Professional Documents
Culture Documents
Isaca - Certforall.cism - Vce.dumps.2023 Jan 06.by - Herbert.151q.vce en - LT
Isaca - Certforall.cism - Vce.dumps.2023 Jan 06.by - Herbert.151q.vce en - LT
Rekomenduoju!!
www.surepassexam.com/CISM-exam-dumps.html (631 naujas klausimas)
Isaca
Egzamino klausimai CISM
NAUJAS KLAUSIMAS 1
Kai organizacija įgyvendina informacijos saugumo valdymo programą, jos direktorių valdyba turėtų būti atsakinga už:
Atsakymas: C
Paaiškinimas:
Direktorių valdyba turėtų nustatyti strateginę programos kryptį, kad ji atitiktų įmonės viziją ir verslo tikslus. Valdyba turi įtraukti valdymo programą į bendrą įmonės verslo strategiją. Informacijos saugumo
politiką geriausiai gali parengti kas nors, pavyzdžiui, saugos vadovas, turintis kompetencijos, kad būtų užtikrinta politikos pusiausvyra, apimtis ir dėmesys. Mokymo ir informuotumo didinimo programas geriausiai
gali atlikti saugumo valdymo ir mokymo personalas, siekdamas užtikrinti, kad mokymas vyktų tiksliai ir būtų laikomasi geriausios praktikos. Atitikties auditą geriausia patikėti vidaus ir išorės auditoriams,
kad jie pateiktų objektyvią programos apžvalgą ir tai, kaip ji atitinka teisės aktų ir teisės aktų reikalavimus.
NAUJAS 2 KLAUSIMAS
Kurį iš šių dalykų SVARBIAUSIAI reikia suprasti kuriant prasmingą informacijos saugumo strategiją?
Atsakymas: D
Paaiškinimas:
norint suderinti saugumą su verslo tikslais, reikia suprasti, ką organizacija bando pasiekti. Visi kiti pasirinkimai yra elementai, į kuriuos reikia atsižvelgti, tačiau jų svarba yra antraeilė ir skirsis priklausomai nuo
organizacijos tikslų.
NAUJAS 3 KLAUSIMAS
Kuris iš šių dalykų GERIAUSIAI užtikrintų informacijos saugumo valdymo sėkmę organizacijoje?
Atsakymas: A
Paaiškinimas:
Iniciatyvinio komiteto, kuris tvirtina visus saugumo projektus, buvimas būtų gero valdymo programos požymis. Įstatymų ir taisyklių laikymasis yra valdymo komiteto atsakomybės dalis, tačiau tai nėra išsamus
atsakymas. Sąmoningumo ugdymas yra svarbus visais lygmenimis bet kokioje terpėje, taip pat gero valdymo rodiklis. Tačiau jam turi vadovautis ir jį kaip saugumo projektą patvirtinti valdymo komitetas.
NAUJAS 4 KLAUSIMAS
Kuris iš toliau nurodytų dalykų greičiausiai bus pasirinktas?
A. Politika B.
Procedūros C.
Gairės D.
Standartai
Atsakymas: C
Paaiškinimas:
politika apibrėžia organizacijos saugumo tikslus ir lūkesčius. Jos apibrėžtos konkretesniais standartais ir procedūromis. Standartai nustato, ką reikia padaryti, o procedūros aprašo, kaip tai turi būti daroma. Gairėse
pateikiamos rekomendacijos, į kurias verslo vadovybė turi atsižvelgti kurdama praktiką savo kontrolės srityse; todėl jie yra diskreciniai.
NAUJAS KLAUSIMAS 5
Veiksmingo saugumo valdymo rezultatas yra:
Atsakymas: B
Paaiškinimas:
Verslo priklausomybės vertinimas – tai verslo priklausomybės nuo tam tikrų informacijos išteklių nustatymo procesas. Tai nėra veiksmingo saugumo valdymo rezultatas ar produktas. Strateginis suderinimas yra
veiksmingo saugumo valdymo rezultatas. Ten, kur yra geras valdymas, greičiausiai bus vykdomas strateginis derinimas. Rizikos vertinimas nėra veiksmingo saugumo valdymo rezultatas; tai procesas. Planavimas
vyksta veiksmingo saugumo valdymo pradžioje ir yra ne rezultatas, o procesas.
NAUJAS KLAUSIMAS 6
Norint sėkmingai įgyvendinti informacijos saugumo valdymą, PIRMA reikės:
Atsakymas: B
Paaiškinimas:
norint suderinti valdymo tikslus su saugos procedūromis, reikia atnaujinti saugos politiką; valdymo tikslai virsta politika, politika – procedūromis. Saugumo procedūroms reikės specializuotų komandų, pvz.,
kompiuterinių incidentų reagavimo ir valdymo grupės, taip pat specializuotų įrankių, tokių kaip saugumo mechanizmai, sudarantys saugos architektūrą. Saugumo supratimas skatins politiką, procedūras ir
tinkamą saugumo mechanizmų naudojimą.
NAUJAS KLAUSIMAS 7
Veiksmingiausias būdas spręsti problemas, kylančias tarp IT valdymo, verslo padalinių ir saugos valdymo įgyvendinant naują saugos strategiją, yra informacijos saugos vadovas:
Atsakymas: D
Paaiškinimas:
Vyresnioji vadovybė turi geriausias arbitražo galimybes, nes priimdamas sprendimą atsižvelgs į bendrus verslo poreikius. Įgaliojimus kitiems gali perduoti vyresnioji vadovybė, peržiūrėjusi problemas ir
saugumo rekomendacijas. Vienetų neturėtų būti prašoma prisiimti riziką, prieš tai negavus indėlio iš vyresniosios vadovybės.
NAUJAS 8 KLAUSIMAS
Penkiolikoje šalių veikianti tarptautinė organizacija svarsto galimybę įgyvendinti informacijos saugumo programą. Kuris veiksnys DAUGIAU paveiks Informacijos saugumo programos dizainą?
D. IT saugumo įgūdžiai
Atsakymas: C
Paaiškinimas:
Kultūra turi didelę įtaką informacijos saugumo įgyvendinimui. Regiono verslo lyderių atstovavimas gali neturėti didelės įtakos, nebent būtų susiję su kultūros klausimais. Valdybos sudėtis gali neturėti didelės
įtakos, palyginti su kultūros klausimais. IT saugumo įgūdžiai nėra tokie svarbūs ar didelio poveikio kuriant daugianacionalinę informacijos saugumo programą, kaip būtų kultūriniai klausimai.
NAUJAS 9 KLAUSIMAS
Kuris iš šių GERIAUSIŲ dalykų prisideda prie saugumo valdymo sistemos, palaikančios brandos modelio koncepciją, kūrimo?
valdymo procesams
Atsakymas: A
Paaiškinimas:
Kad patobulintų valdymo sistemą ir pasiektų aukštesnį brandos lygį, organizacija turi vykdyti nuolatinę analizę, stebėjimą ir grįžtamąjį ryšį, palyginti su dabartine brandos būkle. Investicijų į saugumą grąža
(ROSD gali parodyti su saugumu susijusios veiklos rezultatus; tačiau rezultatas interpretuojamas pinigine išraiška ir apima daugybę saugumo iniciatyvų aspektų. Taigi tai gali būti netinkamas pasirinkimas.
Nuolatinis rizikos mažinimas parodytų saugumo valdymo sistemos veiksmingumą, bet nenurodo aukštesnio brandumo lygio Pagrindinis rizikos rodiklis (KRD sąranka yra priemonė, naudojama atliekant
vidaus kontrolės vertinimą. KRI sąranka pateikia slenkstį, įspėjantį valdymą, kai pažeidžiamos kontrolės priemonės verslo procesuose. Tai yra kontrolės įrankis, o ne brandos modelio palaikymo įrankis.
NAUJAS 10 KLAUSIMAS
Verslo padalinys ketina įdiegti naują technologiją taip, kad ji pažeis esamus informacijos saugumo standartus. Kokių neatidėliotinų veiksmų turėtų imtis informacijos saugos vadovas?
Atsakymas: C
Paaiškinimas:
Tokio pobūdžio konfliktų sprendimas turėtų būti pagrįstas patikima standarto išimčių leidimo arba neleidimo sąnaudų ir naudos rizikos analize. Bendras sprendimas niekada neturėtų būti priimtas neatlikus tokios
analizės. Esamų standartų vykdymas yra gera praktika; tačiau standartai turi būti nuolat tikrinami atsižvelgiant į naujas technologijas ir jų keliamą pavojų. Standartai neturėtų būti keičiami be tinkamo rizikos
įvertinimo.
NAUJAS KLAUSIMAS 10
Investicijos į informacijos saugumo technologijas turėtų būti pagrįstos:
A. pažeidžiamumo vertinimas B.
vertės analizė C.
verslo klimatas
D. audito rekomendacija
Atsakymas: B
Paaiškinimas:
investicijos į saugumo technologijas turėtų būti pagrįstos vertės analize ir patikimu verslo pagrindu. Įrodyta vertė yra svarbesnė už dabartinę verslo aplinką, nes ji nuolat keičiasi. Sprendimų priėmimas
remiantis audito rekomendacijomis būtų reaktyvaus pobūdžio ir gali neatitikti pagrindinių verslo poreikių. Pažeidžiamumo vertinimai yra naudingi, tačiau jie nenustato, ar išlaidos yra pagrįstos.
NAUJAS 11 KLAUSIMAS
Kuris iš šių dalykų dažniausiai patenka į informacijos saugumo valdymo valdymo komiteto sritį?
Atsakymas: C
Paaiškinimas:
Informacijos saugumo iniciatyvų prioritetų teikimas yra vienintelis tinkamas elementas. Specialistų apklausas turėtų atlikti informacijos saugos vadovas, o programos turinio kūrimą – informacijos saugos
darbuotojai. Už prieigos prie svarbiausių finansinių sistemų patvirtinimą atsako atskiri sistemos duomenų savininkai.
NAUJAS KLAUSIMAS 15
PAGRINDINIS saugumo valdymo grupės tikslas yra:
Atsakymas: B
Paaiškinimas:
Saugos valdymo grupę sudaro pagrindinių verslo funkcijų vyresnioji vadovybė ir jos pagrindinis tikslas yra suderinti saugos strategiją su verslo kryptimi. A variantas yra neteisingas, nes gali nebūti reikalaujama,
kad visos verslo sritys būtų taikomos informacijos saugumui; bet jei taip, pagrindinis valdymo komiteto tikslas būtų labiau suderinimas, o ne aprėptis. Nors informuotumo didinimas yra svarbus, šio tikslo
pats komitetas neįgyvendintų.
Iniciatyvinis komitetas gali dalį sprendimų priėmimo pavesti informacijos saugos vadybininkui; tačiau jei ji išsaugo šį autoritetą, tai nėra pagrindinis tikslas.
NAUJAS KLAUSIMAS 19
Informacijos saugumo valdymą VISŲ pirma skatina:
A. technologijos apribojimas B.
reguliavimo reikalavimas C.
bylinėjimosi potencialas
D. verslo strategija
Atsakymas: D
Paaiškinimas:
valdymas yra tiesiogiai susijęs su verslo strategija ir kryptimi. Technologiniai apribojimai, reguliavimo reikalavimai ir bylinėjimosi galimybės yra svarbūs
NAUJAS 20 KLAUSIMAS
Informacijos saugumo pareigūnas atkreipė dėmesį į naują reglamentą, skirtą apsaugoti informaciją, apdorojamą atliekant tam tikros rūšies sandorius. Pareigūnas PIRMA turėtų:
Atsakymas: C
Paaiškinimas: jei
organizacija laikosi reikalavimų taikydama esamas kontrolės priemones, poreikis atlikti kitus su reglamentu susijusius darbus nėra prioritetas. Kiti pasirinkimai yra tinkami ir svarbūs; tačiau tai yra vėlesni
veiksmai ir priklausys nuo to, ar yra kontrolės spragų.
NAUJAS KLAUSIMAS 25
Idealiu atveju vyriausiasis informacijos saugumo pareigūnas (CISO) turėtų turėti tiesioginį atskaitomybės ryšį su:
Atsakymas: B
Paaiškinimas:
Idealiu atveju vyriausiasis informacijos saugumo pareigūnas (CISO) turėtų atsiskaityti kuo aukštesniam organizacijos lygiui. Tarp pateiktų pasirinkimų vyriausiasis operacijų pareigūnas (COO) turėtų ne
tik atitinkamo lygio, bet ir kasdienės veiklos žinias. Vidaus audito vadovas ir teisės patarėjas darytų gerus antraeilius pasirinkimus, nors ir nelabai išmanytų veiklą. Ataskaitų teikimas vyriausiajam technologijų
pareigūnui (CTO) gali kilti problemų, nes CTO tikslai dėl infrastruktūros kartais gali prieštarauti informacijos saugumo tikslams.
NAUJAS 26 KLAUSIMAS
Kuris iš šių veiksnių yra PAGRINDINIS informacijos saugumo valdymo veiksnys, kuriam nereikia jokio papildomo pagrindimo?
Atsakymas: D
Paaiškinimas:
Teisės aktų laikymasis gali būti atskira informacijos saugos valdymo priemonės veiksnys. Nereikalaujama jokios papildomos analizės ar pagrindimo, nes subjektas negali pasirinkti teisės aktų reikalavimų.
Informacijos saugos vadybininkas turi gauti informaciją iš verslo vadybininkų, kai ieškoma informacijos saugumo valdymo priemonės, pagrįstos jos suderinimu su geriausia pramonės praktika. Investicijos į veiklos
tęstinumą turi būti pagrįstos poveikio verslui analize. Kai ieškoma informacijos saugumo valdymo priemonės, pagrįstos kokybine verslo nauda, reikia atlikti tolesnę analizę, siekiant nustatyti, ar nauda yra
didesnė už atitinkamos informacijos saugumo valdymo priemonės sąnaudas.
NAUJAS 29 KLAUSIMAS
Kurį iš šių dalykų SVARBIAUSIAI reikia turėti omenyje vertinant informacijos vertę?
Atsakymas: A
Paaiškinimas:
Galimi finansiniai nuostoliai visada yra pagrindinis veiksnys vertinant informacijos vertę. Pasirinkimai B, C ir D gali būti veiksniai, bet ne pagrindinis veiksnys.
NAUJAS 33 KLAUSIMAS
Kuris iš šių dalykų yra centralizuotos informacijos saugos organizacinės struktūros pranašumas?
Atsakymas: B
Paaiškinimas:
lengviau valdyti ir kontroliuoti centralizuotą struktūrą. Saugumo supratimo skatinimas yra decentralizacijos pranašumas. Decentralizacija leidžia naudoti lauko apsaugos darbuotojus kaip saugumo misionierius
arba ambasadorius, kad būtų galima skleisti saugumo supratimo pranešimą. Decentralizuotos operacijos leidžia saugos administratoriams labiau reaguoti. Būdami arti verslo, decentralizuoti
saugos administratoriai gali pasiekti greitesnį apsisukimą nei centralizuotai veikiant.
NAUJAS 36 KLAUSIMAS Ką
visų pirma naudotų saugos vadybininkas, siūlydamas įgyvendinti saugos sprendimą?
reikalavimai
Atsakymas: C
Paaiškinimas:
informacijos saugos vadovas turi teikti pirmenybę kontrolei, remdamasis rizikos valdymu ir organizacijos reikalavimais. Informacijos saugos vadovas turi pažvelgti į įvairių kontrolės priemonių išlaidas ir
palyginti jas su nauda, kurią organizacija gaus iš saugos sprendimo. Informacijos saugos vadovas turi turėti žinių apie verslo atvejų plėtrą, kad parodytų įvairių valdiklių sąnaudas ir naudą. Visi kiti
pasirinkimai yra papildomi.
NAUJAS KLAUSIMAS 38
Investicijos į saugumo technologijas ir procesus turėtų būti pagrįstos:
Atsakymas: A
Paaiškinimas:
Organizacijos brandos lygis informacijos apsaugai yra aiškus derinimas su organizacijos tikslais ir uždaviniais. Ankstesnių projektų patirtis priklauso nuo kitų verslo modelių, kurie gali būti nepritaikomi
dabartiniam modeliui. Geriausios verslo praktikos gali būti nepritaikomos organizacijos verslo poreikiams. Esamoms technologijoms būdingos apsaugos priemonės yra pigios, tačiau gali neatitikti visų verslo
poreikių ir (arba) organizacijos tikslų.
NAUJAS 41 KLAUSIMAS
Kuris iš šių dalykų padėtų pakeisti organizacijos saugumo kultūrą?
Atsakymas: B
Paaiškinimas:
Vadovybės parama ir spaudimas padės pakeisti organizacijos kultūrą. Procedūros palaikys informacijos saugumo politiką, tačiau negali pakeisti organizacijos kultūros. Techninė kontrolė suteiks daugiau
saugumo informacinei sistemai ir darbuotojams; tačiau tai nereiškia, kad kultūra bus pakeista. Auditas padės užtikrinti informacijos saugumo politikos veiksmingumą; tačiau auditas nėra veiksmingas
keičiant įmonės kultūrą.
NAUJAS KLAUSIMAS 46
Aukštesniosios vadovybės įsipareigojimą ir paramą informacijos saugumui GERIAUSIAI pasieks informacijos saugos vadovas, pabrėždamas:
A. organizacinis ris B.
organizacijos platus metrika C.
saugumo poreikis D.
organizacinio vieneto pareigos
Atsakymas: A
Paaiškinimas:
Informacijos saugumas yra skirtas padėti organizacijai pasiekti savo tikslus. Informacijos saugumo vadovas turėtų nustatyti informacijos saugumo poreikius, remdamasis organizaciniais poreikiais.
Organizacinė ar verslo rizika visada turėtų būti pirmenybė. Nustačius bendrą organizacinę riziką, vyresnioji vadovybė teigiamai vertins kiekvieno organizacinio vieneto įtraukimą į informacijos saugumą ir
sėkmės matavimo metrikų nustatymą.
NAUJAS 48 KLAUSIMAS
Kuris iš šių dalykų greičiausiai bus atnaujinamas DŽIAUSIAI?
Atsakymas: A
Paaiškinimas:
Politika ir standartai paprastai turėtų būti statiškesni ir rečiau keistis. Kita vertus, procedūros, ypač susijusios su operacinių sistemų tvirtinimu, bus nuolatos keičiamos; operacinėms sistemoms keičiantis ir
tobulėjant, grūdinimo procedūros turės neatsilikti.
NAUJAS 50 KLAUSIMAS
Kuris iš šių dalykų yra SVARBIAUSIA prielaida norint sukurti informacijos saugumo valdymą organizacijoje?
Atsakymas: A
Paaiškinimas:
Vyresniosios vadovybės įsipareigojimas yra būtinas, kad kiekvienas kitas elementas būtų sėkmingas. Be vyresniosios vadovybės įsipareigojimo, kiti elementai organizacijoje greičiausiai bus ignoruojami.
NAUJAS KLAUSIMAS 53
Kuris iš šių dalykų yra informacijos saugumo valdymo pranašumas?
Atsakymas: A
Paaiškinimas:
informacijos saugumo valdymas sumažina civilinės ar teisinės atsakomybės riziką. Likę atsakymai neteisingi. Atrodo, kad D variantas yra teisingas, tačiau vyresnioji vadovybė prižiūrėtų ir patvirtintų, o ne
tiesioginis dalyvavimas kuriant kontrolės procesus.
NAUJAS KLAUSIMAS 57
Kuri iš toliau pateiktos informacijos yra SVARBIAUSIA įtraukti į strateginį informacijos saugumo planą?
Atsakymas: B
Paaiškinimas:
Svarbiausia nupiešti ateities viziją ir tada nubrėžti kelių žemėlapį nuo sustojimo iki norimos ateities būsenos. Darbuotojai, kapitalo investicijos ir misija – visa tai kyla iš šio fondo.
NAUJAS KLAUSIMAS 60
Saugumo technologijos turėtų būti parenkamos VISŲ pirma atsižvelgiant į:
Atsakymas: A
Paaiškinimas:
Svarbiausias vertinimo kriterijus tinkamai parenkant bet kokią saugos technologiją yra jos gebėjimas sumažinti arba pašalinti verslo riziką. Investicijos į saugumo technologijas turėtų būti pagrįstos bendra jų verte,
palyginti su jų sąnaudomis; vertę galima įrodyti rizikos mažinimo požiūriu. Tai turėtų būti svarbesnė už tai, ar jie naudoja naujas ar egzotiškas technologijas, ar kaip jos vertinamos prekybos leidiniuose.
NAUJAS 61 KLAUSIMAS
Informacijos saugos vadovas, susiejantis pareigybės aprašymą su prieigos prie duomenų tipais, greičiausiai laikysis kurio iš šių informacijos saugos principų?
A. Etika
B. Proporcingumas
C. Integracija D.
Atskaitomybė
Atsakymas: B
Paaiškinimas:
Informacijos saugumo kontrolės priemonės turėtų būti proporcingos informacijos pakeitimo, atsisakymo naudoti ar atskleidimo rizikai. Patartina sužinoti, ar pareigybės aprašyme paskirstoma daugiau
duomenų, nei reikia toms pareigoms vykdyti verslo taisykles (prieigos prie duomenų tipai). Etikos ir integracijos principai mažiausiai susiję su darbo aprašymo susiejimu su duomenų prieigos tipais. Atskaitomybės
principas būtų antras labiausiai laikomasi principo, nes žmonės, turintys prieigą prie duomenų, ne visada gali būti atskaitingi, bet gali būti įpareigoti atlikti operaciją.
NAUJAS KLAUSIMAS 65
PAGRINDINIS tikslas kuriant informacijos saugumo strategiją yra:
Atsakymas: D
Paaiškinimas:
organizacijos verslo tikslai pakeičia visus kitus veiksnius. Metrikų nustatymas ir našumo matavimas, teisinių ir reguliavimo reikalavimų laikymasis bei verslo procesų savininkų švietimas – visa tai
priklauso nuo šio bendro tikslo.
NAUJAS KLAUSIMAS 70
Kuris iš šių dalykų yra pats svarbiausias informacijos saugumo strategijos elementas?
A. Apibrėžti tikslai B.
Pristatymo terminai C. Kontrolės
sistemos priėmimas D. Išsami politika
Atsakymas: A
Paaiškinimas: Be
apibrėžtų tikslų negalima sukurti strategijos – plano tikslams pasiekti. Pristatymo terminai yra svarbūs, bet ne itin svarbūs įtraukiant į strategijos dokumentą. Panašiai, norint turėti sėkmingą informacijos saugumo
strategiją, kontrolės sistemos priėmimas nėra labai svarbus. Politika kuriama po strategijos įgyvendinimo ir kaip jos dalis.
NAUJAS KLAUSIMAS 72
Informacijos saugumo požiūriu informacija, kuri nebepalaiko pagrindinio verslo tikslo, turėtų būti:
Atsakymas: A
Paaiškinimas: A
variantas yra analizės tipas, pagal kurį bus nustatyta, ar organizacija privalo saugoti duomenis dėl verslo, teisinių ar reguliavimo priežasčių. Duomenų, kurių nebereikia, saugojimas be reikalo eikvoja išteklius, o jei
yra jautri asmeninė informacija, gali padidėti duomenų sugadinimo rizika.
B parinktys. C ir D yra požymiai, į kuriuos reikėtų atsižvelgti sunaikinimo ir saugojimo politikoje. BIA gali padėti nustatyti, kad ši informacija nepatvirtina pagrindinio verslo tikslo, tačiau nenurodo veiksmų,
kurių reikia imtis.
NAUJAS KLAUSIMAS 75
Kuris iš šių dalykų būdingas centralizuotam informacijos saugumo valdymui?
Atsakymas: B
Paaiškinimas:
Informacijos saugumo valdymo centralizavimas užtikrina didesnį vienodumą ir geresnį saugumo politikos laikymąsi. Paprastai jį administruoti pigiau dėl masto ekonomijos. Tačiau apyvarta gali būti
lėtesnė, nes nėra suderinimo su verslo padaliniais.
NAUJAS KLAUSIMAS 78
PAGRINDINIS informacijos saugumo vadybininko rūpestis, dokumentuojantis oficialią duomenų saugojimo politiką, būtų:
Atsakymas: B
Paaiškinimas:
Pagrindinis rūpestis bus teisės aktų ir taisyklių laikymasis, bet tik tuo atveju, jei tai tikras verslo reikalavimas. Geriausia praktika gali būti naudingas vadovas, bet ne pagrindinis rūpestis. Teisės aktai ir reguliavimo
reikalavimai yra svarbūs tik tuo atveju, jei atitiktis yra verslo poreikis. Sandėliavimas nėra svarbus, nes turi būti pateikta viskas, ko reikia
NAUJAS 80 KLAUSIMAS
Peržiūrėjus, kuris iš šių dalykų GERIAUSIAI užtikrintų saugumo kontrolės veiksmingumą?
Atsakymas: C
Paaiškinimas:
Saugos metrikos peržiūra suteikia vyresniajai vadovybei trumpą organizacijos saugos padėties vaizdą ir tendencijas. A pasirinkimas yra neteisingas, nes rizikos vertinimo politikos peržiūra neužtikrins, kad kontrolės
priemonės iš tikrųjų veikia. Pasirinkimas B yra neteisingas, nes peržiūrint investicijų į saugumą grąžą pateikiamas verslo pateisinimas diegiant valdiklius, tačiau neįvertinamas pačios kontrolės efektyvumas. D
pasirinkimas yra neteisingas, nes už naudotojo prieigos teisių peržiūrą bendrai atsako duomenų saugotojas ir duomenų savininkas, o tai neįvertina kontrolės efektyvumo.
NAUJAS KLAUSIMAS 83
Pagrindinis informacijos saugumo valdymo programos reikalavimas yra:
Atsakymas: A
Paaiškinimas:
norint gauti vyresniosios vadovybės pagalbą, informacijos saugos programa turi būti suderinta su įmonės verslo strategija. Rizikos valdymas yra informacijos saugumo programos reikalavimas,
kuriame turėtų būti atsižvelgiama į verslo strategiją. Saugumo valdymas yra daug platesnis nei tik taisyklių laikymasis. Geriausia praktika yra veiklos problema ir neturi tiesioginės įtakos valdymo
programai.
NAUJAS 88 KLAUSIMAS
Organizacija nusprendė perduoti didžiąją dalį IT skyriaus paslaugų tiekėjui, kuris priegloboja serverius užsienio šalyje. Kuris iš toliau nurodytų saugumo aspektų yra pats svarbiausias?
A. Kilmės šalies įstatymai ir teisės aktai gali būti neįgyvendinami užsienio šalyje. B. Pranešimas apie saugumo pažeidimą
gali būti atidėtas dėl laiko skirtumo C. Reikėtų įdiegti papildomus tinklo įsibrovimo aptikimo
jutiklius, dėl kurių atsiranda papildomas cos D. Bendrovė gali prarasti fizinę serverio kontrolę ir negalėti stebėti serverio fizinės
saugos padėties
Atsakymas: A
Paaiškinimas:
Įmonė laikosi šalies, kurioje ji gyvena, vietinių įstatymų ir taisyklių, net jei įmonė nusprendžia serverius pateikti tiekėjui, kuris serverius talpina užsienio šalyje. Galimas įmonei taikomų vietinių įstatymų pažeidimas
gali būti nepripažintas arba ištaisytas (ty patrauktas baudžiamojon atsakomybėn) dėl taikomų vietinių įstatymų stokos ir nesugebėjimo užtikrinti įstatymų. B variantas nėra problema. Laiko skirtumas neveikia 24
valandas per parą, 7 dienas per savaitę. Pranešimams perduoti paprastai galima naudoti pranešimų gaviklius, mobiliuosius telefonus, telefonus ir kt. C variantas yra įveikiama problema, kuriai reikia
papildomo finansavimo, tačiau ją galima išspręsti. D variantas yra problema, kurią galima išspręsti. Daugelis prieglobos paslaugų teikėjų standartizavo taikomą fizinės saugos lygį. Reguliarus fizinis auditas
arba SAS 70 ataskaita gali išspręsti tokias problemas.
NAUJAS KLAUSIMAS 91
Įgyvendindama informacijos saugumo valdymą, organizacija PIRMA turėtų:
Atsakymas: C
Paaiškinimas:
Pirmas žingsnis įgyvendinant informacijos saugos valdymą yra apibrėžti saugumo strategiją, pagal kurią nustatomos pagrindinės saugos linijos. Priėmimas
Tinkami saugumo standartai, rizikos įvertinimas ir saugumo politikos įgyvendinimas yra žingsniai, atitinkantys saugumo strategijos apibrėžimą.
NAUJAS KLAUSIMAS 95
Gauti vyresniosios vadovybės paramą šiltos aikštelės įrengimui GERIAUSIAI galima pasiekti:
Atsakymas: C
Paaiškinimas:
Verslo atvejo kūrimas, įskaitant kaštų ir naudos analizę, bus labiausiai įtikinantis vadovybę. Rizikos įvertinimas gali būti įtrauktas į verslo lengvumą, tačiau pats savaime nebus toks veiksmingas siekiant gauti
vadovybės paramą. Vadovybės informavimas apie teisės aktų reikalavimus gali padėti sulaukti paramos iniciatyvoms, tačiau atsižvelgiant į tai, kad daugiau nei pusė organizacijų nesilaiko reglamentų, daugeliu
atvejų to nepakaks. Geri rodikliai, kurie užtikrina, kad iniciatyvos atitinka organizacinius tikslus, taip pat bus naudingi, tačiau jų nepakanka vadovybei gauti.
NAUJAS 99 KLAUSIMAS
Duomenų savininkai turi užtikrinti saugią aplinką, kad užtikrintų operacijos konfidencialumą, vientisumą ir prieinamumą. Tai yra informacijos saugumo pavyzdys:
A. baselin B.
strategija C.
procedur D.
polic
Atsakymas: D
Paaiškinimas:
politika yra aukšto lygio organizacijos įsitikinimų, tikslų, vaidmenų ir uždavinių pareiškimas. Pagrindinės sąlygos apima minimalų saugos lygį visoje organizacijoje.
Informacijos saugumo strategija suderina informacijos saugos programą su verslo tikslais, o ne pateikia kontrolės pareiškimus. Procedūra yra žingsnis po žingsnio procesas, kaip bus įgyvendinama politika ir
standartai.
Atsakymas: D
Paaiškinimas:
Tikslingiausia būtų parengti informacijos saugumo strategijos dokumentą. Patvirtinti prieigą būtų duomenų savininko darbas. Platformos lygio saugumo atnaujinimas ir atkūrimo bandymų atlikimas būtų mažiau
svarbūs, nes tai yra administracinės užduotys.
A. Duomenų saugotojas
Atsakymas: C
Paaiškinimas:
Direktorių valdyba yra galutinai atsakinga už organizacijos informaciją ir jai pavesta reaguoti į problemas, turinčias įtakos jos apsaugai. Duomenų saugotojas yra atsakingas už duomenų priežiūrą ir
apsaugą. Paprastai šį vaidmenį atlieka IT skyrius. Vyriausiasis informacijos saugumo pareigūnas (CISO) yra atsakingas už saugumą ir vyresniosios vadovybės nurodymų vykdymą. Vyriausiasis informacijos
pareigūnas (CIO) yra atsakingas už informacines technologijas organizacijoje ir nėra galutinai atsakingas už organizacijos informaciją.
Atsakymas:
Paaiškinimas:
Rizikos įvertinimas padėtų vadovybei labai aukštu lygiu suprasti grėsmes, tikimybes ir esamas kontrolės priemones. Apsaugos architektūros sukūrimas, tinklo įsibrovimo aptikimo sistemos (NIDS) įdiegimas ir atakų
prieš tinklą sąrašo parengimas bei tinklo saugumo politikos sukūrimas nebūtų toks efektyvus, kad išryškintų svarbą valdymui ir būtų sekamas tik atlikus rizikos vertinimą.
Atsakymas: C
Paaiškinimas:
pagal daugumą privatumo įstatymų ir taisyklių reikalaujama atskleisti, kaip informacija bus naudojama. Pasirinkimas A yra neteisingas, nes ši informacija turėtų būti pateikta svetainės atsakomybės atsisakyme.
Pasirinkimas B yra neteisingas, nes, nors gali būti taikomas šifravimas, tai paprastai neatskleidžiama. D pasirinkimas yra neteisingas, nes informacijos klasifikavimas būtų įtrauktas į atskirą politiką.
Atsakymas: C
Paaiškinimas:
strateginis saugumo suderinimas su verslo tikslais yra pagrindinis veiklos vertinimo rodiklis. Vadovaujantis saugos programa, prasmingas veiklos vertinimas taip pat priklausys nuo verslo tikslų supratimo, kuris
bus suderinimo rezultatas. Verslo ryšiai savaime nereiškia integracijos ar vertės teikimo. Nors suderinimas yra svarbi išankstinė sąlyga, tai nėra toks svarbus rodiklis.
Atsakymas: B
Paaiškinimas:
Suderinimas su verslo strategija yra labai svarbus. Verslo tikslų supratimas yra labai svarbus nustatant organizacijos saugumo poreikius.
Atsakymas: B
Paaiškinimas:
verslo įrašų saugojimą paprastai lemia teisiniai ir reguliavimo reikalavimai. Verslo strategija ir kryptis paprastai nebūtų taikomos ir jos nepaisytų teisinių ir reguliavimo reikalavimų. Sandėliavimo talpa ir
ilgaamžiškumas yra svarbūs, bet antraeiliai dalykai. Verslo atvejo ir vertės analizė būtų antraeilė, palyginti su teisinių ir reguliavimo reikalavimų laikymusi.
Atsakymas: B
Paaiškinimas:
Svarbu pasiekti sutarimą dėl rizikos ir kontrolės bei gauti informaciją iš įvairių organizacinių subjektų, nes saugumas turi būti suderintas su organizacijos poreikiais. Valdymo komiteto vadovybės rotacija nepadeda
pasiekti strateginio derinimo. Verslo strategijos atnaujinimas nelemia strateginio saugumo iniciatyvų derinimo. Procedūras ir standartus neprivalo tvirtinti visų skyrių vadovai
Atsakymas: C
Paaiškinimas: už
informacijos saugumo valdymą atsako direktorių valdyba ir vykdomoji vadovybė. Šiuo atveju tinkamas veiksmas yra užtikrinti, kad būtų parengtas reikalingų apsaugos priemonių įgyvendinimo planas, ir reikalauti
atnaujinti tą įgyvendinimą.
Atsakymas: A
Paaiškinimas:
Informacijos saugumo tikslas yra apsaugoti organizacijos informacinį turtą. Tarptautiniai saugumo standartai priklauso nuo situacijos, priklausomai nuo įmonės ir jos verslo. Svarbu laikytis įmonės privatumo
standartų, tačiau tie standartai turi būti tinkami ir adekvatūs ir nėra svarbiausias veiksnys, į kurį reikia atsižvelgti. Visi darbuotojai yra atsakingi už informacijos saugumą, tačiau tai nėra svarbiausias veiksnys,
į kurį reikia atsižvelgti.
Atsakymas: A
Paaiškinimas:
Informacijos saugos vadovas yra atsakingas už saugos strategijos, pagrįstos verslo tikslais, kūrimą padedamas verslo procesų savininkų.
Už saugumo strategijos peržiūrą atsakingas valdymo komitetas. Informacijos saugumo vadovas nebūtinai yra atsakingas už komunikaciją ar saugumo strategijos patvirtinimą.
Atsakymas: C
Paaiškinimas: be
vyresniosios vadovybės paramos informacijos saugumo programa turi mažai galimybių išgyventi. Įmonės lyderių grupė, labiau nei bet kuri kita grupė, sėkmingiau vykdys programą. Jų autoritetinga padėtis
įmonėje yra pagrindinis veiksnys. Biudžeto patvirtinimui, išteklių įsipareigojimams ir dalyvavimui visos įmonės mastu taip pat reikalingas vyresniosios vadovybės dalyvavimas. Vyresnioji vadovybė yra
atsakinga už tinkamo biudžeto ir reikalingų išteklių skyrimą. Saugumo suvokimas yra svarbus, bet ne svarbiausias veiksnys. Darbo koeficiento perskaičiavimas yra rizikos valdymo dalis.
A. pareiškimas apie tai, ką įmonė darys su renkama informacija B. atsisakymas dėl informacijos tikslumo
jos svetainėje C. techninė informacija apie tai, kaip informacija yra apsaugota D.
pareiškimas apie tai, kur informacija yra talpinama.
Atsakymas: A
Paaiškinimas:
pagal daugumą privatumo įstatymų ir taisyklių reikalaujama atskleisti, kaip informacija bus naudojama. Atsakomybės apribojimas nėra būtinas, nes jis nesusijęs su duomenų privatumu.
Techninė informacija apie informacijos apsaugą nėra privaloma skelbti svetainėje ir iš tikrųjų nebūtų pageidautina. Neprivaloma nurodyti, kur talpinama informacija.
Atsakymas: D
Paaiškinimas:
ilgalaikiam verslo įrašų saugojimui gali turėti didelės įtakos taikomųjų programų sistemų ir laikmenų pokyčiai. Pavyzdžiui, duomenis, saugomus nestandartiniais formatais, kuriuos gali nuskaityti ir
interpretuoti tik anksčiau nebenaudojamos programos, gali būti sunku arba net neįmanoma atkurti. Verslo strategija ir kryptis paprastai netaikomos, taip pat netaikomi teisiniai ir reguliavimo reikalavimai.
Sandėliavimo talpa ir galiojimo laikas yra svarbūs, bet antraeiliai klausimai.
Atsakymas: A
Paaiškinimas: BIA
įtraukta į dabartinės rizikos būklės nustatymo procesą ir padeda nustatyti priimtinus poveikio lygius bei esamą atsako lygį, todėl atliekama spragų analizė. Dėl to gali būti sudarytas tinkamas biudžetas,
tačiau tai nėra priežastis atlikti analizę. Analizės atlikimas gali atitikti norminius reikalavimus, sąskaita nėra priežastis ją atlikti. Poveikio verslui analizė yra proceso dalis, tačiau taip pat reikia nustatyti poreikius
ar priimtiną poveikį ar atsaką.
A. Išlaidų mažinimas
Atsakymas: D
Paaiškinimas:
Investavimas į informacijos saugos programą turėtų padidinti verslo vertę ir pasitikėjimą. Sąnaudų mažinimas pats savaime retai motyvuoja įgyvendinti informacijos saugumo programą. Atitiktis yra antraeilė
verslo vertės atžvilgiu. Verslo vertės didinimas gali apimti verslo turto apsaugą.
Atsakymas: D
Paaiškinimas:
Iniciatyvinis komitetas, atsižvelgdamas į organizacijos poreikius, kontroliuoja informacijos saugumo strategijos vykdymą, priima sprendimą dėl projekto prioritetų nustatymo ir vykdymo plano.
Vartotojų valdymas yra svarbi grupė, kuriai turėtų būti atstovaujama siekiant užtikrinti, kad informacijos saugos planai būtų suderinti su verslo poreikiais. Funkciniai reikalavimai ir naudotojų mokymo programos
laikomos projektų dalimi, bet nėra pagrindinė rizika. Valdymo komitetas verslo padalinių biudžetų netvirtina.
Atsakymas: B
Paaiškinimas:
Prieš įvertindamas techninius pažeidžiamumus arba saugumo suvokimo lygius, informacijos saugos vadovas turi suprasti dabartinę verslo strategiją ir kryptį. Poveikio verslui analizė turėtų būti atlikta prieš kuriant
veiklos tęstinumo planą, tačiau tai nebūtų tinkamas pirmasis žingsnis kuriant informacijos saugumo strategiją, nes joje pagrindinis dėmesys skiriamas prieinamumui.
Atsakymas: C
Paaiškinimas:
sąsaja su verslo tikslais yra svarbiausias elementas, į kurį atsižvelgtų vadovybė. Informacijos saugumo metrika turėtų būti vertinama atsižvelgiant į poveikį valdymo tikslams. Nors ir svarbios, reikalingos saugumo
žinios nebūtų pirmasis elementas, į kurį reikia atsižvelgti. Pagrindas pagal informacijos saugos metriką bus svarstomas vėliau proceso metu.
A. Sulaikymas B.
Aptikimas C.
Reakcija D.
Atkūrimas
Atsakymas: B
Paaiškinimas:
Aptikimo apsaugos priemonės apima registravimą, taip pat stebėjimą, matavimą, auditą, virusų ir įsibrovimų aptikimą. Apsaugos priemonių pavyzdžiai yra sąmoningumas, mokymas ir fizinio saugumo apsauga.
Reakcijos apsaugos pavyzdžiai yra reagavimas į incidentus, politikos ir procedūrų keitimas bei kontrolės tobulinimas. Atkūrimo apsaugos priemonių pavyzdžiai yra atsarginės kopijos ir atkūrimas, perjungimas ir
nuotolinės svetainės, veiklos tęstinumo planai ir atkūrimo planai po nelaimių.
Atsakymas: B
Paaiškinimas:
Vietinis subjektas, kaip dukterinė įmonė, turės laikytis vietinių įstatymų, reglamentuojančių šalyje renkamus duomenis. Vyresnioji vadovybė bus atsakinga už šį teisės aktų laikymąsi. Politika, būdama
vidinė, negali pakeisti vietos įstatymų. Be to, kadangi vietiniai teisės aktai skiriasi nuo šalies, kurioje yra organizacijos būstinė, mažai tikėtina, kad visos grupės politika atitiks visus vietinius teisinius reikalavimus.
Jei duomenys renkami vietoje (ir galbūt perkeliami į šalį, kurioje yra kitoks duomenų privatumo reglamentas), taikomi vietiniai įstatymai, o ne pagrindinei buveinei taikoma teisė. Duomenų privatumo įstatymai
taikomi konkrečiai šaliai.
Atsakymas: B
Paaiškinimas:
nauji informacijos saugos vadovai turėtų siekti užmegzti ryšį ir užmegzti bendravimo linijas su vyresniąja vadovybe, kad gautų jų paramą.
Lygiagrečių organizacijų lyginamoji analizė yra naudinga siekiant geriau suprasti geriausią pramonės praktiką, tačiau ji yra antraeilė, palyginti su vyresniosios vadovybės palaikymu. Panašiai,
saugos architektūros kūrimas ir patyrusio personalo surinkimas yra tikslai, kuriuos galima pasiekti vėliau.
Atsakymas: D
Paaiškinimas:
identifikuojamų asmens duomenų apsaugai daugiausia dėmesio skiriama naujausiuose privatumo reglamentuose, tokiuose kaip Sveikatos draudimo perkeliamumo ir atskaitomybės įstatymas (HIPAA).
Duomenų gavyba yra priimtinas ad hoc ataskaitų teikimo įrankis; ji gali kelti grėsmę privatumui tik pažeidžiant reguliavimo institucijos nuostatas. Tapatybės vagystė yra galima privatumo
pažeidimų pasekmė, bet ne pagrindinis daugelio taisyklių akcentas. Žmogaus teisės sprendžia privatumo klausimus, bet nėra pagrindinis reglamentų akcentas.
Atsakymas: C
Paaiškinimas:
investicijų grąžos apskaičiavimas (ROD labiausiai suderins saugumą su įtaka apatinei eilutei. Incidentų dažnis ir kaina yra veiksniai, lemiantys poveikį verslui, tačiau vien jų nepakanka. Išlaidų palyginimas su
panašiomis organizacijos gali būti problemiškos, nes panašios organizacijos gali turėti skirtingus verslo tikslus ir norą rizikuoti.
Atsakymas: D
Paaiškinimas:
Vyresniosios vadovybės dalyvavimo ir paramos poreikis yra pagrindinis sėkmės veiksnys įgyvendinant tinkamą saugumo valdymą. Technologijų sudėtingumas, biudžeto suvaržymai ir prieštaringi verslo
prioritetai yra realybės, kurios turėtų būti įtrauktos į organizacijos valdymo modelį ir neturėtų būti laikomos trukdančiais.
Atsakymas: A
Paaiškinimas:
trumpas biudžeto išlaidų naudos paaiškinimas padeda perteikti kontekstą, kaip prašomi pirkiniai atitinka tikslus ir uždavinius, o tai savo ruožtu padeda didinti informacijos saugumo funkcijos ar
programos patikimumą. Privalumų paaiškinimai taip pat padeda įtraukti vyresniąją vadovybę į informacijos saugos programos palaikymą. Nors biudžete turėtų būti atsižvelgta į visus iš verslo gaunamus įnašus ir
rekomendacijas, biudžetas, kuris galiausiai pateikiamas vadovybei patvirtinti, turėtų apimti tik tuos elementus, kurie yra skirti įsigyti. TC'O gali paprašyti vadovybė ir jis gali būti pateiktas tam tikros pirkimo užklausos
priede, bet paprastai neįtraukiamas į metinį biudžetą. Pradiniai palyginimai (išlaidų palyginimai su kitomis įmonėmis ar pramonės šakomis) gali būti naudingi rengiant biudžetą arba pateikiant pagrindimą
atliekant vidinę atskiro pirkimo peržiūrą, tačiau jie nebūtų įtraukti į prašymą patvirtinti biudžetą.
Atsakymas: B
Paaiškinimas:
Informacijos saugumas turėtų užtikrinti, kad būtų pasiekti verslo tikslai, atsižvelgiant į turimas technines galimybes, išteklių apribojimus ir atitikties reikalavimus. Nepraktiška ir neįmanoma pašalinti visų pavojų.
Turi būti atsižvelgta į reguliavimo reikalavimus, tačiau jie yra įvesti į verslo aspektus. Direktorių valdyba neapibrėžia informacijos saugumo, bet nurodo kryptį, palaikydama verslo tikslus ir uždavinius.
Atsakymas: C
Paaiškinimas:
kadangi už informacijos saugumą galiausiai atsakingi vyresniosios vadovybės nariai, jie yra galutiniai sprendimų priėmėjai valdymo ir vadovavimo atžvilgiu. Jie yra atsakingi už pagrindinių politikos pareiškimų
ir prašymų finansuoti informacijos saugumo praktiką patvirtinimą. Pardavėjų vertinimas, rizikos vertinimas ir norminių reikalavimų laikymosi kontrolė yra kasdienė informacijos saugumo vadovo pareiga; kai
kuriose organizacijose verslo vadyba dalyvauja šioje kitoje veikloje, nors pagrindinis jų vaidmuo yra vadovavimas ir valdymas.
A. Techninė B.
Reguliavimo C.
Privatumas
D. Verslas
Atsakymas: A
Paaiškinimas:
informacijos saugumo prioritetai kartais gali būti viršesni už technines specifikacijas, kurios turi būti perrašytos, kad atitiktų minimalius saugumo standartus. Reguliavimo ir privatumo reikalavimus nustato
vyriausybė, todėl jų negalima nepaisyti. Verslo poreikiai visada turėtų būti svarbesni sprendžiant informacijos saugumo prioritetus.
Atsakymas: C
Paaiškinimas:
Saugos programa, įgalinanti verslo veiklą, būtų labiausiai naudinga siekiant suderinti informacijos saugumą ir organizacijos tikslus. Visi kiti pasirinkimai yra saugos programos dalis ir atskirai bei tiesiogiai
nepadėtų tiek, kiek saugumo programa.
A. Kvalifikacijos testas
B. Pareigybių aprašymai
C. Organizacinė schema D.
Įgūdžių aprašas
Atsakymas: D
Paaiškinimas:
Gebėjimų aprašas padėtų nustatyti turimus išteklius, bet kokias spragas ir mokymo reikalavimus kuriant išteklius. Kvalifikacijos tikrinimas yra naudingas, bet tik atsižvelgiant į konkrečius techninius įgūdžius.
Pareigybių aprašymai nebūtų tokie naudingi, nes jie gali būti pasenę arba nepakankamai išsamūs. Organizacinėje schemoje nepateikta išsami informacija, reikalinga šiai veiklai reikalingų išteklių nustatymui.
Atsakymas: B
Paaiškinimas:
saugumo tikslų, procesų, metodų, įrankių ir metodų rinkinys kartu sudaro saugumo strategiją. Nors IT ir verslo valdymas yra tarpusavyje susiję, verslo kontrolė gali būti neįtraukta į saugumo
strategiją. Biudžetai paprastai nebus įtraukti į informacijos saugumo strategiją. Be to, kol nebus suformuluota ir neįgyvendinta informacijos saugumo strategija, konkrečios priemonės nebus nustatytos ir
konkrečių išlaidų sąmatos nebus. Užkardos taisyklių rinkiniai, numatytieji tinklo nustatymai ir įsibrovimo aptikimo sistemos (IDS) nustatymai yra techninė informacija, kuri gali būti periodiškai keičiama ir nėra
tinkamas strateginio dokumento turinys.
užtikrinimas
Atsakymas: D
Paaiškinimas:
Suinteresuotųjų šalių pasitikėjimo informacijos vientisumu ugdymas turėtų būti pagrindinis informacijos saugumo valdymo tikslas. Vidaus kontrolės mechanizmų peržiūra labiau susijusi su auditu, o visiškas
rizikos veiksnių pašalinimas nėra praktiškas ar įmanomas. Aktyvus dalyvavimas priimant verslo sprendimus reiškia, kad saugumo poreikiai diktuoja verslo poreikius, nors iš tikrųjų yra priešingai.
Dalyvavimas priimant sprendimus svarbus tik siekiant užtikrinti verslo duomenų vientisumą, kad duomenimis būtų galima pasitikėti.
Atsakymas: C
Paaiškinimas: kai
asmens duomenys perduodami už šalies ribų, būtinas duomenų subjektų sąmoningumas ir sutikimas. Pasirinkimai A, B ir D yra papildomi duomenų apsaugos reikalavimai, kurie nėra svarbūs tarptautiniam
duomenų perdavimui.
Atsakymas: A
Paaiškinimas:
Saugumo strategija paprastai apima daugybę problemų, procesų, technologijų ir rezultatų, kuriuos geriausiai galima apibūdinti norimų savybių ir atributų rinkiniu. Kontrolės tikslai kuriami po strategijos ir
politikos sukūrimo. IT sistemų susiejimas su pagrindiniais verslo procesais nesprendžia strategijos problemų. Skaičiuojant metinių nuostolių lūkesčius informacijos saugumo strategijoje nebūtų apibūdinti
tikslai.
Atsakymas: A
Paaiškinimas:
Pirmas žingsnis siekiant pagerinti atskaitomybę – į pareigų aprašymą įtraukti su saugumu susijusias pareigas. Tai dokumentuoja, ko tikisi ir patvirtina organizacija. Kiti pasirinkimai – tai metodai,
užtikrinantys, kad sistemos administratorius būtų apmokytas atlikti pareigų aprašyme nurodytas pareigas.
Atsakymas: C
Paaiškinimas:
kadangi vadovybė yra galutinai atsakinga už informacijos saugumą, ji turėtų patvirtinti informacijos saugumo politikos pareiškimus; informacijos saugos vadovas neturėtų turėti galutinio patvirtinimo. Trečiųjų
šalių, prašančių prieigos, vertinimas, atkūrimo planų įvertinimas ir fizinio saugumo kontrolės laikymosi stebėjimas yra priimtina praktika ir nesukelia jokių interesų konfliktų.
Atsakymas: B
Paaiškinimas:
Apibrėžiant rizikos valdymo strategijas, reikia išanalizuoti organizacijos tikslus ir rizikos apetitą bei, remiantis šia analize, apibrėžti rizikos valdymo sistemą. Kai kurios organizacijos gali priimti žinomą riziką, o
kitos gali investuoti ir taikyti mažinimo kontrolę, kad sumažintų riziką. Rizikos vertinimo kriterijai taptų šios sistemos dalimi, tačiau tik atlikus tinkamą analizę. IT architektūros sudėtingumas ir įmonės atkūrimo
planai nelaimingų atsitikimų atveju yra labiau susiję su rizikos įvertinimu, o ne su strategijų apibrėžimu.
Atsakymas: C
Paaiškinimas:
Informacijos saugos valdymo decentralizavimas paprastai leidžia geriau suderinti verslo padalinių poreikius. Paprastai jį administruoti brangiau, nes trūksta masto ekonomijos. Paslaugų kokybės vienodumas
kiekviename padalinyje skiriasi.
A. Informacinių technologijų platformų, tinklų ir plėtros metodikų išmanymas B. Gebėjimas suprasti ir susieti organizacijos
poreikius su saugumo technologijomis C. Reguliacinės aplinkos ir projektų valdymo metodų išmanymas
D. Gebėjimas valdyti įvairią asmenų grupę ir išteklius visoje organizacijoje
Atsakymas: B
Paaiškinimas:
Informacijos saugumas bus tinkamai suderintas su verslo tikslais tik turint galimybę suprasti ir susieti organizacinius poreikius, kad būtų įjungtos saugos technologijos. Visi kiti pasirinkimai yra svarbūs, bet
antraeiliai, siekiant patenkinti verslo saugumo poreikius.
Atsakymas: C
Paaiškinimas:
Eskalavimo procese kritinėse situacijose turėtų dalyvauti informacijos saugos vadovas kaip pirmasis kontaktas, kad prireikus būtų atliekami atitinkami eskalavimo veiksmai. Apie A, B ir D pasirinkimus bus
atitinkamai pranešta.
A. Saugumo metrika B.
Tinklo topologija C.
Saugumo architektūra D.
Procesų tobulinimo modeliai
Atsakymas: C
Paaiškinimas:
saugos architektūra paaiškina saugos mechanizmų naudojimą ir ryšius. Saugumo metrika matuoja saugumo praktikos pagerėjimą, tačiau nepaaiškina saugumo technologijų naudojimo ir sąsajų. Procesų
tobulinimo modeliai ir tinklo topologijos diagramos taip pat neaprašo šių technologijų naudojimo ir sąsajų.
Atsakymas: D
Paaiškinimas:
verslo atvejis rodo tiek tiesioginę, tiek netiesioginę naudą, taip pat reikalingas investicijas ir numatomą grąžą, todėl ją naudinga pateikti vyresniajai vadovybei. Investicijų grąža (ROD suteiktų tik išlaidas,
reikalingas tam, kad būtų išvengta specifinės rizikos, ir nesuteiktų kitos netiesioginės naudos, pvz., proceso tobulinimo ir mokymosi. Pažeidžiamumo vertinimas yra labiau techninio pobūdžio ir leistų tik
nustatyti ir įvertinti pažeidžiamumą. neteikia įžvalgų apie netiesioginę naudą. Tikėtina metinė nuostolių prognozė (ALE) nepasveria vienkartinio prisijungimo (SSO) diegimo pranašumų, palyginti su įgyvendinimo
išlaidomis.
A. Vyresnysis vadovas B.
Apsaugos vadovas C.
Kokybės vadovas D.
Teisės skyrius
Atsakymas: B
Paaiškinimas:
nors vyresnioji vadovybė turėtų remti ir remti rizikos analizę, techninė patirtis ir projekto valdymas priklausys saugumo skyriui.
Prie projekto prisidės kokybės vadyba ir teisės skyrius.
Atsakymas: AB
Paaiškinimas: Informacijos saugumo projektai turėtų būti vertinami atsižvelgiant į teigiamą poveikį, kurį jie turės organizacijai. Laiko, sąnaudų ir išteklių klausimai turėtų būti pavaldūs šiam tikslui.
Atsakymas: C
Paaiškinimas:
Saugos programų sėkmė priklauso nuo suderinimo su organizacijos tikslais ir uždaviniais. Bendravimas yra antraeilis žingsnis. Veiksminga komunikacija ir vartotojų švietimas yra esminis sėkmės
veiksnys, tačiau derėjimas su organizacijos tikslais ir uždaviniais yra svarbiausias sėkmės veiksnys. Vien politikos formavimas be veiksmingos komunikacijos su vartotojais neužtikrins sėkmės. Informacijos
saugumo politikos ir procedūrų laikymosi stebėjimas geriausiu atveju gali būti aptikimo mechanizmas, kuris nesukels sėkmės tarp neinformuotų vartotojų.
alternatyvioji kaina
Atsakymas: C
Paaiškinimas:
saugos kontrolės priemonių įdiegimo išlaidos neturėtų viršyti turto vertės. Tikėtina metinė nuostolių prognozė reiškia nuostolius, kurių tikimasi patirti per vienus kalendorinius metus. Apsaugos
mechanizmas gali kainuoti daugiau nei ši suma (arba vieno incidento kaina) ir vis tiek gali būti laikomas ekonomiškai efektyviu. Alternatyvios išlaidos yra susijusios su pajamomis, prarastomis atsisakius
įsigyti daiktą arba priėmus verslo sprendimą.
A. užtikrinti, kad visos vietos atitiktų bendrus visos vyriausybinės jurisdikcijos reikalavimus B. nustatyti bazinius standartus visoms
vietovėms ir prireikus pridėti papildomų standartų C. užtikrinti, kad visos vietos atitiktų visuotinai priimtą geriausios
pramonės praktikos rinkinį D. nustatyti bazinį lygį. standartą, apimantį tuos reikalavimus, kuriuos bendrai turi visos
jurisdikcijos
Atsakymas: B
Paaiškinimas:
Veiksmingiau nustatyti pradinį standartą ir tada parengti papildomus standartus vietoms, kurios turi atitikti konkrečius reikalavimus. Ieškant mažiausio bendro vardiklio arba tiesiog naudojant geriausią
pramonės praktiką, tam tikros vietos gali neatitikti teisės aktų reikalavimų. Priešingas požiūris – verčiant visas vietas laikytis taisyklių, toms vietoms užkraunama pernelyg didelė našta.
Atsakymas: D
Paaiškinimas:
vykdomojo valdymo patvirtinimas politikos forma suteikia kryptį ir supratimą. Įdiegus griežtesnę kontrolę, gali būti vengiama. Sąmoningumo ugdymas yra svarbus, bet turi būti grindžiamas
politika. Aktyvus stebėjimas neturės įtakos kultūrai visais lygmenimis.
Atsakymas: B
Paaiškinimas:
Verslo vadovas bus geriausioje padėtyje, remiantis rizikos įvertinimu ir mažinimo pasiūlymais. pagal verslo strategiją ir biudžetą nuspręsti, kokias kontrolės priemones reikėtų/galėtų įgyvendinti. Vyresnioji
vadovybė turės užtikrinti, kad verslo vadovas aiškiai suprastų įvertintą riziką, tačiau jokiu būdu negalės nuspręsti dėl konkrečių kontrolės priemonių. IT audito vadovas dalyvaus grėsmių ir pažeidžiamumų
nustatymo procese bei pateiks rekomendacijas dėl jų mažinimo. Informacijos saugumo pareigūnas (ISO) gali priimti kai kuriuos sprendimus dėl kontrolės įgyvendinimo. Tačiau verslo vadovas turės platesnį verslo
vaizdą ir visišką biudžeto kontrolę, todėl turės geresnes galimybes priimti strateginius sprendimus.
A. Spragų analizė B.
Regresinė analizė C. Rizikos
analizė D. Verslo
poveikio analizė
Atsakymas: D
Paaiškinimas:
Atkūrimo laiko tikslai (RTO) yra pagrindinis verslo poveikio analizės rezultatas. RTO yra susiję su finansiniu sistemos nepasiekimo poveikiu. Spragų analizė yra naudinga sprendžiant skirtumus tarp dabartinės
ir idealios ateities būsenos. Regresinė analizė naudojama programos modulių pakeitimams išbandyti. Rizikos analizė yra verslo poveikio analizės komponentas.
Atsakymas: A
Paaiškinimas:
Rizikos žemėlapis arba pagrindinių grėsmių organizacijai makro įvertinimas yra paprastas pirmas žingsnis prieš atliekant rizikos vertinimą. Visų turimų rizikos informacijos šaltinių rinkimas yra rizikos vertinimo
dalis. C ir D pasirinkimai taip pat yra rizikos vertinimo proceso sudedamosios dalys, kurios atliekamos po grėsmių ir verslo žemėlapių sudarymo.
Atsakymas: B
Paaiškinimas:
pagrindinės kontrolės priemonės pirmiausia sumažina riziką ir yra veiksmingiausios informacijos turtui apsaugoti. Kiti pasirinkimai gali būti galimų pagrindinių valdiklių pavyzdžiai.
Atsakymas: C
Paaiškinimas:
Rizika turi būti sumažinta iki tokio lygio, kurį organizacija nori priimti. Rizikos sumažinimas iki per mažo lygio, kurį būtų galima išmatuoti, yra nepraktiška ir dažnai tai kainuoja.
Norint susieti riziką su konkrečia grąžos norma, neatsižvelgiama į kokybinius rizikos aspektus, į kuriuos taip pat reikia atsižvelgti. Priklausomai nuo organizacijos pirmenybės rizikos, ji gali arba gali nuspręsti
sumažinti riziką iki taško, kai nauda prilygsta arba viršija išlaidas. Todėl C pasirinkimas yra tikslesnis atsakymas.
Atsakymas: C
Paaiškinimas:
Kontrolės veiksmingumui reikalingas procesas, skirtas patikrinti, ar kontrolės procesas veikė taip, kaip numatyta. Tokie pavyzdžiai kaip dviguba kontrolė arba dvejopo įrašo buhalterija leidžia patikrinti ir
užtikrinti, kad procesas veikė taip, kaip numatyta. Valdymo tipas nėra svarbus, o pranešimas apie gedimą nėra lemiamas valdymo stiprumo. Patikimumas nėra valdymo stiprumo rodiklis; silpnos kontrolės
priemonės gali būti labai patikimos, net jei jos yra neveiksmingos.
Atsakymas: A
Paaiškinimas:
Atkūrimo laiko tikslas (RTO) – tai laikotarpis nuo pertraukimo momento iki to laiko, kai procesas turi veikti paslaugų lygiu, kurio pakaktų finansiniam ir veiklos poveikiui apriboti iki priimtino lygio. Maksimalus
toleruojamas išjungimas (MTO) yra maksimalus laikas, kurį organizacija gali veikti sumažintu režimu. Atkūrimo taškų tikslai (RPO) yra susiję su duomenų, reikalingų atkūrimui, amžiumi. Paslaugų teikimo tikslai
(SDO) yra paslaugų lygiai, kurių reikia sumažintuoju režimu.
Atsakymas: B
Paaiškinimas:
kadangi tai yra reguliavimo reikalavimai, spragų analizė būtų pirmasis žingsnis siekiant nustatyti jau taikomą atitikties lygį. Saugumo komiteto sukūrimas ar kontrolės kompensavimas nebūtų pirmas
žingsnis. Reikalavimas nedelsiant laikytis situacijos neįvertintų.
Atsakymas: A
Paaiškinimas:
Individualūs verslo vadovai gali geriausiai nustatyti informacinio turto vertę, nes jie geriausiai žino apie turto poveikį verslui. Verslo sistemų kūrėjai ir informacijos saugumo vadybininkai nėra tiek gerai išmanantys
poveikį verslui. Lygiaverčių įmonių pramonės vidurkiai nebūtinai suteikia pakankamai išsamios informacijos ir nėra tokie svarbūs unikaliems verslo aspektams.
Atsakymas: B
Paaiškinimas:
Geriausia rizikos valdymo strategija yra sumažinti riziką iki priimtino lygio, nes taip bus atsižvelgta į organizacijos potraukį rizikuoti ir į tai, kad būtų nepraktiška pašalinti visos rizikos. Pasiekti pusiausvyrą tarp
rizikos ir organizacijos tikslų ne visada praktiška. Kuriant politiką reikia atsižvelgti į organizacinę riziką ir verslo tikslus. Gali būti protinga užtikrinti, kad vadovybė suprastų ir priimtų riziką, kurios ji nenori
sušvelninti, tačiau tai yra praktika ir to nepakanka, kad būtų galima laikyti strategiją.
Atsakymas: C
Paaiškinimas:
pametus arba pavagiant mobiliąją įrangą, nustatant praradimo poveikį svarbiausia apie ją esanti informacija. Kuo jautresnė informacija, tuo didesnė atsakomybė. Jei darbuotojai nešiojasi mobilią įrangą verslo
tikslais, organizacija turi parengti aiškią politiką, kokia informacija turėtų būti saugoma ant įrangos ir kokiu tikslu. Asmeninė informacija klausime neapibrėžiama kaip prarasti duomenys. Draudimas gali būti
santykinai mažesnė problema, palyginti su informacijos vagyste ar galimybių praradimu, nors draudimas taip pat yra svarbus sėkmingo verslo veiksnys. Įrangos kaina būtų mažiau svarbi problema, palyginti su
kitais pasirinkimais.
Kadrų perdavimo tinklo ryšio praradimo 18–24 valandoms poveikis turėtų būti apskaičiuojamas naudojant:
Atsakymas: D
Paaiškinimas:
Apskaičiuojant nuostolio poveikį, svarbiausia yra tai, kokia jo kaina bus organizacijai. Visi kiti pasirinkimai yra veiksniai, kurie prisideda prie bendro poveikio piniginei santykiams.
A. threa
B. los
C. vulnerabilit D.
tikimybė
Atsakymas: C
Paaiškinimas:
griežčiau ribojančių prevencinių kontrolės priemonių įgyvendinimas sumažina pažeidžiamumą, bet ne grėsmes. Nuostoliai ir jų atsiradimo tikimybė negali būti pirmiausia arba tiesiogiai paveikti.
Atsakymas: A
Paaiškinimas:
Kelių svetainių scenarijų atakos įveda netinkamai suformuotą įvestį. Užpuolikai, išnaudojantys silpnus programų autentifikavimo valdiklius, gali gauti neteisėtą prieigą prie programų, o tai mažai ką bendro
turi su kelių svetainių scenarijų pažeidžiamumu. Užpuolikai, kurie išnaudoja ydingus kriptografinių saugiųjų lizdų sluoksnio (SSI.) diegimus ir trumpus raktų ilgius, gali užuosti tinklo srautą ir nulaužti raktus, kad
gautų neteisėtą prieigą prie informacijos. Tai turi mažai ką bendro su kelių svetainių scenarijų pažeidžiamumu. Žiniatinklio programų pasitikėjimo santykiai nėra tiesiogiai susiję su ataka.
A. Medžių diagramos
B. Venno diagramos C.
Šilumos diagramos
D. Juostinės diagramos
Atsakymas: C
Paaiškinimas:
mėsos lentelės, kartais vadinamos šviesoforų diagramomis, greitai ir aiškiai parodo esamą ištaisymo veiksmų būseną. Venno diagramos rodo ryšį tarp aibių; medžių diagramos yra naudingos sprendimų
analizei; ir juostinėse diagramose rodomas santykinis dydis.
Atsakymas: A
Paaiškinimas:
Saugos incidentų reagavimo planai turi būti išbandyti, kad būtų nustatyti trūkumai ir patobulinti esami procesai. Įsibrovimų aptikimo sistemos (IDS) bandymas yra gera praktika, tačiau tai nebūtų išvengta. Visi
darbuotojai turi praeiti formalius mokymus, kad įsitikintų, jog jie supranta su saugumo incidentais susijusius procesus, įrankius ir metodiką. Tačiau faktinių planų testavimas yra veiksmingesnis siekiant
užtikrinti, kad procesas vyktų taip, kaip numatyta. Nepakanka peržiūrėti reagavimo procedūras; saugumo reagavimo planą reikia reguliariai tikrinti.
Atsakymas: D
Paaiškinimas:
sukčiavimą geriausiai gali aptikti vartotojas. Jį galima sumažinti tinkamai informuojant vartotoją. Saugumo stebėjimo programinė įranga suteiktų tam tikrą apsaugą, bet nebūtų tokia efektyvi, kaip vartotojų
informuotumas. Šifravimas ir dviejų veiksnių autentifikavimas šios grėsmės nesumažins.
Atsakymas: D
Paaiškinimas:
Duomenų saugotojų organizacijos saugumo pareigos apima atitinkamų saugos priemonių palaikymą ir organizacijos politiką. Vykdomoji vadovybė prisiima bendrą atsakomybę už informacijos išteklių
apsaugą. Duomenų savininkai nustato informacijos išteklių duomenų klasifikavimo lygius, kad būtų galima numatyti atitinkamus valdymo lygius, kad būtų laikomasi su konfidencialumo, vientisumo ir
pasiekiamumo reikalavimais.
Už informacijos saugumo diegimą produktuose atsako IT kūrėjai.
A. Įvertinimas B.
Švelninimas C.
Įvertinimas D.
Stebėsena
Atsakymas: B
Paaiškinimas:
Rizikos priėmimas yra viena iš alternatyvų, kurią reikia apsvarstyti rizikos mažinimo procese. Vertinimas ir įvertinimas yra rizikos analizės proceso sudedamosios dalys.
Rizikos priėmimas nėra stebėjimo komponentas.
A. Darbo vaidmenų
nustatymas B. Rizikos įvertinimas C.
Duomenų savininkų nustatymas
D. Duomenų saugojimo politikos nustatymas
Atsakymas: C
Paaiškinimas:
Duomenų savininkų nustatymas yra pirmasis žingsnis ir būtinas įgyvendinant duomenų klasifikavimą. Darbo vaidmenų apibrėžimas nėra aktualus. Rizikos įvertinimas yra svarbus, tačiau tam reikės duomenų
savininkų (kurie pirmiausia turi būti nustatyti). Duomenų saugojimo politika gali būti nustatyta po to, kai duomenys buvo įslaptinti.
A. Galimybės B.
Projektavimas
C. Kūrimas D.
Testavimas
Atsakymas: A
Paaiškinimas:
Rizika turėtų būti sprendžiama kuo anksčiau kuriant naują programų sistemą. Kai kuriais atvejais nustatyta rizika gali būti sumažinta pakeitus projektą. Jei reikiami pakeitimai nenustatomi, kol projektavimas jau
nepradėtas, tokie pakeitimai brangsta. Dėl šios priežasties rizikos vertinimo pradžia projektavimo, kūrimo ar testavimo etapuose nėra geriausias sprendimas.
Atsakymas: A
Paaiškinimas:
Sėkmingas rizikos valdymas turėtų padėti sumažinti riziką ir sumažinti išlaidas. Kiti išvardyti variantai neįgyvendinami. Grėsmių negalima visiškai pašalinti ar perkelti, o nuostoliai negali būti iš anksto visiškai
užtikrintai numatyti biudžete.
Atsakymas: B
Paaiškinimas:
Rizikos valdymo tikslas – užtikrinti, kad visa likutinė rizika būtų išlaikyta verslui priimtinu lygiu; nesiekiama pašalinti kiekvienos nustatytos rizikos arba įdiegti kiekvienos grėsmės kontrolės priemones, nes tai gali būti
nenaudinga. Kontrolės rizika, ty, kad kontrolė gali būti neveiksminga, yra programos dalis, tačiau mažai tikėtina, kad ji bus sumažinta iki nulio.
Atsakymas: C
Paaiškinimas:
pirmiausia reikia informuoti duomenų savininkus, kad jie galėtų imtis veiksmų, kad nustatytų žalos mastą ir suderintų taisomųjų veiksmų planą su kompiuterių incidentų reagavimo komanda. Kitos šalys bus
informuotos vėliau, kaip to reikalauja įmonės politika ir reguliavimo reikalavimai.
Atsakymas: B
Paaiškinimas:
Kuriant informacijos saugos programą, rizikos įvertinimas yra labai svarbus norint nustatyti organizacijos poreikius ir parengti saugumo strategiją. Saugumo metrikų apibrėžimas, spragų analizės atlikimas ir
saugos įrankių įsigijimas yra visi tolesni svarstymai.
D. Duomenų savininkų
reikalavimai
Atsakymas: D
Paaiškinimas:
nustatant informacijos klasifikavimo politiką, reikia nustatyti duomenų savininkų reikalavimus. Informacijos kiekis, IT prieinamumas
infrastruktūra ir lyginamoji analizė gali būti sistemos dalis vėliau ir būtų mažiau svarbūs.
Atsakymas: B
Paaiškinimas:
Pagrindinė rizikos valdymo priežastis yra ta, kad tai yra vadovybės deramo patikrinimo dalis. Visos rizikos pašalinti neįmanoma. Audito ir reguliavimo reikalavimų tenkinimas yra antraeilis dalykas. Rizikos
valdymo programa gali padidinti arba nepadidinti investicijų grąžą (ROD.
A. kiekybiškai įvertinti
bendrą ris B. sumažinti likutinį
ris C. pašalinti būdingą ris D.
Atsakymas: B
Paaiškinimas:
Rizikos valdymo programa turėtų sumažinti rizikos, kurios negalima kitaip pašalinti ar perkelti, dydį; tai yra liekamoji rizika organizacijai.
Bendros rizikos kiekybinis įvertinimas yra svarbus, bet ne toks svarbus kaip galutinis rezultatas. Pašalinti būdingą riziką praktiškai neįmanoma. Visų ALE sumos padidinimas iš tikrųjų yra priešingas tam, kas
pageidautina.
A. assessmentmen
B. priėmimas C.
evaluatio
D. quantificatio
Atsakymas: B
Paaiškinimas:
rizikos priėmimas yra alternatyva, į kurią reikia atsižvelgti rizikos mažinimo procese. Įvertinimas. įvertinimas ir rizikos kiekybinis įvertinimas yra rizikos analizės proceso sudedamosios dalys, kurios užbaigiamos
prieš nustatant rizikos mažinimo sprendimus.
A. Nelaimės deklaracija
Atsakymas: B
Paaiškinimas:
Atkūrimo taško tikslas (RPO) yra apdorojimo srauto taškas, kuriame turėtų įvykti sistemos atkūrimas. Tai yra iš anksto nustatyta programos apdorojimo būsena ir duomenys, naudojami sistemai atkurti ir
apdorojimo srautui tęsti. Nelaimės deklaracija nepriklauso nuo šio apdorojimo patikros taško. Sistema gali būti atkurta vėliau, kaip ir grįžti prie įprasto vaizdo apdorojimo.
Atsakymas: B
Paaiškinimas:
Atkūrimo taško tikslas (RPO) yra apdorojimo kontrolinis taškas, į kurį atkuriamos sistemos. Be duomenų savininkų, yra vyriausiasis operacijų pareigūnas (COO).
labiausiai išmanantis žmogus, kuris priimtų šį sprendimą. Informacijos saugumo vadybininkui ar vidaus auditui būtų netikslinga nustatyti RPO, nes jie nėra tiesiogiai atsakingi už duomenis ar operaciją.
Atsakymas: A
Paaiškinimas:
Vaidmenimis pagrįstas prieigos valdymas suteikia prieigą pagal verslo poreikius; todėl sumažinamos nereikalingos prieigos teisės ir užtikrinama atskaitomybė. Audito sekų stebėjimas yra detektyvinė kontrolė,
kuri atliekama „po fakto“. Privatumo politika nėra susijusi su šia rizika. Giluminė gynyba visų pirma orientuota į išorines grėsmes
Atsakymas: C
Paaiškinimas:
apsauga turėtų būti proporcinga turto vertei. Klasifikavimas pagrįstas turto verte organizacijai. Draudimo suma, reikalinga praradimo atveju, gali būti taikoma ne kiekvienu atveju. Lygiavertės organizacijos gali
turėti skirtingas savo turto klasifikavimo schemas.
D. Grėsmių analizė
Atsakymas: B
Paaiškinimas:
Atliekant skverbties testavimą pagrindinis dėmesys skiriamas pažeidžiamumui nustatyti. Nė vienas kitas pasirinkimas neatpažintų pažeidžiamumų, atsiradusių dėl pakeitimų.
A. Platformos sauga B.
Teisių suteikimo pakeitimai C.
Įsibrovimų aptikimas D.
Antivirusinės kontrolės priemonės
Atsakymas: B
Paaiškinimas:
duomenų savininkai yra atsakingi už vartotojo teisių priskyrimą ir prieigos prie sistemų, už kurias jie yra atsakingi, patvirtinimą. Platformos saugumas, įsibrovimų aptikimas ir antivirusinė kontrolė yra
informacijos saugos vadybininko atsakomybė.
Atsakymas: B
Paaiškinimas:
rizika nuolat kinta. Anksčiau atliktas rizikos vertinimas negali apimti išmatuotos rizikos, atsiradusios po paskutinio vertinimo.
Nors vertinimas niekada negali būti tobulas ir jame visada yra klaidų, tai nėra svarbiausia periodinio pakartotinio vertinimo priežastis. Nepakanka to, kad kontrolė gali būti veiksmingesnė siekiant sumažinti
išlaidas. Galiausiai, rizikos vertinimai neturėtų būti atliekami tik siekiant pagrįsti
saugumo funkcija.
atlikimas.
Atsakymas: D
Paaiškinimas: BIA
yra esminė organizacijos veiklos tęstinumo plano dalis; jame yra tiriamasis komponentas, skirtas atskleisti visus pažeidžiamumus, ir planavimo komponentas, skirtas rizikos mažinimo strategijoms kurti. Tai
pirmas esminis žingsnis planuojant veiklos tęstinumą. Bus atlikta kokybinė ir kiekybinė rizikos analizė, siekiant apibrėžti galimų gamtos ir žmogaus sukeltų nepageidaujamų reiškinių keliamus pavojus
asmenims, įmonėms ir vyriausybinėms įstaigoms.
Vertės priskyrimas turtui yra BIA proceso dalis. Plano įgyvendinimo sąnaudų ir finansinių nuostolių įvertinimas yra kita BIA dalis.
A. perkelti
B. gydyti
C. priimti D.
nutraukti
Atsakymas: C
Paaiškinimas: Kai
kontrolės kaina yra didesnė už rizikos kainą, rizika turėtų būti priimta. Rizikos perkėlimas, gydymas ar nutraukimas yra ribotos naudos, jei tos kontrolės kaina yra didesnė už pačios rizikos kainą.
Atsakymas: D
Paaiškinimas:
norint nustatyti turto jautrumą verslo veiklai kylančios rizikos požiūriu, reikia atlikti turto klasifikavimą, kad būtų galima veiksmingai įgyvendinti proporcingas atsakomąsias priemones. Nors jautriam turtui
apsaugoti leidžiamos didesnės išlaidos ir visada tikslinga sumažinti kontrolės išlaidas, svarbiausia, kad kontrolė ir atsakomosios priemonės būtų proporcingos rizikai, nes tai pateisins išlaidas. Pasirinkimas B yra
svarbus, tačiau jis yra neišsamus atsakymas, nes jis neatsižvelgia į riziką. Todėl D pasirinkimas yra svarbiausias.
Atsakymas: D
Paaiškinimas:
svarbu užtikrinti, kad atitinkami apsaugos lygiai būtų įrašyti į paslaugų lygio susitarimus (SLA) ir kitas užsakomųjų paslaugų sutartis. Informacija turi būti gauta iš teikėjų, kad būtų galima nustatyti, kaip tas
užsakomųjų paslaugų teikėjas užtikrina informacijos turtą, prieš pateikdamas bet kokią rekomendaciją ar imdamasis veiksmų, kad padėtų priimti valdymo sprendimus. A pasirinkimas daugeliu atvejų yra
nepriimtinas ir todėl nėra geras atsakymas.
Atsakymas: A
Paaiškinimas:
Atliekant atsakomųjų priemonių sąnaudų ir naudos analizę, metinės apsaugos priemonių išlaidos lyginamos su numatomomis nuostolių išlaidomis. Tada tai gali būti panaudota konkrečiai kontrolės priemonei
pagrįsti. Prasiskverbimo testas gali parodyti silpnumo mastą, tačiau pats savaime nenustatys kontrolės sąnaudų ir naudos. Dažnos rizikos vertinimo programos tikrai nustatys, kokia rizika egzistuoja, bet
nenustatys didžiausių kontrolės išlaidų. Tikėtina metinė nuostolių trukmė (ALE) yra priemonė, kuri prisidės prie rizikos vertės, tačiau. vien tik nepateisins kontrolės.
Atsakymas: A
Paaiškinimas:
kadangi likutinė rizika visada bus per didelė, vienintelis praktinis sprendimas yra sušvelninti finansinį poveikį perkant draudimą.
Atsakymas: B
Paaiškinimas:
pokyčių valdymo trūkumas yra rimtas trūkumas ir labai padidins informacijos saugumo riziką. Kadangi procedūros paprastai yra neautoritetinės, jų vykdymo trūkumas nėra pagrindinis rūpestis. Sistemos, kurias
kuria trečiųjų šalių pardavėjai, tampa įprastomis ir nesukelia saugumo rizikos padidėjimo tiek, kiek prastas pokyčių valdymas. Prastas pajėgumų valdymas nebūtinai gali kelti pavojų saugumui.
A. grėsmės įvertinimas B.
pažeidžiamumo vertinimas C.
išteklių priklausomybės įvertinimas D. poveikio
vertinimas
Atsakymas: D
Paaiškinimas:
Informacinio turto kritiškumas ir jautrumas priklauso nuo grėsmių, išnaudojančių turto pažeidžiamumą, tikimybės poveikio ir atsižvelgiama į turto vertę bei vertės sumažėjimą. Grėsmių vertinime
pateikiamos tik grėsmės, su kuriomis susiduria informacijos turtas. Jame neatsižvelgiama į turto vertę ir grėsmės įtaką vertei. Pažeidžiamumo vertinime išvardijamos tik informacijos turtui būdingos pažeidžiamumo
vietos, galinčios pritraukti grėsmes. Jame neatsižvelgiama į turto vertę ir suvoktų grėsmių poveikį vertei. Išteklių priklausomybės vertinimas pateikia proceso poreikius, bet ne poveikį.
A. pardavimų skyriaus
darbuotojai B. duomenų bazės
Atsakymas: D
Paaiškinimas:
informacijos ištekliaus savininkas turėtų būti asmuo, turintis sprendimų priėmimo teisę skyriuje, kuris gauna daugiausia naudos iš šio turto. Šiuo atveju tai būtų pardavimo skyriaus vadovas. Organizacinis vienetas
negali būti turto savininkas, nes tai pašalina asmeninę atsakomybę. Duomenų bazės administratorius yra saugotojas. Vyriausiasis informacijos pareigūnas (CIO) nebūtų šios duomenų bazės savininkas, nes CTO
greičiausiai neturės žinių apie konkrečius pardavimo operacijų poreikius ir saugumo problemas.
Atsakymas: A
Paaiškinimas:
keičiantis verslo tikslams ir metodams, keičiasi ir grėsmių pobūdis bei aktualumas. Pasirinkimas B savaime nepateisina reguliaraus pakartotinio vertinimo. Pasirinkimas C nebūtinai yra teisingas visais atvejais. D
pasirinkimas yra neteisingas, nes yra geresnių būdų, kaip padidinti supratimą apie saugumą, nei atliekant rizikos vertinimą.
A. organizacinis reikalavimas B.
informacinių sistemų reikalavimas C.
informacijos saugumo reikalavimas D.
tarptautinis standartas
Atsakymas: A
Paaiškinimas:
Organizaciniai reikalavimai turėtų nustatyti, kada rizika buvo sumažinta iki priimtino lygio. Informacinės sistemos ir informacijos saugumas neturėtų būti galutinis sprendimas. Kadangi kiekviena organizacija
yra unikali, tarptautiniai geriausios praktikos standartai nėra geriausias sprendimas.
Atsakymas: A
Paaiškinimas:
Geriausia apsauga yra nustatyti pažeidžiamas sistemas ir taikyti kompensuojančius valdiklius, kol bus įdiegta pataisa. Pažeidžiamų sistemų naudojimo sumažinimas ir pažeidžiamumo perdavimas sistemos
naudotojams galėtų kompensuoti valdymą, bet tai nebūtų pirmas veiksmas. Pasirinkus D nepaaiškinamas laikas, kada įsibrovimo aptikimo sistemos (IDS) parašų sąrašas bus atnaujintas, kad būtų galima
pritaikyti pažeidžiamumus, kurie dar nėra viešai žinomi. Todėl šis metodas ne visada turėtų būti laikomas pirmuoju pasirinkimu.
Atsakymas: D
Paaiškinimas:
Informacijos saugumo infrastruktūra turėtų būti pagrįsta rizika. Nors asmeninių informacijos įrenginių laikymas saugumo politikos dalimi gali būti svarstomas, tai nėra pats svarbiausias
reikalavimas. BIA paprastai atliekama siekiant nustatyti verslo procesų prioritetus kaip verslo tęstinumo plano dalį. Informacijos saugumo infrastruktūros tikslais IT saugumo mokymų inicijavimas gali būti
nesvarbus.
Atsakymas: D
Paaiškinimas:
rizika nuolat kinta. D pasirinkimas yra geriausia alternatyva, nes jame atsižvelgiama į pagrįstą laikotarpį ir suteikiamas lankstumas
reikšmingas pokytis. Vieną kartą per metus atlikti rizikos vertinimą nepakanka, jei įvyksta svarbūs pokyčiai. Kas tris–šešis mėnesius atlikti svarbių procesų rizikos įvertinimo gali nebūti arba gali būti, kad į
svarbius pokyčius laiku neatsižvelgta. Nebūtina, kad vertinimus atliktų išorinės šalys.
Atsakymas: B
Paaiškinimas:
Poveikio verslui analizė (BIA) nustato galimą rizikos rezultatą ir yra būtina norint nustatyti atitinkamas kontrolės išlaidas. Rizikos analizės procesas pateikia išsamius duomenis, tačiau nenustato konkrečių
išteklių rizikai sumažinti, kaip tai daro BIA. Rizikos valdymo subalansuotų rezultatų kortelė yra tikslo pasiekimo matavimo priemonė. Rizika pagrįsta audito programa naudojama siekiant sutelkti audito procesą į
organizacijai svarbiausias sritis.
Atsakymas: A
Paaiškinimas:
saugos valdikliai turi būti suderinami su verslo poreikiais. Neįmanoma pašalinti visų pažeidžiamumų. Panašių organizacijų naudojimas negarantuoja, kad kontrolė yra tinkama. Trečiosios šalies sertifikavimas yra
svarbus, bet ne pagrindinis rūpestis.
Atsakymas: C
Paaiškinimas:
sėkminga rizikos valdymo praktika sumažina liekamąją organizacijos riziką. Pasirinkimas A yra neteisingas, nes tai, kad bendra rizika buvo kiekybiškai įvertinta, nebūtinai rodo sėkmingą rizikos valdymo praktiką.
Pasirinkimas B yra neteisingas, nes praktiškai neįmanoma pašalinti būdingos rizikos.
D pasirinkimas yra neteisingas, nes nors kontrolės rizikos susiejimas su verslu gali pagerinti atskaitomybę, tai nėra taip pageidautina, kaip sumažinti likutinę riziką.
Atsakymas: A
Paaiškinimas:
Informacijos saugumo vadovai turėtų naudoti rizikos vertinimo metodus, kad pagrįstų ir kuo veiksmingiau įgyvendintų rizikos mažinimo strategiją. Nė vienas kitas pasirinkimas neatlieka šios užduoties, nors
jie yra svarbūs komponentai.
A. atsigauti
B. atkurti C. jei
nepasiekiamas D.
avarinės operacijos
Atsakymas: C
Paaiškinimas:
Informacinės sistemos vertė turėtų būti pagrįsta išlaidomis, patirtomis, jei sistema taptų nepasiekiama. Sistemos projektavimo ar atkūrimo išlaidos nėra tokios svarbios, nes verslo poveikio analizė įvertina
poveikį, kuris atsirastų, jei informacinė sistema taptų nepasiekiama. Be to, avarinių operacijų kaina nėra tokia svarbi.
Atsakymas: C
Paaiškinimas:
Pagrindinis rizikos valdymo tikslas yra užtikrinti, kad organizacija išlaikytų gebėjimą pasiekti savo tikslus. IT turto apsauga yra vienas iš galimų tikslų, taip pat infrastruktūros ir sistemų prieinamumo
užtikrinimas. Tačiau tai turėtų būti vertinama atsižvelgiant į organizacijos tikslų pasiekimą. Prevencinė kontrolė ne visada įmanoma arba būtina; rizikos valdymas spręs problemas taikant tinkamą prevencinių ir
korekcinių kontrolės priemonių derinį.
D. Pažeidžiamumo vertinimas
Atsakymas: B
Paaiškinimas:
visų galimų scenarijų, kurie gali įvykti, sąrašas kartu su grėsmėmis ir poveikiu padės geriau apibrėžti rizikos spektrą ir sudaryti palankesnes informacijas pagrįstą diskusiją ir priimti sprendimą. Vien
apskaičiuotų našumo nuostolių, informacinio turto vertės ir pažeidžiamumo įvertinimų nepakaktų.
Siūlome du produktus: