rizikas ir neatsižvelgiama į metinių nuostolių dažnumą. Prasiskverbimo testo rezultatai suteikia tik ribotą pavojaus vaizdą, o IT biudžetas nėra susietas su rizika, su kuria susiduria
organizacija.
Atsakymas: C
Paaiškinimas:
Rizikos niekada negalima visiškai pašalinti. Perkeliant riziką ji išnyksta, pavyzdžiui, perkant draudimą, kad draudimo bendrovė galėtų prisiimti riziką. Papildomų kontrolės priemonių
įgyvendinimas yra rizikos mažinimo pavyzdys. Nieko nedarymas, kad sumažintų riziką, būtų rizikos prisiėmimo pavyzdys.
Atsakymas: C
Paaiškinimas:
Vaidmenimis pagrįsti prieigos valdikliai padeda užtikrinti, kad vartotojai turėtų prieigą tik prie failų ir sistemų, tinkamų jų darbo vaidmeniui. Pažeidimų žurnalai yra detektyviniai ir neapsaugo
nuo neteisėtos prieigos. Pagrindiniai saugumo standartai neapsaugo neteisėtos prieigos. Išėjimo tvarka priklauso nuo tinkamos vaidmenimis pagrįstos prieigos.
A. Biometriniai
duomenys B. Simetriniai šifravimo
raktai C. Secure Sockets Layer (SSL) pagrįstas autentifikavimas
D. Dviejų veiksnių autentifikavimas
Atsakymas: D
Paaiškinimas:
Dviejų veiksnių autentifikavimui reikia daugiau nei vieno vartotojo autentifikavimo tipo. Nors biometriniai duomenys suteikia unikalų autentifikavimą, jis pats savaime nėra stiprus, nebent
kartu su ja naudojamas PIN kodas ar koks nors kitas autentifikavimo veiksnys. Pats biometrinis autentifikavimas taip pat gali būti kartojamas. Simetrinis šifravimo metodas, kuris naudoja tą patį
slaptąjį raktą duomenims užšifruoti ir iššifruoti, nėra tipiškas galutinių vartotojų autentifikavimo mechanizmas. Šis privatus raktas vis tiek gali būti pažeistas. SSL yra standartinė saugos
technologija, skirta sukurti šifruotą ryšį tarp žiniatinklio serverio ir naršyklės. SSL nėra autentifikavimo mechanizmas. Jei SSL naudojamas su kliento sertifikatu ir slaptažodžiu, tai būtų dviejų
veiksnių autentifikavimas.
A. IP klastojimas
B. Vidurio žmogaus ataka C.
Atmetimas D.
Trojos arklys
Atsakymas: D
Paaiškinimas:
Trojos arklys yra programa, kuri suteikia užpuolikui visišką užkrėsto kompiuterio kontrolę, todėl užpuolikas gali užgrobti, nukopijuoti ar pakeisti informaciją po to, kai vartotojas patvirtina savo
tapatybę. IP klaidinimas neveiks, nes IP nenaudojamas kaip autentifikavimo mechanizmas. Vidutinio žmogaus atakos neįmanomos, jei naudojamas SSL su kliento pusės sertifikatais. Atsisakymas mažai
tikėtinas, nes kliento sertifikatai autentifikuoja vartotoją.
Atsakymas: C
Paaiškinimas:
Pagrindinė rizika, susijusi su tarpine programine įranga kliento ir serverio aplinkoje, yra ta, kad sistemos vientisumas gali būti neigiamai paveiktas dėl pačios tarpinės programinės įrangos, skirtos
palaikyti kelias vienu metu sąveikaujančias operacines aplinkas, paskirties. Jei trūksta tinkamos programinės įrangos duomenų ar programų perkeliamumui valdyti keliose platformose, gali būti
prarasti duomenys arba programos vientisumas. Visi kiti pasirinkimai yra mažiau tikėtina.
A. Testavimas
B. Iniciavimas
C.
Projektavimas D. Kūrimas
Atsakymas: C
Paaiškinimas:
Projektavimo etape apibrėžiami saugumo patikros punktai ir parengiamas bandymų planas. Testavimo etapas yra per vėlus, nes sistema jau buvo sukurta ir vyksta gamybos bandymai. Pradiniame etape
pripažįstamas pagrindinis projekto saugumo tikslas. Kūrimas yra kodavimo etapas ir per vėlu apsvarstyti bandymų planus.
Atsakymas: C
Paaiškinimas:
Saugumo programos tikslų išdėstymas yra svarbiausias elementas, užtikrinantis atitikimą verslo tikslams. Kiti pasirinkimai yra saugumo politikos dalis, tačiau jie nėra tokie svarbūs.
A. Vidaus auditorius B.
Informacijos saugumo valdymas C. Iniciatyvinis
komitetas D. Infrastruktūros
valdymas
Atsakymas: C
Paaiškinimas:
Vyresnioji vadovybė, kuri yra saugumo valdymo komiteto dalis, gali geriausiai patvirtinti planus įdiegti informacijos saugumo valdymo sistemą. Vidaus auditorius yra antraeilis dalykas aukštesnės
vadovybės autoritetui ir įtakai. Informacijos saugumo valdymas neturėtų turėti įgaliojimų tvirtinti saugumo valdymo sistemos. Infrastruktūros valdymas nebus geriausioje padėtyje, nes jame daugiau
dėmesio skiriama technologijoms, o ne verslui.
Atsakymas: A
Paaiškinimas:
Mow užsakovas apsaugo slaptos informacijos saugojimą ir perdavimą leis informacijos saugos vadybininkui suprasti, kaip bus apsaugoti neskelbtini duomenys. B pasirinkimas yra svarbus, bet antraeilis
dalykas. C pasirinkimas yra neteisingas, nes saugos technologijos nėra vieninteliai komponentai, apsaugantys jautrią klientų informaciją. D pasirinkimas yra neteisingas, nes nepriklausoma saugumo
peržiūra gali neapimti analizės, kaip būtų apsaugota jautri klientų informacija.
A. sugadintas autentifikavimas
B. nepatvirtintas įvestis
C. kelių svetainių
scenarijus D. struktūrinės užklausos kalbos (SQL) injekcija
Atsakymas: A
Paaiškinimas:
Autentifikavimo procesas sugenda, nes, nors seansas galioja, programa turėtų iš naujo autentifikuoti, kai pakeičiami įvesties parametrai. Peržiūroje buvo pateikti galiojantys darbuotojų ID ir galiojanti
įvestis buvo apdorota. Problema yra pakartotinio autentifikavimo trūkumas, kai keičiami įvesties parametrai.
Šiuo atveju scenarijus keliose svetainėse nėra problema, nes ataka neperkeliama į jokio kito vartotojo naršyklę, kad būtų gauta išvestis. Struktūrinės užklausos kalbos (SQL) įvedimas nėra problema, nes
įvestis pateikiama kaip galiojantis darbuotojo ID ir SQL užklausos neįvedamos, kad būtų pateikta išvestis.
Atsakymas: A
Paaiškinimas:
Automatinis slaptažodžių sinchronizavimas sumažina bendrą slaptažodžių nustatymo iš naujo administracinį krūvį. Tai nepadidina kelių pakopų sistemų saugumo, neleidžia rečiau keisti slaptažodžių ir
nesumažina dviejų veiksnių autentifikavimo poreikio.
Atsakymas: A
Paaiškinimas:
Šifravimo rakto valdymas turi būti integruotas į programos dizaino reikalavimus. Sistemų testavimo ir diegimo metu būtų per vėlu, nes dėl reikalavimų jau susitarta. Kodo peržiūros yra galutinio kokybės
užtikrinimo (QA) proceso dalis ir taip pat būtų per vėlu.
A. Lengvas montavimas
B. Gaminio dokumentacija C.
Galimas palaikymas D.
Papildomos sistemos išlaidos
Atsakymas: D
Paaiškinimas:
Produktų stebėjimas gali turėti didelį poveikį serverių ir tinklų sistemos sąnaudoms. Produkto dokumentacija, pagalba telefonu ir montavimo paprastumas, nors visa tai svarbu, būtų antraeiliai
dalykai.
A. Biometrinis autentifikavimas B.
Įterptasis steganografinis C. Dviejų
veiksnių autentifikavimas D.
Įterptasis skaitmeninis parašas
Atsakymas: D
Paaiškinimas:
Skaitmeniniai parašai užtikrina, kad perduota informacija gali būti priskirta nurodytam siuntėjui; tai suteikia neatmetimą. Steganografiniai metodai naudojami pranešimams ar duomenims kituose failuose
paslėpti. Biometrinis ir dviejų veiksnių autentifikavimas paprastai nenaudojamas interneto duomenų perdavimui apsaugoti.
A. Tinklo jungiklis B.
Žiniatinklio serveris
C. Duomenų bazės serveris
Atsakymas: B
Paaiškinimas:
Žiniatinklio serveris paprastai turi būti demilitarizuotoje zonoje (DMZ), kad apsaugotų vidinį tinklą. Duomenų bazėse ir failų / spausdinimo serveriuose gali būti konfidencialių arba vertingų duomenų, todėl
jie visada turi būti dedami į vidinį tinklą, o ne į DMZ, kuris gali būti pažeistas. Jungikliai gali sujungti DMZ su kitu tinklu, bet techniškai nėra DMZ tinklo segmente.
A. Ganto diagrama
B. Krioklio diagrama
C. Kritinis kelias D.
Greitas taikomųjų programų kūrimas (RAD)
Atsakymas: C
Paaiškinimas:
Kritinio kelio metodas yra veiksmingiausias norint nustatyti, kiek laiko užtruks projektas. Krioklio diagrama naudojama norint suprasti vieno proceso eigą į kitą.
Ganto diagrama palengvina tinkamą išteklių įvertinimą ir paskirstymą. Rapid Application Development (RAD) metodas naudojamas kaip pagalbinė priemonė, palengvinanti ir paspartinanti sistemų kūrimą.
Atsakymas: D
Paaiškinimas:
Informacijos saugos vadovas turi įtikinti žmogiškųjų išteklių skyrių, kad visiems darbuotojams reikia mokymų apie saugumą. Biudžeto sumetimai yra daugiau apskaitos funkcija. Žmogiškųjų išteklių
skyrius įsitrauks, kai įsitikins, kad reikia mokymų apie saugumą. Įdarbinus IT išmanančius darbuotojus, gali atsirasti naujų darbuotojų, geriau išmanančių informacijos saugumą, tačiau tai nepakeičia kitų
darbuotojų mokymo reikalavimų. Periodiškas rizikos vertinimas gali būti susijęs su žmogiškųjų išteklių skyriaus funkcija arba ne.
Atsakymas: A
Paaiškinimas:
Tikslų kūrimas iš dalies gali būti naudojamas kaip informacijos saugumo valdymo efektyvumo matavimo šaltinis, kuris prisideda prie bendro valdymo. Bendras tikslų supratimas ir suderinamumas su
taikomais standartais yra naudingi, tačiau tai nėra pagrindinės priežastys, kodėl reikia aiškiai apibrėžtų tikslų. Valdymo supratimas yra svarbus, bet pats savaime nesuteiks valdymo struktūros.
A. Ugniasienės konfigūravimas
Atsakymas: D
Paaiškinimas:
Jei raktai yra netinkamose rankose, dokumentus bus galima skaityti nepriklausomai nuo to, kur jie yra tinkle. A pasirinkimas yra neteisingas, nes ugniasienės gali būti puikiai sukonfigūruotos,
bet jei raktai patenka į kitą pusę, jie netrukdys iššifruoti dokumento. Pasirinkimas B yra neteisingas, nes net ir lengviems šifravimo algoritmams reikia pakankamai išteklių, kad juos sulaužytų,
o šifravimo raktus galima lengvai naudoti. C pasirinkimas yra neteisingas, nes programos „priekinių durų“ valdikliai gali būti apeiti tiesiogiai pasiekiant duomenis.
A. Pataisų valdymas B.
Pakeitimų valdymas C.
Saugumo pagrindai D.
Virusų aptikimas
Atsakymas: B
Paaiškinimas:
Pokyčių valdymas kontroliuoja pakeitimų įvedimo į sistemas procesą. Tai dažnai yra taškas, kai atsiranda silpnumas. Pataisų valdymas apima programinės įrangos trūkumų taisymą ir būtinai
vyktų pakeitimų valdymo procedūromis. Saugos bazinės linijos pateikia minimalius rekomenduojamus parametrus ir netrukdo nustatyti valdymo trūkumų. Virusų aptikimas yra veiksminga
priemonė, tačiau daugiausia dėmesio skiriama kenkėjiškam kodui iš išorinių šaltinių ir tik toms programoms, kurios yra prisijungusios.
Atsakymas: B
Paaiškinimas:
Kietųjų diskų šifravimas apsaugo nuo neteisėtos prieigos prie nešiojamojo kompiuterio net tada, kai nešiojamasis kompiuteris bus pamestas arba pavogtas. Ryžtingas įsilaužėlis gali apeiti
tvirtą
autentifikavimą slaptažodžiu. Daugiafaktorinį autentifikavimą galima apeiti pašalinus standųjį diską ir įdėjus jį į kitą nešiojamąjį kompiuterį. Tinklo duomenų atsarginės kopijos neužkerta kelio
prieigai, o greičiau atkuriamos praradus duomenis.
A. Pataisų valdymas B.
Pokyčių valdymas C. Saugumo
pagrindai D. Įsigijimo
valdymas
Atsakymas: A
Paaiškinimas:
Pataisų valdymas apima programinės įrangos trūkumų taisymą ir padeda užtikrinti, kad naujai nustatyti išnaudojimai būtų sušvelninti laiku. Pokyčių valdymas kontroliuoja pakeitimų
įvedimo į sistemas procesą. Saugos bazinės linijos pateikia minimalius rekomenduojamus nustatymus. Įsigijimo valdymas kontroliuoja pirkimo procesą.
Atsakymas: A
Paaiškinimas:
Užblokuotų atakų skaičius rodo, ar ugniasienė veikia taip, kaip numatyta. Išmestų paketų skaičius nebūtinai rodo efektyvumo lygį. Užkardos taisyklių skaičius ir vidutinis pralaidumas nėra
veiksmingi matavimai.
A. Pataisų valdymas B.
Pakeitimų valdymas C. Saugumo
pagrindai D. Konfigūracijos
valdymas
Atsakymas: A
Paaiškinimas:
Pataisų valdymas ištaiso aptiktas silpnybes, taikydamas pataisą (pataisą) pradiniam programos kodui. Pokyčių valdymas kontroliuoja pakeitimų įvedimo į sistemas procesą. Saugos bazinės linijos pateikia
minimalius rekomenduojamus nustatymus. Konfigūracijos valdymas kontroliuoja gamybos aplinkos naujinimus.
A. Šifravimas pirmiausia gavėjo privačiu raktu, o antrasis – viešuoju siuntėjo raktu B. Šifravimas
pirmiausia siuntėjo privačiu raktu, o antrasis – gavėjo viešuoju raktu C. Šifravimas pirmiausia siuntėjo
privačiu raktu ir antrasis iššifravimas siuntėjo viešuoju raktu D. Šifravimas pirmiausia siuntėjo viešuoju raktu
raktas ir antrasis pagal gavėjo privatų raktą
Atsakymas: B
Paaiškinimas:
Šifravimas privačiu siuntėjo raktu užtikrina autentifikavimą. Galėdamas iššifruoti naudodamas siuntėjo viešąjį raktą, gavėjas žinotų, kad pranešimą siunčia tik siuntėjas, o siuntėjas negali paneigti / atmesti
pranešimo. Antra, šifruojant siuntėjo viešuoju raktu, tik siuntėjas galės iššifruoti pranešimą ir užtikrinamas konfidencialumas. Privatus gavėjo raktas yra privatus gavėjui ir siuntėjas negali jo turėti šifravimui.
Panašiai gavėjas neturės privataus siuntėjo rakto, kad iššifruotų antrojo lygio šifravimą. Kai šifruojama pirmiausia siuntėjo privačiu raktu ir. antra, iššifruojant siuntėjo viešuoju raktu, konfidencialumas
neužtikrinamas, nes pranešimą gali iššifruoti bet kas, naudodamas siuntėjo viešąjį raktą. Gavėjo privatus raktas nebūtų pasiekiamas siuntėjui antrojo lygio šifravimui. Panašiai siuntėjo privatus raktas nebūtų
pasiekiamas gavėjui, kad galėtų iššifruoti pranešimą.
Atsakymas: D
Paaiškinimas:
Veiklos rizikos vertinimas, finansinių nusikaltimų metrika ir pajėgumų valdymas gali papildyti informacijos saugumo sistemą, tačiau pagrindinis komponentas yra tik veiklos tęstinumo valdymas.
A. stiprus slaptažodis B.
skaitmeninis turi
C. simetrinis šifravimas D.
skaitmeninis parašas
Atsakymas: D
Paaiškinimas:
Skaitmeniniams parašams naudojama privataus ir viešojo raktų pora, patvirtinanti abiejų šalių autentiškumą. Turinio, kuriuo keičiamasi, vientisumas kontroliuojamas maišos mechanizmu, kuris yra
pasirašytas besikeičiančios šalies privačiu raktu. Skaitmeninė maiša pati savaime padeda užtikrinti turinio vientisumą, bet ne neatmetimą.
Simetrinis šifravimas nepadės neatsisakyti, nes raktus visada dalijasi šalys. Stiprūs slaptažodžiai tik užtikrina autentifikavimą sistemoje ir negali būti naudojami siekiant neatsisakyti, kai dalyvauja dvi ar
daugiau šalių.
A. duomenų šifravimas
B. skaitmeninis parašas
C. stiprus slaptažodis D.
dviejų veiksnių autentifikavimas
Atsakymas: D
Paaiškinimas:
Dviejų veiksnių autentifikavimas naudojant stiprius slaptažodžius kartu su saugos žetonais užtikrina aukščiausią saugumo lygį. Duomenų šifravimas, skaitmeniniai parašai ir stiprūs slaptažodžiai
nesuteikia tokio pat apsaugos lygio.
A. Maršrutizatorius
B. Ugniasienė
C. Pašto
perdavimas D. Autentifikavimo serveris
Atsakymas: C
Paaiškinimas:
Pašto relė paprastai turėtų būti demilitarizuotoje zonoje (DMZ), kad apsaugotų vidinį tinklą. Autentifikavimo serveris dėl savo jautrumo visada turėtų būti dedamas į vidinį tinklą, o ne į DMZ, kuris
gali būti pažeistas. Ir maršrutizatoriai, ir ugniasienės gali sujungti DMZ su kitu tinklu, tačiau techniškai nėra DMZ tinklo segmente.
Atsakymas: C
Paaiškinimas:
Statistinėmis anomalijomis pagrįsta įsibrovimų aptikimo sistema (stat IDS) renka duomenis iš įprasto srauto ir nustato bazinę liniją. Tada jis periodiškai atrenka tinklo veiklą pagal statistinius
metodus ir lygina pavyzdžius su pradine linija. Kai veikla yra už pradinio parametro ribų (iškarpymo lygio), IDS praneša administratoriui. Pagrindiniai kintamieji gali apimti pagrindinio kompiuterio
atminties arba centrinio procesoriaus (CPU) naudojimą, tinklo paketų tipus ir paketų kiekius.
Jei vartotojų ar sistemų veiksmai tinkle labai skiriasi, atsižvelgiant į mažo aktyvumo ir įnirtingo paketų mainų periodus, statistinis IDS gali būti netinkamas, nes dramatiškas svyravimas iš vieno lygio į kitą
beveik neabejotinai sukels klaidingus pavojaus signalus. Šis trūkumas turės didžiausią įtaką IT sistemų veikimui. Dėl statinių IDS operacijų pobūdžio (ty jos turi nuolat bandyti suderinti veiklos modelius
su pradiniais parametrais), stat IDS reikalauja daug daugiau pridėtinių išlaidų ir apdorojimo nei parašais pagrįstos versijos. Dėl statistikos IDS pobūdžio, remiantis statistika ir duomenų palyginimu su
pradiniais parametrais, šio tipo IDS gali neaptikti nedidelių sistemos kintamųjų pakeitimų ir gali sukelti daug klaidingų teigiamų rezultatų. D pasirinkimas yra neteisingas; kadangi statistinis IDS
gali stebėti kelis sistemos kintamuosius, jis gali aptikti naujų tipų kintamuosius, atsekdamas bet kokios rūšies neįprastą veiklą.
Atsakymas: A
Paaiškinimas:
Žmonės yra silpniausia saugumo įgyvendinimo grandis, o sąmoningumas sumažintų šią riziką. Vykdant saugumo supratimo ir mokymo programas, atskiri darbuotojai gali būti informuoti ir
supažindinti su įvairiomis saugumo strategijomis ir kitomis saugumo temomis, taip užtikrinant, kad kiekvienas asmuo laikytųsi reikalavimų. Įstatymais ir reglamentais taip pat siekiama sumažinti
riziką žmonėms. Informuoti verslo padalinius apie saugumo strategiją geriausia per valdymo komiteto posėdžius ar kitus forumus.
A. visas personalas
B. informacinių sistemų personalas C.
informacinių sistemų apsaugos personalas D.
funkcinis personalas
Atsakymas: A
Paaiškinimas:
Visi organizacijos darbuotojai yra atsakingi už informacinių sistemų saugumo užtikrinimą – tai gali būti netiesioginis personalas, pvz., fizinės saugos darbuotojai. Informacinių sistemų saugumas
negali būti vien informacinių sistemų personalo atsakomybė, nes jie negali užtikrinti saugumo. Informacinių sistemų saugumas negali būti vien informacinių sistemų apsaugos personalo
atsakomybė, nes jie negali užtikrinti saugumo. Informacinių sistemų saugumas negali būti atsakingas vien tik funkcionuojantiems darbuotojams, nes jie negali užtikrinti saugumo.
Koks yra tinkamas operacinės sistemos (OS) pataisų atnaujinimo dažnis gamybos serveriuose?
Atsakymas: D
Paaiškinimas:
Pataisymai turėtų būti taikomi kiekvieną kartą, kai išleidžiami svarbūs saugos naujinimai. Jie neturėtų būti atidėti, kad sutaptų su kitais suplanuotais diegimais ar priežiūra. Dėl galimybės
sukurti sistemos gedimą, jie neturėtų būti diegiami kritiniais programos veiklos laikotarpiais, pvz., mėnesio pabaigoje arba ketvirčio pabaigoje.
Atsakymas: C
Paaiškinimas:
Informacijos saugumo bazinės linijos kūrimas padeda apibrėžti minimalų priimtiną saugumą, kuris bus įdiegtas siekiant apsaugoti informacijos išteklius pagal atitinkamus kritiškumo lygius. Prieš
nustatydamas saugumo bazę, informacijos saugos vadovas turi nustatyti saugumo politiką, nustatyti organizacijos informacijos išteklių kritiškumo lygius ir įvertinti rizikos aplinką, kurioje tie ištekliai
veikia.
A. Ribinis maršruto
parinktuvas B. Stiprus
šifravimas C. Į internetą
nukreipta ugniasienė D. Įsibrovimų aptikimo sistema (IDS)
Atsakymas: B
Paaiškinimas:
Stiprus šifravimas yra veiksmingiausia belaidžių tinklų apsaugos priemonė. Ribų maršrutizatoriai, įsibrovimų aptikimo sistemos (IDS) ir interneto ugniasienės nebūtų tokie veiksmingi.
Atsakymas: C
Paaiškinimas:
Paslaugų lygio sutartys (SLA) pateikia metriką, pagal kurią užsakomųjų paslaugų įmonės gali būti atsakingos. Tai svarbiau nei užsakomosios įmonės atsakomybės ribojimas, teisės nutraukti sąlyga arba
nekenksmingas susitarimas, susijęs su įsipareigojimais trečiosioms šalims.
Atsakymas: B
Paaiškinimas:
Pagrindinis viešojo rakto infrastruktūros (PKI) tikslas yra užtikrinti tvirtą autentifikavimą. Konfidencialumas yra PKI platinamų seansų raktų funkcija.
Aktyvus katalogas gali naudoti PKI autentifikavimui ir kitomis priemonėmis. Nors saugių lizdų sluoksnio (SSL) šifravimui reikia autentifikuoti raktų, tai nėra pagrindinė PKI diegimo priežastis.
Atsakymas: B
Paaiškinimas:
Iš anksto nustatytos galiojimo pabaigos datos yra veiksmingiausia priemonė laikinai panaikinti prieigą prie sistemos. Ne visada galima pasikliauti tuo, kad vadovai greitai atsiųs pranešimus apie
nutraukimą, o reikalavimas, kad kiekvienas asmuo pasirašytų saugumo patvirtinimą, šiuo atveju turėtų mažai įtakos.
A. stiprus autentifikavimas B.
IP apsaugos nuo sukčiavimo
filtras C. tinklo šifravimo protokolas D.
patikimų įrenginių prieigos sąrašai
Atsakymas: A
Paaiškinimas:
Stiprus autentifikavimas užtikrins tinkamą vartotojų tapatybę, o IP apsaugos nuo sukčiavimo tikslas yra įrenginys, o ne vartotojas. Šifravimo protokolas užtikrina duomenų konfidencialumą ir autentiškumą,
o patikimų įrenginių prieigos sąrašai yra lengvai išnaudojami suklastojus klientų tapatybę.
A. duomenų šifravimas
B. skaitmeninis parašas
C. stiprus slaptažodis D.
dviejų veiksnių autentifikavimas
Atsakymas: A
Paaiškinimas:
Šifravimas būtų tinkamiausias būdas užtikrinti klientų bendravimo su elektroninės prekybos programa konfidencialumą. Vien stiprių slaptažodžių nepakaktų, nes duomenis vis tiek būtų galima
perimti, o dviejų veiksnių autentifikavimas būtų nepraktiškas. Skaitmeniniai parašai nesuteiktų saugios ryšio priemonės. Daugumoje verslo klientų (B-to-C) žiniatinklio programų skaitmeninis parašas
taip pat nėra praktiškas sprendimas.
Atsakymas: C
Paaiškinimas:
Viešojo rakto infrastruktūros (PKI) naudojimas šiuo metu priimtas kaip saugiausias būdas perduoti el. pašto žinutes. PKI užtikrina konfidencialumą, vientisumą ir neatmetimą. Kiti pasirinkimai nėra tokie
saugūs kaip PKI metodai. Steganografija apima žinutės slėpimą vaizde.
Atsakymas: B
Paaiškinimas:
Viešojo rakto infrastruktūra (PKI) sujungia viešojo rakto šifravimą su patikima trečiąja šalimi, kad paskelbtų ir atšauktų skaitmeninius sertifikatus, kuriuose yra siuntėjo viešasis raktas. Siuntėjai gali
skaitmeniniu būdu pasirašyti pranešimą naudodami savo privatų raktą ir pridėti savo skaitmeninį sertifikatą (pateiktą patikimos trečiosios šalies). Šios charakteristikos leidžia siuntėjams užtikrinti
autentifikavimą, vientisumo patvirtinimą ir neatmetimą. Simetrinė kriptografija užtikrina konfidencialumą. Sutrynimas gali užtikrinti vientisumą ir konfidencialumą. Pranešimų autentifikavimo kodai užtikrina
vientisumą.
Atsakymas: A
Paaiškinimas:
Prisijungimo reklamjuostės būtų rodomos kiekvieną kartą vartotojui prisijungus, o vartotojas turėtų perskaityti ir sutikti su tuo pačiu prieš naudodamasis ištekliais. Be to, žinutė perduodama raštu ir pateikiama
nuosekliai, todėl ji gali būti lengvai įgyvendinama bet kurioje organizacijoje. Tinklo naudotojai su sauga susijusius el. laiškus dažnai laiko „Šlamštu“ ir patys savaime neužtikrina, kad vartotojas sutiks
laikytis saugumo reikalavimų. Intraneto svetainės buvimas nepriverčia vartotojų prieiti prie jos ir skaityti informaciją. Informacijos saugumo politikos išplatinimas nepatvirtina, kad atskiras vartotojas perskaitė,
suprato ir sutiko laikytis jos reikalavimų, nebent tai būtų susiję su oficialiu patvirtinimu, pvz., vartotojo parašu, kad sutinkate.
Atsakymas: A
Paaiškinimas:
SQL injekcijos atakos įvyksta programos lygmenyje. Dauguma IPS pardavėjų aptiks bent jau pagrindinius SQL įterpimo rinkinius ir galės juos sustabdyti. IDS aptiks, bet netrukdys I. IIDS nežinos apie SQL
injekcijos problemas. Prieglobos ugniasienė, nesvarbu, ar ji yra žiniatinklio serveryje, ar duomenų bazės serveryje, leis prisijungti, nes ugniasienės netikrina paketų programos lygmenyje.
Atsakymas: A
Paaiškinimas:
Duomenų šifravimas virtualiame privačiame tinkle (VPN) užtikrina, kad perduota informacija nebūtų įskaitoma, net jei ji perimama. Ugniasienės ir maršrutizatoriai apsaugo prieigą prie duomenų išteklių tinkle
ir neapsaugo srauto viešajame tinkle. Biometrinis ir dviejų veiksnių autentifikavimas savaime netrukdo pranešimui perimti ir perskaityti.
A. vidinis tinklas
B. ugniasienė
aptarnauja C. išorinis
maršrutas D. pirminis domeno valdymas
Atsakymas: A
Paaiškinimas:
Vidiniame tinkle turi būti įdėtas intraneto serveris. Įdėjus jį ant išorinio maršruto parinktuvo, jis lieka neapsaugotas. Kadangi ugniasienės turi būti įdiegtos sustiprintuose serveriuose su įjungtomis minimaliomis
paslaugomis, intraneto serverio nedera laikyti tame pačiame fiziniame įrenginyje kaip ir ugniasienė. Panašiai pirminio domeno valdikliai paprastai nesidalija fiziniu įrenginiu kaip intraneto serveriu.
Atsakymas: D
Paaiškinimas:
Pirmoji saugumo nuskaitymo taisyklė – nieko nesulaužyti. Tai apima bet kokių veikiančių procesų nutraukimą. Atvirojo kodo įrankiai yra puikus šaltinis nuskaitymui. Nuskaitymas turėtų būti sutelktas
ir į bandomąją, ir į gamybinę aplinką, nes, jei būtų pažeista, bandomoji aplinka gali būti naudojama kaip platforma, iš kurios galima atakuoti gamybos serverius. Galiausiai, ekspozicijų nuskaitymo procesas
yra labiau spiralinis, o ne linijinis procesas.
A. Šifravimas B.
Skaitmeninis sertifikatas
C. Skaitmeninis parašas
D. I rišimo algoritmas
Atsakymas: A
Paaiškinimas:
Norint išsaugoti pranešimo konfidencialumą siunčiamo pranešimo metu, turėtų būti įdiegtas šifravimas. Pasirinkimai B ir C padeda tik autentifikuoti siuntėją ir gavėją.
D pasirinkimas užtikrina vientisumą.
A. Pataisų taikymas B.
Prieigos taisyklių keitimas C.
Techninės įrangos atnaujinimas
D. Failų atsarginių kopijų kūrimas
Atsakymas: D
Paaiškinimas:
Jei kenkėjiškas kodas iš karto neaptinkamas, jo atsarginė kopija greičiausiai bus sukurta atliekant įprastą atsarginės kopijos juostoje procesą. Vėliau aptiktas kodas gali būti ištrintas iš įrenginio, bet vis tiek lieka
neaptiktas atsarginėje juostoje. Bet koks vėlesnis atkūrimas naudojant tą juostą gali iš naujo įvesti kenkėjišką kodą. Pataisų taikymas, prieigos taisyklių keitimas ir techninės įrangos atnaujinimas sudėtingumo
lygio žymiai nepadidina.
Atsakymas: D
Paaiškinimas:
Metodika iliustruoja procesą ir suformuluoja pagrindą, kaip suderinti lūkesčius ir vertinimo vykdymą. Tai taip pat suteikia vaizdą apie tai, ko reikalaujama iš visų vertinime dalyvaujančių šalių. Nuorodos iš
kitų organizacijų yra svarbios, bet ne tokios svarbios kaip vertinimo metodika. Užduoties komandos ankstesnė patirtis nėra tokia svarbi, kaip naudojama metodika. Pavyzdiniai rezultatai nurodo tik
tai, kaip pateikiamas vertinimas, o ne procesas.
B. šifravimo stiprumas C.
autentifikavimo mechanizmas
D. duomenų saugykla
Atsakymas: A
Paaiškinimas:
Prieigos kontrolės matrica yra geriausias paslaugų lygio sutarties (SLA) duomenų konfidencialumo sąlygų atitikties rodiklis. Šifravimo stiprumas, autentifikavimo mechanizmas ir duomenų saugykla gali būti
apibrėžti SLA, tačiau tai nėra konfidencialumo atitikties rodikliai.
Atsakymas: C
Paaiškinimas:
Prieš suteikiant prieigą, turėtų būti surengti saugumo supratimo mokymai, siekiant užtikrinti, kad naujasis darbuotojas suprastų, jog saugumas yra sistemos ir verslo proceso dalis. Visi kiti
pasirinkimai reiškia, kad suteikus prieigą prie sistemos, rengiami saugumo supratimo mokymai, o tai gali tapti antriniu žingsniu.
Atsakymas: C
Paaiškinimas:
Konfigūracijos valdymas užtikrina didžiausią saugumo trūkumų tikimybę dėl netinkamos konfigūracijos ir netinkamo operacinės sistemos (OS) kodo atnaujinimo laiku.
A. Mantrapas
B. Biometrinis
užraktas C. Uždaros grandinės televizija (CCTV)
D. Apsaugos darbuotojas
Atsakymas: B
Paaiškinimas:
Biometrinis įrenginys užtikrins, kad prie duomenų centro galėtų prisijungti tik įgaliotas vartotojas. Mantrapai savaime nebūtų veiksmingi. Uždaros grandinės televizija (CCTV) ir apsaugos
darbuotojas užtikrina detektyvinę kontrolę, tačiau nebūtų tokie veiksmingi nustatant kiekvieno asmens prieigos teises.
Atsakymas: B
Paaiškinimas:
Susijungimas su kita organizacija arba jos įsigijimas daro didelį poveikį informacijos saugumo valdymo funkcijai, nes paveldimi nauji pažeidžiamumai ir rizika. Naujo biuro atidarymas, duomenų
centro perkėlimas į naują vietą arba tinklo perjungimas gali turėti informacijos saugumo pavojų, tačiau paprastai laikomasi įmonės saugumo politikos ir yra lengviau apsaugomi.
Atsakymas: D
Paaiškinimas:
Saugos procedūros dažnai turi būti dažnai keičiamos, kad neatsiliktų nuo programinės įrangos pokyčių. Kadangi procedūra yra kaip dokumentas, ji turi būti nuolat atnaujinama dažnai keičiantis
programinei įrangai. Saugos standartas, pvz., platformos bazinės linijos, apibrėžia elgesio ribas, o ne apdorojimo būdus; ji neturėtų keistis dažnai.
Aukšto lygio organizacijos tikslai, tokie kaip saugumo valdymas, paprastai būtų sprendžiami saugumo politikoje.
Atsakymas: A
Paaiškinimas:
Varžybos ir apdovanojimai yra teigiamas paskatinimas vartotojui dalyvauti saugos programoje. Vien naudotojų užrakinimas už tai, kad jie pamiršo savo slaptažodžius, nepadidina vartotojų sąmoningumo.
Slaptažodžių formatų vykdymas ir drausminės priemonės neskatina sąmoningumo.
Atsakymas: A
Paaiškinimas:
Turi būti dokumentuoti standartai – procedūros, taikomos kriptografijos naudojimui visoje įmonėje; jie turėtų apibrėžti kriptografijos naudojimo aplinkybes. Jie turėtų apimti kriptografinių algoritmų ir raktų
ilgių pasirinkimą, bet tiksliai juos neapibrėžti, ir juose turėtų būti aptariamas kriptografinių raktų tvarkymas. Tačiau tai yra antraeilis dalykas, palyginti su tuo, kaip ir kada turėtų būti naudojama kriptografija.
Reikėtų atkreipti dėmesį į kriptografinių sprendimų naudojimą, tačiau tai vėlgi yra antraeilis dalykas.
Atsakymas: B
Paaiškinimas:
Socialinę inžineriją geriausiai galima sušvelninti reguliariai vykdant saugumo supratimo mokymus vartotojams, kurie gali būti tokio bandymo taikiniu. Pageidautina įdiegti slaptažodžių maskavimą ekrane ir
padidinti slaptažodžių keitimo dažnumą, tačiau tai nesumažins sėkmingos socialinės inžinerijos atakos tikimybės. Reikalavimas, kad slaptažodžiai saugos politikoje būtų laikomi paslaptyje, yra gera kontrolė,
tačiau nėra tokia veiksminga kaip periodinės saugumo informavimo programos, kurios įspės vartotojus apie socialinės inžinerijos keliamus pavojus.
Atsakymas: A
Paaiškinimas:
Paslaugų lygio sutartys (KLAUSIMAS NR: As) bus veiksmingiausios užtikrinant, kad interneto paslaugų teikėjai (IPT) atitiktų paslaugų prieinamumo lūkesčius. Įsibrovimų aptikimo sistema (IDS) ir
šiukšlių filtravimo paslaugos nesumažins (kaip tiesiogiai) paslaugų nutraukimo galimybės. Teisės į auditą sąlyga nebūtų veiksminga siekiant sumažinti paslaugos nutraukimo tikimybę.
Atsakymas: C
Paaiškinimas:
Dažnai pašto filtrai karantinuoja zip failus, kurie yra apsaugoti slaptažodžiu, nes filtras (arba užkarda) negali nustatyti, ar faile nėra kenkėjiško kodo. Daugelis zip failų produktų gali naudoti tvirtą šifravimą. Tokių
failų paprastai nesugadina siunčiantis pašto serveris.
Atsakymas: B
Paaiškinimas:
Svarbu visą laiką išlaikyti organizacijos saugumo poziciją. Dėmesys neturėtų apsiriboti tik kuriama ar įsigyjama nauja sistema arba esamomis naudojamomis sistemomis. Pareigų atskyrimas yra tik dalis
sprendimų, kaip pagerinti sistemų saugumą, o ne pagrindinė priežastis įtraukti saugumą į sistemos kūrimo gyvavimo ciklą (SDLC).
A. Pažeidžiamumo
patikrinimai B.
Įsiskverbimo testai
C. Kodo peržiūros D. Saugumo auditai
Atsakymas: B
Paaiškinimas:
Įsiskverbimo testas paprastai yra vienintelis saugumo įvertinimas, galintis susieti pažeidžiamumus, naudojant juos nuosekliai. Tai leidžia gerai įvertinti riziką ir nustatyti jų prioritetus. Kiti saugumo vertinimai,
pvz., pažeidžiamumo nuskaitymas, kodų peržiūros ir saugos auditai, gali padėti pateikti išsamią ir išsamią rizikos ir pažeidžiamumo apžvalgą“, tačiau negalės patikrinti ar parodyti galutinių kelių pažeidžiamumų
susietų pasekmių. Skverbties testavimas gali suteikti rizikai naują perspektyvą ir nustatyti prioritetus pagal galutinį saugos problemų sekos rezultatą.
Atsakymas: C
Paaiškinimas:
Labai svarbu į sutartį įtraukti saugumo reikalavimus, pagrįstus įmonės saugumo politika, siekiant užtikrinti, kad paslaugų teikėjas įgyvendintų reikiamas saugumo kontroles. Auditas paprastai yra
vienkartinis ir negali užtikrinti nuolatinio saugumo. Neatskleidimo susitarimas (NDA) turėtų būti sutarties dalis; tačiau tai nėra labai svarbu svetainės saugumui. Vien tik skverbties testavimas nesuteiktų
visiško svetainės saugumo; yra daug valdiklių, kurių negalima patikrinti atliekant įsiskverbimo testą.
klausimai)
Apsilankykite mūsų svetainėje ir įsigykite visą aktualių CISM egzamino klausimų rinkinį su atsakymais.
Taip pat teikiame praktikos egzaminų programinę įrangą, kuri imituoja tikrą egzamino aplinką ir turi daug savęs vertinimo funkcijų. Užsisakykite CISM produktą iš:
https://www.2passeasy.com/dumps/CISM/