ТЕСТ «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ И ЗАЩИТА ИНФОРМАЦИИ»

TEST 1
"INFORMATION SECURITY AND PROTECTION OF INFORMATION"

1. The number of facets that allow to structure the means to achieve information security includes:
a) Integrity measures; b) Administrative measures; c) Confidentiality measures.

2. Duplication of messages is a threat of:
a) accessibility; b) confidentiality; c) integrity.

3. Malicious software Melissa is subject to an attack on availability:
a) e-commerce systems; b) Geoinformation systems; c) e-mail systems.

4. Select the malicious program that opened a new stage in the development of this area.
a) Melissa b) Bubble Boy c) ILO VE YOU.

5. The most dangerous sources of internal threats are:
a) incompetent leaders; b) offended employees; c) curious administrators.

6. Among the following, highlight the main cause of the existence of numerous threats to information security.
a) miscalculations in the administration of information systems;
b) the need for continuous modification of information systems;
c) the complexity of modern information systems.

7. Aggressive consumption of resources is a threat:
a) accessibility b) confidentiality c) integrity

8. The Melissa program is:
a) a bomb; b) a virus; c) a worm.

9. For the introduction of bombs, the most common mistakes are:
a) absence of verification of return codes;
b) buffer overflow;
c) violation of transaction integrity.

10. The danger window appears when:
a) becomes aware of the means of exploiting the vulnerability;
b) there is a possibility to use the vulnerability;
c) there is a new software installed.

11. Among the listed below, mark two Trojan programs:
a) I LOVE YOU; b) Back Orifice; c) Netbus.

12. The Criminal Code of the Russian Federation does not provide for punishment for:
a) creation, use and distribution of malicious programs;
b) maintaining personal correspondence on a production technical basis;
c) violation of the rules for the operation of information systems.

13. The definition of means of information protection given in the Law "On State Secrets" falls into:
a) means for detecting malicious activity;
b) means of fault tolerance;
c) means to control the effectiveness of information security.

14. The level of security B according to the "Orange Book" is characterized by:
a) arbitrary access control; b) forced access control; c) verified safety.

15. The classes of requirements for security assurance of the "General Criteria" include:
a) development; b) evaluation of the protection profile; c) certification.

16. According to the "Orange Book", the security policy includes the following elements:
a) security perimeter; b) safety labels; c) safety certificates.

17. Following the recommendations of X.800, the following security services are identified:
a) quota management; b) access control; c) screening.

18. The level of security A according to the "Orange Book" is characterized by:
a) arbitrary access control; b) forced access control; c) verified safety.

19. According to the recommendations of X.800, authentication can be implemented on:
a) the network layer; b) the transport level; c) application level.

20. Top-level security policy objectives include:
a) decision to form or revise an integrated security program;
b) Providing a framework for compliance with laws and regulations;
c) ensuring the confidentiality of e-mail messages.

21. Among the objectives of the top-level security policy are:
a) risk management;
b) the definition of those responsible for information services;
c) determining penalties for violations of security policy.

22. Under the security policy of the lower level, the following are implemented:
a) strategic planning;
b) day-to-day administration;
c) monitoring of weak points of protection.

23. The security policy is based on:
a) general notions of the organization's IP;
b) studying the policies of related organizations;
c) risk analysis.

24. Top-level security policy objectives include:
a) formulation of administrative decisions on critical aspects of the implementation of the security program;
b) choice of methods for user authentication;
c) Providing a framework for compliance with laws and regulations.

25. Risk is a function:
a) the amount of possible damage;
b) the number of users of the information system;
c) the authorized capital of the organization.

26. The stages of risk management include:
a) asset identification; b) liquidation of liabilities; c) sampling sites.

27. The first step in analyzing threats is:
a) identification of threats; b) threat authentication; c) elimination of threats.

28. Risk management includes the following activities:
a) identification of those responsible for risk analysis;
b) risk assessment;
c) selection of effective protective equipment.

29. Risk assessment allows you to answer the following questions:
a) what is the risk of the organization using the information system?
b) What is the risk of users of the information system?
c) What is the risk of system administrators?

30. Classes of procedural level measures include:
a) maintenance of working capacity; b) maintaining a physical form; c) Physical protection.

31. Among the principles of personnel management are:
a) Minimizing privileges; b) minimization of wages; c) Wage maximization.

32. The stages of the planning process for rehabilitation work include:
a) identification of critical functions of the organization;
b) definition of the list of possible accidents;
c) conducting test accidents.

33. Among the daily activities at the procedural level are:
a) situational management; b) configuration management; c) optimal control.

34. Logging and auditing can be used to:
a) prevention of violations of IB; b) detection of violations; c) restoration of the regime of IB.

35. To ensure information security of network configurations, the following principles should be followed:
a) development and implementation of a common security policy;
b) unification of hardware and software platforms;
c) minimizing the number of applications used.

36. Shielding can be used for:
a) prevention of violations of IB;
b) detection of violations;

c) localization of consequences of violations.

37. The basic principles of architectural security include:
a) adherence to recognized standards;
b) the use of non-standard solutions not known to intruders;
c) a variety of protective equipment.

38. The basic principles of architectural security include:
a) strengthening of the weakest link;
b) strengthening the most likely target of attack; c) defense segregation.

39. To ensure the information security of network configurations, the following principles should be followed:
a) use of own communication lines;
b) ensuring confidentiality and integrity in network interactions;
c) complete analysis of network traffic.

40. The number of universal security services includes:
a) access control;
b) management of information systems and their components; c) media management.

41. Integrity control can be used to:
a) prevention of violations of IB;

b) detection of violations;

c) localization of consequences of violations.

42. The universal security services include:
a) means of building virtual local area networks; b) screening; c) logging and auditing.

43. As an authenticator in a networked environment, the following can be used:
a) cardiogram of the subject;

b) the number of the pension insurance card;
c) the result of the generator of one-time passwords.

44. Authentication based on the password transmitted over the network in encrypted form is bad because it does not provide protection against:
a) interception; b) Reproduction; c) Attack attacks.

45. The basic concepts of role-based access control include:
a) role; b) the performer of the role; c) user role.

46. ​​As an authenticator in a networked environment, the following can be used:
a) the year of birth of the subject; b) the name of the subject; c) secret cryptographic key.

47. Role-based access control uses the following object-oriented approach:
a) encapsulation; b) inheritance; c) polymorphism.

48. The basic concepts of role-based access control include:
a) the object; b) the subject; c) method.

49. The digital certificate contains:
a) the public key of the user; b) the user's secret key; c) the user name.

50. Cryptography is necessary for implementing the following security services:
a) identification; b) screening; c) Authentication.

51. Cryptography is necessary for implementing the following security services:
a) control of confidentiality; b) Integrity management; c) access control.

52. The screen performs the following functions:
a) access control; b) Facilitating access; c) Complication of access.

53. The demilitarized zone is located:
a) before an external firewall; b) between firewalls; c) behind the internal firewall.

54. Screening at the network and transport levels can provide:
a) delineation of access to network addresses;
b) selective execution of the application protocol commands;
c) control the amount of data sent over the TCP connection.

55. Security analysis systems help to prevent:
a) known attacks; b) new types of attacks; c) Unusual user behavior.

56. Mean time between failures:
a) in proportion to the failure rate;

b) inversely proportional to the failure rate;

c) does not depend on the failure rate.

57. Tunneling can be used at the next level of the reference seven-level model 081:
a) network; b) session; c) presentation level.

58. The principle of strengthening the weakest link can be reformulated as:
a) the principle of equal strength of defense;
b) the principle of removing the weak link;
c) the principle of identifying the main link, grabbing which, you can pull the entire chain.

59. Security Policy is…
a) fixes the rules for the differentiation of access;
b) reflects the organization's approach to protecting its information assets;
c) describes how to protect the management of the organization.

60. When analyzing the cost of protective measures, one should take into account:
a) equipment purchase costs b) Program acquisition costs c) Training costs for staff

Перевод и ответы

ТЕСТ

«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ И ЗАЩИТА ИНФОРМАЦИИ»

1. В число граней, позволяющих структурировать средства достижения информационной безопасности, входят:

a) меры обеспечения целостности;

b) административные меры;

c) меры обеспечения конфиденциальности.

2. Дублирование сообщений является угрозой:

a) доступности; b) конфиденциальности; c) целостности.

3. Вредоносное ПО Melissa подвергает атаке на доступность:

a) системы электронной коммерции;

b) геоинформационные системы;

c) системы электронной почты.

4. Выберите вредоносную программу, которая открыла новый этап в развитии данной области.

a) Melissa. b) Bubble Boy. c) ILOVEYOU.

5. Самыми опасными источниками внутренних угроз являются:

a) некомпетентные руководители; b) обиженные сотрудники; c) любопытные администраторы.

6. Среди нижеперечисленных выделите главную причину существования многочисленных угроз информационной безопасности.

a) просчеты при администрировании информационных систем;

b) необходимость постоянной модификации информационных систем;

c) сложность современных информационных систем.

7. Агрессивное потребление ресурсов является угрозой:

a) доступности b) конфиденциальности c) целостности

8. Программа Melissa — это:

а) бомба; b) вирус; c) червь.

9. Для внедрения бомб чаще всего используются ошибки типа:

a) отсутствие проверок кодов возврата;

b) переполнение буфера;

c) нарушение целостности транзакций.

10. Окно опасности появляется, когда:

a) становится известно о средствах использования уязвимости;

b) появляется возможность использовать уязвимость;

c) устанавливается новое ПО.

11 .Среди ниже перечисленных отметьте две троянские программы:

a) I LOVE YOU; b) Back Orifice; c) Netbus.

12. Уголовный кодекс РФ не предусматривает наказания за:

a) создание, использование и распространение вредоносных программ;

b) ведение личной корреспонденции на производственной технической базе;

c) нарушение правил эксплуатации информационных систем.

13. Под определение средств защиты информации, данное в Законе «О государственной тайне», подпадают:

a) средства выявления злоумышленной активности;

b) средства обеспечения отказоустойчивости;

c) средства контроля эффективности защиты информации.

14. Уровень безопасности В согласно «Оранжевой книге» характеризуется:

a) произвольным управлением доступом;

b) принудительным управлением доступом;

c) верифицируемой безопасностью.

15. В число классов требований доверия безопасности «Общих критериев» входят:

a) разработка; b) оценка профиля защиты; c) сертификация.

16. Согласно «Оранжевой книге» политика безопасности включает в себя следующие элементы:

a) периметр безопасности; b) метки безопасности; c) сертификаты безопасности.

17. Согласно рекомендациям Х.800 выделяются следующие сервисы безопасности:

a) управление квотами; b) управление доступом; c) экранирование.

18. Уровень безопасности А согласно «Оранжевой книге» характеризуется:

a) произвольным управлением доступом;

b) принудительным управлением доступом; c) верифицируемой безопасностью.

19. Согласно рекомендациям Х.800 аутентификация может быть реализована на:

a) сетевом уровне; b) транспортном уровне; c) прикладном уровне.

20. В число целей политики безопасности верхнего уровня входят:

a) решение сформировать или пересмотреть комплексную программу безопасности;

b) обеспечение базы для соблюдения законов и правил;

c) обеспечение конфиденциальности почтовых сообщений.

21. В число целей политики безопасности верхнего уровня входят:

a) управление рисками;

b) определение ответственных за информационные сервисы;

c) определение мер наказания за нарушения политики безопасности.

22. В рамках политики безопасности нижнего уровня осуществляются:

a) стратегическое планирование;

b) повседневное администрирование;

c) отслеживание слабых мест защиты.

23. Политика безопасности строится на основе:

a) общих представлений об ИС организации;

b) изучения политик родственных организаций;

c) анализа рисков.

24. В число целей политики безопасности верхнего уровня входят:

a) формулировка административных решений по важнейшим аспектам реализации программы безопасности;

b) выбор методов аутентификации пользователей;

c) обеспечение базы для соблюдения законов и правил.

25. Риск является функцией:

a) размера возможного ущерба;

b) числа пользователей информационной системы;

c) уставного капитала организации.

26. В число этапов управления рисками входят:

a) идентификация активов; b) ликвидация пассивов; c) выборобъектов оценки.

27. Первый шаг в анализе угроз — это:

a) идентификация угроз; b) аутентификация угроз; c) ликвидация угроз.

28. Управление рисками включает в себя следующие виды деятель ности:

a) определение ответственных за анализ рисков;

b) оценка рисков;

c) выбор эффективных защитных средств.

29. Оценка рисков позволяет ответить на следующие вопросы:

a) чем рискует организация, используя информационную систе му?

b) чем рискуют пользователи информационной системы?

c) чем рискуют системные администраторы?

30. В число классов мер процедурного уровня входят:

a) поддержание работоспособности; b) поддержание физической формы; c) физическая защита.

31. В число принципов управления персоналом входят:

a) минимизация привилегий; b) минимизация зарплаты; c) максимизация зарплаты.

32. В число этапов процесса планирования восстановительных ра бот входят:

a) выявление критически важных функций организации;

b) определение перечня возможных аварий;

c) проведение тестовых аварий.

33. В число направлений повседневной деятельности на процедур ном уровне входят:

a) ситуационное управление; b) конфигурационное управление; c) оптимальное управление.

34. Протоколирование и аудит могут использоваться для:

a) предупреждения нарушений И Б; b) обнаружения нарушений; c) восстановления режима И Б.

35. Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:

a) выработка и проведение в жизнь единой политики безопасности;

b) унификация аппаратно-программных платформ;

c) минимизация числа используемых приложений.

36. Экранирование может использоваться для:

a) предупреждения нарушений И Б;

b) обнаружения нарушений; c) локализации последствий нарушений.

37. В число основных принципов архитектурной безопасности входят:

a) следование признанным стандартам;

b) применение нестандартных решений, не известных злоумышленникам;

c) разнообразие защитных средств.

38. В число основных принципов архитектурной безопасности входят:

a) усиление самого слабого звена;

b) укрепление наиболее вероятного объекта атаки; c) эшелонированность обороны.

39. Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:

a) использование собственных линий связи;

b) обеспечение конфиденциальности и целостности при сетевых взаимодействиях;

c) полный анализ сетевого трафика.

40. В число универсальных сервисов безопасности входят:

a) управление доступом;

b) управление информационными системами и их компонентами; c) управление носителями.

41. Контроль целостности может использоваться для:

a) предупреждения нарушений И Б; b) обнаружения нарушений;

c) локализации последствий нарушений.

42. В число универсальных сервисов безопасности входят:

a) средства построения виртуальных локальных сетей;

b) экранирование;

c) протоколирование и аудит.

43. В качестве аутентификатора в сетевой среде могут использоваться:

a) кардиограмма субъекта; b) номер карточки пенсионного страхования;

c) результат работы генератора одноразовых паролей.

44. Аутентификация на основе пароля, переданного по сети в зашифрованном виде, плоха, потому что не обеспечивает защиты от:

a) перехвата; b) воспроизведения; c) атак на доступность.

45. В число основных понятий ролевого управления доступом входит:

a) роль; b) исполнитель роли; c) пользователь роли.

46. В качестве аутентификатора в сетевой среде могут использоваться:

a) год рождения субъекта; b) фамилия субъекта; c) секретный криптографический ключ.

47. Ролевое управление доступом использует следующее средство объектно-ориентированного подхода:

a) инкапсуляция; b) наследование; c) полиморфизм.

48. В число основных понятий ролевого управления доступом входит:

a) объект; b) субъект; c) метод.

49. Цифровой сертификат содержит:

a) открытый ключ пользователя; b) секретный ключ пользователя; c) имя пользователя.

50. Криптография необходима для реализации следующих сервисов безопасности:

a) идентификация; b) экранирование; c) аутентификация.

51. Криптография необходима для реализации следующих сервисов безопасности:

a) контроль конфиденциальности; b) контроль целостности; c) контроль доступа.

52. Экран выполняет функции:

a) разграничения доступа; b) облегчения доступа; c) усложнения доступа.

53. Демилитаризованная зона располагается:

a) перед внешним межсетевым экраном; b) между межсетевыми экранами;

c) за внутренним межсетевым экраном.

54. Экранирование на сетевом и транспортном уровнях может обеспечить:

a) разграничение доступа по сетевым адресам;

b) выборочное выполнение команд прикладного протокола;

c) контроль объема данных, переданных по ТСР-соединению.

55. Системы анализа защищенности помогают предотвратить:

a) известные атаки; b) новые виды атак; c) нетипичное поведение пользователей.

56. Среднее время наработки на отказ:

a) пропорционально интенсивности отказов; b) обратно пропорционально интенсивности отказов;

c) не зависит от интенсивности отказов.

57. Туннелирование может использоваться на следующем уровне эталонной семиуровневой модели 081:

a) сетевом; b) сеансовом; c) уровне представления.

58. Принцип усиления самого слабого звена можно переформулировать как:

a) принцип равнопрочности обороны;

b) принцип удаления слабого звена;

c) принцип выявления главного звена, ухватившись за которое, можно вытянуть всю цепь.

59. Политика безопасности:

a) фиксирует правила разграничения доступа;

b) отражает подход организации к защите своих информационных активов;

c) описывает способы защиты руководства организации.

60. При анализе стоимости защитных мер следует учитывать:

a) расходы на закупку оборудования

b) расходы на закупку программ c) расходы на обучение персонала

Ответы к тесту