Страницы
▼
вторник, 23 июня 2009 г.
ISSP \ Домен 01. Информационная безопасность и управление рисками. Тест
Вопросы экзамена CISSP являются концептуальными, поэтому они сформулированы соответствующим образом. Задачей кандидата является выбор наилучшего из всех представленных вариантов ответа. Среди вариантов ответа может не быть идеального ответа на поставленный вопрос - кандидат должен выбрать лучший ответ из имеющихся вариантов.
1. Кто является основным ответственным за определение уровня классификации информации?
2. Какая категория является наиболее рискованной для компании с точки зрения вероятного мошенничества и нарушения безопасности?
3. Если различным группам пользователей с различным уровнем доступа требуется доступ к одной и той же информации, какое из указанных ниже действий следует предпринять руководству?
4. Что самое главное должно продумать руководство при классификации данных?
5. Кто в конечном счете несет ответственность за гарантии того, что данные классифицированы и защищены?
6. Что такое процедура?
7. Какой фактор наиболее важен для того, чтобы быть уверенным в успешном обеспечении безопасности в компании?
8. Когда целесообразно не предпринимать никаких действий в отношении выявленных рисков?
9. Что такое политики безопасности?
10. Какая из приведенных техник является самой важной при выборе конкретных защитных мер?
11. Что лучше всего описывает цель расчета ALE?
12. Тактическое планирование – это:
13. Что является определением воздействия (exposure) на безопасность?
14. Эффективная программа безопасности требует сбалансированного применения:
15. Функциональность безопасности определяет ожидаемую работу механизмов безопасности, а гарантии определяют:
16. Какое утверждение является правильным, если взглянуть на разницу в целях безопасности для коммерческой и военной организации?
17. Как рассчитать остаточный риск?
18. Что из перечисленного не является целью проведения анализа рисков?
19. Что из перечисленного не является задачей руководства в процессе внедрения и сопровождения безопасности?
20. Почему при проведении анализа информационных рисков следует привлекать к этому специалистов из различных подразделений компании?
21. Что является наилучшим описанием количественного анализа рисков?
22. Почему количественный анализ рисков в чистом виде не достижим?
23. Если используются автоматизированные инструменты для анализа рисков, почему все равно требуется так много времени для проведения анализа?
24. Какой из следующих законодательных терминов относится к компании или человеку, выполняющему необходимые действия, и используется для определения обязательств?
25. Что такое CobiT и как он относится к разработке систем информационной безопасности и программ безопасности?
26. Из каких четырех доменов состоит CobiT?
27. Что представляет собой стандарт ISO/IEC 27799?
28. CobiT был разработан на основе структуры COSO. Что является основными целями и задачами COSO?
29. OCTAVE, NIST 800-30 и AS/NZS 4360 являются различными подходами к реализации управления рисками в компаниях. В чем заключаются различия между этими методами?
30. Какой из следующих методов анализа рисков пытается определить, где вероятнее всего произойдет сбой?
31. Что было разработано, чтобы помочь странам и их правительствам построить законодательство по защите персональных данных похожим образом?
Добавлены 6 новых вопросов из 5-й редакции книги. Переоформлено в виде теста с возможностью самопроверки.
ОтветитьУдалить