Isaca.2passeasy - Cism.practice - Test.2022 Nov 16.by - Barton.126q.vceen - LT

Machine Translated by Google
Kviečiame atsisiųsti naujausius 2passeasy CISM sąvartynus

https://www.2passeasy.com/dumps/CISM/ (1328 nauji klausimai)
Egzamino klausimai CISM

Sertifikuotas informacijos saugos vadovas
https://www.2passeasy.com/dumps/CISM/
Lengva išlaikyti sertifikavimo egzaminus apsilankykite - https://www.2PassEasy.com

NAUJAS KLAUSIMAS 1
Kai asmeninė informacija perduodama tinklais, PRIVALO būti tinkamai kontroliuojama:
A. pokyčių valdytojai B.
privatumo apsauga C.
sutikimas dėl duomenų perdavimo
D. šifravimo įrenginys
Atsakymas: B
Paaiškinimas:
Privatumo apsauga būtina siekiant užtikrinti, kad gaunančioji šalis turėtų tinkamą asmens duomenų apsaugos lygį. Pokyčių valdymas pirmiausia saugo tik informaciją, o ne asmenų privatumą. Sutikimas yra
viena iš apsaugos priemonių, kurios reikalaujama dažnai, bet ne visada. Šifravimas yra būdas pasiekti faktinį valdymą, tačiau įrenginių valdymas gali neužtikrinti tinkamos privatumo apsaugos ir. todėl
yra dalinis atsakymas.
NAUJAS KLAUSIMAS 2
Kai organizacija įgyvendina informacijos saugumo valdymo programą, jos direktorių valdyba turėtų būti atsakinga už:
A. informacijos saugumo politikos rengimas B.

mokymo ir informavimo programos peržiūra C. strateginės
programos krypties nustatymas D. atitikties auditas
Atsakymas: C
Paaiškinimas:
Direktorių valdyba turėtų nustatyti strateginę programos kryptį, kad ji būtų sinchronizuota su įmonės vizija ir verslo tikslais. Valdyba turi įtraukti valdymo programą į bendrą įmonės verslo strategiją.
Informacijos saugumo politiką geriausiai gali parengti kas nors, pavyzdžiui, saugos vadovas, turintis kompetencijos, kad būtų užtikrinta politikos pusiausvyra, apimtis ir dėmesys. Mokymo ir informuotumo
didinimo programas geriausiai gali atlikti saugumo valdymo ir mokymo personalas, siekdamas užtikrinti, kad mokymas vyktų tiksliai ir būtų laikomasi geriausios praktikos. Atitikties auditą geriausia
patikėti vidaus ir išorės auditoriams, kad jie pateiktų objektyvią programos apžvalgą ir tai, kaip ji atitinka teisės aktų ir teisės aktų reikalavimus.
NAUJAS 3 KLAUSIMAS
Kokie būtų didžiausi saugumo pavojai naudojant belaidžio vietinio tinklo (LAN) technologiją?
A. Žmogaus vidurio puolimas
B. Duomenų paketų klastojimas C.

Nesąžiningas prieigos taškas
D. Seanso užgrobimas
Atsakymas: C
Paaiškinimas:
Nesąžiningas prieigos taškas apsimetė kaip teisėtas prieigos taškas Rizika yra ta, kad teisėti vartotojai gali prisijungti per šį prieigos tašką ir stebėti savo srautą. Visi kiti pasirinkimai nepriklauso nuo
belaidžio vietinio tinklo (LAN) technologijos naudojimo.
NAUJAS 4 KLAUSIMAS
Kuris iš šių dalykų GERIAUSIAI užtikrintų informacijos saugumo valdymo sėkmę organizacijoje?
A. Valdymo komitetai tvirtina saugumo projektus B. Visiems

vadovams teikiami saugumo politikos mokymai C. Visiems
darbuotojams intranete prieinami saugumo mokymai D. Valdymo komitetai
užtikrina, kad būtų laikomasi įstatymų ir kitų teisės aktų
Atsakymas: A
Paaiškinimas:
Iniciatyvinio komiteto, kuris tvirtina visus saugumo projektus, buvimas būtų gero valdymo programos požymis. Įstatymų ir taisyklių laikymasis yra valdymo komiteto atsakomybės dalis, tačiau tai nėra išsamus
atsakymas. Sąmoningumo ugdymas yra svarbus visais lygmenimis bet kokioje terpėje, taip pat gero valdymo rodiklis. Tačiau jam turi vadovautis ir jį kaip saugumo projektą patvirtinti valdymo komitetas.
NAUJAS 5 KLAUSIMAS
Žvelgiant iš informacijos saugumo vadovo perspektyvos, kokia tiesioginė nauda iš aiškiai apibrėžtų vaidmenų ir pareigų?
A. Geresnis politikos laikymasis B.

Patobulintas procedūrų srautas C.
Pareigų atskyrimas D. Didesnė
atskaitomybė
Atsakymas: D
Paaiškinimas:

Be aiškiai apibrėžtų vaidmenų ir pareigų, negali būti ir atsakomybės. Pasirinkimas A yra neteisingas, nes norint laikytis politikos pirmiausia reikia tinkamai apibrėžtos atskaitomybės, todėl tai yra šalutinis
produktas. B pasirinkimas yra neteisingas, nes žmonės gali būti paskirti atlikti netinkamai suplanuotas procedūras. C pasirinkimas yra neteisingas, nes pareigų atskyrimas nėra automatinis, o vaidmenys vis tiek
gali apimti prieštaringų pareigų.
NAUJAS 6 KLAUSIMAS
Kas atsakingas už tai, kad informacija būtų suskirstyta į kategorijas ir būtų imtasi konkrečių apsaugos priemonių?
A. Apsaugos pareigūnas B.
Vyresnioji vadovybė C.
Galutinis vartotojas
D. Saugotojas
Atsakymas: B
Paaiškinimas:
Įprastas visų saugumo aspektų administravimas yra deleguotas, tačiau aukščiausia vadovybė turi išlaikyti bendrą atsakomybę. Apsaugos pareigūnas palaiko ir įgyvendina vyresniosios vadovybės informacijos
saugumą. Galutinis vartotojas neatlieka skirstymo į kategorijas. Saugotojas palaiko ir įgyvendina informacijos saugumo priemones, kaip nurodyta.
NAUJAS 7 KLAUSIMAS
Verslo padalinys ketina įdiegti naują technologiją taip, kad ji pažeis esamus informacijos saugumo standartus. Kokių neatidėliotinų veiksmų turėtų imtis informacijos saugos vadovas?
A. Vykdykite esamą saugumo standartą B. Pakeiskite

standartą, kad būtų galima įdiegti C. Atlikite rizikos analizę, kad
įvertintumėte riziką D. Atlikite tyrimą, kad pasiūlytumėte
naudoti geresnę technologiją
Atsakymas: C
Paaiškinimas:
Tokio pobūdžio konfliktų sprendimas turėtų būti pagrįstas patikima standarto išimčių leidimo arba neleidimo sąnaudų ir naudos rizikos analize. Bendras sprendimas niekada neturėtų būti priimtas neatlikus tokios
analizės. Esamų standartų vykdymas yra gera praktika; tačiau standartai turi būti nuolat tikrinami atsižvelgiant į naujas technologijas ir jų keliamą pavojų. Standartai neturėtų būti keičiami be tinkamo rizikos
įvertinimo.
NAUJAS 8 KLAUSIMAS
Informacijos saugumo pareigūnas atkreipė dėmesį į naują reglamentą, skirtą apsaugoti informaciją, apdorojamą atliekant tam tikros rūšies sandorius. Pareigūnas PIRMA turėtų:
A. susitikti su suinteresuotosiomis šalimis, kad nuspręstų, kaip

įvykdyti B. išanalizuoti pagrindines atitikties proceso rizikas
C. įvertinti, ar esamos kontrolės priemonės atitinka reglamentą D.
atnaujinti esamą saugos / privatumo politiką
Atsakymas: C
Paaiškinimas:
Jei organizacija laikosi reikalavimų taikydama esamas kontrolės priemones, būtinybė atlikti kitus su reglamentu susijusius darbus nėra prioritetas. Kiti pasirinkimai yra tinkami ir svarbūs; tačiau tai yra
vėlesni veiksmai ir priklausys nuo to, ar yra kontrolės spragų.
NAUJAS 9 KLAUSIMAS
Kas turėtų būti atsakingas už prieigos prie programos duomenų teisių įgyvendinimą?
A. Duomenų
savininkai B. Verslo procesų savininkai
C. Saugumo valdymo komitetas D. Saugumo
administratoriai
Atsakymas: D
Paaiškinimas:
Saugos administratoriai, kaip saugotojai, yra atsakingi už prieigos prie duomenų teisių įgyvendinimą. Duomenų savininkai yra atsakingi už šių prieigos teisių patvirtinimą. Verslo procesų savininkai kartais taip pat
yra duomenų savininkai ir nebūtų atsakingi už vykdymą. Saugumo valdymo komitetas nebūtų atsakingas už vykdymą.
NAUJAS KLAUSIMAS 10
Informacijos saugumo politikos vykdymą atsako:
A. saugumo valdymo komitetas B.

vyriausiasis informacijos pareigūnas (CIO).
C. vyriausiasis informacijos saugumo pareigūnas (CISO).
D. vyriausiasis atitikties pareigūnas (CCO).

Atsakymas: C
Paaiškinimas:
Už informacijos saugumo politikos vykdymą visų pirma atsakingas vyriausiasis informacijos saugumo pareigūnas (CISO). Direktorių valdyba ir vykdomoji vadovybė turėtų užtikrinti,
kad saugumo politika atitiktų įmonės tikslus. Vyriausiasis informacijos pareigūnas (CIO) ir vyriausiasis atitikties pareigūnas (CCO) dalyvauja įgyvendinant politiką, tačiau nėra už tai
tiesiogiai atsakingi.
NAUJAS 10 KLAUSIMAS
Kurį iš šių dalykų SVARBIAUSIAI reikia turėti omenyje vertinant informacijos vertę?
A. Galimi finansiniai nuostoliai

B. Informacijos atkūrimo išlaidos C.
Draudimo išlaidos D. Reguliavimo
reikalavimas
Atsakymas: A
Paaiškinimas:
Galimi finansiniai nuostoliai visada yra pagrindinis veiksnys vertinant informacijos vertę. Pasirinkimai B, C ir D gali būti veiksniai, bet ne pagrindinis veiksnys.
NAUJAS 14 KLAUSIMAS
Išsamiausias saugumo sprendimų verslo pavyzdys.
A. apima atitinkamą pagrindimą B.

paaiškina esamą rizikos profilį C.
išsamiai aprašo reguliavimo
reikalavimą D. nustato incidentus ir nuostolius
Atsakymas: A
Paaiškinimas:
Vadovybė pirmiausia domisi saugumo sprendimais, kurie gali sumažinti riziką ekonomiškiausiu būdu. Kad būtų patenkinti organizacijos poreikiai, verslo atvejis turėtų apimti
tinkamus saugos sprendimus, atitinkančius organizacijos strategiją.
NAUJAS 16 KLAUSIMAS
Ką visų pirma naudotų saugos vadybininkas, siūlydamas įgyvendinti saugos sprendimą?
A. Rizikos vertinimo ataskaita

B. Techninio vertinimo ataskaita
C. Verslo atvejis D.
Biudžeto reikalavimai
Atsakymas: C
Paaiškinimas:
Informacijos saugumo vadovas turi teikti pirmenybę kontrolėms, pagrįstoms rizikos valdymu ir organizacijos reikalavimais. Informacijos saugos vadovas turi pažvelgti į įvairių
kontrolės priemonių išlaidas ir palyginti jas su nauda, kurią organizacija gaus iš saugos sprendimo. Informacijos saugos vadovas turi turėti žinių apie verslo atvejų
plėtrą, kad parodytų įvairių valdiklių sąnaudas ir naudą. Visi kiti pasirinkimai yra papildomi.
NAUJAS 21 KLAUSIMAS
Kuris iš šių dalykų yra SVARBIAUSIA prielaida norint sukurti informacijos saugumo valdymą organizacijoje?
A. Vadovybės įsipareigojimas B.
Informacijos saugumo sistema C.
Informacijos saugumo organizacinė struktūra D.
Informacijos saugumo politika
Atsakymas: A
Paaiškinimas:
Vyresniosios vadovybės įsipareigojimas yra būtinas, kad kiekvienas kitas elementas būtų sėkmingas. Be vyresniosios vadovybės įsipareigojimo, kiti elementai organizacijoje
greičiausiai bus ignoruojami.
NAUJAS 26 KLAUSIMAS
Kuri iš toliau pateiktos informacijos yra SVARBIAUSIA įtraukti į informacijos saugos standartą?
A. Sukūrimo data B.
Autoriaus vardas C.
Pirminio projekto patvirtinimo data

D. Paskutinės peržiūros data

Atsakymas: D
Paaiškinimas:
Paskutinė peržiūros data patvirtina standarto valiutą, patvirtindama, kad vadovybė peržiūrėjo standartą, kad įsitikintų, jog niekas nepasikeitė aplinkoje, dėl ko reikėtų atnaujinti
standartą. Autoriaus pavardė, sukūrimo ir juodraščio datos nėra tokios svarbios.
NAUJAS 28 KLAUSIMAS
Kurią informaciją reikia įtraukti į strateginį informacijos saugumo planą SVARBIAUSIA?
A. Informacijos saugumo personalo reikalavimai

B. Dabartinė ir norima būsena C. IT kapitalo
investicijų reikalavimai D. Informacijos
saugumo misijos pareiškimas
Atsakymas: B
Paaiškinimas:
Svarbiausia nupiešti ateities viziją ir tada nubraižyti kelių žemėlapį nuo sustojimo iki norimos ateities būsenos. Darbuotojai, kapitalo investicijos ir misija – visa tai kyla iš šio fondo.
NAUJAS KLAUSIMAS 32
Saugumo technologijos turėtų būti parenkamos VISŲ pirma atsižvelgiant į:
A. gebėjimas sumažinti verslo riziką

B. vertinimai prekybos leidiniuose C.
naujų ir atsirandančių technologijų
naudojimas D. nauda, palyginti su jų sąnaudomis
Atsakymas: A
Paaiškinimas:
Svarbiausias vertinimo kriterijus tinkamai parenkant bet kokią saugumo technologiją yra jos gebėjimas sumažinti arba pašalinti verslo riziką. Investicijos į saugumo technologijas
turėtų būti pagrįstos bendra jų verte, palyginti su jų sąnaudomis; vertę galima įrodyti rizikos mažinimo požiūriu. Tai turėtų būti svarbesnė už tai, ar jie naudoja naujas ar
egzotiškas technologijas, ar kaip jos vertinamos prekybos leidiniuose.
NAUJAS KLAUSIMAS 35
Vyresnysis vadovybės įsipareigojimas ir parama informacijos saugumui GERIAUSIAI gali būti gauti per pristatymus, kurie:
A. naudoti iliustruojančius sėkmingos atakos

pavyzdžius B. paaiškinti techninę riziką organizacijai
C. įvertinti organizaciją pagal geriausią saugumo praktiką D.
susieti saugumo riziką su pagrindiniu verslo tikslu
Atsakymas: D
Paaiškinimas:
Vyresnioji vadovybė siekia suprasti verslo pagrindą investuoti į saugumą. Tai geriausiai galima pasiekti susiejant saugumą su pagrindiniais verslo tikslais. Vyresnioji
vadovybė nebus taip suinteresuota technine rizika ar sėkmingų atakų pavyzdžiais, jei jie nebus susieti su poveikiu verslo aplinkai ir tikslams. Geriausios pramonės
praktikos yra svarbios vyresniajai vadovybei, tačiau vėlgi, vyresnioji vadovybė jai suteiks reikiamą svarbą, kai ji bus pristatyta kaip pagrindiniai verslo tikslai.
NAUJAS KLAUSIMAS 39
Efektyvų IT valdymą GERIAUSIAI užtikrina:
A. taikant metodą „iš apačios į

viršų“ B. IT skyrių valdymą C. klausimo
perdavimas organizacijos teisės skyriams D. taikant metodą „iš
viršaus į apačią“.
Atsakymas: D
Paaiškinimas:
Veiksmingas IT valdymas turi būti iniciatyva iš viršaus į apačią, kai valdyba ir vykdomoji vadovybė nustato aiškią politiką, tikslus ir uždavinius bei užtikrina nuolatinę jų stebėseną.
Dėmesys reguliavimo klausimams ir valdymo prioritetams gali būti neefektyvus taikant metodą „iš apačios į viršų“. IT valdymas turi įtakos visai organizacijai ir nėra
susijęs tik su IT valdymu. Teisės skyrius yra bendro valdymo proceso dalis, tačiau negali prisiimti visos atsakomybės.
NAUJAS KLAUSIMAS 41
Norėdamas pagrįsti poreikį investuoti į teismo ekspertizės įrankį, informacijos saugos vadovas PIRMA turėtų:
A. peržiūrėti sprendimo funkcijas ir diegimo reikalavimus B. peržiūrėti įrankių

diegimo lygiavertėse įmonėse palyginimo ataskaitas

C. pateikti pavyzdžių, kai tokia priemonė būtų naudinga D. pagrįsti investicijas

į organizacinių poreikių tenkinimą
Atsakymas: D
Paaiškinimas:
Bet kokia investicija turi būti peržiūrėta, siekiant nustatyti, ar ji yra ekonomiškai efektyvi ir palaiko organizacijos strategiją. Svarbu apžvelgti tokio įrankio teikiamas funkcijas ir
funkcionalumą bei pateikti pavyzdžius situacijų, kai įrankis būtų naudingas, tačiau tai iškyla pagrindžiant investicijas ir investicijų grąžą organizacijai.
NAUJAS 42 KLAUSIMAS
Organizacija nusprendė perduoti didžiąją dalį IT skyriaus paslaugų tiekėjui, kuris priegloboja serverius užsienio šalyje. Kuris iš toliau nurodytų saugumo aspektų yra pats svarbiausias?
A. Kilmės šalies įstatymai ir teisės aktai gali būti neįgyvendinami užsienio šalyje. B. Pranešimas apie
saugumo pažeidimą gali būti atidėtas dėl laiko skirtumo C. Reikėtų įdiegti papildomus
tinklo įsibrovimo aptikimo jutiklius, dėl kurių atsiranda papildomas cos D. Bendrovė gali prarasti fizinę serverio
kontrolę ir negalėti stebėti serverio fizinės saugos padėties
Atsakymas: A
Paaiškinimas:
Įmonei taikomi vietiniai šalies, kurioje ji gyvena, įstatymai ir teisės aktai, net jei įmonė nusprendžia pateikti serverius tiekėjui, kuris serverius talpina užsienio šalyje. Galimas įmonei
taikomų vietinių įstatymų pažeidimas gali būti nepripažintas arba ištaisytas (ty patrauktas baudžiamojon atsakomybėn) dėl taikomų vietinių įstatymų stokos ir nesugebėjimo užtikrinti
įstatymų. B variantas nėra problema. Laiko skirtumas neveikia 24 valandas per parą, 7 dienas per savaitę. Pranešimams perduoti paprastai galima naudoti pranešimų gaviklius,
mobiliuosius telefonus, telefonus ir kt. C variantas yra įveikiama problema, kuriai reikia papildomo finansavimo, tačiau ją galima išspręsti. D variantas yra problema, kurią galima
išspręsti. Daugelis prieglobos paslaugų teikėjų standartizavo taikomą fizinės saugos lygį. Reguliarus fizinis auditas arba SAS 70 ataskaita gali išspręsti tokias problemas.
NAUJAS 44 KLAUSIMAS
Kuriame programų kūrimo proceso etape iš pradžių turėtų įsitraukti saugos skyrius?
A. Kai prašoma B.
Atliekant
testavimą C.
Programuojant D. Pagal detalius reikalavimus
Atsakymas: D
Paaiškinimas:
Informacijos saugumas turi būti integruotas į programos dizaino reikalavimus. Tai taip pat turėtų būti organizacijos informacijos saugumo valdymo dalis. Programos savininkas
negali laiku pateikti užklausos dėl saugumo įtraukimo. Sistemos testavimo metu jau per vėlu, nes dėl reikalavimų jau susitarta. Kodo peržiūros yra galutinio kokybės užtikrinimo
proceso dalis.
NAUJAS KLAUSIMAS 48
Priimtinus informacijos saugumo rizikos lygius turėtų nustatyti:
A. teisinis
patarėjas B. saugumo
vadovai C. išorės
auditorius D. die steering committe
Atsakymas: D
Paaiškinimas:
Vyresnioji vadovybė, atstovaujama valdymo komitete, turi galutinę atsakomybę nustatyti, kokio lygio riziką organizacija nori prisiimti.
Teisės patarėjas, išorės auditoriai ir saugumo vadovybė negali priimti tokio sprendimo.
NAUJAS KLAUSIMAS 51
Įgyvendindama informacijos saugumo valdymą, organizacija PIRMA turėtų:
A. priimti saugumo standartą

B. nustatyti saugumo bazę C.
apibrėžti saugumo strategiją D.
nustatyti saugumo politiką
Atsakymas: C
Paaiškinimas:
Pirmas žingsnis įgyvendinant informacijos saugumo valdymą – apibrėžti saugumo strategiją, pagal kurią nustatomos saugumo bazinės linijos. Tinkamų saugumo standartų
priėmimas, rizikos įvertinimas ir saugumo politikos įgyvendinimas yra žingsniai, atitinkantys saugumo strategijos apibrėžimą.

NAUJAS KLAUSIMAS 52
Gauti vyresniosios vadovybės paramą šiltos aikštelės įrengimui GERIAUSIAI galima pasiekti:
A. periodinių rizikos vertinimų nustatymas B.

reguliavimo reikalavimo skatinimas C. verslo
CAS plėtra D. veiksmingos metrikos
kūrimas
Atsakymas: C
Paaiškinimas:
Verslo atvejo kūrimas, įskaitant kaštų ir naudos analizę, bus labiausiai įtikinantis vadovybę. Rizikos įvertinimas gali būti įtrauktas į verslo lengvumą, tačiau pats savaime nebus toks veiksmingas siekiant
gauti vadovybės paramą. Vadovybės informavimas apie teisės aktų reikalavimus gali padėti sulaukti paramos iniciatyvoms, tačiau atsižvelgiant į tai, kad daugiau nei pusė organizacijų nesilaiko
reglamentų, daugeliu atvejų to nepakaks. Geri rodikliai, kurie užtikrina, kad iniciatyvos atitinka organizacinius tikslus, taip pat bus naudingi, tačiau jų nepakanka vadovybei gauti.
NAUJAS 56 KLAUSIMAS
Duomenų savininkai turi sukurti saugią aplinką, kad užtikrintų operacijos konfidencialumą, vientisumą ir prieinamumą. Tai yra informacijos saugumo pavyzdys:
A. bazinis
B. strategija
C. procedur D.
polic
Atsakymas: D
Paaiškinimas:
Politika yra aukšto lygio organizacijos įsitikinimų, tikslų, vaidmenų ir uždavinių pareiškimas. Pagrindinės sąlygos apima minimalų saugos lygį visoje organizacijoje.
Informacijos saugumo strategija suderina informacijos saugos programą su verslo tikslais, o ne pateikia kontrolės pareiškimus. Procedūra yra žingsnis po žingsnio procesas, kaip bus įgyvendinama
politika ir standartai.
NAUJAS KLAUSIMAS 57
Kas galiausiai yra atsakingas už organizacijos informaciją?
A. Duomenų saugotojas
B. Vyriausiasis informacijos saugumo pareigūnas (CISO)

C. Direktorių valdyba D.
Vyriausiasis informacijos pareigūnas (CIO)
Atsakymas: C
Paaiškinimas:
Direktorių valdyba yra galutinai atsakinga už organizacijos informaciją ir jai pavesta reaguoti į klausimus, turinčius įtakos jos apsaugai. Duomenų saugotojas yra atsakingas už duomenų
priežiūrą ir apsaugą. Paprastai šį vaidmenį atlieka IT skyrius. Vyriausiasis informacijos saugumo pareigūnas (CISO) yra atsakingas už saugumą ir vyresniosios vadovybės nurodymų vykdymą. Vyriausiasis
informacijos pareigūnas (CIO) yra atsakingas už informacines technologijas organizacijoje ir nėra galutinai atsakingas už organizacijos informaciją.
NAUJAS KLAUSIMAS 62
Siekiant veiksmingo strateginio saugumo iniciatyvų derinimo, svarbu, kad:
A. Iniciatyvinio komiteto vadovybė parenkama rotacijos būdu B.

Gaunamas indėlis ir pasiektas sutarimas tarp pagrindinio organizacinio padalinio C. Verslo strategija
periodiškai atnaujinama D. Procedūras ir standartus tvirtina
visų skyrių vadovas
Atsakymas: B
Paaiškinimas:
Svarbu pasiekti sutarimą dėl rizikos ir kontrolės bei gauti informaciją iš įvairių organizacinių subjektų, nes saugumas turi būti suderintas su organizacijos poreikiais. Valdymo komiteto vadovybės rotacija
nepadeda pasiekti strateginio derinimo. Verslo strategijos atnaujinimas nelemia strateginio saugumo iniciatyvų derinimo. Procedūras ir standartus neprivalo tvirtinti visų skyrių vadovai
NAUJAS 65 KLAUSIMAS
Organizacijos direktorių valdyba sužinojo apie naujausius teisės aktus, kuriuose reikalaujama, kad pramonės organizacijos imtųsi konkrečių apsaugos priemonių, kad apsaugotų konfidencialią klientų
informaciją. Kokių veiksmų valdyba turėtų imtis toliau?
A. Tiesioginis informacijos saugumas apie tai, ką jie turi daryti B.

Ieškokite sprendimų, kad nustatytų tinkamus sprendimus C.
Reikalauti, kad vadovybė pateiktų ataskaitą apie atitiktį D.
Nieko; informacijos saugumas neatsiskaito valdybai
Atsakymas: C

Paaiškinimas:
Už informacijos saugumo valdymą atsako direktorių valdyba ir vykdomoji vadovybė. Šiuo atveju tinkamas veiksmas yra užtikrinti, kad būtų parengtas reikalingų apsaugos priemonių įgyvendinimo
planas, ir reikalauti atnaujinti tą įgyvendinimą.
NAUJAS 66 KLAUSIMAS
Kurie iš šių dalykų retai keičiami atsižvelgiant į technologinius pokyčius?
A. Standartai
B. Procedūros C.
Politika D.
Gairės
Atsakymas: C
Paaiškinimas:
Politika yra aukšto lygio tikslų pareiškimas. Dėl savo aukšto lygio pobūdžio ir plačių veikimo principų jie yra mažiau periodiškai keičiami. Saugumo standartai ir procedūros bei gairės turi būti
peržiūrėtos ir atnaujintos atsižvelgiant į technologijų pokyčių poveikį.
NAUJAS KLAUSIMAS 69
Įmonės el. prekybos svetainėje geras teisinis pareiškimas dėl duomenų privatumo turėtų apimti:
A. pareiškimas apie tai, ką įmonė darys su renkama informacija B. atsisakymas dėl informacijos
tikslumo jos svetainėje C. techninė informacija apie tai, kaip informacija yra
apsaugota D. pareiškimas apie tai, kur informacija yra talpinama.
Atsakymas: A
Paaiškinimas:
Daugumoje privatumo įstatymų ir taisyklių reikalaujama atskleisti, kaip informacija bus naudojama. Atsakomybės apribojimas nėra būtinas, nes jis nesusijęs su duomenų privatumu.
Techninė informacija apie informacijos apsaugą nėra privaloma skelbti svetainėje ir iš tikrųjų nebūtų pageidautina. Neprivaloma nurodyti, kur talpinama informacija.
NAUJAS KLAUSIMAS 71
Kuri iš šių priežasčių yra GERIAUSIA atlikti poveikio verslui analizę (BIA)?
A. Padėti nustatyti esamą rizikos būklę B. Tinkamai

numatyti biudžetą reikalingoms kontrolės priemonėms
C. Atitikti norminius reikalavimus D.
Išanalizuoti poveikį verslui
Atsakymas: A
Paaiškinimas:
BIA yra įtraukta į dabartinės rizikos būklės nustatymo procesą ir padeda nustatyti priimtinus poveikio lygius bei esamą atsako lygį, todėl atliekama spragų analizė. Dėl to gali būti sudarytas
tinkamas biudžetas, tačiau tai nėra priežastis atlikti analizę. Analizės atlikimas gali atitikti norminius reikalavimus, sąskaita nėra priežastis ją atlikti. Poveikio verslui analizė yra proceso dalis,
tačiau taip pat reikia nustatyti poreikius ar priimtiną poveikį ar atsaką.
NAUJAS KLAUSIMAS 75
Kuris iš toliau nurodytų dalykų yra GERIAUSIAS pateisinimas įtikinti vadovybę investuoti į informacijos saugumo programą?
A. Išlaidų mažinimas
B. Įmonės politikos laikymasis C. Verslo turto
apsauga
D. Padidėjusi verslo vertė
Atsakymas: D
Paaiškinimas:
Investavimas į informacijos saugumo programą turėtų padidinti verslo vertę ir pasitikėjimą. Sąnaudų mažinimas pats savaime retai motyvuoja įgyvendinti informacijos saugumo programą.
Atitiktis yra antraeilė verslo vertės atžvilgiu. Verslo vertės didinimas gali apimti verslo turto apsaugą.
NAUJAS KLAUSIMAS 76
Kuris iš šių dalykų turėtų būti PIRMAS žingsnis kuriant informacijos saugumo planą?
A. Atlikite techninių pažeidžiamumų vertinimą B.

Išanalizuokite dabartinę verslo strategiją C.
Atlikite verslo poveikio analizę D. Įvertinkite
dabartinį saugumo suvokimo lygį
Atsakymas: B

Paaiškinimas:
Prieš vertindamas techninius pažeidžiamumus ar saugumo suvokimo lygius, informacijos saugos vadovas turi suprasti dabartinę verslo strategiją ir kryptį. Poveikio verslui analizė turėtų būti atlikta prieš
kuriant veiklos tęstinumo planą, tačiau tai nebūtų tinkamas pirmasis žingsnis kuriant informacijos saugumo strategiją, nes joje pagrindinis dėmesys skiriamas prieinamumui.
NAUJAS KLAUSIMAS 80
Kuriant informacijos saugumo ketvirtinę ataskaitą vadovybei, SVARBIAUSIAS elementas, į kurį reikia atsižvelgti, turėtų būti:
A. informacijos saugumo metrika B.

žinios, reikalingos kiekvienai problemai analizuoti C.
ryšys su verslo srities tikslu D. bazinis rodiklis,
pagal kurį vertinama metrika
Atsakymas: C
Paaiškinimas:
Ryšys su verslo tikslais yra svarbiausias elementas, į kurį atsižvelgtų vadovybė. Informacijos saugumo metrika turėtų būti vertinama atsižvelgiant į poveikį valdymo tikslams. Nors ir svarbios, reikalingos
saugumo žinios nebūtų pirmasis elementas, į kurį reikia atsižvelgti. Pagrindas pagal informacijos saugos metriką bus svarstomas vėliau proceso metu.
NAUJAS 84 KLAUSIMAS
Kuris iš šių dalykų atspindi PAGRINDINĮ privatumo taisyklių akcentą?
A. Neribota duomenų gavyba B.

Tapatybės vagystė
C. Žmogaus teisių apsauga D.
Identifikuojami asmens duomenys
Atsakymas: D
Paaiškinimas:
Identifikuojamų asmens duomenų apsaugai daugiausia dėmesio skiriama naujausiuose privatumo reglamentuose, tokiuose kaip Sveikatos draudimo perkeliamumo ir atskaitomybės įstatymas (HIPAA).
Duomenų gavyba yra priimtinas ad hoc ataskaitų teikimo įrankis; ji gali kelti grėsmę privatumui tik pažeidžiant reguliavimo institucijos nuostatas. Tapatybės vagystė yra galima privatumo
pažeidimų pasekmė, bet ne pagrindinis daugelio taisyklių akcentas. Žmogaus teisės sprendžia privatumo klausimus, bet nėra pagrindinis reglamentų akcentas.
NAUJAS KLAUSIMAS 86
Laikinas kai kurių stebėjimo procesų išjungimas, net jei tai pagrįsta operacine rizika, informacijos saugos vadovui gali būti nepriimtina, jei:
A. tai reiškia atitikties riziką B.

negalima nustatyti trumpalaikio poveikio C. tai
pažeidžia pramonės saugumo praktiką D.
negalima aptikti vaidmenų matricos pokyčių
Atsakymas: A
Paaiškinimas:
Stebėjimo procesai taip pat reikalingi, kad būtų užtikrintas organizacijos įstatymų ir kitų teisės aktų vykdymas, todėl informacijos saugos vadovas privalės laikytis įstatymų. Pasirinkimai B ir C vertinami kaip
operacinės rizikos dalis. Vargu ar D pasirinkimas bus toks svarbus reguliavimo teisės aktų pažeidimas. Operacinės rizikos priėmimas viršija B, C ir D pasirinkimus.
NAUJAS 88 KLAUSIMAS
Kuris iš šių dalykų būtų naudingiausias siekiant suderinti informacijos saugumą ir organizacijos tikslus?
A. Raktų valdymo stebėjimas B.

Tvirta saugumo supratimo programa C. Saugos
programa, leidžianti verslo veiklai D. Veiksminga saugos architektūra
Atsakymas: C
Paaiškinimas:
Saugumo programa, įgalinanti verslo veiklą, būtų labiausiai naudinga siekiant suderinti informacijos saugumą ir organizacijos tikslus. Visi kiti pasirinkimai yra saugos programos dalis ir atskirai bei
tiesiogiai nepadėtų tiek, kiek saugumo programa.
NAUJAS 93 KLAUSIMAS
Kuriant informacijos saugumo programą, koks yra naudingiausias informacijos šaltinis, norint nustatyti turimus išteklius?
A. Kvalifikacijos testas
B. Pareigybių aprašymai
C. Organizacinė schema D.
Įgūdžių aprašas

Atsakymas: D
Paaiškinimas:
Įgūdžių aprašas padėtų nustatyti turimus išteklius, spragas ir mokymo reikalavimus, reikalingus plėtoti išteklius. Kvalifikacijos tikrinimas yra naudingas, bet tik atsižvelgiant į konkrečius
techninius įgūdžius. Pareigybių aprašymai nebūtų tokie naudingi, nes jie gali būti pasenę arba nepakankamai išsamūs. Organizacinėje schemoje nepateikta išsami informacija, reikalinga
šiai veiklai reikalingų išteklių nustatymui.
NAUJAS 98 KLAUSIMAS
Kuris iš šių būtų SVARBIAUSIAS informacijos saugumo valdymo programos tikslas?
A. Vidaus kontrolės mechanizmų peržiūra B.

Efektyvus įsitraukimas į verslo sprendimų priėmimą C. Visiškas
rizikos veiksnių pašalinimas D.
Pasitikėjimo duomenimis užtikrinimas
Atsakymas: D
Paaiškinimas:
Pagrindinis informacijos saugumo valdymo tikslas turėtų būti suinteresuotųjų šalių pasitikėjimo informacijos vientisumu ugdymas. Vidaus kontrolės mechanizmų peržiūra labiau
susijusi su auditu, o visiškas rizikos veiksnių pašalinimas nėra praktiškas ar įmanomas. Aktyvus dalyvavimas priimant verslo sprendimus reiškia, kad saugumo poreikiai diktuoja verslo
poreikius, nors iš tikrųjų yra priešingai. Dalyvavimas priimant sprendimus svarbus tik siekiant užtikrinti verslo duomenų vientisumą, kad duomenimis būtų galima pasitikėti.
NAUJAS KLAUSIMAS 99
Naudingiausias būdas apibūdinti informacijos saugumo strategijos tikslus yra:
A. „norimos būsenos“ požymius ir charakteristikas.

B. bendrieji saugos programos kontrolės tikslai C. IT
sistemų susiejimas su pagrindiniu verslo procesu D. metinių
nuostolių apskaičiavimas
Atsakymas: A
Paaiškinimas:
Saugumo strategija paprastai apims daugybę problemų, procesų, technologijų ir rezultatų, kuriuos geriausiai galima apibūdinti norimų savybių ir atributų rinkiniu. Kontrolės tikslai
kuriami po strategijos ir politikos sukūrimo. IT sistemų susiejimas su pagrindiniais verslo procesais nesprendžia strategijos problemų. Skaičiuojant metinių nuostolių lūkesčius
informacijos saugumo strategijoje nebūtų apibūdinti tikslai.
NAUJAS 104 KLAUSIMAS

Kuris iš toliau pateiktų variantų būtų GERIAUSIA siekiant pagerinti sistemos administratoriaus, kuris atlieka saugos funkcijas, atskaitomybę?
A. Į pareigybės aprašymą įtraukite pareigas dėl saugumo B.

Reikalauti, kad administratorius gautų saugos sertifikatą C.
Apmokykite sistemos administratorių prasiskverbimo testavimo ir pažeidžiamumo vertinimo
klausimais D. Apmokykite sistemos administratorių rizikos vertinimo klausimais.
Atsakymas: A
Paaiškinimas:
Pirmas žingsnis siekiant pagerinti atskaitomybę – į pareigų aprašymą įtraukti su saugumu susijusias pareigas. Tai dokumentuoja, ko tikisi ir patvirtina organizacija. Kiti
pasirinkimai – tai metodai, užtikrinantys, kad sistemos administratorius būtų apmokytas atlikti pareigų aprašyme nurodytas pareigas.

Kuris iš šių dalykų būdingas decentralizuotam informacijos saugumo valdymui geografiškai išsklaidytoje organizacijoje?
A. Vienodesnė paslaugų kokybė B. Geresnis

politikos laikymasis C. Geresnis
derinimas su verslo padalinio poreikiais D.
Daugiau sutaupytų bendrų veiklos išlaidų
Atsakymas: C
Paaiškinimas:
Informacijos saugumo valdymo decentralizavimas paprastai leidžia geriau suderinti verslo padalinių poreikius. Paprastai jį administruoti brangiau, nes trūksta masto ekonomijos. Paslaugų
kokybės vienodumas kiekviename padalinyje skiriasi.
NAUJAS KLAUSIMAS 109

Vyresniosios vadovybės įsipareigojimas ir parama informacijos saugumui GERIAUSIAI gali būti sustiprinti šiais būdais:
A. formali saugumo politika, remiama vyriausiojo vykdomojo pareigūno (CEO).

B. reguliarūs darbuotojų saugumo supratimo mokymai C.
periodinė derinimo su verslo valdymo tikslu peržiūra

D. vyresniosios vadovybės pasirašymas dėl informacijos saugumo strategijos
Atsakymas: C
Paaiškinimas:
Norint gauti jų paramą, labai svarbu užtikrinti, kad saugos veikla ir toliau būtų suderinta ir paremtų verslo tikslus. Nors vyriausiojo vykdomojo pareigūno (CEO) prisidėjimas prie saugumo
politikos ir vyresniosios vadovybės patvirtinimas saugumo strategijoje užtikrina gerą matomumą ir rodo gerą toną viršuje, tai yra vienkartinis atskiras įvykis, kurį vyresnioji vadovybė gali greitai
pamiršti. . Darbuotojų saugumo supratimo mokymai neturės tiek daug įtakos vyresniosios vadovybės įsipareigojimams.

Kuriant reagavimo į incidentus procedūras, susijusias su serveriais, kuriuose talpinamos svarbios programos, apie kurį iš toliau nurodytų dalykų turėtų būti PIRMOJI pranešama?
A. Verslo valdymas B. Operacijų

vadovas C. Informacijos
saugumo vadovas D. Sistemos
vartotojai
Atsakymas: C
Paaiškinimas:
Eskalavimo procese kritinėse situacijose turėtų dalyvauti informacijos saugos vadovas kaip pirmasis kontaktas, kad prireikus būtų imtasi atitinkamų eskalavimo veiksmų. Apie A, B ir D
pasirinkimus bus atitinkamai pranešta.

Saugumo technologijų ryšiai GERIAUSIAI apibrėžiami pagal kurį iš šių dalykų?
A. Saugumo metrika
B. Tinklo topologija C.
Saugumo architektūra D.
Procesų tobulinimo modeliai
Atsakymas: C
Paaiškinimas:
Saugumo architektūra paaiškina saugumo mechanizmų naudojimą ir ryšius. Saugumo metrika matuoja saugumo praktikos pagerėjimą, tačiau nepaaiškina saugumo technologijų
naudojimo ir sąsajų. Procesų tobulinimo modeliai ir tinklo topologijos diagramos taip pat neaprašo šių technologijų naudojimo ir sąsajų.

GERIAUSIAS būdas pagrįsti vieno prisijungimo (SSO) produkto diegimą yra naudoti:
A. investicijų grąža (RO B.

pažeidžiamumo įvertinimas C.
metinių nuostolių prognozė (ALE).
D. verslo byla
Atsakymas: D
Paaiškinimas:
Verslo atvejis rodo tiek tiesioginę, tiek netiesioginę naudą kartu su reikalingomis investicijomis ir laukiama grąža, todėl ją naudinga pateikti vyresniajai vadovybei. Investicijų grąža (ROD
suteiktų tik išlaidas, reikalingas tam, kad būtų išvengta specifinės rizikos, ir nesuteiktų kitos netiesioginės naudos, pvz., proceso tobulinimo ir mokymosi. Pažeidžiamumo vertinimas yra
labiau techninio pobūdžio ir leistų tik nustatyti ir įvertinti pažeidžiamumą. neteikia įžvalgų apie netiesioginę naudą. Tikėtina metinė nuostolių prognozė (ALE) nepasveria vienkartinio
prisijungimo (SSO) diegimo pranašumų, palyginti su įgyvendinimo išlaidomis.

Kuris iš šių asmenų galėtų GERIAUSIAI remti informacijos saugumo iniciatyvinės grupės sukūrimą?
A. Informacijos apsaugos vadovas B.

Vyriausiasis veiklos vadovas (COO)
C. Vidaus auditorius
D. Advokatas
Atsakymas: B
Paaiškinimas:
Vyriausiasis veiklos vadovas (COO) turi aukštą vietą organizacijoje ir turi daugiausiai žinių apie verslo operacijas ir tikslus. Vyriausiasis vidaus auditorius ir vyriausiasis teisės patarėjas yra
tinkami tokios valdymo grupės nariai. Tačiau iniciatyvinio komiteto kūrimo rėmimą turėtų inicijuoti asmuo, išmanantis verslo strategiją ir kryptį. Kadangi saugos vadybininkas ieško šios grupės
vadovybės, jie nėra geriausioje padėtyje prižiūrėti šios grupės formavimą.


Siekiant pabrėžti vadovybei informacijos saugumo integravimo į verslo procesus svarbą, naujai pasamdytas informacijos saugos pareigūnas turėtų
PIRMAS:
A. parengti saugumo planą B. atlikti

rizikos vertinimą C. parengti
informacijos saugumo politiką D. gauti lyginamąją
informaciją
Atsakymas: B
Paaiškinimas:
Rizikos vertinimas, įvertinimas ir poveikio analizė bus atskaitos taškas, kuriuo vadovybė atkreips dėmesį į informacijos saugumą. Visi kiti pasirinkimai bus atliekami įvertinus riziką.

Organizacijos informacijos saugos procesai šiuo metu apibrėžiami kaip ad hoc. Siekdama pagerinti savo veiklos lygį, kitas organizacijos žingsnis turėtų būti:
A. užtikrinti, kad saugos procesai būtų nuoseklūs visoje organizacijoje B. užtikrinti bazinio
saugumo lygių įgyvendinimą visoje organizacijoje C. užtikrinti, kad saugos
procesai būtų visiškai dokumentuoti D. įgyvendinti pagrindinių
saugos proceso efektyvumo rodiklių stebėjimą.
Atsakymas: A
Paaiškinimas:
Pirmiausia organizacija turi pereiti nuo ad hoc prie kartojamų procesų. Tada organizacija turi dokumentuoti procesus ir įdiegti procesų stebėjimą bei matavimą. Pradinis saugos lygių nustatymas
nebūtinai padės tobulinti procesą, nes pagrindinis dėmesys pirmiausia skiriamas kontrolės tobulinimui. Organizacija turi standartizuoti procesus tiek prieš dokumentuojant, tiek prieš stebėdama
ir matuojant.

PIRMASIS žingsnis kuriant vidinę kultūrą, orientuotą į informacijos saugumą, yra:
A. įgyvendinti stipresnę kontrolę B.

rengti periodinius sąmoningumo mokymus C.
aktyviai stebėti veiklą D. gauti
vykdomųjų vadovų pritarimą
Atsakymas: D
Paaiškinimas:
Vykdomosios vadovybės patvirtinimas politikos forma suteikia kryptį ir supratimą. Įdiegus griežtesnę kontrolę, gali būti vengiama. Sąmoningumo ugdymas yra svarbus, bet turi būti grindžiamas
politika. Aktyvus stebėjimas neturės įtakos kultūrai visais lygmenimis.

Priimtina rizika pasiekiama, kai:
A. likutinė rizika yra iki minimumo sumažinama
B. perkeliama rizika sumažinama iki minimumo
C. kontrolės rizika sumažinama iki minimumo
D. būdinga rizika yra minimali
Atsakymas: A
Paaiškinimas:
Likutinė rizika – tai rizika, kuri išlieka įgyvendinus veiksmingą rizikos valdymo programą; todėl, sumažinus šią sumą, pasiekiama priimtina rizika. Perduota rizika yra rizika, kurią prisiėmė trečioji šalis ir kuri
nebūtinai gali būti lygi minimaliai likutinei rizikai. Kontrolės rizika – tai rizika, kad kontrolė gali neapsaugoti / neaptikti incidento naudojant kontrolės efektyvumo priemonę. Įgimtos rizikos negalima sumažinti
iki minimumo.

Atliekant kiekybinę rizikos analizę, kuris iš šių dalykų yra SVARBIAUSIAS norint įvertinti galimus nuostolius?
A. Įvertinkite našumo praradimą B.

Įvertinkite konfidencialių duomenų atskleidimo poveikį C.
Apskaičiuokite informacijos ar turto vertę D. Išmatuokite
kiekvienos grėsmės atsiradimo tikimybę
Atsakymas: C
Paaiškinimas:
Informacijos ar turto vertės apskaičiavimas yra pirmasis rizikos analizės proceso žingsnis, siekiant nustatyti poveikį organizacijai, o tai yra galutinis tikslas.
Galimos rizikos įvertinimo žingsnis yra nustatyti, kiek produktyvumo galima prarasti ir kiek tai kainuotų. Žinant poveikį, jei tai konfidenciali

informacijos atskleidimas taip pat yra galimos rizikos įvertinimo žingsnis. Kiekvienos nustatytos grėsmės atsiradimo tikimybės matavimas yra grėsmės analizės žingsnis, taigi ir dalinis atsakymas.

Prieš atlikdamas oficialų organizacijos informacinių išteklių rizikos vertinimą, informacijos saugos vadovas PIRMA turėtų:
A. nustatyti pagrindines grėsmes verslo tikslui B. peržiūrėti

turimus rizikos informacijos šaltinius C. nustatyti
svarbiausio turto vertę D. nustatyti finansinį
poveikį, jei grėsmės išsipildys.
Atsakymas: A
Paaiškinimas:
Rizikos žemėlapis arba pagrindinių grėsmių organizacijai makro įvertinimas yra paprastas pirmas žingsnis prieš atliekant rizikos vertinimą. Visų turimų rizikos informacijos šaltinių rinkimas yra rizikos
vertinimo dalis. C ir D pasirinkimai taip pat yra rizikos vertinimo proceso sudedamosios dalys, kurios atliekamos po grėsmių ir verslo žemėlapių sudarymo.

Norėdamas nustatyti valdiklių, reikalingų verslo tikslams pasiekti, pasirinkimą, informacijos saugos vadovas turėtų:
A. suteikti pirmenybę vaidmenimis pagrįstos prieigos kontrolės

naudojimui B. sutelkti dėmesį į
pagrindinį valdymą C. apriboti valdymą tik svarbiomis
programomis D. sutelkti dėmesį į automatinį valdymą
Atsakymas: B
Paaiškinimas:
Pagrindinės kontrolės priemonės pirmiausia sumažina riziką ir yra veiksmingiausios informacijos turtui apsaugoti. Kiti pasirinkimai gali būti galimų pagrindinių valdiklių pavyzdžiai.

Vienas iš būdų nustatyti kontrolės efektyvumą yra nustatyti:
A. ar tai prevencinis, detektyvinis ar kompensacinis B. gebėjimas

pranešti apie gedimą C. numatyto tikslo bandymo rezultatai
D. patikimumo įvertinimas ir analizė
Atsakymas: C
Paaiškinimas:
Kontrolės efektyvumas reikalauja, kad būtų patikrinta, ar kontrolės procesas veikė kaip numatyta. Tokie pavyzdžiai kaip dviguba kontrolė arba dvejopo įrašo buhalterija leidžia patikrinti ir užtikrinti, kad
procesas veikė taip, kaip numatyta. Valdymo tipas nėra svarbus, o pranešimas apie gedimą nėra lemiamas valdymo stiprumo. Patikimumas nėra valdymo stiprumo rodiklis; silpnos kontrolės priemonės
gali būti labai patikimos, net jei jos yra neveiksmingos.

GERIAUSIA rizikos valdymo strategija yra:
A. pasiekti rizikos ir organizacinio tikslo pusiausvyrą B. sumažinti riziką iki

priimtino lygio C. užtikrinti, kad kuriant politiką
būtų tinkamai atsižvelgta į organizacinę riziką D. užtikrinti, kad vadovai priimtų visą
nemažinamą riziką
Atsakymas: B
Paaiškinimas:
Geriausia rizikos valdymo strategija – sumažinti riziką iki priimtino lygio, nes taip bus atsižvelgta į organizacijos potraukį rizikuoti ir į tai, kad būtų nepraktiška pašalinti visos rizikos. Pasiekti pusiausvyrą tarp
rizikos ir organizacijos tikslų ne visada praktiška. Kuriant politiką reikia atsižvelgti į organizacinę riziką ir verslo tikslus. Gali būti protinga užtikrinti, kad vadovybė suprastų ir priimtų riziką, kurios ji nenori
sušvelninti, tačiau tai yra praktika ir to nepakanka, kad būtų galima laikyti strategiją.

Veiksmingiausias rizikos registro naudojimas yra:
A. nustatyti riziką ir paskirstyti vaidmenis bei atsakomybę siekiant sumažinti riziką

B. nustatyti grėsmes ir tikimybes C. sudaryti
palankesnes sąlygas nuodugniai periodiškai peržiūrėti visas su IT susijusias rizikas D.
įrašyti numatomų nuostolių dėl rizikos metinę finansinę sumą.
Atsakymas: C

Paaiškinimas:
Rizikos registras yra daugiau nei paprastas sąrašas – jis turėtų būti naudojamas kaip priemonė užtikrinti išsamią dokumentaciją, periodinę visų rizikos elementų peržiūrą ir oficialų atnaujinimą įmonės IT
ir susijusioje organizacijoje. Rizikos nustatymas ir vaidmenų bei atsakomybės už jos mažinimą paskirstymas yra registro elementai. Grėsmių ir tikimybių nustatymas yra du rizikos matricoje apibrėžti
elementai, kurie skiriasi nuo platesnės rizikos registro turinio ir tikslo. Nors į registrą turėtų būti įtraukta metinė nuostolių prognozė (ALE), šis kiekybinis įvertinimas yra tik vienas visos rizikos analizės
programos elementas.

Informacijos saugos vadybininkas buvo paskirtas įgyvendinti griežtesnes prevencines priemones. Tai darant grynasis poveikis, visų pirma, sumažins:
A. threa
B. los
C. vulnerabilit D.
tikimybė
Atsakymas: C
Paaiškinimas:
Įgyvendinus griežtesnę prevencinę kontrolę, pažeidžiamumas sumažinamas, bet ne grėsmės. Nuostoliai ir jų atsiradimo tikimybė negali būti pirmiausia arba tiesiogiai paveikti.

Atlikdamas informacijos rizikos analizę, informacijos saugos vadovas PIRMA turėtų:
A. nustatyti nuosavybės teisę į turtą B.

įvertinti su turtu susijusią riziką
C. paimkite turto išradėją D.
suskirstykite turtą į kategorijas
Atsakymas: C
Paaiškinimas:
Turtas turi būti inventorizuotas prieš atliekant bet kurį kitą pasirinkimą.

Nuolatinis ištaisymo pastangų sekimas, siekiant sumažinti nustatytą riziką, GERIAUSIAI gali būti atliktas naudojant kurį iš toliau nurodytų priemonių?
A. Medžių diagramos B.
Venno diagramos C.
Šilumos diagramos
D. Juostinės diagramos
Atsakymas: C
Paaiškinimas:
Mėsos diagramos, kartais vadinamos stabdžių lempučių diagramomis, greitai ir aiškiai parodo esamą ištaisymo pastangų būklę. Venno diagramos rodo ryšį tarp aibių; medžių diagramos yra
naudingos sprendimų analizei; ir juostinėse diagramose rodomas santykinis dydis.

Anksčiau priimta rizika turėtų būti:
A. periodiškai iš naujo vertinama, nes rizika gali būti padidinta iki nepriimtino lygio dėl peržiūrėtos sąlygos B. priimta visam laikui, nes
vadovybė jau išleido išteklius (laiką ir darbą), kad padarytų išvadą, kad rizikos lygis yra priimtinas C. išvengta kitą kartą, nes rizika vengimas suteikia geriausią
apsaugą įmonei D. pašalintas iš rizikos žurnalo, kai tik jis bus priimtas
Atsakymas: A
Paaiškinimas:
Rizikos prisiėmimas turėtų būti reguliariai peržiūrimas, siekiant užtikrinti, kad pradinio rizikos prisiėmimo loginis pagrindas vis dar galioja dabartiniame verslo kontekste. Pradinio rizikos
priėmimo pagrindas gali nebegalioti dėl pakeitimo (-ų) ir. taigi, rizikos negalima priimti visam laikui. Rizika yra neatsiejama verslo dalis, todėl pašalinti visą riziką yra nepraktiška ir brangu. Net rizika,
kuri buvo priimta, turėtų būti stebima, ar nesikeičia sąlygos, kurios gali pakeisti pradinį sprendimą.

Kas, įvertinęs ir sumažinęs žiniatinklio taikomosios programos riziką, turėtų nuspręsti dėl likusios programos rizikos priėmimo?
A. Informacijos saugumo pareigūnas

B. Vyriausiasis informacijos pareigūnas (CIO)
C. Įmonės savininkas
D. Vyriausiasis direktorius (CF.O)

Atsakymas: C
Paaiškinimas:
Programos verslo savininkas turi suprasti ir priimti likusią taikymo riziką.

Ką ketinama nustatyti tinklo pažeidžiamumo vertinimu?
A. 0 dienų pažeidžiamumas B.
Kenkėjiška programinė įranga ir šnipinėjimo
programos C. Saugos dizaino
trūkumai D. Neteisinga konfigūracija ir trūksta naujinimų
Atsakymas: D
Paaiškinimas:
Tinklo pažeidžiamumo vertinimu siekiama nustatyti žinomus pažeidžiamumus, remiantis įprastomis klaidingomis konfigūracijomis ir trūkstamais naujinimais. 0 dienų pažeidžiamumai
pagal apibrėžimą anksčiau nebuvo žinomi, todėl jų negalima aptikti. Kenkėjiška programinė įranga ir šnipinėjimo programos paprastai sprendžiamos taikant antivirusinę ir šnipinėjimo
politiką. Saugumo projektavimo trūkumai reikalauja gilesnės analizės.

Gavus įsipareigojimą iš vyresniosios vadovybės, kuris iš šių dalykų turėtų būti atliktas KITAS kuriant informacijos saugos programą?
A. Apibrėžkite saugumo
metriką B. Atlikite rizikos vertinimą
C. Atlikite spragų analizę D.
Įsigykite saugos priemones
Atsakymas: B
Paaiškinimas:
Kuriant informacijos saugumo programą, rizikos įvertinimas yra labai svarbus siekiant nustatyti organizacijos poreikius ir parengti saugumo strategiją. Saugumo metrikų apibrėžimas,
spragų analizės atlikimas ir saugos įrankių įsigijimas yra visi tolesni svarstymai.

Kuris programos elementas PIRMIAUSIA turėtų būti įgyvendintas klasifikuojant ir valdant turtą?
A. Rizikos vertinimas B.
Klasifikacija C.
Vertinimas D.
Rizikos mažinimas
Atsakymas: C
Paaiškinimas:
Vertinimas pirmiausia atliekamas siekiant nustatyti ir suprasti turtą, kuriam reikia apsaugos. Rizikos vertinimas atliekamas siekiant nustatyti ir kiekybiškai įvertinti informacijos turtui kylančias
grėsmes, kurios atrenkamos atliekant pirmąjį – vertinimo – žingsnį. Klasifikavimas ir rizikos mažinimas yra žingsniai po vertinimo.

Organizacija turi procesą, kuris apima pardavėjo naudojimą. Kuriant procesą buvo atliktas rizikos vertinimas. Praėjus metams po įgyvendinimo, buvo priimtas piniginis sprendimas naudoti
kitą pardavėją. Kas, jei kas turėtų įvykti?
A. Nieko, nes rizikos vertinimas buvo baigtas kuriant B. Turėtų būti atliktas
pažeidžiamumo vertinimas C. Reikėtų atlikti naują rizikos
vertinimą D. Turėtų būti peržiūrėta naujojo pardavėjo
SAS 70 II tipo ataskaita
Atsakymas: C
Paaiškinimas:
Rizikos vertinimo procesas yra nuolatinis ir bet kokie nustatyto proceso pakeitimai turėtų apimti naujos rizikos vertinimą. Nors SAS 70 ataskaitos peržiūra ir pažeidžiamumo įvertinimas gali
būti rizikos vertinimo sudedamosios dalys, nė vienas iš jų nėra pakankamas deramas patikrinimas.

Atliekant rizikos vertinimą dėl serverio praradimo poveikio, serverio vertė turėtų būti apskaičiuojama naudojant:
A. pradinė įsigijimo kaina B.

programinės įrangos parduotuvės
kaina C. metinių nuostolių prognozė (ALE).
D. kainuoja gauti pakaitalą
Atsakymas: D

Paaiškinimas:
Serverio vertė turėtų būti pagrįsta jo pakeitimo kaina. Pradinė kaina gali labai skirtis nuo dabartinių išlaidų ir todėl ne tokia svarbi. Programinės įrangos vertė nėra problema,
nes ją galima atkurti iš atsarginės laikmenos. Visų su serveriu susijusių pavojų ALE neatspindi serverio vertės.

Informacijos saugos vadybininkui teisėsaugos ryšiai praneša, kad yra įrodymų, jog jo/jos įmonė yra nusitaikyta kvalifikuotos įsilaužėlių gaujos, kuri, kaip žinoma, naudoja
įvairius metodus, įskaitant socialinę inžineriją ir įsiskverbimą į tinklą. PIRMAS žingsnis, kurį turėtų atlikti saugos vadovas, yra:
A. atlikti išsamų įsilaužėlių technikos organizacijos poveikio įvertinimą B. inicijuoti sąmoningumo ugdymo
mokymus siekiant kovoti su socialine inžinieriumi C. nedelsiant
patarti vyresniajai vadovybei dėl padidėjusios rizikos D. padidinti
stebėjimo veiklą, kad būtų galima anksti nustatyti įsibrovimą
Atsakymas: C
Paaiškinimas:
Informacija apie galimą reikšmingą naują riziką iš patikimų šaltinių turėtų būti pateikta vadovybei kartu su patarimais dėl veiksmų, kurių reikia imtis norint įveikti grėsmę.
Apsaugos vadovas turėtų įvertinti riziką, tačiau vyresnioji vadovybė turėtų būti nedelsiant informuota. Jei sąmoningumo ugdymo mokymai nevykdomi, gali būti
protinga pradėti informavimo kampaniją po pavojaus signalo. Taip pat turėtų būti sustiprinta stebėjimo veikla.

Rizikos vertinimas yra veiksmingiausias, kai atliekamas:
A. saugumo programos kūrimo pradžioje B. nuolat
C. kuriant verslo atvejį saugumo programai D. verslo kaitos proceso

metu
Atsakymas: B
Paaiškinimas:
Rizikos vertinimas turi būti atliekamas nuolat dėl organizacinių ir techninių pokyčių. Kad rizikos vertinimas būtų veiksmingas, turi būti atsižvelgta į visus reikšmingus
pokyčius.

Kas galėtų GERIAUSIAI nustatyti verslo taikomųjų programų atkūrimo taško tikslą (RPO)?
A. Veiklos tęstinumo koordinatorius

B. Operacijų vadovas (COO)
C. Informacijos saugumo vadovas
D. Vidaus auditas
Atsakymas: B
Paaiškinimas:
Atkūrimo taško tikslas (RPO) yra apdorojimo kontrolinis taškas, į kurį atkuriamos sistemos. Be duomenų savininkų, vyriausiasis operacijų pareigūnas (COO) yra labiausiai
išmanantis asmuo, priimantis šį sprendimą. Informacijos saugumo vadybininkui ar vidaus auditui būtų netikslinga nustatyti RPO, nes jie nėra tiesiogiai atsakingi už duomenis
ar operaciją.

Įprasta blogai parašytų žiniatinklio programų problema yra ta, kad jos gali leisti užpuolikui:
A. įgyti kontrolę per buferio perpildymą B.

vykdyti paskirstytą paslaugų atsisakymo (DoS) ataką C.
piktnaudžiauti lenktynėmis
sąlyga D. įterpti struktūrinės užklausos kalbos (SQL) sakinį
Atsakymas: D
Paaiškinimas:
Struktūrinės užklausos kalbos (SQL) injekcija yra viena iš labiausiai paplitusių ir pavojingiausių žiniatinklio programų spragų. Buferio perpildymą ir lenktynių sąlygas labai sunku
rasti ir išnaudoti žiniatinklio programose. Paskirstytos paslaugų atsisakymo (DoS) atakos neturi nieko bendra su žiniatinklio programos kokybe.

Kurie iš šių rizikos vertinimo proceso rezultatų GERIAUSIAI padėtų priimti rizikos valdymo sprendimus?
A. Kontrolės
rizika B. Įgimta
rizika C. Rizika D.
Likutinė rizika

Atsakymas: D
Paaiškinimas:
Likutinė rizika suteikia vadovybei pakankamai informacijos, kad ji galėtų nuspręsti, kokį rizikos lygį organizacija nori priimti. Kontrolės rizika yra rizika, kad kontrolė gali nepavykti
išvengti nepageidaujamo įvykio. Rizika yra nepageidaujamo įvykio tikimybė. Įgimta rizika yra svarbus veiksnys, į kurį reikia atsižvelgti atliekant rizikos vertinimą.

SVARBIAUSIA priežastis atlikti periodinius rizikos vertinimus yra ta, kad:
A. rizikos vertinimai ne visada yra tikslūs B.

saugumo rizika dažnai keičiama C. recenzentai gali
optimizuoti ir sumažinti kontrolės išlaidas D. tai rodo vyresniajai
vadovybei, kad saugos funkcija gali pridėti vertės
Atsakymas: B
Paaiškinimas:
Rizika nuolat keičiasi. Anksčiau atliktas rizikos vertinimas negali apimti išmatuotos rizikos, atsiradusios po paskutinio vertinimo.
Nors vertinimas niekada negali būti tobulas ir jame visada yra klaidų, tai nėra svarbiausia periodinio pakartotinio vertinimo priežastis. Nepakanka to, kad kontrolė gali būti veiksmingesnė
siekiant sumažinti išlaidas. Galiausiai rizikos vertinimai neturėtų būti atliekami vien siekiant pagrįsti saugumo funkcijos egzistavimą.

Kuris iš šių dalykų yra labiausiai tinkamas informacijos saugumo rizikos analizės rezultatas?
A. Verslo poveikio analizės (BIA) ataskaita B.

Veiksmų, skirtų rizikai sumažinti, sąrašas
C. Rizikos priskyrimas procesų savininkams D.
Organizacinės rizikos kiekybinis įvertinimas
Atsakymas: B
Paaiškinimas:
Nors visa tai yra svarbu, veiksmų punktų sąrašas naudojamas esamam rizikos lygiui sumažinti arba perkelti. Kiti variantai reikšmingai prisideda prie veiksmų įgyvendinimo.

Siekdamas užtikrinti, kad darbo užmokesčio sistemos ir toliau veiktų uraganui užklupus duomenų centrui, koks būtų FIRS T esminis žingsnis, kurio imtųsi informacijos saugos vadovas
užtikrindamas veiklos tęstinumo planavimą?
A. Kokybinės ir kiekybinės rizikos analizės atlikimas B. Turto

vertės priskyrimas C. Plano
įgyvendinimo sąnaudų svėrimas v D. finansiniai
nuostoliai E.
Poveikio verslui analizės (BIA) atlikimas.
Atsakymas: D
Paaiškinimas:
BIA yra esminis organizacijos veiklos tęstinumo plano komponentas; jame yra tiriamasis komponentas, skirtas atskleisti visus pažeidžiamumus, ir planavimo komponentas, skirtas
rizikos mažinimo strategijoms kurti. Tai pirmas esminis žingsnis planuojant veiklos tęstinumą. Bus atlikta kokybinė ir kiekybinė rizikos analizė, siekiant apibrėžti galimų gamtos ir
žmogaus sukeltų nepageidaujamų reiškinių keliamus pavojus asmenims, įmonėms ir vyriausybinėms įstaigoms.
Vertės priskyrimas turtui yra BIA proceso dalis. Plano įgyvendinimo sąnaudų ir finansinių nuostolių įvertinimas yra kita BIA dalis.

Svarbu klasifikuoti ir nustatyti santykinį turto jautrumą siekiant užtikrinti, kad:
A. apsaugos išlaidos yra proporcingos jautrumui B.

labai jautrus turtas yra apsaugotas C.
kontrolės išlaidos yra sumažintos
D. atsakomosios priemonės yra proporcingos ris
Atsakymas: D
Paaiškinimas:
Turto klasifikavimas turi būti atliekamas siekiant nustatyti turto jautrumą verslo veiklai kylančios rizikos požiūriu, kad būtų galima veiksmingai įgyvendinti proporcingas atsakomąsias
priemones. Nors jautriam turtui apsaugoti leidžiamos didesnės išlaidos ir visada tikslinga sumažinti kontrolės išlaidas, svarbiausia, kad kontrolė ir atsakomosios priemonės būtų
proporcingos rizikai, nes tai pateisins išlaidas. Pasirinkimas B yra svarbus, tačiau jis yra neišsamus atsakymas, nes jis neatsižvelgia į riziką. Todėl D pasirinkimas yra svarbiausias.

Kuris iš šių dalykų apskritai turėtų didžiausią neigiamą poveikį organizacijai?
A. Kompiuterių programinės įrangos

vagystė B. Komunalinių paslaugų teikimo
nutraukimas C. Klientų pasitikėjimo
praradimas D. Vidinis sukčiavimas, dėl kurio patiriami piniginiai nuostoliai
Atsakymas: C
Paaiškinimas:
Nors programinės įrangos vagystės, komunalinių paslaugų nutraukimas ir vidinis sukčiavimas yra reikšmingi, klientų pasitikėjimo praradimas yra labiausiai žalingas ir gali sukelti verslo žlugimą.

Rizikos analizė turėtų:
A. įtraukti panašių įmonių lyginamąjį indeksą į savo apimtį B. prisiimti

vienodą viso turto apsaugos laipsnį C. atsižvelgti į galimą nuostolių
dydį ir tikimybę D. suteikti daugiau reikšmės tikimybei v E.
nuostolio dydis
Atsakymas: C
Paaiškinimas:
Rizikos analizė turėtų atsižvelgti į galimą nuostolių dydį ir tikimybę. Tai galėtų apimti palyginimus su panašaus dydžio įmonių grupe. Ji neturėtų prisiimti vienodo lygio viso turto apsaugos, nes turtas gali turėti
skirtingus rizikos veiksnius. Nuostolių tikimybė neturėtų būti labiau akcentuojama nei nuostolių dydis; rizikos analizė visada turėtų būti vienodai nagrinėjama abiem atvejais.

Remiantis pateikta informacija, kuri iš toliau nurodytų situacijų kelia DIDŽIAUSIĄ informacijos saugumo riziką organizacijai, turinčiai kelias, bet mažas, vidaus apdorojimo vietas?
A. Sistemų eksploatavimo procedūros nevykdomos B. Pokyčių

valdymo procedūros prastos C. Sistemų kūrimas perduotas
iš išorės D. Sistemų pajėgumų valdymas
neatliekamas
Atsakymas: B
Paaiškinimas:
Pokyčių valdymo trūkumas yra rimtas trūkumas ir labai padidins informacijos saugumo riziką. Kadangi procedūros paprastai yra neautoritetinės, jų vykdymo trūkumas nėra pagrindinis rūpestis. Sistemos, kurias
kuria trečiųjų šalių pardavėjai, tampa įprastomis ir nesukelia saugumo rizikos padidėjimo tiek, kiek prastas pokyčių valdymas. Prastas pajėgumų valdymas nebūtinai gali kelti pavojų saugumui.

Tinkamiausias klientų duomenų, saugomų centrinėje duomenų bazėje, naudojamų tik organizacijos pardavimo skyriaus, savininkas būtų:
A. pardavimų padaliniai
B. duomenų bazės administrato
C. vyriausiasis informacijos pareigūnas (CIO).
D. pardavimo skyriaus vadovas
Atsakymas: D
Paaiškinimas:
Informacinio ištekliaus savininkas turėtų būti asmuo, turintis sprendimų priėmimo teisę skyriuje, kuris gauna daugiausia naudos iš turto. Šiuo atveju tai būtų pardavimo skyriaus vadovas. Organizacinis vienetas
negali būti turto savininkas, nes tai pašalina asmeninę atsakomybę. Duomenų bazės administratorius yra saugotojas. Vyriausiasis informacijos pareigūnas (CIO) nebūtų šios duomenų bazės savininkas, nes
CTO greičiausiai neturės žinių apie konkrečius pardavimo operacijų poreikius ir saugumo problemas.

Sprendimas, ar rizika buvo sumažinta iki priimtino lygio, turėtų būti priimtas:
A. organizacinis reikalavimas B.
informacinių sistemų reikalavimas C.
informacijos saugumo reikalavimas D.
tarptautinis standartas
Atsakymas: A
Paaiškinimas:

Organizaciniai reikalavimai turėtų nustatyti, kada rizika buvo sumažinta iki priimtino lygio. Informacinės sistemos ir informacijos saugumas neturėtų būti galutinis sprendimas. Kadangi kiekviena
organizacija yra unikali, tarptautiniai geriausios praktikos standartai nėra geriausias sprendimas.

PAGRINDINĖ priežastis inicijuoti politikos išimties procesą yra tada, kai:
A. operacijos per daug užimtos, kad būtų

įvykdytos B. rizika pateisinama nauda C.
politikos laikymąsi būtų sunku užtikrinti D. naudotojai iš
pradžių gali patirti nepatogumų
Atsakymas: B
Paaiškinimas:
Politikos išimtys yra pateisinamos tais atvejais, kai atitiktis gali būti sudėtinga arba neįmanoma, o nesilaikymo rizika nusveria nauda.
Užsiėmimas nepateisina politikos išimčių, taip pat negali būti laikomasi reikalavimų. Vartotojo nepatogumai nėra priežastis automatiškai suteikti politikos išimtį.

Pasaulinė finansų institucija nusprendė nesiimti jokių tolesnių veiksmų dėl rizikos vertinimo grupės nustatytos paslaugos atsisakymo (DoS) rizikos. Labiausiai tikėtina priežastis, dėl kurios jie priėmė šį
sprendimą, yra tai, kad:
A. yra pakankamai apsaugos priemonių, kad ši rizika nepasikartotų B. reikalinga atsakomoji

priemonė yra per sudėtinga, kad ją būtų galima panaudoti C. atsakomosios
priemonės kaina viršija turto vertę ir galimus nuostolius D. Rizikos atsiradimo tikimybė nežinoma
Atsakymas: C
Paaiškinimas:
Organizacija gali nuspręsti gyventi su specifine rizika, nes apsisaugoti kainuotų daugiau nei galimo nuostolio vertė. Apsaugos priemonės turi atitikti rizikos lygį. Nors atsakomųjų priemonių taikymas gali būti
pernelyg sudėtingas, tai nėra pati įtikinamiausia priežastis. Mažai tikėtina, kad pasaulinė finansų institucija nepatirtų tokių atakų ir jų dažnumo neįmanoma numatyti.

Kuris iš šių dalykų GERIAUSIAI apsaugos organizaciją nuo vidaus saugumo atakų?
A. Statinis IP adresas B.
Vidinio adreso vertimas C. Būsimo
darbuotojo biografijos patikrinimas D. Darbuotojų
informavimo sertifikavimo programa
Atsakymas: C
Paaiškinimas:
Kadangi ankstesni rezultatai yra tvirtas būsimos veiklos pranašumas, būsimų darbuotojų biografijos patikrinimai geriausiai apsaugo nuo atakų kilimo organizacijoje. Statinis IP adresas mažai padeda užkirsti
kelią vidinei atakai. Vidinio adreso vertimas naudojant nenukreipiamus adresus yra naudingas nuo išorinių atakų, bet ne nuo vidinių atakų. Pageidautini darbuotojai, patvirtinantys, kad susipažino su saugos
politika, tačiau tai negarantuoja, kad darbuotojai elgsis sąžiningai.

Kuris iš šių veiksmų rizikos vertinimo procese turėtų būti atliktas PIRMAI?
A. Darbuotojų pokalbiai
B. Grėsmės nustatymas
C. Turto identifikavimas ir vertinimas
D. Nustatytos rizikos tikimybės nustatymas
Atsakymas: C
Paaiškinimas:
Pirmasis rizikos vertinimo metodikos žingsnis yra viso įmonės turto sistemos apibūdinimas arba identifikavimas ir įvertinimas, siekiant apibrėžti vertinimo ribas. Interviu yra vertinga priemonė norint
nustatyti kokybinę informaciją apie organizacijos tikslus ir toleranciją rizikai.
Interviu naudojami tolesniuose etapuose. Grėsmės nustatomos vėliau ir neturėtų būti atliekamos prieš inventorizaciją, nes daugelis galimų grėsmių nebus taikomos, jei nėra turto, kuriam gresia pavojus.
Tikimybė nustatoma vėliau rizikos vertinimo procese.

Įmonė neseniai sukūrė pažangią technologiją. Kadangi ši technologija gali suteikti šiai įmonei reikšmingą konkurencinį pranašumą, kuri iš toliau nurodytų dalykų PIRMIAUSIA nulemtų, kaip ši informacija
turi būti apsaugota?
A. Prieigos kontrolės politika

B. Duomenų klasifikavimo politika
C. Šifravimo standartai

D. Priimtino naudojimo politika
Atsakymas: B
Paaiškinimas:
Duomenų klasifikavimo politika apibrėžia apsaugos lygį, kuris turi būti suteiktas kiekvienai duomenų kategorijai. Be šio įpareigoto apsaugos lygio reitingavimo sunku nustatyti, kokie prieigos valdikliai
ar šifravimo lygiai turėtų būti taikomi. Priimtino naudojimo politika labiau orientuota į galutinį vartotoją, todėl konkrečiai nenurodyta, kokios kontrolės priemonės turėtų būti taikomos, kad informacija būtų
tinkamai apsaugota.

Kuris iš šių dalykų padėtų vadovybei nustatyti išteklius, reikalingus organizacijai kylančiai rizikai sumažinti?
A. Rizikos analizės procesas B.

Verslo poveikio analizė (BIA)
C. Rizikos valdymo subalansuotų rezultatų suvestinė
D. Rizika pagrįsta audito programa
Atsakymas: B
Paaiškinimas:
Poveikio verslui analizė (BIA) nustato galimą rizikos rezultatą ir yra būtina norint nustatyti atitinkamas kontrolės išlaidas. Rizikos analizės procesas pateikia išsamius duomenis, tačiau nenustato
konkrečių išteklių rizikai sumažinti, kaip tai daro BIA. Rizikos valdymo subalansuotų rezultatų kortelė yra tikslo pasiekimo matavimo priemonė. Rizika pagrįsta audito programa naudojama siekiant sutelkti
audito procesą į organizacijai svarbiausias sritis.

Rizikos valdymo metodas informacijos apsaugai yra toks:
A. rizikos valdymą iki priimtino lygio, atitinkančio tikslus ir tikslą B. priimti komercinio saugos produkto
teikiamą saugumo poziciją C. įgyvendinti mokymo programą, skirtą ugdyti asmenis informacijos
apsaugos ir rizikos klausimais D. rizikos priemonių valdymas, siekiant užtikrinti, kad jie įvertintų visus informacijos
apsaugos pažeidžiamumas
Atsakymas: A
Paaiškinimas:
Rizikos valdymas – tai visos rizikos organizacijoje nustatymas, priimtino rizikos lygio nustatymas ir efektyvus rizikos valdymas, kuris gali apimti mažinimą arba perdavimą. Komercinių saugos produktų teikiamos
saugumo pozicijos pripažinimas yra metodas, kuris apsiribotų technologijų komponentais ir gali neapsiriboti visomis organizacijos verslo operacijomis. Švietimas yra bendro rizikos valdymo proceso dalis.
Priemonės gali apsiriboti technologijomis ir nepašalintų su technologijomis nesusijusių pavojų.
NAUJAS 249 KLAUSIMAS Kai

įvyksta reikšmingas saugumo pažeidimas, apie ką PIRMIAUSIA reikėtų pranešti vyresniajai vadovybei?
A. Saugos žurnalų santrauka, iliustruojanti įvykių seką B. Incidento ir taisomųjų veiksmų,

kurių buvo imtasi, paaiškinimas C. Panašių atakų poveikio kitoms
organizacijoms analizė D. Verslo pavyzdys, kaip įdiegti stipresnę loginę prieigos kontrolę
Atsakymas: B
Paaiškinimas:
Pranešant apie incidentą vyresniajai vadovybei, pirminė informacija, kurią reikia perduoti, turėtų apimti paaiškinimą, kas atsitiko ir kaip pažeidimas buvo pašalintas. Saugos žurnalų suvestinė būtų per daug
techninė, kad būtų galima pranešti vyresniajai vadovybei. Būtų pageidautina atlikti panašių atakų poveikio analizę ir verslo pagrindą, siekiant pagerinti kontrolę; tačiau apie tai bus pranešta vėliau proceso metu.

Kas atsakingas už tai, kad informacija būtų įslaptinta?
A. Vyresnysis vadovas B.
Apsaugos vadovas C.
Duomenų savininkas
D. Saugotojas
Atsakymas: C
Paaiškinimas:
Duomenų savininkas yra atsakingas už tinkamo duomenų klasifikavimo taikymą. Aukščiausioji vadovybė galiausiai yra atsakinga už organizaciją. Apsaugos pareigūnas yra atsakingas už apsaugos taikymą
pagal savininko nurodytą įslaptinimo lygį. Technologijų grupei duomenų savininkas perduoda duomenų saugojimą, tačiau grupė informacijos neskirsto.

PAGRINDINĖ informacijos turto klasifikavimo nauda yra tokia:
A. susieti saugumo reikalavimus su verslo tikslu B. nustatyti

kontrolės priemones, atitinkančias ris C. apibrėžti
prieigos teisę D. nustatyti
nuosavybės teisę
Atsakymas: B
Paaiškinimas:
Visi pasirinkimai yra informacijos klasifikavimo pranašumai. Tačiau svarbiausias proceso privalumas yra nustatyti kontrolės priemones, kurios visais atvejais yra proporcingos rizikai.

Informacijos saugumo organizacija visų pirma turėtų:
A. remti įmonės verslo tikslus teikdama su sauga susijusią pagalbos paslaugą B. būti atsakinga už informacijos saugos
komandos nario informacijos saugumo pareigų nustatymą ir dokumentavimą C. užtikrinti, kad įmonės informacijos saugos politika atitiktų pasaulinė geriausia praktika
ir standartas D. užtikrina, kad informacijos saugumo lūkesčiai būtų perteikti darbuotojui
Atsakymas: A
Paaiškinimas:
Informacijos saugumo organizacija yra atsakinga už B ir D parinktis organizacijoje, tačiau tai nėra pagrindinė jos misija. Būtina peržiūrėti ir priimti atitinkamus standartus (C variantas). Pagrindinis
informacijos saugumo organizacijos tikslas yra užtikrinti, kad saugumas paremtų bendrus įmonės verslo tikslus.

Kuris iš šių GERIAUSIŲ dalykų rodo sėkmingą rizikos valdymo praktiką?
A. Bendra rizika yra kiekybiškai

įvertinama B. Įgimta rizika pašalinama
C. Likutinė rizika sumažinama iki minimumo
D. Kontrolės rizika yra susieta su verslo padaliniais
Atsakymas: C
Paaiškinimas:
Sėkminga rizikos valdymo praktika sumažina liekamąją organizacijos riziką. Pasirinkimas A yra neteisingas, nes tai, kad bendra rizika buvo kiekybiškai įvertinta, nebūtinai rodo sėkmingą rizikos valdymo
praktiką. Pasirinkimas B yra neteisingas, nes praktiškai neįmanoma pašalinti būdingos rizikos.
D pasirinkimas yra neteisingas, nes nors kontrolės rizikos susiejimas su verslu gali pagerinti atskaitomybę, tai nėra taip pageidautina, kaip sumažinti likutinę riziką.

Atliekant kokybinę rizikos analizę, kuris iš šių dalykų duos patikimus rezultatus GERIAUSIAI?
A. Numatomas našumo sumažėjimas B.

Galimi scenarijai su grėsmėmis ir poveikiu C. Informacinio
turto vertė D. Pažeidžiamumo
vertinimas
Atsakymas: B
Paaiškinimas:
Išvardinus visus galimus scenarijus, kurie gali atsirasti, kartu su grėsmėmis ir poveikiu, bus geriau apibrėžta rizika ir lengviau priimti pagrįstą diskusiją ir priimti sprendimą. Vien apskaičiuotų našumo
nuostolių, informacinio turto vertės ir pažeidžiamumo įvertinimų nepakaktų.

Atliekant rizikos vertinimą, SVARBIAUSIAI atsižvelgiama į tai, kad:
A. vadovybė remia rizikos mažinimo pastangas B.

Apskaičiuoti metiniai nuostolių lūkesčiai (ALE) kritiniam turtui C. turtas buvo nustatytas ir
tinkamai vertinamas D. atakos motyvai, priemonės ir galimybės
suprasti
Atsakymas: C
Paaiškinimas:
Turto identifikavimas ir įvertinimas yra pagrindas rizikos valdymo pastangoms, nes tai susiję su turto kritiškumu ir jautrumu. Valdymo parama visada yra svarbi, bet nėra svarbi nustatant rizikos valdymo
pastangų proporcingumą. ALE skaičiavimai galioja tik tuo atveju, jei turtas iš pradžių buvo nustatytas ir tinkamai įvertintas. Motyvai, priemonės ir galimybės jau turėtų būti įtrauktos į rizikos vertinimą.

Sėkminga informacijos saugumo valdymo programa turėtų naudoti kurį iš šių dalykų, kad nustatytų išteklių, skirtų poveikio mažinimui, kiekį?
A. Rizikos analizės rezultatai

B. Audito ataskaitos išvados
C. Skverbties testo rezultatai D.
Turimo IT biudžeto suma
Atsakymas: A
Paaiškinimas:
Rizikos analizės rezultatai yra naudingiausias ir išsamiausias informacijos šaltinis nustatant, kiek išteklių reikia skirti poveikio mažinimui. Audito ataskaitos išvadose gali būti neatsižvelgta į
visas rizikas ir neatsižvelgiama į metinių nuostolių dažnumą. Prasiskverbimo testo rezultatai suteikia tik ribotą pavojaus vaizdą, o IT biudžetas nėra susietas su rizika, su kuria susiduria
organizacija.

Organizacija nusprendė įdiegti papildomą saugumo kontrolę, kad sumažintų naujo proceso riziką. Tai yra pavyzdys:
A. ris pašalinimas B. ris

perkėlimas C. ris
sušvelninimas D. ris
priėmimas
Atsakymas: C
Paaiškinimas:
Rizikos niekada negalima visiškai pašalinti. Perkeliant riziką ji išnyksta, pavyzdžiui, perkant draudimą, kad draudimo bendrovė galėtų prisiimti riziką. Papildomų kontrolės priemonių
įgyvendinimas yra rizikos mažinimo pavyzdys. Nieko nedarymas, kad sumažintų riziką, būtų rizikos prisiėmimo pavyzdys.

Kuris iš toliau pateiktų sprendimų yra veiksmingiausias, kad vidiniai vartotojai negalėtų keisti jautrios ir įslaptintos informacijos?
A. Pagrindiniai saugumo standartai B.

Prieigos prie sistemos pažeidimų žurnalai C.
Vaidmenimis pagrįsti prieigos valdikliai D.
Išėjimo įprastos procedūros
Atsakymas: C
Paaiškinimas:
Vaidmenimis pagrįsti prieigos valdikliai padeda užtikrinti, kad vartotojai turėtų prieigą tik prie failų ir sistemų, tinkamų jų darbo vaidmeniui. Pažeidimų žurnalai yra detektyviniai ir neapsaugo
nuo neteisėtos prieigos. Pagrindiniai saugumo standartai neapsaugo neteisėtos prieigos. Išėjimo tvarka priklauso nuo tinkamos vaidmenimis pagrįstos prieigos.

Norint pasiekti virtualųjį privatų tinklą (VPN) prie įmonės tinklo, informacijos saugos vadybininkas reikalauja tvirto autentifikavimo. Kuris iš šių būdų yra stipriausias būdas užtikrinti, kad
prisijungimas prie
tinklo būtų saugus?
A. Biometriniai
duomenys B. Simetriniai šifravimo
raktai C. Secure Sockets Layer (SSL) pagrįstas autentifikavimas
D. Dviejų veiksnių autentifikavimas
Atsakymas: D
Paaiškinimas:
Dviejų veiksnių autentifikavimui reikia daugiau nei vieno vartotojo autentifikavimo tipo. Nors biometriniai duomenys suteikia unikalų autentifikavimą, jis pats savaime nėra stiprus, nebent
kartu su ja naudojamas PIN kodas ar koks nors kitas autentifikavimo veiksnys. Pats biometrinis autentifikavimas taip pat gali būti kartojamas. Simetrinis šifravimo metodas, kuris naudoja tą patį
slaptąjį raktą duomenims užšifruoti ir iššifruoti, nėra tipiškas galutinių vartotojų autentifikavimo mechanizmas. Šis privatus raktas vis tiek gali būti pažeistas. SSL yra standartinė saugos
technologija, skirta sukurti šifruotą ryšį tarp žiniatinklio serverio ir naršyklės. SSL nėra autentifikavimo mechanizmas. Jei SSL naudojamas su kliento sertifikatu ir slaptažodžiu, tai būtų dviejų
veiksnių autentifikavimas.

Kai vartotojas naudoja kliento skaitmeninį sertifikatą žiniatinklio serverio autentifikavimui per saugų sujungimo sluoksnį (SSI.), kuriai iš šių dalykų konfidencialumas yra labiausiai pažeidžiamas?
A. IP klastojimas
B. Vidurio žmogaus ataka C.
Atmetimas D.
Trojos arklys
Atsakymas: D
Paaiškinimas:

Trojos arklys yra programa, kuri suteikia užpuolikui visišką užkrėsto kompiuterio kontrolę, todėl užpuolikas gali užgrobti, nukopijuoti ar pakeisti informaciją po to, kai vartotojas patvirtina savo
tapatybę. IP klaidinimas neveiks, nes IP nenaudojamas kaip autentifikavimo mechanizmas. Vidutinio žmogaus atakos neįmanomos, jei naudojamas SSL su kliento pusės sertifikatais. Atsisakymas mažai
tikėtinas, nes kliento sertifikatai autentifikuoja vartotoją.

Kuri iš toliau išvardytų yra pati svarbiausia rizika, susijusi su tarpine programine įranga kliento-serverio aplinkoje?
A. Gali būti užkirstas kelias serverio pataisymui

B. Sistemos atsarginės kopijos gali būti
neužbaigtos C. Gali būti paveiktas sistemos
vientisumas D. Gali būti užgrobtos galutinio vartotojo sesijos
Atsakymas: C
Paaiškinimas:
Pagrindinė rizika, susijusi su tarpine programine įranga kliento ir serverio aplinkoje, yra ta, kad sistemos vientisumas gali būti neigiamai paveiktas dėl pačios tarpinės programinės įrangos, skirtos
palaikyti kelias vienu metu sąveikaujančias operacines aplinkas, paskirties. Jei trūksta tinkamos programinės įrangos duomenų ar programų perkeliamumui valdyti keliose platformose, gali būti
prarasti duomenys arba programos vientisumas. Visi kiti pasirinkimai yra mažiau tikėtina.

Kuriame projekto etape turėtų būti parengtas bandymo planas, skirtas naujos sistemos saugumo kontrolės priemonėms patvirtinti?
A. Testavimas
B. Iniciavimas
C.
Projektavimas D. Kūrimas
Atsakymas: C
Paaiškinimas:
Projektavimo etape apibrėžiami saugumo patikros punktai ir parengiamas bandymų planas. Testavimo etapas yra per vėlus, nes sistema jau buvo sukurta ir vyksta gamybos bandymai. Pradiniame etape
pripažįstamas pagrindinis projekto saugumo tikslas. Kūrimas yra kodavimo etapas ir per vėlu apsvarstyti bandymų planus.

Koks yra pats svarbiausias elementas, kuris turi būti įtrauktas į informacijos saugumo politiką?
A. Vaidmenų ir pareigų apibrėžimas B. Saugos programos

apimtis C. Pagrindiniai saugumo programos
tikslai D. Nuoroda į saugumo programos procedūras ir
standartus
Atsakymas: C
Paaiškinimas:
Saugumo programos tikslų išdėstymas yra svarbiausias elementas, užtikrinantis atitikimą verslo tikslams. Kiti pasirinkimai yra saugumo politikos dalis, tačiau jie nėra tokie svarbūs.
NAUJAS KLAUSIMAS 283 Kas

GERIAUSIAI gali patvirtinti planus įdiegti informacijos saugumo valdymo sistemą?
A. Vidaus auditorius B.
Informacijos saugumo valdymas C. Iniciatyvinis
komitetas D. Infrastruktūros
valdymas
Atsakymas: C
Paaiškinimas:
Vyresnioji vadovybė, kuri yra saugumo valdymo komiteto dalis, gali geriausiai patvirtinti planus įdiegti informacijos saugumo valdymo sistemą. Vidaus auditorius yra antraeilis dalykas aukštesnės
vadovybės autoritetui ir įtakai. Informacijos saugumo valdymas neturėtų turėti įgaliojimų tvirtinti saugumo valdymo sistemos. Infrastruktūros valdymas nebus geriausioje padėtyje, nes jame daugiau
dėmesio skiriama technologijoms, o ne verslui.

Užsakomųjų paslaugų teikėjas turi tvarkyti jautrią klientų informaciją. Ką iš šių dalykų SVARBIAUSIA žinoti informacijos saugos vadybininkas?
A. Saugumas saugojant ir perduodant neskelbtinus duomenis B. Teikėjo

atitikties pramonės standartams lygis C. Įrenginyje įdiegtos saugos
technologijos D. Naujausios nepriklausomos saugumo
peržiūros rezultatai
Atsakymas: A

Paaiškinimas:
Mow užsakovas apsaugo slaptos informacijos saugojimą ir perdavimą leis informacijos saugos vadybininkui suprasti, kaip bus apsaugoti neskelbtini duomenys. B pasirinkimas yra svarbus, bet antraeilis
dalykas. C pasirinkimas yra neteisingas, nes saugos technologijos nėra vieninteliai komponentai, apsaugantys jautrią klientų informaciją. D pasirinkimas yra neteisingas, nes nepriklausoma saugumo
peržiūra gali neapimti analizės, kaip būtų apsaugota jautri klientų informacija.

Atlikus vidinę žiniatinklio taikomųjų programų sistemos peržiūrą, randama galimybė gauti prieigą prie visų darbuotojų paskyrų pakeitus darbuotojo ID URL, naudojamo prieigai prie paskyros. Nustatytas
pažeidžiamumas:
A. sugadintas autentifikavimas
B. nepatvirtintas įvestis
C. kelių svetainių
scenarijus D. struktūrinės užklausos kalbos (SQL) injekcija
Atsakymas: A
Paaiškinimas:
Autentifikavimo procesas sugenda, nes, nors seansas galioja, programa turėtų iš naujo autentifikuoti, kai pakeičiami įvesties parametrai. Peržiūroje buvo pateikti galiojantys darbuotojų ID ir galiojanti
įvestis buvo apdorota. Problema yra pakartotinio autentifikavimo trūkumas, kai keičiami įvesties parametrai.
Šiuo atveju scenarijus keliose svetainėse nėra problema, nes ataka neperkeliama į jokio kito vartotojo naršyklę, kad būtų gauta išvestis. Struktūrinės užklausos kalbos (SQL) įvedimas nėra problema, nes
įvestis pateikiama kaip galiojantis darbuotojo ID ir SQL užklausos neįvedamos, kad būtų pateikta išvestis.

PAGRINDINIS automatinio slaptažodžių sinchronizavimo privalumas yra tas, kad:
A. sumažina bendrą administracinį darbo krūvį B.

padidina saugumą tarp kelių pakopų sistemos C. leidžia
rečiau keisti slaptažodžius D. sumažina dviejų veiksnių
autentifikavimo poreikį
Atsakymas: A
Paaiškinimas:
Automatinis slaptažodžių sinchronizavimas sumažina bendrą slaptažodžių nustatymo iš naujo administracinį krūvį. Tai nepadidina kelių pakopų sistemų saugumo, neleidžia rečiau keisti slaptažodžių ir
nesumažina dviejų veiksnių autentifikavimo poreikio.

Kuriame programų kūrimo proceso etape iš pradžių būtų sprendžiamas šifravimo rakto valdymas?
A. Reikalavimų kūrimas B. Diegimas C.

Sistemų testavimas
D. Kodo peržiūros
Atsakymas: A
Paaiškinimas:
Šifravimo rakto valdymas turi būti integruotas į programos dizaino reikalavimus. Sistemų testavimo ir diegimo metu būtų per vėlu, nes dėl reikalavimų jau susitarta. Kodo peržiūros yra galutinio kokybės
užtikrinimo (QA) proceso dalis ir taip pat būtų per vėlu.

Kuris iš šių dalykų yra pats svarbiausias dalykas, į kurį reikia atsižvelgti vertinant produktus, skirtus stebėti saugą visoje įmonėje?
A. Lengvas montavimas
B. Gaminio dokumentacija C.
Galimas palaikymas D.
Papildomos sistemos išlaidos
Atsakymas: D
Paaiškinimas:
Produktų stebėjimas gali turėti didelį poveikį serverių ir tinklų sistemos sąnaudoms. Produkto dokumentacija, pagalba telefonu ir montavimo paprastumas, nors visa tai svarbu, būtų antraeiliai
dalykai.

Kuris iš šių dalykų paprastai naudojamas siekiant užtikrinti, kad internetu perduodama informacija būtų autentiška ir ją iš tikrųjų perduotų nurodytas siuntėjas?
A. Biometrinis autentifikavimas B.
Įterptasis steganografinis C. Dviejų
veiksnių autentifikavimas D.
Įterptasis skaitmeninis parašas

Atsakymas: D
Paaiškinimas:
Skaitmeniniai parašai užtikrina, kad perduota informacija gali būti priskirta nurodytam siuntėjui; tai suteikia neatmetimą. Steganografiniai metodai naudojami pranešimams ar duomenims kituose failuose
paslėpti. Biometrinis ir dviejų veiksnių autentifikavimas paprastai nenaudojamas interneto duomenų perdavimui apsaugoti.

Kuris iš šių įrenginių turėtų būti demilitarizuotoje zonoje (DMZ)?
A. Tinklo jungiklis B.
Žiniatinklio serveris
C. Duomenų bazės serveris
D. Failų / spausdinimo serveris
Atsakymas: B
Paaiškinimas:
Žiniatinklio serveris paprastai turi būti demilitarizuotoje zonoje (DMZ), kad apsaugotų vidinį tinklą. Duomenų bazėse ir failų / spausdinimo serveriuose gali būti konfidencialių arba vertingų duomenų, todėl
jie visada turi būti dedami į vidinį tinklą, o ne į DMZ, kuris gali būti pažeistas. Jungikliai gali sujungti DMZ su kitu tinklu, bet techniškai nėra DMZ tinklo segmente.

Kuris iš šių įrankių yra tinkamiausias norint nustatyti, kiek laiko užtruks saugumo projekto įgyvendinimas?
A. Ganto diagrama
B. Krioklio diagrama
C. Kritinis kelias D.
Greitas taikomųjų programų kūrimas (RAD)
Atsakymas: C
Paaiškinimas:
Kritinio kelio metodas yra veiksmingiausias norint nustatyti, kiek laiko užtruks projektas. Krioklio diagrama naudojama norint suprasti vieno proceso eigą į kitą.
Ganto diagrama palengvina tinkamą išteklių įvertinimą ir paskirstymą. Rapid Application Development (RAD) metodas naudojamas kaip pagalbinė priemonė, palengvinanti ir paspartinanti sistemų kūrimą.

Kalbėdamas su organizacijos žmogiškųjų išteklių skyriumi apie informacijos saugumą, informacijos saugos vadovas turėtų sutelkti dėmesį į poreikį:
A. adekvatus biudžetas saugos programai B. techninio IT

darbuotojo įdarbinimas C. periodinis rizikos
vertinimas D. darbuotojų saugumo
supratimo mokymai
Atsakymas: D
Paaiškinimas:
Informacijos saugos vadovas turi įtikinti žmogiškųjų išteklių skyrių, kad visiems darbuotojams reikia mokymų apie saugumą. Biudžeto sumetimai yra daugiau apskaitos funkcija. Žmogiškųjų išteklių
skyrius įsitrauks, kai įsitikins, kad reikia mokymų apie saugumą. Įdarbinus IT išmanančius darbuotojus, gali atsirasti naujų darbuotojų, geriau išmanančių informacijos saugumą, tačiau tai nepakeičia kitų
darbuotojų mokymo reikalavimų. Periodiškas rizikos vertinimas gali būti susijęs su žmogiškųjų išteklių skyriaus funkcija arba ne.

Kuri iš šių priežasčių yra pati svarbiausia priežastis, kodėl reikėtų apibrėžti informacijos saugumo tikslus?
A. Efektyvumo matavimo priemonė B. Bendras

tikslų supratimas C. Atitiktis taikomiems
standartams D. Vadovybės pasirašymo ir paramos
iniciatyvos
Atsakymas: A
Paaiškinimas:
Tikslų kūrimas iš dalies gali būti naudojamas kaip informacijos saugumo valdymo efektyvumo matavimo šaltinis, kuris prisideda prie bendro valdymo. Bendras tikslų supratimas ir suderinamumas su
taikomais standartais yra naudingi, tačiau tai nėra pagrindinės priežastys, kodėl reikia aiškiai apibrėžtų tikslų. Valdymo supratimas yra svarbus, bet pats savaime nesuteiks valdymo struktūros.

Kuris iš šių saugumo mechanizmų yra veiksmingiausias apsaugant įslaptintus duomenis, kurie buvo užšifruoti, kad būtų išvengta atskleidimo ir perdavimo už organizacijos tinklo ribų?
A. Ugniasienės konfigūravimas

B. Šifravimo algoritmų stiprumas C.

Autentifikavimas programoje D. Apsaugos
priemonės dėl raktų
Atsakymas: D
Paaiškinimas:
Jei raktai yra netinkamose rankose, dokumentus bus galima skaityti nepriklausomai nuo to, kur jie yra tinkle. A pasirinkimas yra neteisingas, nes ugniasienės gali būti puikiai sukonfigūruotos,
bet jei raktai patenka į kitą pusę, jie netrukdys iššifruoti dokumento. Pasirinkimas B yra neteisingas, nes net ir lengviems šifravimo algoritmams reikia pakankamai išteklių, kad juos sulaužytų,
o šifravimo raktus galima lengvai naudoti. C pasirinkimas yra neteisingas, nes programos „priekinių durų“ valdikliai gali būti apeiti tiesiogiai pasiekiant duomenis.

Kuris iš šių dalykų yra veiksmingiausias siekiant užkirsti kelią esamų gamybos sistemų trūkumams?
A. Pataisų valdymas B.
Pakeitimų valdymas C.
Saugumo pagrindai D.
Virusų aptikimas
Atsakymas: B
Paaiškinimas:
Pokyčių valdymas kontroliuoja pakeitimų įvedimo į sistemas procesą. Tai dažnai yra taškas, kai atsiranda silpnumas. Pataisų valdymas apima programinės įrangos trūkumų taisymą ir būtinai
vyktų pakeitimų valdymo procedūromis. Saugos bazinės linijos pateikia minimalius rekomenduojamus parametrus ir netrukdo nustatyti valdymo trūkumų. Virusų aptikimas yra veiksminga
priemonė, tačiau daugiausia dėmesio skiriama kenkėjiškam kodui iš išorinių šaltinių ir tik toms programoms, kurios yra prisijungusios.

Kuris iš šių dalykų GERIAUSIAI apsaugotų organizacijos konfidencialius duomenis, saugomus nešiojamajame kompiuteryje, nuo neteisėtos prieigos?
A. Stiprus autentifikavimas slaptažodžiu B.

Šifruoti standieji diskai C.
Daugiafaktorio autentifikavimo procedūros D.
Tinklo duomenų atsarginė kopija
Atsakymas: B
Paaiškinimas:
Kietųjų diskų šifravimas apsaugo nuo neteisėtos prieigos prie nešiojamojo kompiuterio net tada, kai nešiojamasis kompiuteris bus pamestas arba pavogtas. Ryžtingas įsilaužėlis gali apeiti
tvirtą
autentifikavimą slaptažodžiu. Daugiafaktorinį autentifikavimą galima apeiti pašalinus standųjį diską ir įdėjus jį į kitą nešiojamąjį kompiuterį. Tinklo duomenų atsarginės kopijos neužkerta kelio
prieigai, o greičiau atkuriamos praradus duomenis.

Kuris iš šių dalykų užtikrina, kad naujai nustatytos operacinės sistemos saugos trūkumai būtų laiku sumažinti?
Pokyčių valdymas C. Saugumo
pagrindai D. Įsigijimo
valdymas
Atsakymas: A
Paaiškinimas:
Pataisų valdymas apima programinės įrangos trūkumų taisymą ir padeda užtikrinti, kad naujai nustatyti išnaudojimai būtų sušvelninti laiku. Pokyčių valdymas kontroliuoja pakeitimų
įvedimo į sistemas procesą. Saugos bazinės linijos pateikia minimalius rekomenduojamus nustatymus. Įsigijimo valdymas kontroliuoja pirkimo procesą.

GERIAUSIA ugniasienės efektyvumo vertinimo metrika yra:
A. blokuoti atakų skaičius B.

numestų paketų skaičius C.
vidutinis pralaidumas žiurkė D.
užkardos taisyklės skaičius
Atsakymas: A
Paaiškinimas:
Užblokuotų atakų skaičius rodo, ar ugniasienė veikia taip, kaip numatyta. Išmestų paketų skaičius nebūtinai rodo efektyvumo lygį. Užkardos taisyklių skaičius ir vidutinis pralaidumas nėra
veiksmingi matavimai.


Kuris iš šių dalykų yra veiksmingiausias užkertant kelią operacinių sistemų saugos trūkumams?
Pakeitimų valdymas C. Saugumo
pagrindai D. Konfigūracijos
valdymas
Atsakymas: A
Paaiškinimas:
Pataisų valdymas ištaiso aptiktas silpnybes, taikydamas pataisą (pataisą) pradiniam programos kodui. Pokyčių valdymas kontroliuoja pakeitimų įvedimo į sistemas procesą. Saugos bazinės linijos pateikia
minimalius rekomenduojamus nustatymus. Konfigūracijos valdymas kontroliuoja gamybos aplinkos naujinimus.

Kuris iš šių dalykų, naudojant viešojo rakto kriptografiją, užtikrina pranešimo autentifikavimą, konfidencialumą ir neatmetimą?
A. Šifravimas pirmiausia gavėjo privačiu raktu, o antrasis – viešuoju siuntėjo raktu B. Šifravimas
pirmiausia siuntėjo privačiu raktu, o antrasis – gavėjo viešuoju raktu C. Šifravimas pirmiausia siuntėjo
privačiu raktu ir antrasis iššifravimas siuntėjo viešuoju raktu D. Šifravimas pirmiausia siuntėjo viešuoju raktu
raktas ir antrasis pagal gavėjo privatų raktą
Atsakymas: B
Paaiškinimas:
Šifravimas privačiu siuntėjo raktu užtikrina autentifikavimą. Galėdamas iššifruoti naudodamas siuntėjo viešąjį raktą, gavėjas žinotų, kad pranešimą siunčia tik siuntėjas, o siuntėjas negali paneigti / atmesti
pranešimo. Antra, šifruojant siuntėjo viešuoju raktu, tik siuntėjas galės iššifruoti pranešimą ir užtikrinamas konfidencialumas. Privatus gavėjo raktas yra privatus gavėjui ir siuntėjas negali jo turėti šifravimui.
Panašiai gavėjas neturės privataus siuntėjo rakto, kad iššifruotų antrojo lygio šifravimą. Kai šifruojama pirmiausia siuntėjo privačiu raktu ir. antra, iššifruojant siuntėjo viešuoju raktu, konfidencialumas
neužtikrinamas, nes pranešimą gali iššifruoti bet kas, naudodamas siuntėjo viešąjį raktą. Gavėjo privatus raktas nebūtų pasiekiamas siuntėjui antrojo lygio šifravimui. Panašiai siuntėjo privatus raktas nebūtų
pasiekiamas gavėjui, kad galėtų iššifruoti pranešimą.

Kuri iš šių dalykų yra pagrindinė ISO 27001 sistemos sritis?
A. Veiklos rizikos vertinimas B. Finansinių

nusikaltimų metrika
C. Pajėgumų valdymas D. Veiklos
tęstinumo valdymas
Atsakymas: D
Paaiškinimas:
Veiklos rizikos vertinimas, finansinių nusikaltimų metrika ir pajėgumų valdymas gali papildyti informacijos saugumo sistemą, tačiau pagrindinis komponentas yra tik veiklos tęstinumo valdymas.

Neatmetimą GERIAUSIAI galima užtikrinti naudojant:
A. stiprus slaptažodis B.
skaitmeninis turi
C. simetrinis šifravimas D.
skaitmeninis parašas
Atsakymas: D
Paaiškinimas:
Skaitmeniniams parašams naudojama privataus ir viešojo raktų pora, patvirtinanti abiejų šalių autentiškumą. Turinio, kuriuo keičiamasi, vientisumas kontroliuojamas maišos mechanizmu, kuris yra
pasirašytas besikeičiančios šalies privačiu raktu. Skaitmeninė maiša pati savaime padeda užtikrinti turinio vientisumą, bet ne neatmetimą.
Simetrinis šifravimas nepadės neatsisakyti, nes raktus visada dalijasi šalys. Stiprūs slaptažodžiai tik užtikrina autentifikavimą sistemoje ir negali būti naudojami siekiant neatsisakyti, kai dalyvauja dvi ar
daugiau šalių.

Mobiliųjų vartotojų prieigos prie jautrios intraneto programos kontrolę GERIAUSIAI gali įgyvendinti:
A. duomenų šifravimas
B. skaitmeninis parašas
C. stiprus slaptažodis D.
dviejų veiksnių autentifikavimas
Atsakymas: D

Paaiškinimas:
Dviejų veiksnių autentifikavimas naudojant stiprius slaptažodžius kartu su saugos žetonais užtikrina aukščiausią saugumo lygį. Duomenų šifravimas, skaitmeniniai parašai ir stiprūs slaptažodžiai
nesuteikia tokio pat apsaugos lygio.

Kuris iš šių įrenginių turėtų būti įdėtas į DMZ?
A. Maršrutizatorius
B. Ugniasienė
C. Pašto
perdavimas D. Autentifikavimo serveris
Atsakymas: C
Paaiškinimas:
Pašto relė paprastai turėtų būti demilitarizuotoje zonoje (DMZ), kad apsaugotų vidinį tinklą. Autentifikavimo serveris dėl savo jautrumo visada turėtų būti dedamas į vidinį tinklą, o ne į DMZ, kuris
gali būti pažeistas. Ir maršrutizatoriai, ir ugniasienės gali sujungti DMZ su kitu tinklu, tačiau techniškai nėra DMZ tinklo segmente.

Svarbiausia priežastis, dėl kurios statistinėmis anomalijomis pagrįstos įsibrovimo aptikimo sistemos (slat IDS) naudojamos rečiau nei parašu pagrįstos IDS, yra ta, kad stat.
IDS:
A. sukurti daugiau papildomų išlaidų nei parašu pagrįsti ID B.

sukelti klaidingus teigiamus rezultatus dėl nedidelių sistemos kintamojo
pakeitimų C. generuoti klaidingus pavojaus signalus dėl skirtingų naudotojų
ar sistemos veiksmų D. negali aptikti naujų atakų tipų
Atsakymas: C
Paaiškinimas:
Statistinėmis anomalijomis pagrįsta įsibrovimų aptikimo sistema (stat IDS) renka duomenis iš įprasto srauto ir nustato bazinę liniją. Tada jis periodiškai atrenka tinklo veiklą pagal statistinius
metodus ir lygina pavyzdžius su pradine linija. Kai veikla yra už pradinio parametro ribų (iškarpymo lygio), IDS praneša administratoriui. Pagrindiniai kintamieji gali apimti pagrindinio kompiuterio
atminties arba centrinio procesoriaus (CPU) naudojimą, tinklo paketų tipus ir paketų kiekius.
Jei vartotojų ar sistemų veiksmai tinkle labai skiriasi, atsižvelgiant į mažo aktyvumo ir įnirtingo paketų mainų periodus, statistinis IDS gali būti netinkamas, nes dramatiškas svyravimas iš vieno lygio į kitą
beveik neabejotinai sukels klaidingus pavojaus signalus. Šis trūkumas turės didžiausią įtaką IT sistemų veikimui. Dėl statinių IDS operacijų pobūdžio (ty jos turi nuolat bandyti suderinti veiklos modelius
su pradiniais parametrais), stat IDS reikalauja daug daugiau pridėtinių išlaidų ir apdorojimo nei parašais pagrįstos versijos. Dėl statistikos IDS pobūdžio, remiantis statistika ir duomenų palyginimu su
pradiniais parametrais, šio tipo IDS gali neaptikti nedidelių sistemos kintamųjų pakeitimų ir gali sukelti daug klaidingų teigiamų rezultatų. D pasirinkimas yra neteisingas; kadangi statistinis IDS
gali stebėti kelis sistemos kintamuosius, jis gali aptikti naujų tipų kintamuosius, atsekdamas bet kokios rūšies neįprastą veiklą.

Kokia yra SVARBIAUSIA priežastis vykdyti saugumo supratimo programas visoje organizacijoje?
A. Žmonių rizikos mažinimas B.

Mokymo įrašų tvarkymas siekiant užtikrinti atitiktį C. Verslo padalinių informavimas
apie saugumo strategiją D. Personalo mokymas reaguoti į saugumo
incidentus
Atsakymas: A
Paaiškinimas:
Žmonės yra silpniausia saugumo įgyvendinimo grandis, o sąmoningumas sumažintų šią riziką. Vykdant saugumo supratimo ir mokymo programas, atskiri darbuotojai gali būti informuoti ir
supažindinti su įvairiomis saugumo strategijomis ir kitomis saugumo temomis, taip užtikrinant, kad kiekvienas asmuo laikytųsi reikalavimų. Įstatymais ir reglamentais taip pat siekiama sumažinti
riziką žmonėms. Informuoti verslo padalinius apie saugumo strategiją geriausia per valdymo komiteto posėdžius ar kitus forumus.

Organizacijoje už informacinių sistemų saugumą atsako:
A. visas personalas
B. informacinių sistemų personalas C.
informacinių sistemų apsaugos personalas D.
funkcinis personalas
Atsakymas: A
Paaiškinimas:
Visi organizacijos darbuotojai yra atsakingi už informacinių sistemų saugumo užtikrinimą – tai gali būti netiesioginis personalas, pvz., fizinės saugos darbuotojai. Informacinių sistemų saugumas
negali būti vien informacinių sistemų personalo atsakomybė, nes jie negali užtikrinti saugumo. Informacinių sistemų saugumas negali būti vien informacinių sistemų apsaugos personalo
atsakomybė, nes jie negali užtikrinti saugumo. Informacinių sistemų saugumas negali būti atsakingas vien tik funkcionuojantiems darbuotojams, nes jie negali užtikrinti saugumo.

Koks yra tinkamas operacinės sistemos (OS) pataisų atnaujinimo dažnis gamybos serveriuose?
A. Suplanuotų naujų programų diegimo metu B. Pagal

fiksuotą saugos pataisų valdymo grafiką C. Kartu su kas ketvirtį atliekama
aparatinės įrangos priežiūra D. Kai išleidžiami svarbūs saugos
pataisymai
Atsakymas: D
Paaiškinimas:
Pataisymai turėtų būti taikomi kiekvieną kartą, kai išleidžiami svarbūs saugos naujinimai. Jie neturėtų būti atidėti, kad sutaptų su kitais suplanuotais diegimais ar priežiūra. Dėl galimybės
sukurti sistemos gedimą, jie neturėtų būti diegiami kritiniais programos veiklos laikotarpiais, pvz., mėnesio pabaigoje arba ketvirčio pabaigoje.

Svarbu sukurti informacijos saugumo bazę, nes ji padeda apibrėžti:
A. svarbūs informacijos ištekliai, kuriems reikalinga apsauga

B. visos organizacijos saugumo politika C. minimali
priimtina saugumas, kurį reikia įgyvendinti D. reikalinga fizinė ir
loginė prieigos kontrolė
Atsakymas: C
Paaiškinimas:
Informacijos saugumo bazinės linijos kūrimas padeda apibrėžti minimalų priimtiną saugumą, kuris bus įdiegtas siekiant apsaugoti informacijos išteklius pagal atitinkamus kritiškumo lygius. Prieš
nustatydamas saugumo bazę, informacijos saugos vadovas turi nustatyti saugumo politiką, nustatyti organizacijos informacijos išteklių kritiškumo lygius ir įvertinti rizikos aplinką, kurioje tie ištekliai
veikia.

Kuris iš šių dalykų yra veiksmingiausias siekiant apsaugoti belaidžius tinklus kaip įėjimo į įmonės tinklą tašką?
A. Ribinis maršruto
parinktuvas B. Stiprus
šifravimas C. Į internetą
nukreipta ugniasienė D. Įsibrovimų aptikimo sistema (IDS)
Atsakymas: B
Paaiškinimas:
Stiprus šifravimas yra veiksmingiausia belaidžių tinklų apsaugos priemonė. Ribų maršrutizatoriai, įsibrovimų aptikimo sistemos (IDS) ir interneto ugniasienės nebūtų tokie veiksmingi.

Sudarant sutartį su užsakovu dėl saugumo administravimo, SVARBIAUSIAS sutarties elementas yra:
A. teisės nutraukti sąlyga B.

įsipareigojimų apribojimai
C. paslaugų lygio sutartis (SLA).
D. finansinių baudų sąlyga
Atsakymas: C
Paaiškinimas:
Paslaugų lygio sutartys (SLA) pateikia metriką, pagal kurią užsakomųjų paslaugų įmonės gali būti atsakingos. Tai svarbiau nei užsakomosios įmonės atsakomybės ribojimas, teisės nutraukti sąlyga arba
nekenksmingas susitarimas, susijęs su įsipareigojimais trečiosioms šalims.

PAGRINDINĖ viešojo rakto infrastruktūros (PKI) diegimo priežastis diegiant informacijos saugos programą yra:
A. užtikrinti jautrios medžiagos konfidencialumą B. suteikti

aukštą tapatybės garantiją C. leisti dislokuoti
aktyvųjį direktorių D. įgyvendinti saugių lizdų
sluoksnio (SSL) šifravimą
Atsakymas: B
Paaiškinimas:
Pagrindinis viešojo rakto infrastruktūros (PKI) tikslas yra užtikrinti tvirtą autentifikavimą. Konfidencialumas yra PKI platinamų seansų raktų funkcija.
Aktyvus katalogas gali naudoti PKI autentifikavimui ir kitomis priemonėmis. Nors saugių lizdų sluoksnio (SSL) šifravimui reikia autentifikuoti raktų, tai nėra pagrindinė PKI diegimo priežastis.


Kuris iš toliau pateiktų būdų yra GERIAUSIA pašalinti rangovų ir kitų laikinųjų naudotojų prieigą prie sistemos, kai jos nebereikia?
A. Užregistruokite visą paskyros naudojimą ir nusiųskite jį savo

vadovui B. Nustatykite iš anksto nustatytas automatines galiojimo
pabaigos datas C. Reikalauti, kad vadovai el. paštu saugotų, kai vartotojas
išeina D. Įsitikinkite, kad kiekvienas asmuo pasirašė saugumo patvirtinimą
Atsakymas: B
Paaiškinimas:
Iš anksto nustatytos galiojimo pabaigos datos yra veiksmingiausia priemonė laikinai panaikinti prieigą prie sistemos. Ne visada galima pasikliauti tuo, kad vadovai greitai atsiųs pranešimus apie
nutraukimą, o reikalavimas, kad kiekvienas asmuo pasirašytų saugumo patvirtinimą, šiuo atveju turėtų mažai įtakos.

Siekdamas apsaugoti tinklą nuo neteisėtų išorinių prisijungimų prie įmonės sistemų, informacijos saugos vadovas GERIAUSIAI turėtų įgyvendinti:
A. stiprus autentifikavimas B.
IP apsaugos nuo sukčiavimo
filtras C. tinklo šifravimo protokolas D.
patikimų įrenginių prieigos sąrašai
Atsakymas: A
Paaiškinimas:
Stiprus autentifikavimas užtikrins tinkamą vartotojų tapatybę, o IP apsaugos nuo sukčiavimo tikslas yra įrenginys, o ne vartotojas. Šifravimo protokolas užtikrina duomenų konfidencialumą ir autentiškumą,
o patikimų įrenginių prieigos sąrašai yra lengvai išnaudojami suklastojus klientų tapatybę.

Saugus klientų naudojimasis el. prekybos programa GERIAUSIAI gali būti pasiektas:
A. duomenų šifravimas
B. skaitmeninis parašas
C. stiprus slaptažodis D.
dviejų veiksnių autentifikavimas
Atsakymas: A
Paaiškinimas:
Šifravimas būtų tinkamiausias būdas užtikrinti klientų bendravimo su elektroninės prekybos programa konfidencialumą. Vien stiprių slaptažodžių nepakaktų, nes duomenis vis tiek būtų galima
perimti, o dviejų veiksnių autentifikavimas būtų nepraktiškas. Skaitmeniniai parašai nesuteiktų saugios ryšio priemonės. Daugumoje verslo klientų (B-to-C) žiniatinklio programų skaitmeninis parašas
taip pat nėra praktiškas sprendimas.

Kuris iš šių būdų yra GERIAUSIA saugiai perduoti pranešimą?
A. Slaptažodžiu apsaugota keičiama laikmena B.

Faksimilinis siuntimas saugioje patalpoje C. Viešojo rakto
infrastruktūros (PKI) šifravimo naudojimas D. Steganografija
Atsakymas: C
Paaiškinimas:
Viešojo rakto infrastruktūros (PKI) naudojimas šiuo metu priimtas kaip saugiausias būdas perduoti el. pašto žinutes. PKI užtikrina konfidencialumą, vientisumą ir neatmetimą. Kiti pasirinkimai nėra tokie
saugūs kaip PKI metodai. Steganografija apima žinutės slėpimą vaizde.

Kuris iš šių GERIAUSIA užtikrina pranešimo vientisumą, siuntėjo tapatybės autentifikavimą ir neatmetimą?
A. Simetrinė kriptografija B. Viešojo

rakto infrastruktūra (PKI)
C. Pranešimo maiša D.
Pranešimo autentifikavimo kodas
Atsakymas: B
Paaiškinimas:
Viešojo rakto infrastruktūra (PKI) sujungia viešojo rakto šifravimą su patikima trečiąja šalimi, kad paskelbtų ir atšauktų skaitmeninius sertifikatus, kuriuose yra siuntėjo viešasis raktas. Siuntėjai gali
skaitmeniniu būdu pasirašyti pranešimą naudodami savo privatų raktą ir pridėti savo skaitmeninį sertifikatą (pateiktą patikimos trečiosios šalies). Šios charakteristikos leidžia siuntėjams užtikrinti
autentifikavimą, vientisumo patvirtinimą ir neatmetimą. Simetrinė kriptografija užtikrina konfidencialumą. Sutrynimas gali užtikrinti vientisumą ir konfidencialumą. Pranešimų autentifikavimo kodai užtikrina
vientisumą.


Veiksmingiausias būdas užtikrinti, kad tinklo vartotojai žinotų apie savo pareigas laikytis organizacijos saugumo reikalavimų:
A. pranešimai, rodomi prie kiekvieno logotipo

B. periodiniai su sauga susiję el. pašto pranešimai C.
Intraneto svetainė, skirta informacijos apsaugai D.
platinama informacijos saugumo politika
Atsakymas: A
Paaiškinimas:
Prisijungimo reklamjuostės būtų rodomos kiekvieną kartą vartotojui prisijungus, o vartotojas turėtų perskaityti ir sutikti su tuo pačiu prieš naudodamasis ištekliais. Be to, žinutė perduodama raštu ir pateikiama
nuosekliai, todėl ji gali būti lengvai įgyvendinama bet kurioje organizacijoje. Tinklo naudotojai su sauga susijusius el. laiškus dažnai laiko „Šlamštu“ ir patys savaime neužtikrina, kad vartotojas sutiks
laikytis saugumo reikalavimų. Intraneto svetainės buvimas nepriverčia vartotojų prieiti prie jos ir skaityti informaciją. Informacijos saugumo politikos išplatinimas nepatvirtina, kad atskiras vartotojas perskaitė,
suprato ir sutiko laikytis jos reikalavimų, nebent tai būtų susiję su oficialiu patvirtinimu, pvz., vartotojo parašu, kad sutinkate.

Kuris iš šių įrenginių galėtų sustabdyti struktūrinės užklausos kalbos (SQL) injekcijos ataką?
A. Įsibrovimo prevencijos sistema (IPS)

B. Įsibrovimo aptikimo sistema (IDS)
C. Pagrindinio kompiuterio įsilaužimo aptikimo sistema (HIDS)
D. Prieglobos ugniasienė
Atsakymas: A
Paaiškinimas:
SQL injekcijos atakos įvyksta programos lygmenyje. Dauguma IPS pardavėjų aptiks bent jau pagrindinius SQL įterpimo rinkinius ir galės juos sustabdyti. IDS aptiks, bet netrukdys I. IIDS nežinos apie SQL
injekcijos problemas. Prieglobos ugniasienė, nesvarbu, ar ji yra žiniatinklio serveryje, ar duomenų bazės serveryje, leis prisijungti, nes ugniasienės netikrina paketų programos lygmenyje.

Kuris iš šių GERIAUSIŲ dalykų užtikrina, kad internetu perduodama informacija išliks konfidenciali?
A. Virtualus privatus tinklas (VPN)

B. Ugniasienės ir maršrutizatoriai
C. Biometrinis autentifikavimas
D. Dviejų veiksnių autentifikavimas
Atsakymas: A
Paaiškinimas:
Duomenų šifravimas virtualiame privačiame tinkle (VPN) užtikrina, kad perduota informacija nebūtų įskaitoma, net jei ji perimama. Ugniasienės ir maršrutizatoriai apsaugo prieigą prie duomenų išteklių tinkle
ir neapsaugo srauto viešajame tinkle. Biometrinis ir dviejų veiksnių autentifikavimas savaime netrukdo pranešimui perimti ir perskaityti.

Intraneto serveris paprastai turi būti dedamas:
A. vidinis tinklas
B. ugniasienė
aptarnauja C. išorinis
maršrutas D. pirminis domeno valdymas
Atsakymas: A
Paaiškinimas:
Vidiniame tinkle turi būti įdėtas intraneto serveris. Įdėjus jį ant išorinio maršruto parinktuvo, jis lieka neapsaugotas. Kadangi ugniasienės turi būti įdiegtos sustiprintuose serveriuose su įjungtomis minimaliomis
paslaugomis, intraneto serverio nedera laikyti tame pačiame fiziniame įrenginyje kaip ir ugniasienė. Panašiai pirminio domeno valdikliai paprastai nesidalija fiziniu įrenginiu kaip intraneto serveriu.

Kuris iš šių yra SVARBIAUSIAS gaires naudojant programinę įrangą siekiant nuskaityti, ar įmonės tinkle nėra saugos?
A. Niekada nenaudokite atvirojo kodo

įrankių B. Susikoncentruokite tik į gamybos
serverius C. Vykdykite linijinį atakų procesą D.
Nepertraukite gamybos procesų
Atsakymas: D
Paaiškinimas:

Pirmoji saugumo nuskaitymo taisyklė – nieko nesulaužyti. Tai apima bet kokių veikiančių procesų nutraukimą. Atvirojo kodo įrankiai yra puikus šaltinis nuskaitymui. Nuskaitymas turėtų būti sutelktas
ir į bandomąją, ir į gamybinę aplinką, nes, jei būtų pažeista, bandomoji aplinka gali būti naudojama kaip platforma, iš kurios galima atakuoti gamybos serverius. Galiausiai, ekspozicijų nuskaitymo procesas
yra labiau spiralinis, o ne linijinis procesas.

Diegdamas naują el. pašto sistemą, informacijos saugos vadovas norėtų užtikrinti pranešimų konfidencialumą siunčiamų pranešimų metu. Kuris iš šių būdų yra tinkamiausias duomenų konfidencialumui užtikrinti
diegiant naują el. pašto sistemą?
A. Šifravimas B.
Skaitmeninis sertifikatas
C. Skaitmeninis parašas
D. I rišimo algoritmas
Atsakymas: A
Paaiškinimas:
Norint išsaugoti pranešimo konfidencialumą siunčiamo pranešimo metu, turėtų būti įdiegtas šifravimas. Pasirinkimai B ir C padeda tik autentifikuoti siuntėją ir gavėją.
D pasirinkimas užtikrina vientisumą.
NAUJAS 399 KLAUSIMAS Kuri

iš toliau nurodytų veiklų labiausiai padidins sunkumus visiškai išnaikinti kenkėjišką kodą, kuris nėra iškart aptinkamas?
A. Pataisų taikymas B.
Prieigos taisyklių keitimas C.
Techninės įrangos atnaujinimas
D. Failų atsarginių kopijų kūrimas
Atsakymas: D
Paaiškinimas:
Jei kenkėjiškas kodas iš karto neaptinkamas, jo atsarginė kopija greičiausiai bus sukurta atliekant įprastą atsarginės kopijos juostoje procesą. Vėliau aptiktas kodas gali būti ištrintas iš įrenginio, bet vis tiek lieka
neaptiktas atsarginėje juostoje. Bet koks vėlesnis atkūrimas naudojant tą juostą gali iš naujo įvesti kenkėjišką kodą. Pataisų taikymas, prieigos taisyklių keitimas ir techninės įrangos atnaujinimas sudėtingumo
lygio žymiai nepadidina.

Organizacijos informacijos saugos vadovo buvo paprašyta pasamdyti konsultantą, kuris padėtų įvertinti organizacijos informacijos saugumo valdymo brandos lygį. SVARBIAUSIAS prašymo pateikti
pasiūlymą (RI P) elementas yra:
A. rekomendacijos iš kitos organizacijos B.

ankstesnė sužadėtuvių arbatos patirtis C. pristatymo
pavyzdys D. vertintojams
naudojama metodika
Atsakymas: D
Paaiškinimas:
Metodika iliustruoja procesą ir suformuluoja pagrindą, kaip suderinti lūkesčius ir vertinimo vykdymą. Tai taip pat suteikia vaizdą apie tai, ko reikalaujama iš visų vertinime dalyvaujančių šalių. Nuorodos iš
kitų organizacijų yra svarbios, bet ne tokios svarbios kaip vertinimo metodika. Užduoties komandos ankstesnė patirtis nėra tokia svarbi, kaip naudojama metodika. Pavyzdiniai rezultatai nurodo tik
tai, kaip pateikiamas vertinimas, o ne procesas.

Apibrėžiant paslaugų lygio sutartį (SLA) dėl duomenų konfidencialumo lygio, kurį tvarko trečiosios šalies paslaugų teikėjas, GERIAUSIAS atitikties rodiklis būtų:
A. prieigos kontrolės matri
B. šifravimo stiprumas C.
autentifikavimo mechanizmas
D. duomenų saugykla
Atsakymas: A
Paaiškinimas:
Prieigos kontrolės matrica yra geriausias paslaugų lygio sutarties (SLA) duomenų konfidencialumo sąlygų atitikties rodiklis. Šifravimo stiprumas, autentifikavimo mechanizmas ir duomenų saugykla gali būti
apibrėžti SLA, tačiau tai nėra konfidencialumo atitikties rodikliai.

Naujiems darbuotojams turėtų būti rengiami saugumo supratimo mokymai:
A. pagal poreikį B. sistemos

naudotojo mokymo metu C. kol jie
neturi prieigos prie duomenų D. kartu su
skyriaus darbuotojais

Atsakymas: C
Paaiškinimas:
Prieš suteikiant prieigą, turėtų būti surengti saugumo supratimo mokymai, siekiant užtikrinti, kad naujasis darbuotojas suprastų, jog saugumas yra sistemos ir verslo proceso dalis. Visi kiti
pasirinkimai reiškia, kad suteikus prieigą prie sistemos, rengiami saugumo supratimo mokymai, o tai gali tapti antriniu žingsniu.

Kuri iš šių sričių yra labiausiai jautri saugumo trūkumams?
A. Duomenų bazės valdymas B.

Juostinės atsarginės kopijos
valdymas C. Konfigūracijos valdymas
D. Reagavimo į incidentus valdymas
Atsakymas: C
Paaiškinimas:
Konfigūracijos valdymas užtikrina didžiausią saugumo trūkumų tikimybę dėl netinkamos konfigūracijos ir netinkamo operacinės sistemos (OS) kodo atnaujinimo laiku.

Kuris iš šių būtų tinkamiausias fizinės saugos sprendimas pagrindiniam duomenų centro įėjimui?
A. Mantrapas
B. Biometrinis
užraktas C. Uždaros grandinės televizija (CCTV)
D. Apsaugos darbuotojas
Atsakymas: B
Paaiškinimas:
Biometrinis įrenginys užtikrins, kad prie duomenų centro galėtų prisijungti tik įgaliotas vartotojas. Mantrapai savaime nebūtų veiksmingi. Uždaros grandinės televizija (CCTV) ir apsaugos
darbuotojas užtikrina detektyvinę kontrolę, tačiau nebūtų tokie veiksmingi nustatant kiekvieno asmens prieigos teises.

Kuris iš šių įvykių apskritai turi didžiausią poveikį informacijos saugumui?
A. Naujo biuro atidarymas B.

Sujungimas su kita organizacija C. Duomenų
centro perkėlimas D. Tinklo
perjungimas
Atsakymas: B
Paaiškinimas:
Susijungimas su kita organizacija arba jos įsigijimas daro didelį poveikį informacijos saugumo valdymo funkcijai, nes paveldimi nauji pažeidžiamumai ir rizika. Naujo biuro atidarymas, duomenų
centro perkėlimas į naują vietą arba tinklo perjungimas gali turėti informacijos saugumo pavojų, tačiau paprastai laikomasi įmonės saugumo politikos ir yra lengviau apsaugomi.

Geros informacijos saugumo procedūros turėtų:
A. apibrėžti leistinas elgesio ribas

B. pabrėžkite saugumo valdymo svarbą C. apibūdinkite
kiekvienos platformos saugumo bazines linijas D. būti
dažnai atnaujinamos, kai išleidžiama nauja programinė įranga
Atsakymas: D
Paaiškinimas:
Saugos procedūros dažnai turi būti dažnai keičiamos, kad neatsiliktų nuo programinės įrangos pokyčių. Kadangi procedūra yra kaip dokumentas, ji turi būti nuolat atnaujinama dažnai keičiantis
programinei įrangai. Saugos standartas, pvz., platformos bazinės linijos, apibrėžia elgesio ribas, o ne apdorojimo būdus; ji neturėtų keistis dažnai.
Aukšto lygio organizacijos tikslai, tokie kaip saugumo valdymas, paprastai būtų sprendžiami saugumo politikoje.

Kuris iš šių būdų yra veiksmingiausias, pozityviausias saugumo supratimo skatinimo būdas?
A. Varžybos ir apdovanojimai už atitiktį B. Lock-out po

trijų bandymų įvesti neteisingą slaptažodį C. Griežtas
slaptažodžių formatų vykdymas D. Drausminė
priemonė už reikalavimų nesilaikymą

Atsakymas: A
Paaiškinimas:
Varžybos ir apdovanojimai yra teigiamas paskatinimas vartotojui dalyvauti saugos programoje. Vien naudotojų užrakinimas už tai, kad jie pamiršo savo slaptažodžius, nepadidina vartotojų sąmoningumo.
Slaptažodžių formatų vykdymas ir drausminės priemonės neskatina sąmoningumo.

Dokumentais pagrįsti kriptografijos naudojimo visoje įmonėje standartai/procedūros VISUOMENĖS turėtų būti:
A. apibrėžti aplinkybes, kuriose turėtų būti naudojama kriptografija B. apibrėžti

šifravimo,0rafinius algoritmus ir rakto ilgį C. aprašyti
kriptografinio rakto tvarkymo procedūras D. nustatyti kriptografinio
sprendimo naudojimą
Atsakymas: A
Paaiškinimas:
Turi būti dokumentuoti standartai – procedūros, taikomos kriptografijos naudojimui visoje įmonėje; jie turėtų apibrėžti kriptografijos naudojimo aplinkybes. Jie turėtų apimti kriptografinių algoritmų ir raktų
ilgių pasirinkimą, bet tiksliai juos neapibrėžti, ir juose turėtų būti aptariamas kriptografinių raktų tvarkymas. Tačiau tai yra antraeilis dalykas, palyginti su tuo, kaip ir kada turėtų būti naudojama kriptografija.
Reikėtų atkreipti dėmesį į kriptografinių sprendimų naudojimą, tačiau tai vėlgi yra antraeilis dalykas.

Pagal socialinės inžinerijos scenarijų, kuris iš toliau nurodytų veiksmų greičiausiai sumažins tikimybę, kad neįgaliotas asmuo gaus prieigą prie skaičiavimo išteklių?
A. Slaptažodžių maskavimo ekrane įgyvendinimas B. Periodinių

saugumo informavimo programų vykdymas C. Slaptažodžių keitimo
dažnumo didinimas D. Reikalavimas, kad slaptažodžiai būtų
griežtai konfidencialūs
Atsakymas: B
Paaiškinimas:
Socialinę inžineriją geriausiai galima sušvelninti reguliariai vykdant saugumo supratimo mokymus vartotojams, kurie gali būti tokio bandymo taikiniu. Pageidautina įdiegti slaptažodžių maskavimą ekrane ir
padidinti slaptažodžių keitimo dažnumą, tačiau tai nesumažins sėkmingos socialinės inžinerijos atakos tikimybės. Reikalavimas, kad slaptažodžiai saugos politikoje būtų laikomi paslaptyje, yra gera kontrolė,
tačiau nėra tokia veiksminga kaip periodinės saugumo informavimo programos, kurios įspės vartotojus apie socialinės inžinerijos keliamus pavojus.

Siekdamas sumažinti paslaugų nutraukimo galimybę, subjektas sudaro sutartis su keliais interneto paslaugų teikėjais (IPT). Kuris iš šių dalykų būtų svarbus MOS T elementas?
A. Paslaugų lygio sutartys (SLA)

B. Teisė į auditą C. Įsibrovimų
aptikimo sistemos (IDS) paslaugos D. Šlamšto filtravimo
paslaugos
Atsakymas: A
Paaiškinimas:
Paslaugų lygio sutartys (KLAUSIMAS NR: As) bus veiksmingiausios užtikrinant, kad interneto paslaugų teikėjai (IPT) atitiktų paslaugų prieinamumo lūkesčius. Įsibrovimų aptikimo sistema (IDS) ir
šiukšlių filtravimo paslaugos nesumažins (kaip tiesiogiai) paslaugų nutraukimo galimybės. Teisės į auditą sąlyga nebūtų veiksminga siekiant sumažinti paslaugos nutraukimo tikimybę.

Koks yra PAGRINDINIS slaptažodžiu apsaugotų ZIP failų siuntimo internetu el. paštu trūkumas? Jie:
A. visi naudoja silpną šifravimą

B. yra iššifruoti ugniasienės C. gali būti
karantine naudojant pašto filtrą D. gali būti
sugadintas priimančio pašto tarnybos
Atsakymas: C
Paaiškinimas:
Dažnai pašto filtrai karantinuoja zip failus, kurie yra apsaugoti slaptažodžiu, nes filtras (arba užkarda) negali nustatyti, ar faile nėra kenkėjiško kodo. Daugelis zip failų produktų gali naudoti tvirtą šifravimą. Tokių
failų paprastai nesugadina siunčiantis pašto serveris.

PAGRINDINĖ priežastis įtraukti informacijos saugumą kiekviename sistemos kūrimo ciklo (SDLC) etape yra nustatyti saugumo pasekmes ir galimus sprendimus, reikalingus:

A. sistemos pažeidžiamumų nustatymas B.

organizacijos saugumo pozicijos palaikymas C. esamos
sistemos, kurios bus paveiktos D. pareigų atskyrimo
laikymasis.
Atsakymas: B
Paaiškinimas:
Svarbu visą laiką išlaikyti organizacijos saugumo poziciją. Dėmesys neturėtų apsiriboti tik kuriama ar įsigyjama nauja sistema arba esamomis naudojamomis sistemomis. Pareigų atskyrimas yra tik dalis
sprendimų, kaip pagerinti sistemų saugumą, o ne pagrindinė priežastis įtraukti saugumą į sistemos kūrimo gyvavimo ciklą (SDLC).

Kuris yra GERIAUSIAS būdas įvertinti ir nustatyti pirmenybę bendrai rizikai, kylančiai iš susietų sistemos pažeidžiamumų grandinės?
A. Pažeidžiamumo
patikrinimai B.
Įsiskverbimo testai
C. Kodo peržiūros D. Saugumo auditai
Atsakymas: B
Paaiškinimas:
Įsiskverbimo testas paprastai yra vienintelis saugumo įvertinimas, galintis susieti pažeidžiamumus, naudojant juos nuosekliai. Tai leidžia gerai įvertinti riziką ir nustatyti jų prioritetus. Kiti saugumo vertinimai,
pvz., pažeidžiamumo nuskaitymas, kodų peržiūros ir saugos auditai, gali padėti pateikti išsamią ir išsamią rizikos ir pažeidžiamumo apžvalgą“, tačiau negalės patikrinti ar parodyti galutinių kelių pažeidžiamumų
susietų pasekmių. Skverbties testavimas gali suteikti rizikai naują perspektyvą ir nustatyti prioritetus pagal galutinį saugos problemų sekos rezultatą.

Organizacija planuoja sudaryti sutartį su išoriniu paslaugų teikėju, kad priglobtų jos įmonės svetainę. Svarbiausias informacijos saugumo vadybininko rūpestis yra užtikrinti, kad:
A. Paslaugų teikėjo auditas neatskleidžia reikšmingų trūkumų B. Sutartyje yra

susitarimas dėl neatskleidimo (NDA), siekiant apsaugoti organizacijos intelektinę nuosavybę C. sutartyje turėtų būti nurodyta, kad
paslaugų teikėjas laikysis saugumo politikos D. trečioji šalis paslaugų teikėjas reguliariai atlieka įsiskverbimo testą
Atsakymas: C
Paaiškinimas:
Labai svarbu į sutartį įtraukti saugumo reikalavimus, pagrįstus įmonės saugumo politika, siekiant užtikrinti, kad paslaugų teikėjas įgyvendintų reikiamas saugumo kontroles. Auditas paprastai yra
vienkartinis ir negali užtikrinti nuolatinio saugumo. Neatskleidimo susitarimas (NDA) turėtų būti sutarties dalis; tačiau tai nėra labai svarbu svetainės saugumui. Vien tik skverbties testavimas nesuteiktų
visiško svetainės saugumo; yra daug valdiklių, kurių negalima patikrinti atliekant įsiskverbimo testą.

......

Machine Translated by Google Kviečiame atsisiųsti naujausius 2passeasy CISM sąvartynus https://www.2passeasy.com/dumps/CISM/ (1328 nauji
klausimai)
AČIŪ, KAD IŠBANDĖTE MŪSŲ PRODUKTŲ DEMOMONĄ
Apsilankykite mūsų svetainėje ir įsigykite visą aktualių CISM egzamino klausimų rinkinį su atsakymais.
Taip pat teikiame praktikos egzaminų programinę įrangą, kuri imituoja tikrą egzamino aplinką ir turi daug savęs vertinimo funkcijų. Užsisakykite CISM produktą iš:
https://www.2passeasy.com/dumps/CISM/
Pinigų gražinimo garantija
CISM praktikos egzamino ypatybės:
* CISM klausimai ir atsakymai dažnai atnaujinami
* CISM praktikos klausimus patikrino ekspertas, vyresnysis sertifikuotas personalas
* Realiausi CISM klausimai, garantuojantys, kad pirmą kartą bandysite
* CISM praktikos testo klausimai kelių pasirinkimų formatais ir atnaujinimai 1 metams

Parengta naudojant TCPDF (www.tcpdf.org)

Isaca.2passeasy - Cism.practice - Test.2022 Nov 16.by - Barton.126q.vceen - LT

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Isaca.2passeasy - Cism.practice - Test.2022 Nov 16.by - Barton.126q.vceen - LT

Uploaded by

Copyright:

Available Formats

Machine Translated by Google

Kviečiame atsisiųsti naujausius 2passeasy CISM sąvartynus

Egzamino klausimai CISM

Lengva išlaikyti sertifikavimo egzaminus apsilankykite - https://www.2PassEasy.com

A. informacijos saugumo politikos rengimas B.

A. Žmogaus vidurio puolimas

B. Duomenų paketų klastojimas C.

A. Valdymo komitetai tvirtina saugumo projektus B. Visiems

A. Geresnis politikos laikymasis B.

Lengva išlaikyti sertifikavimo egzaminus apsilankykite - https://www.2PassEasy.com

A. Vykdykite esamą saugumo standartą B. Pakeiskite

A. susitikti su suinteresuotosiomis šalimis, kad nuspręstų, kaip

A. saugumo valdymo komitetas B.

Lengva išlaikyti sertifikavimo egzaminus apsilankykite - https://www.2PassEasy.com

A. Galimi finansiniai nuostoliai

A. apima atitinkamą pagrindimą B.

A. Rizikos vertinimo ataskaita

Pirminio projekto patvirtinimo data

Lengva išlaikyti sertifikavimo egzaminus apsilankykite - https://www.2PassEasy.com

A. Informacijos saugumo personalo reikalavimai

A. gebėjimas sumažinti verslo riziką

A. naudoti iliustruojančius sėkmingos atakos

A. taikant metodą „iš apačios į

A. peržiūrėti sprendimo funkcijas ir diegimo reikalavimus B. peržiūrėti įrankių

Lengva išlaikyti sertifikavimo egzaminus apsilankykite - https://www.2PassEasy.com

C. pateikti pavyzdžių, kai tokia priemonė būtų naudinga D. pagrįsti investicijas

A. priimti saugumo standartą

Lengva išlaikyti sertifikavimo egzaminus apsilankykite - https://www.2PassEasy.com

A. periodinių rizikos vertinimų nustatymas B.

B. Vyriausiasis informacijos saugumo pareigūnas (CISO)

A. Iniciatyvinio komiteto vadovybė parenkama rotacijos būdu B.

A. Tiesioginis informacijos saugumas apie tai, ką jie turi daryti B.

Lengva išlaikyti sertifikavimo egzaminus apsilankykite - https://www.2PassEasy.com

A. Padėti nustatyti esamą rizikos būklę B. Tinkamai

A. Atlikite techninių pažeidžiamumų vertinimą B.

Lengva išlaikyti sertifikavimo egzaminus apsilankykite - https://www.2PassEasy.com

A. informacijos saugumo metrika B.

A. Neribota duomenų gavyba B.

A. tai reiškia atitikties riziką B.

A. Raktų valdymo stebėjimas B.

Lengva išlaikyti sertifikavimo egzaminus apsilankykite - https://www.2PassEasy.com

A. Vidaus kontrolės mechanizmų peržiūra B.

A. „norimos būsenos“ požymius ir charakteristikas.

NAUJAS 104 KLAUSIMAS

A. Į pareigybės aprašymą įtraukite pareigas dėl saugumo B.

NAUJAS 106 KLAUSIMAS

A. Vienodesnė paslaugų kokybė B. Geresnis

NAUJAS KLAUSIMAS 109

A. formali saugumo politika, remiama vyriausiojo vykdomojo pareigūno (CEO).

Lengva išlaikyti sertifikavimo egzaminus apsilankykite - https://www.2PassEasy.com

D. vyresniosios vadovybės pasirašymas dėl informacijos saugumo strategijos

NAUJAS 113 KLAUSIMAS

A. Verslo valdymas B. Operacijų

NAUJAS 118 KLAUSIMAS

NAUJAS KLAUSIMAS 121

A. investicijų grąža (RO B.

NAUJAS KLAUSIMAS 123

A. Informacijos apsaugos vadovas B.

Lengva išlaikyti sertifikavimo egzaminus apsilankykite - https://www.2PassEasy.com

NAUJAS KLAUSIMAS 127

A. parengti saugumo planą B. atlikti

NAUJAS KLAUSIMAS 131

NAUJAS KLAUSIMAS 135