Тема 1. Место и роль аудита в системе защиты информации
-
Аббревиатура CIO расшифровывается как:
-
Аутстаффинг представляет собой:
-
Входным воздействием на функциональную систему организации не может быть:
-
Выполнение сторонней организацией определенных задач, не являющихся частью бизнеса компании, но необходимых для ее полноценного функционирования, понимается как:
-
Деятельность консультанта, предоставляющего услуги в области информационной безопасности, должна быть подчинена ряду требований. Отметьте лишнее:
-
Деятельность по анализу и обоснованию перспектив развития с учетом предметной области и проблем клиента называется:
-
Деятельность системы аттестации организует и контролирует:
-
Документ, определяющий совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, называется:
-
Должность руководителя службы информационной безопасности обозначается как:
-
К преимуществам использования услуг компаний-аутсорсеров в области информационной безопасности не может относиться:
-
К проблемам, которые мешают шире пользоваться сервисом, предоставляемым компаниями-аутсорсерами, не относится:
-
Независимую экспертизу отдельных областей функционирования организации и сравнению результатов с неким идеалом представляет собой:
-
Ни в одном западном материале по информационной безопасности вы не встретите термин:
-
Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей (отметьте лишнее):
-
Одним из основных факторов, влияющих на выбор компании, оказывающей услуги по консалтингу в области информационной безопасности, является:
-
Одноступенчатая система защиты понимается как:
-
Основные выгоды, которые получают потребители аутсорсинга (при грамотной организации работ), это (отметьте лишнее):
-
Парольная политика не может содержать подраздел:
-
Проведение специализированных исследований, исследование производительности и стабильности системы, стресс-тестирование входит в:
-
Система защиты информации предпринимательской деятельности не включает в себя:
-
Совокупность органов защиты тайны, используемых ими средств и методов защиты сведений, составляющих тайну, и их носителей, а также мероприятий, проводимых в этих целях, понимается как:
-
Угрозы безопасности информации в модели организации не могут воздействовать на:
-
Цель системы защиты информации:
Тема 2. Основы аудита, Практический аудит.
-
Активный аудит и инструментальный анализ защищенности входят в состав:
-
Аудит в классическом понимании – это:
-
Аудит информационной безопасности призван позволить решить следующие актуальные задачи аудируемой организации (отметьте неверную):
-
Аудит, проводимый организацией или в интересах организации, может осуществляться для различных целей (отметьте неверную):
-
Всеобъемлющее обследование ИТ-инфраструктуры организации, позволяющее определить потенциальные объекты защиты и понять ее руководству реальное состояние уровня безопасности, представляет собой:
-
Комплексный анализ ИС организации и подсистемы информационной безопасности не может проводиться на:
-
Моделирование действий хакера, намеренного проникнуть в корпоративную сеть из Internet, осуществляется при проведении:
-
Непредвзятость, беспристрастность и неподвластность какому-либо влиянию при рассмотрении любых профессиональных вопросов аудитором соответствует принципу:
-
Обязанность аудитора поддерживать высокую репутацию своей профессии, воздерживаясь от совершения поступков, несовместимых с оказанием аудиторских услуг соответствует принципу:
-
Обязательность отсутствия у аудитора при формировании его мнения финансовой, имущественной, родственной или какой-либо иной заинтересованности в делах проверяемого субъекта соответствует принципу:
-
Одним из самых распространенных видов аудита является:
-
Организационно-технологический анализ ИС организации не включает в себя мероприятие по:
-
Переоценка аудитором состояния информационной безопасности организации проводится:
-
Получение аудитором достаточных надлежащих аудиторских доказательств для подготовки разумных выводов не может основываться на:
-
Получение оценки в условиях, исключающих влияние на нее каких-либо личных предубеждений экспертов, соответствует принципу:
-
По характеру аудита различают (отметьте неверное):
-
При выполнении своих профессиональных обязанностей аудитор должен руководствоваться нормами, установленными:
-
Принцип достоверности аудита гласит:
-
Разновидности «Экспресс-анализа» не включают в себя:
-
Разновидностью промышленного аудита не является:
-
Разовое мероприятие, проводимое по инициативе руководства организации или акционеров:
-
Регламентируется государством (Федеральным законом «Об аудиторской деятельности»):
-
Система консультационной поддержки, аналитической оценки и независимой экспертизы кадрового потенциала организации понимается как:
-
Систематический и независимый анализ, позволяющий определить эффективность внедрения мероприятий и их пригодность поставленным целям, понимается как:
-
Состояние информационной безопасности сравнивается с неким абстрактным описанием, приводимым в стандартах при провежении:
-
С помощью специальных программных средств действия «внутреннего» злоумышленника моделируются при проведении:
-
Сравнение состояния информационной безопасности с «идеальным» описанием» происходит, как правило, при проведении:
-
Так называемые «частные» задачи, стоящие перед внутренним аудитором, за исключением участия в обучении, по существу:
-
Условия, обеспечивающие минимальное влияние каких-либо индивидуальных субъективных мнений и решений на общую оценку аудитора, достигаются в соответствии с принципом:
-
Федеральные правила (стандарты) аудиторской деятельности не предусматривают принцип аудиторской деятельности:
Тема 3. Нормативно-правовая база, используемая при проведении аудита ИБ.
-
COBIT рассматривает корпоративное управление ИТ в рамках четырех основных групп процессов (отметьте неверное):
-
Аббревиатура «ISO» в нумерации стандартов означает, что данный документ принадлежит к:
-
Важнейшим результатом закона США о защите данных (Data Protection Act) стало то, что организации начали задумываться о (отметьте неверное):
-
Гармонизирован в России как ГОСТ Р ИСО/МЭК 15408:
-
Документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг, называется:
-
Законом Гремма-Лича Блили установлено, что финансовые учреждения должны разработать программу обеспечения информационной безопасности, основанную на:
-
Международный стандарт ISO/IEC 27001 ввел аббревиатуру СМИБ, которая расшифровывается как:
-
На настоящий момент в Российской Федерации правовая база аудита в сфере информационной безопасности:
-
Один из первых законов относительно «ненадлежащего» использования технологий рассматривал три вида уголовных преступлений (отметьте неверное):
-
Одной из первых стран, разработавших законодательные акты в области конфиденциальности персональных данных, была:
-
Пакет актов федерального законодательства не включает в себя:
-
Пакет нормативно-методических по организации защиты информации документов не включает в себя:
-
Под проверочными процедурами Правила (Стандарты) аудита понимают (отметьте неверное):
-
Понятие правил (стандартов) аудиторской деятельности введено:
-
Правительственный орган по защите информации во многих странах называется:
-
Прямое или косвенное определение соблюдения требований, предъявляемых к объекту» ФЗ «О техническом регулировании» понимается как деятельность по:
-
Стандарт ГОСТ Р ИСО 19011 не касается вопросов:
-
Стандартом корпоративного управления ИТ является:
-
«Стандарты обеспечения безопасности данных при использовании платежных карт» изданы:
-
Стимулом принятия Акта в отношении медицинского страхования, утвержденного в качестве закона США в 1996г., являлось:
-
Уровень детализации обеспечения безопасности, который законы и нормативные акты не дают и не должны давать, обеспечивают:
-
Федеральный закон «О техническом регулировании» определяет, что оценка соответствия проводится в форме (отметьте неверное):
Тема 4. Концепция аудита информационной безопасности.
-
Аудит ИБ систем информационных технологий, эксплуатирующихся в организации подразумевает:
-
Аудиторская организация должна определить осуществимость аудита ИБ на основании таких факторов, как (отметьте неверное):
-
Аудиторская организация по ИБ осуществляет свою деятельность после:
-
Аудиторской группой не может быть подготовлено заключение:
-
Выделяют следующие виды свидетельств аудита (отметьте неверное):
-
До принятия технических регламентов, Федеральных стандартов и нормативов критерии аудита ИБ рекомендуется формировать на основе положений (отметьте неверное):
-
Записи, изложения фактов или другой информации, связанной с критериями аудита ИБ, которая может быть перепроверена, определяется как:
-
Инструментальные средства автоматизации анализа выполнения требований ИБ (критериев аудита ИБ) должны позволять:
-
Инструментальные средства автоматизации оценки рисков должны позволять:
-
Концепцией аудиторской деятельности выделяются следующие типы отношений, возникающих между аудиторской организации с представителями проверяемой организации (отметьте неверное):
-
Концепция аудита информационной безопасности предназначена для (отметьте неверное):
-
Концепция является методологической основой для разработки нормативных документов, направленных на решение задач (отметьте неверное):
-
Любая необходимость изменения области аудита ИБ, которая может стать очевидной по мере выполнения аудита на месте, должна быть проанализирована и утверждена:
-
Определение полноты свидетельств аудита ИБ, признаваемой достаточной для оценки организации по выбранным ею критериям, должно производиться аудитором с учетом:
-
Положения международного стандарта ИСО/МЭК 17799 в полной мере рекомендуется использовать при проведении аудита:
-
Положения процедурного плана, профессиональной этики и принципов деятельности в области аудита не определяет:
-
Регламент аудита ИБ должен рассматриваться для следующих типов организаций (отметьте неверное):
-
Результаты анализа программы аудита ИБ могут привести к (отметьте неверное):
-
Система взглядов, основных принципов, которые закладываются в основу решения задачи аудита информационной безопасности, излагается в:
-
Совокупность одного или нескольких аудитов ИБ, запланированных на конкретный период времени и направленных на достижение конкретной цели, понимается как:
-
Совокупность политик ИБ, процедур или требований, установленных Федеральными стандартами и нормативами, с которыми сравнивается свидетельство аудита ИБ, понимается как:
-
Состав, количество и содержание рабочей документации определяются аудиторской организацией исходя из (отметьте неверное):
-
Суть, назначение, цели, результаты и процессы проведения аудита ИБ определяются (отметьте неверное):
-
Технология контроля (оценки) защищенности информации, принятая в РФ, основана на базе:
-
Цели и объем программы аудита ИБ зависят от:
Тема 5. Силы и средства аудита.
-
Аудиторов России можно условно разделить на группы (отметьте неверную):
-
Аудиторская палата СССР, созданная 29 марта 1991 года, на добровольных началах объединила организации (отметьте неверное):
-
Важнейшим фактором повышения рыночной стоимости любой считающей себя респектабельной компании в послекризисный период развития отечественной экономики стало:
-
Высшим органом Федеральной аудиторской палаты РФ является:
-
Детализированные показатели для оценки эффективности работы службы внутреннего аудита не подразумевают категорию:
-
Деятельность службы внутреннего аудита регламентируется:
-
Если этические нормы профессионального поведения, установленные в государстве, в котором аудитор оказывает услуги, менее строгие, чем предусмотренные российским Кодексом, то:
-
Закон «Об аудиторской деятельности» предполагает, что основную роль в российской системе аудита будут играть:
-
Законодательную базу создания и функционирования подразделений внутреннего аудита содержит лишь:
-
Концепция регулирования аудиторской деятельности в таких европейских странах, как Австрия, Испания, Франция, ФРГ и др. соответствует:
-
Концепция регулирования аудиторской деятельности в таких европейских странах, как США, Канада, Великобритания, Австралия и др. соответствует:
-
Национальная компания комиссаров по счетам действует:
-
Нерегламентные проверки наличия конфиденциальных носителей, документов и дел не проводятся:
-
Одним из старейших в мире профессиональных объединений аудиторов является:
-
Основные правила и основополагающие принципы в теории и практике аудита понимают как:
-
Оценка аудиторов по ИБ происходит на следующих этапах (отметьте неверное):
-
Под независимой и объективной деятельностью консультационного характера, направленной на повышение стоимости и улучшение работы организации, понимают:
-
Принципы этики аудитора не включают в себя:
-
Решение о создании службы внутреннего аудита обычно принимают:
-
Система измерений параметров контрольной деятельности службы внутреннего аудита не подразумевает параметр:
-
Служба внутреннего аудита не может выполнять функции:
-
Служба внутреннего аудита подчинена, как правило:
-
Требования к уровню квалификации аудитора следующие (отметьте некорректное):
-
Укрупнено функции службы внутреннего аудита можно разделить на (отметьте неверное):
-
Философским принципом в этике служит правило: «Пусть нашим руководителем будет…:
Тема 6. Организация проведения аудита.
-
Аудит, как правило проводится по инициативе:
-
Аудиторская организация и индивидуальный аудитор обязаны планировать свою работу так, чтобы проверка была проведена:
-
Блок организационно-распорядительной документации по вопросам информационной безопасности не включает в себя:
-
Границы проведения аудита определяются на этапе:
-
Если пересмотр общего плана аудита увеличивает работу в незначительной степени, изменения в план:
-
Если при проведении обязательного аудита в организации одновременно действуют системы защиты государственной тайны, конфиденциальной информации, персональных данных, то:
-
Наиболее сложным и длительным при проведении аудита является этап:
-
На этапе инструментального обследования защищенности возникают основные проблемы аудиторов по причине:
-
Общий план аудита составляется после:
-
Организационные вопросы, связанные с созданием нормальных условий для работы аудиторов, решаются на этапе:
-
Ответственность за правильную и полную разработку общего плана и программы аудита несет:
-
Первоначальную оценку о возможном наличии уязвимостей и возможных способах проникновения в АС клиента дает:
-
Перечень совокупности действий, предназначенных для сбора информации о функционировании системы информационной безопасности, представляет собой:
-
План и границы проведения аудита обсуждается на рабочем собрании, в котором не принимают участие:
-
При отказе клиента в предоставлении информации об индивидуальных особенностях его системы защиты информации аудитору следует:
-
При планировании аудита целесообразно выделить следующие основные этапы (отметьте неверный):
-
При планировании состава специалистов, входящих в аудиторскую группу, аудиторская организация не обязана учитывать:
-
Программа аудита представляет собой (отметьте неверное):
-
Процесс определения аудируемости системы информационной безопасности клиента называется:
-
Процесс планирования аудита завершается составлением:
-
Результаты анализа программы аудита не могут привести к (отметьте неверное):
-
Рекомендации по совершенствованию организационно-технического обеспечения направлены на:
-
Согласие аудитора на работу с клиентом зависит от ряда факторов (отметьте неверное):
-
Существующие риски и требования безопасности, предъявляемые к системе, во многом определяются:
-
Экспертиза выполнения организационно-технических требований документов ФСТЭК России к системе информационной безопасности проводится на этапе:
-
Этап предварительного планирования аудита предусматривается:
Тема 7. Методы и инструментальные средства анализа защищенности элементов информационной системы.
-
Активное исследование объекта защиты заключается в:
-
Заказчик предоставляет имеющуюся информацию по исследуемому объекту, архитектуре сети в случае:
-
Защищенность, надежность, отказоустойчивость, производительность являются важнейшими показателями:
-
Инструментальные средства (сканеры) при проведении теста на проникновение используются лишь на этапе:
-
Классификация систем анализа защищенности не подразумевает:
-
Методы активного исследования объекта атаки не подразумевают:
-
Не рекомендуется использовать в качестве основного параметра выбора системы анализа защищенности:
-
Объектом тестирования при проведении теста на проникновение не может являться:
-
Одним из основных критериев выбора системы обнаружения атак является:
-
Отсутствие у тестирующей стороны каких-либо специальных знаний о конфигурации и внутренней структуре объекта испытаний предполагает:
-
Отчет, предоставляемый заказчику по результатам проведения тестирования на проникновение, не содержит:
-
По окончании активного анализа защищенности:
-
При выборе уровня Black Box при проведении теста:
-
Проведение теста на проникновение не подразумевает этап:
-
Проникновение в систему без предоставления заказчиком информации по объекту производится при:
-
Результатом развития национальных стандартов в области показателей защищенности является принятие:
-
Система защиты строится на архитектуре (отметьте неверное):
-
Современный сетевой сканер выполняет основные задачи (отметьте неверную):
-
Сообщения RST/ACK должно быть прислано в ответ при проведении:
-
Составление программы тестирования на основании знаний о структуре и конфигурации объекта испытаний предполагает:
-
Степень адекватности реализованных в АС механизмов защиты информации существующим в данной среде функционирования рискам понимается как:
-
Тест на проникновение в информационную систему Заказчика занимает не менее:
-
Технологии интеллектуальных программных агентов используются при:
-
Фактором, определяющим защищенность АС, не может быть:
-
Эмуляция действий потенциального злоумышленника по преодолению механизмов защиты предполагает:
Тема 8. Методы анализа рисков.
-
Большинство инструментальных средств анализа риска модифицировано так, чтобы обеспечить соответствие требованиям:
-
Возможность появления убытков, которая возникает как результат взаимодействия пары «угроза» и «уязвимость» понимается как:
-
Возможность реализации угрозы для некоторого ресурса компании оценивается:
-
Известно несколько подходов к управлению рисками. Отметьте неверный:
-
Информационные риски компании не зависят от:
-
Ключевым фактором для построения эффективной защиты информационной системы считается:
-
Метод анализа риска, условно относящийся к базовому уровню:
-
Модель определения уровня зрелости компании не подразумевает категорию:
-
На заключительном этапе анализа риска проводится:
-
Нарушение целостности информации может произойти не только вследствие преднамеренных действий, но и по ряду других причин (отметьте неверное):
-
Обеспечением информационной безопасности сотрудники могут заниматься в соответствии со своим пониманием задач при уровне зрелости компании, соответствующему категории:
-
Обычно рассматриваются следующие виды ущерба ресурсам организации (отметьте неверное):
-
Определение набора адекватных контрмер существенным рискам осуществляется в ходе:
-
Оценка информационных рисков может быть выполнена в соответствии со следующим планом (отметьте неверный пункт):
-
Построение любой системы информационной безопасности начинается с:
-
Предлагаемое на рынке ПО средства анализа рисков ориентировано в основном на:
-
При оценке рисков по трем факторам принимают параметры уровней угроз (отметьте неверный):
-
При расчете значений вероятности проведения атаки, а также уровня возможного ущерба не могут использоваться:
-
Процесс анализа рисков можно разделить на несколько этапов, не подразумевающих:
-
Процесс идентификации рисков, определения их величины и выделения областей, требующих защиты, понимается как:
-
Процесс планирования системы управления рисками понимается как:
-
Процесс при котором рассматриваются бизнес-цели, угрозы и уязвимость как основа для дальнейшего анализа, понимается как:
-
Различные варианты задач в области обеспечения режима информационной безопасности решаются при уровне зрелости компании, соответствующему категории:
-
Ресурсы ИС можно разделить на категории (отметьте неверную):
-
Свойства ИС, делающие возможным успешное осуществление угроз безопасности, понимаются как:
Тема 9. Отчетность по результатам проведения аудита.
-
Анализировать действия аудиторов и, следовательно, организовать как внутрифирменный, так и внешний контроль качества их работы, позволяет:
-
Аудиторское заключение не может быть представлено в виде:
-
Возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению отображается в:
-
В соответствии с правилом (стандартом) аудиторской деятельности «Порядок составления аудиторского заключения» аудиторское заключение не должно:
-
Главные источники сбора информации для проведения экономической оценки обеспечения информационной безопасности не подразумевают:
-
До заключения договора о проведении аудита аудиторская организация должна:
-
Исследование сети по вопросам обеспечения информационной безопасности начинают с:
-
Исследование человеческого фактора при экономической оценке обеспечения информационной безопасности не подразумевает изучение:
-
Как правило, разработанные аудитором рекомендации направлены на:
-
Критерии оценки работы внутреннего аудита имеют формулу 3 E's, не включающую в себя:
-
К фундаментальным вопросам внутренним аудиторам, без которых критерии оценки качества будут незначительными, не относится:
-
Меры предосторожности политик и процедур безопасности обычно используются для:
-
Назначение руководителя проверки производится из состава сотрудников аудиторской организации после:
-
На этапе планирования оформляются и подшиваются в дело следующие документы (отметьте неверное):
-
Обследование сервера по вопросам обеспечения информационной безопасности не подразумевает выявление:
-
Обязательной проверке и документированию подлежат (отметьте неверное):
-
Официальный документ, содержащий выраженное в установленной форме мнение аудиторской организации, называется:
-
Перед началом проверки руководитель аудиторской проверки должен (отметьте неверное):
-
Перечень необходимых для аудита внутрифирменных форм определяется на этапе:
-
По окончании аудиторской проверки вся рабочая документация, аудиторский отчет и заключение проходят процедуру:
-
Последний шаг экономической оценке обеспечения информационной безопасности:
-
После предварительных переговоров и перед заключением договора в соответствии с федеральными правилами (стандартами) оформляется:
-
При определении мер физической безопасности необходимо выявить следующее (отметьте неверное):
-
При проведении сплошной проверки документируются (отметьте неверное):
-
Проведенный аудит позволит обоснованно создать следующие документы (отметьте неверный):
-
Результаты аудита ИС организации можно разделить на группы (отметьте неверную):
-
Рекомендации аудитора должны быть (отметьте неверное):
-
Состав, содержание и сроки проведения работ по этапам разработки и внедрения системы защиты отображается в:
-
Ценность аудита информационной безопасности для потенциальных клиентов заключается в следующем (отметьте неверное):