Главная /
Менеджмент /
Менеджмент в сфере информационной безопасности
Менеджмент в сфере информационной безопасности - ответы на тесты Интуит
Правильные ответы выделены зелёным цветом.
Все ответы: В учебном курсе приводится детальный обзор вопросов менеджмента в сфере информационной безопасности на различных организационных уровнях. Управление информационной безопасностью представлено как комплексная дисциплина, охватывающая не только отдельные предприятия, но также государственные и международные структуры. При этом значительная часть курса посвящена практическим вопросам организации и управления информационной безопасностью на уровне предприятий – владельцев информационных ресурсов.
Все ответы: В учебном курсе приводится детальный обзор вопросов менеджмента в сфере информационной безопасности на различных организационных уровнях. Управление информационной безопасностью представлено как комплексная дисциплина, охватывающая не только отдельные предприятия, но также государственные и международные структуры. При этом значительная часть курса посвящена практическим вопросам организации и управления информационной безопасностью на уровне предприятий – владельцев информационных ресурсов.
Смотрите также:
Организационная структура службы информационной безопасности определяется:
(1) требованиями законодательства
(2) требованиями государственных и международных стандартов
(3) потребностями в защите информационных ресурсах и возможностями в соответствии с оценками руководителей предприятия
Аудит информационной безопасности - это:
(1) экспертное обследование различных аспектов защищенности информационных ресурсов
(2) проверка правильности оформления и учета расходов на средства защиты информации
(3) проверка уровня защищенности информационных ресурсов
Передача функций по обеспечению информационной безопасности на аутсорсинг обуславливается:
(1) требованиями законодательства
(2) экономической целесообразностью
(3) имиджевыми соображениями
"Информационная безопасность" - это:
(1) множество факторов, влияющих на состояние информационных ресурсов
(2) уровень защищенности информационных ресурсов
(3) совокупность методов управления информационными рисками
Центр CERT/CC собирает информацию об уязвимостях из внешних источников с целью:
(1) содействия в нейтрализации уязвимостей
(2) дальнейшего взимания платы с разработчиков ПО, допустивших появление уязвимостей
(3) исследования возможных последствий уязвимости
Государственные органы разрабатывают и совершенствуют законодательное регулирование в сфере информационной безопасности с целью:
(1) поддержки отечественных производителей средств защиты информации
(2) обеспечения защиты государственных информационных ресурсов
(3) увеличения объема информации, циркулирующей в информационных сетях
(4) защиты интересов правообладателей
На формирование политики безопасности предприятия непосредственно влияют такие факторы как:
(1) требования законодательства
(2) информационная политика предприятий-конкурентов
(3) использование в работе предприятия сведений составляющих государственную или банковскую тайну
К задачам обучения и информационной работы с персоналом предприятия относится:
(1) недопущение утечек информации с использованием уязвимостей в сетях и ПО
(2) ознакомление с требованиями законодательства и локальных регламентов
(3) противодействие методам "социальной инженерии"
Аудит информационной безопасности подразделяется на:
(1) текущий и итоговый
(2) внешний и внутренний
(3) объективный и субъективный
Страхование информационных рисков:
(1) обеспечивает защиту целостности и конфиденциальности информационных ресурсов
(2) позволяет компенсировать потери в случае нанесения ущерба информационным ресурсам
(3) является инструментом управления рисками
Риски в сфере информационной безопасности включают в себя:
(1) нарушение конфиденциальности
(2) необратимую утрату информации
(3) недоступность информационных ресурсов
Технологические альянсы компаний-поставщиков в сфере информационной безопасности получают преимущества на рынке за счет:
(1) больших возможностей для скупки конкурентов
(2) удешевления разработки новых продуктов
(3) координации маркетинговой и информационной политики
Лицензированием деятельности по разработке средств защиты информации в РФ занимается:
(1) ФСО
(2) СВР
(3) ФСТЭК
(4) МВД
Долгосрочное развитие политики информационной безопасности предприятия предполагает:
(1) статичность
(2) пропорциональность
(3) цикличность
Основным противодействием методам "социальной инженерии" является:
(1) повышение надежности криптографических алгоритмов
(2) информационная работа с персоналом предприятия
(3) страхование информационных ресурсов
Цели аудита информационной безопасности могут включать в себя:
(1) выявление лиц, нарушающих требования информационной безопасности
(2) сертификацию на соответствие общепризнанным требованиям и стандартам
(3) установление степени защищенности информационных ресурсов
Ставка страхования напрямую зависит от:
(1) статистических показателей нарушений информационной безопасности
(2) размера инвестиций, произведенных предприятием в средства защиты информации
(3) уровня защищенности информационных ресурсов
В определении задач менеджмента в сфере информационной безопасности фигурируют такие понятия как:
(1) комплексность
(2) непрерывность
(3) нейтральность
Цели менеджмента крупных поставщиков информационных систем в сфере взаимодействия с внешними субъектами по вопросам информационной безопасности включают в себя:
(1) создание благоприятного имиджа в сообществе пользователей информационных систем
(2) снижение затрат на разработку продукции
(3) уменьшение числа уязвимостей во вновь выпускаемых продуктах
(4) занятие новых рыночных ниш
Приоритеты официальной государственной политики США в сфере информационной безопасности включают в себя:
(1) поддержку американских производителей средств защиты информации
(2) подготовка кадров в сфере информационной безопасности
(3) проведение информационных операции против недружественных стран
(4) защиту информационных ресурсов органов государственного управления
Меры физической защиты объектов включают в себя:
(1) укрепление помещений и бронирование дверей
(2) установку средств биометрической идентификации посетителей
(3) расположение защищаемых помещений на максимальном удалении от зон затопления
(4) ведение журнала посетителей
Регламент реагирования на инциденты должен предусматривать:
(1) регламент круглосуточного дежурства технического персонала
(2) распределение функций персонала в процессе реагирования на инциденты
(3) соглашение с поставщиками ИТ-платформ о срочной поставке компонент, вышедших из строя в результате инцидентов
Для поддержки разработки политик безопасности используются:
(1) автоматизированные сканеры уязвимостей
(2) электронные справочные системы
(3) средства управления паролями
Целью экономического анализа вложений в средства защиты информации является:
(1) отказ от ручного труда при обработке информации в пользу средств автоматизации
(2) принятие обоснованных решений о необходимости реализации мер по защите информации
(3) контроль эффективности средств защиты информации
Принципы работы IEEE включают в себя:
(1) принцип солидарной ответственности участников организации
(2) принцип добровольности участия в организации
(3) принцип открытости результатов деятельности организации
Продвижение принципов, приемов и методов разработки безопасного ПО компанией Microsoft включает в себя:
(1) материальное стимулирование открытия центров обучения безопасной разработке
(2) открытое распространение методики SDL
(3) продажу шаблонов документов, поддерживающих практическое применение методики SDL
Анализ состояния информационной безопасности в интересах Конгресса США осуществляет:
(1) Главное контрольное управление
(2) Административно-бюджетное управление
(3) Особый комитет по национальной безопасности
Основой внутриобъектового режима является:
(1) режим сигнализации
(2) режим видеонаблюдения
(3) пропускной режим
На персонал, отвечающий за обнаружение вторжений, оказывает влияние такой негативный психологический фактор как:
(1) круглосуточный режим дежурства
(2) необходимость постоянно изучать новые методы анализа вирусов
(3) частые ложные сообщения пользователей о предполагаемом заражении вирусами
В системах автоматизированного интерактивного анализа политик безопасности заключения о состоянии политики безопасности формируются на основе:
(1) результатов аудита информационной безопасности
(2) ответов на вопросы, задаваемые программой
(3) семантического анализа текстов политик безопасности
При анализе вложений в средства защиты информации под дополнительным денежным потоком понимается:
(1) сумма предотвращенного ущерба
(2) экономия затрат
(3) совокупная стоимость владения
Членство в ISO возможно для:
(1) государств
(2) частных компаний
(3) частных лиц
Компания Microsoft осуществляет ускоренное информирование разработчиков систем безопасности о вновь выявленных уязвимостях до того как эта информация будет опубликована в общедоступном бюллетене для того чтобы:
(1) такие компании-разработчики могли как можно быстрее устранить уязвимости в своих системах
(2) предоставить таким компаниям преимущества перед другими субъектами
(3) такие компании могли как можно раньше разработать и выпустить средства нейтрализации выявленных уязвимостей
Основные функции по координации текущей и оперативной работы по защите информационных ресурсов государственных органов в США выполняют структуры, входящие в состав:
(1) Федерального бюро расследований
(2) Центрального разведывательного управления
(3) Министерства национальной безопасности
(4) Министерства юстиции
Работа со сведениями, составляющими государственную тайну регламентируется:
(1) Федеральным законодательством
(2) Международными соглашениями
(3) Нормативными актами субъектов РФ
Расследование нападений, совершенных из корпоративной сети, по сравнению с нападением, совершенным из внешней сети, является:
(1) более легким
(2) более сложным
(3) аналогичным по сложности
Основой для автоматизированного анализа рисков является:
(1) список персонала предприятия и оценка уровня его подготовки
(2) перечень информационных активов и соответствующие этим активам угрозы
(3) перечень политик безопасности
Функция дисконтирования используется для:
(1) расчета ставки дисконтирования
(2) приведения разновременных затрат к одному моменту времени
(3) сокращения затрат
Задачи консорциума W3C включают в себя:
(1) стандартизацию подключения технических устройств к интернет
(2) стандартизацию структур и форматов информации в интернет
(3) стандартизация аппаратных средств защиты информации в интернет
Программа GSP корпорации Microsoft предполагает:
(1) оказание правительствам бесплатных услуг по вопросам защиты информации
(2) передачу правительствам бесплатных лицензий на программные средства обеспечения безопасности
(3) передачу правительствам исходных кодов ОС и приложений
Допуск к сведениям, составляющим государственную тайну, предполагает:
(1) проведение проверочных мероприятий в отношении лица, получающего допуск
(2) ознакомление лица, получающего допуск, с соответствующими нормами законодательства
(3) получение согласия на временное ограничение прав от лица, получающего допуск
(4) предоставление льгот и компенсационных выплат родственникам лица, получающего допуск
Усредненное количество нарушений информационной безопасности влияет на оценку:
(1) среднегодовых потерь
(2) совокупной стоимости владения
(3) ставки дисконтирования
В состав службы информационной безопасности предприятия могут быть включены:
(1) отдел нормативной документации
(2) отдел технической поддержки пользователей
(3) отдел внутреннего аудита информационной безопасности
(4) отдел персонала
Аудит информационной безопасности представляет собой:
(1) проверку выполнения требований законодательства по защите сведений, составляющих коммерческую тайну
(2) оценку мер по защите информационных ресурсов
(3) проверку выполнения требований государственных стандартов в сфере информационной безопасности
Экономическая целесообразность аутсорсинга функций безопасности обусловлена:
(1) дефицитом узкоспециализированных высококвалифицированных специалистов
(2) необходимостью постоянного повышения квалификации специалистов
(3) необходимостью приобретения специализированных программных и аппаратных средств
Информационная безопасность предполагает:
(1) нейтрализацию рисков
(2) защиту от угроз
(3) повышение качества информационных ресурсов
Деятельность CERT/CC финансируется:
(1) государственными органами США
(2) подписчиками информационных бюллетеней
(3) разработчиками программных и аппаратных средств
Методы государственного управления в сфере информационной безопасности включают в себя:
(1) создание и совершенствование законодательной базы
(2) бесплатное распространение программных и аппаратных средств защиты информации
(3) осуществление международного сотрудничества в вопросах информационной безопасности
Информирование персонала предприятия об основных целях в сфере информационной безопасности осуществляется с помощью:
(1) аудита безопасности
(2) политики безопасности
(3) положения о департаменте информационной безопасности
Приемы социотехники основаны на:
(1) особенностях человеческой психологии
(2) недостатках организационных структур
(3) недостатках программных и аппаратных средств защиты информации
Услуги внешних аудиторов используются для:
(1) снижения затрат на аудит
(2) повышения объективности аудита
(3) получения сертификатов на соответствие определенным стандартам
К объектам страхования информационных рисков относятся:
(1) библиотеки электронных документов
(2) персонал департамента информационной безопасности
(3) базы данных
Разрушение информации является:
(1) сценарием нарушения информационной безопасности
(2) риском для информационных ресурсов
(3) угрозой информационной безопасности
Распределение функций по разработке новых систем безопасности в рамках технологических альянсов осуществляется с целью:
(1) защиты интересов отдельных участников альянса
(2) удешевления разработки
(3) обеспечения большего охвата рынка
ФСТЭК осуществляет:
(1) лицензирование деятельности по разработке средств защиты информации
(2) контроль за соблюдением требований к защите персональных данных
(3) текущий надзор за соблюдением правил обращения со сведениями, составляющими государственную тайну
Детализация наиболее общих положений политики информационной безопасности осуществляется с помощью:
(1) правил и ограничений использования отдельных технологий и средств защиты
(2) маркетинговой политики предприятия
(3) политики опубликования информационных материалов в открытых источниках
"Социальная инженерия" - это:
(1) метод нарушения информационной безопасности
(2) метод защиты от нарушений информационной безопасности
(3) метод осуществления общественных связей
К целям аудита информационной безопасности относятся:
(1) проверка достижения поставленных целей в сфере информационной безопасности
(2) выявление фактов нарушения информационной безопасности
(3) привлечение к ответственности лиц, виновных в краже и утрате конфиденциальных данных
Для определения ставки страхования страховщик:
(1) формирует рекомендации по повышению уровня защиты информационных ресурсов предприятия
(2) оценивает состояние информационной безопасности на предприятии
(3) анализирует деятельность контрагентов предприятия
Комплексность решения задач информационной безопасности предполагает:
(1) исключение "узких мест" в системе защиты информации
(2) анализ всех возможных сценариев нарушения безопасности и способов защиты
(3) обеспечение круглосуточной ежедневной работы службы информационной безопасности
Взаимодействие компаний-производителей информационных систем с сообществом пользователей включает в себя:
(1) информационный обмен с целью выявления и нейтрализации уязвимостей
(2) издание научных журналов по вопросам безопасности
(3) организацию специализированных конференций
Доктрина информационной безопасности США предполагает:
(1) повышение безопасности сети Интернет
(2) создание сети государственных специализированных университетов для подготовки специалистов по защите информации
(3) расширение возможностей проведения расследований компьютерных преступлений
Биометрические средства идентификации основаны на распознавании:
(1) персональных кодов доступа
(2) персональных идентификационных карт и жетонов
(3) индивидуальных физических особенностей
Обнаружение вторжений осуществляется на основе:
(1) косвенных признаков
(2) сигнатур
(3) сообщений пользователей
Электронные справочные системы по информационной безопасности содержат:
(1) образцы заключений по результатам аудиторских проверок политики безопасности
(2) образцы политик безопасности
(3) образцы шаблонов и бланков документов, используемых для управления безопасностью
Большое число возможных сценариев нападения на информационные ресурсы:
(1) усложняет экономический анализ вложений в средства защиты
(2) упрощает экономический анализ вложений в средства защиты
(3) не влияет на сложность экономического анализа вложений в средства защиты
Международный союз электросвязи решает задачи:
(1) стандартизации протоколов безопасности
(2) финансирования фундаментальных научных исследований в сфере связи и безопасности
(3) содействия правоохранительным органам стран-членов союза при расследовании преступлений в сфере информационной безопасности
(4) содействия в распространении информации о методах и практиках защиты информации
Методология SDL нацелена на:
(1) упрощение процесса нейтрализации выявляемых уязвимостей
(2) повышение уровня безопасности разрабатываемого ПО
(3) ускорение сбора информации о вновь выявляемых уязвимостях
Центр JTF-CNO обеспечивает защиту информации в:
(1) структурах федерального правительства США
(2) правительственных структурах отдельных штатов
(3) структурах Министерства обороны США
Пропускной режим включает в себя:
(1) порядок ведения журнала посетителей
(2) порядок выдачи и изъятия пропусков
(3) порядок периодического осмотра помещений предприятия
Высокий уровень полномочий необходим для локализации длящихся нарушений в связи с тем что:
(1) Локализация нарушений требует дорогостоящих услуг сторонних аналитиков
(2) для локализации нарушений может потребоваться временное оперативное отключение важных информационных систем предприятия
(3) для локализации нарушений может потребоваться проинформировать о нарушениях большое число пользователей информационных систем
Автоматизированный анализ управления информационной безопасностью предполагает:
(1) внесение данных в соответствии с вопросами задаваемыми программой
(2) загрузку политик безопасности в виде электронных документов
(3) внесение данных из журналов систем контроля безопасности
Сумма ущерба, предотвращенного в результате внедрения средств защиты информации, входит в состав:
(1) дополнительного денежного потока
(2) совокупной стоимости владения
(3) ставки дисконтирования
Членами ISO являются:
(1) университеты и компании, специализирующиеся на стандартизации
(2) независимые эксперты по стандартизации
(3) государственные органы по стандартизации
Программа MAPP - это:
(1) регламент рассылки бюллетеней безопасности
(2) порядок информирования разработчиков систем безопасности о новых уязвимостях
(3) политика сбора информации об уязвимостях
Основным подразделением, отвечающим за разрешение инцидентов в сфере информационной безопасности в органах государственного управления, является:
(1) CNSS
(2) JTF-CNO
(3) US-CERT
Перечень сведений, относимых к государственной тайне утверждается:
(1) Правительством РФ
(2) Президентом РФ
(3) ФСБ
(4) ФСТЭК
Выявление вторжения в процессе его совершения по сравнению с выявлением уже завершенного нарушения:
(1) упрощает выявление нарушителя
(2) усложняет выявление нарушителя
(3) никак не влияет на сложность выявления нарушителя
Автоматизированные системы анализа рисков используют данные о:
(1) составе информационных активов
(2) результатах аудита информационной безопасности
(3) составе и объеме политики информационной безопасности
Функция дисконтирования применяется в отношении:
(1) ставки дисконтирования
(2) денежного потока
(3) затрат
Консорциум W3C занимается стандартизацией:
(1) технических устройств защиты информации
(2) программных средств защиты информации
(3) структур информации в интернете и подключения устройств к нему
Со стороны РФ в программе GSP участвует:
(1) ФСБ
(2) ФСТЭК
(3) Роскомнадзор
Допуск персонала к государственной тайне осуществляет:
(1) руководитель предприятия
(2) органы ФСБ
(3) органы МВД
Изменение усредненной величины единовременных потерь от нарушений информационной безопасности влияет на:
(1) совокупную стоимость владения
(2) ставку дисконтирования
(3) дополнительный денежный поток
Отбор персонала при назначении на должности, связанные с обработкой конфиденциальной информации, включает в себя:
(1) психологическую оценку
(2) проверку знания внутренних регламентов работы с информацией
(3) оценку навыков использования средств обнаружения вторжений
Проведение комплексного внешнего аудита предприятия с последующей сертификацией демонстрирует его контрагентам:
(1) способность предприятия выступать в качестве надежного партнера, которому можно доверить конфиденциальные сведения
(2) полное отсутствие уязвимостей в сетях, серверах и базах данных
(3) достаточную страховую защиту от информационных рисков
К негативным факторам, ограничивающим передачу на аутсорсинг функций по обеспечению информационной безопасности, относятся:
(1) высокий уровень затрат на услуги, предоставляемыми сторонними организациями-поставщиками услуг
(2) доступ предприятия-поставщика услуг к конфиденциальной информации
(3) потенциальная возможность перехвата и утечки информации в процессе оказания услуг сторонней организацией
Менеджмент в сфере информационной безопасности включает в себя:
(1) управление человеческими ресурсами
(2) решение криптографических задач
(3) экономический анализ и моделирование
Для повышения уровня информационной безопасности в долгосрочной перспективе Центр CERT/CC осуществляет:
(1) скупку компаний-поставщиков средств защиты информации
(2) влияние на правительственные организации зарубежных стран
(3) фундаментальные научные исследования
Государственная политика (доктрина) информационной безопасности:
(1) утверждает перечень стандартов для технологий защиты информации
(2) описывает основные направления, в которых государство намерено повышать уровень информационной безопасности
(3) декларирует признание государством важность вопросов и проблем, связанных с информационной безопасностью
Целями верхнего уровня политики безопасности предприятия являются:
(1) демонстрация руководством предприятия своего отношения к вопросам защиты информации
(2) определение структуры департамента информационной безопасности
(3) информирование персонала об основных приоритетах в сфере защиты информации
(4) формирование требований к поставщикам средств защиты информации
Обучение персонала, ответственного за обработку информации, включает в себя:
(1) изучение автоматизированных систем обнаружения вторжений
(2) изучение приемов и методов защиты информации, необходимых для выполнения должностных обязанностей
(3) ознакомление с возможными мерами ответственности в случае нарушения требований информационной безопасности
Инициирование аудита информационной безопасности на предприятии производится:
(1) аудиторскими организациями
(2) руководством предприятия
(3) пользователями информационной системы предприятия
Страхование информационных ресурсов направлено на защиту:
(1) информационных ресурсов
(2) программных средств
(3) интересов правообладателей
Риски в сфере информационной безопасности разделяются на:
(1) внешние и внутренние
(2) объективные и субъективные
(3) системные и операционные
Задачи технологических альянсов компаний-поставщиков в сфере информационной безопасности могут включать в себя:
(1) разработку новых продуктов и услуг
(2) обмен сведениями об уязвимостях в информационных системах
(3) совместное влияние на государственные органы
Функции Роскомнадзора в сфере информационной безопасности включают в себя:
(1) защиту информационных ресурсов органов государственного управления
(2) надзор за соблюдением частными компаниями правил защиты сведений, составляющих государственную тайну
(3) контроль за соблюдением правил защиты персональных данных
Политика информационной безопасности, относящаяся к определенной технологии или бизнес-процессу, должна содержать:
(1) описание области применения политики
(2) конкретные правила обращения с информацией и средствами ее обработки
(3) распределение ролей и функций, закрепленных за различными сотрудниками
Нарушения информационной безопасности с использованием социотехники предполагают:
(1) социологическое обследование персонала предприятия
(2) использование недостатков в организационной структуре предприятия
(3) обман сотрудников предприятия
Страховая сумма связана со ставкой страхования:
(1) прямо пропорционально
(2) обратно пропорционально
(3) никак не связана
Деятельность государства в сфере защиты информации направлена на:
(1) защиту информационных ресурсов государственного управления
(2) своевременное информирование пользователей информационных систем о выявленных уязвимостях
(3) развитие общегосударственной инфраструктуры информационной безопасности
Взаимодействие компаний-производителей информационных систем с пользователями по вопросам нейтрализации уязвимостей включает в себя:
(1) сбор информации о выявленных уязвимостях
(2) рассылку уведомлений о выявленных уязвимостях
(3) распространение программных "заплаток" для устранения уязвимостей
В соответствии с доктриной США развитие общенациональной системы реагирования на чрезвычайные ситуации в сфере информационной безопасности предполагает:
(1) разработку и развитие архитектуры взаимодействия правительственных и неправительственных органов с целью реагирования на чрезвычайные ситуации
(2) материальное поощрение частных лиц за своевременное информирование уполномоченных государственных органов о признаках чрезвычайных ситуаций в сфере информационной безопасности
(3) разработку программных и аппаратных средств обнаружения вторжений в информационные сети государственных органов
Политика опубликования материалов в открытых источниках нацелена на:
(1) предотвращение утечек конфиденциальной информации
(2) недопущение нарушений авторских прав на объекты интеллектуальной собственности
(3) повышение уровня доступности информации
К косвенным признакам, по которым могут быть выявлены нарушения информационной безопасности, относятся:
(1) опубликование конфиденциальной информации в открытых источниках
(2) использование баз данных и учетных записей в нехарактерное время
(3) резкое повышение нагрузки на информационные системы предприятия
В электронных справочных системах, используемых для управления информационной безопасностью, содержатся:
(1) типовые регламенты аудита информационной безопасности
(2) типовая документация на системы защиты информации
(3) типовые политики безопасности
Сложность экономического анализа вложений в информационную безопасность определяется:
(1) большим числом возможных сценариев нападения на информационные ресурсы
(2) постоянным динамичным развитием как средств защиты, так и средств нападения
(3) частым изменением правовых норм и требований в сфере информационной безопасности
Членами ITU являются:
(1) независимые эксперты
(2) консультативные группы
(3) государственные органы
Распространение принципов разработки безопасного ПО осуществляется с помощью:
(1) методологии SDL
(2) программы MAPP
(3) программы GSP
Центр JTF-CNO входит в состав:
(1) Министерства обороны США
(2) Министерства национальной безопасности США
(3) ФБР
В рамках пропускного режима устанавливается:
(1) перечень документов, составляющих коммерческую тайну
(2) перечень документов, дающих право прохода на территорию предприятия
(3) ограничение действия пропусков по времени суток и дням недели
Ущерб от нарушения информационной безопасности включает в себя:
(1) уменьшение рыночной капитализации
(2) упущенную выгоду
(3) штрафные санкции за разглашение конфиденциальной информации
Результатом работы системы КОНДОР является:
(1) сводный отчет об уязвимостях информационной системы предприятия
(2) отчет о результатах проверки персонала департамента информационной безопасности
(3) отчет о несоответствиях политики безопасности требованиям стандарта
Увеличение дополнительного денежного потока:
(1) уменьшает экономический эффект
(2) увеличивает экономический эффект
(3) не влияет на экономический эффект
В организационную структуру ACM входят:
(1) группы специальных интересов
(2) комитеты по стандартам
(3) отраслевые департаменты
В программе MAPP могут участвовать:
(1) все подписчики бюллетеней безопасности
(2) научные центры, работающие в сфере информационной безопасности
(3) производители средств безопасности
US-CERT осуществляет:
(1) координацию разработки государственной политики информационной безопасности США
(2) реагирование на нарушения информационной безопасности в государственных структурах США
(3) самостоятельное расследование нарушений информационной безопасности в государственных структурах США
Президент РФ:
(1) утверждает передачу другим государствам документов, относимых к государственной тайне
(2) утверждает перечень сведений, относимых к государственной тайне
(3) утверждает перечень лиц, имеющих доступ к сведениям, составляющим государственную тайну
Анализ действий нарушителя необходим для:
(1) проверки правильности настроек систем защиты информации
(2) установления сведений, известных нарушителю до нападения
(3) установления круга контактов, которые могли быть у нарушителя до нападения
Данные, используемые для автоматизированного анализа информационных рисков, включают в себя:
(1) список уязвимостей, выявленных в процессе аудита
(2) сведения о произошедших нарушениях информационной безопасности
(3) перечень угроз информационным активам
Приведение разновременных затрат к одному моменту времени производится с помощью:
(1) ставки дисконтирования
(2) функции дисконтирования
(3) расчета ССВ
Основным источником финансирования консорциума W3C является:
(1) отчисления за использование патентов
(2) членские взносы участников
(3) поступления из государственных фондов
Целью программы GSP компании Microsoft является:
(1) поиск уязвимостей в операционных системах
(2) обучение сотрудников государственных органов методам защиты информации
(3) стимулирование использования продуктов Microsoft в государственных органах
Проверочные мероприятия, связанные с получением допуска к государственной тайне, осуществляет:
(1) ФСБ
(2) МВД
(3) ФСТЭК
(4) Служба безопасности предприятия
При оценке среднегодовых потерь от нарушений информационной безопасности учитывается:
(1) количество нарушений информационной безопасности
(2) величина единовременных потерь от нарушений информационной безопасности
(3) годовые затраты на содержание системы защиты информации
В методологии работы с персоналом фигурируют такие понятия как:
(1) социальная инженерия
(2) человеческий фактор
(3) человеко-машинная система
Сертификация системы безопасности на соответствие требованиям стандарта ISO 17799 может быть осуществлена по результатам:
(1) внешнего аудита
(2) внутреннего аудита
(3) инструментальной проверки защищенности
При проведении тестового преодоления защиты внешними аудиторами договор с заказчиком таких услуг должен предусматривать:
(1) конкретный детализированный план тестового проникновения
(2) порядок уведомления всех заинтересованных сотрудников предприятия-заказчика о предстоящем тестовом проникновении
(3) снятие ответственности с аудитора за возможный ущерб, который может быть нанесен в процессе такого проникновения
Научные исследования осуществляются Центром CERT/CC с целью:
(1) регистрации патентов на технологии в сфере защиты информации
(2) повышения общего уровня защищенности информационных ресурсов
(3) разработки собственных программных средств защиты информации
Государственная доктрина информационной безопасности:
(1) определяет приоритеты государства в сфере защиты информации
(2) устанавливает общие требования к уровню защищенности информационных ресурсов
(3) определяет приоритеты частного сектора экономики в сфере защиты информации
Инициаторами аудита информационной безопасности могут выступать:
(1) государственные структуры
(2) органы стандартизации
(3) руководители предприятия
К приемам организационной работы в рамках технологических альянсов относится:
(1) скоординированный выбор и унификация технических решений
(2) совместное влияние на отдельных членов конкурирующих альянсов
(3) совместное патентование технологий
Контроль за соблюдением правил защиты персональных данных осуществляется:
(1) ФСТЭК
(2) Роскомнадзором
(3) МВД
Заключительной стадией аудита является:
(1) внесение изменений в действующие политики безопасности
(2) проведение аттестации сотрудников департамента информационной безопасности
(3) формирование аудиторского заключения
Оценка рисков по методологии CRAMM является:
(1) основным результатом аудита информационной безопасности
(2) основой для выработки системы контрмер
(3) показателем эффективности вложений в средства информационной безопасности
Сектором ITU, ответственным за стандартизацию технологий безопасности, является:
(1) ITU-R
(2) ITU-D
(3) ITU-T
В рамках альянса Smart Card Alliance объединены:
(1) ИТ-компании
(2) правительственные структуры
(3) частные лица - эксперты по безопасности