Срез знаний по курсу «Информационная безопасность»
1. Кто является основным ответственным за определение уровня классификации информации?
A. Руководитель среднего звена
B. Высшее руководство
C. Владелец
D. Пользователь
A. Сотрудники
B. Хакеры
C. Атакующие
D. Контрагенты (лица, работающие по договору)
3. Если различным группам пользователей с различным уровнем доступа требуется доступ к одной и той же информации, какое из указанных ниже действий следует предпринять руководству?
A. Снизить уровень безопасности этой информации для обеспечения ее доступности и удобства использования
B. Требовать подписания специального разрешения каждый раз, когда человеку требуется доступ к этой информации
C. Улучшить контроль за безопасностью этой информации
D. Снизить уровень классификации этой информации
4. Что самое главное должно продумать руководство при классификации данных?
A. Типы сотрудников, контрагентов и клиентов, которые будут иметь доступ к данным
B. Необходимый уровень доступности, целостности и конфиденциальности
C. Оценить уровень риска и отменить контрмеры
D. Управление доступом, которое должно защищать данные
5. Кто в конечном счете несет ответственность за гарантии того, что данные классифицированы и защищены?
A. Владельцы данных
B. Пользователи
C. Администраторы
D. Руководство
6. Что такое процедура?
A. Правила использования программного и аппаратного обеспечения в компании
B. Пошаговая инструкция по выполнению задачи
C. Руководство по действиям в ситуациях, связанных с безопасностью, но не описанных в стандартах
D. Обязательные действия
7. Какой фактор наиболее важен для того, чтобы быть уверенным в успешном обеспечении безопасности в компании?
A. Поддержка высшего руководства
B. Эффективные защитные меры и методы их внедрения
C. Актуальные и адекватные политики и процедуры безопасности
D. Проведение тренингов по безопасности для всех сотрудников
8. Когда целесообразно не предпринимать никаких действий в отношении выявленных рисков?
A. Никогда. Для обеспечения хорошей безопасности нужно учитывать и снижать все риски
B. Когда риски не могут быть приняты во внимание по политическим соображениям
C. Когда необходимые защитные меры слишком сложны
D. Когда стоимость контрмер превышает ценность актива и потенциальные потери
9. Что такое политики безопасности?
A. Пошаговые инструкции по выполнению задач безопасности
B. Общие руководящие требования по достижению определенного уровня безопасности
C. Широкие, высокоуровневые заявления руководства
D. Детализированные документы по обработке инцидентов безопасности
10. Какая из приведенных техник является самой важной при выборе конкретных защитных мер?
A. Анализ рисков
B. Анализ затрат / выгоды
C. Результаты ALE
D. Выявление уязвимостей и угроз, являющихся причиной риска
11. Что лучше всего описывает цель расчета ALE?
A. Количественно оценить уровень безопасности среды
B. Оценить возможные потери для каждой контрмеры
C. Количественно оценить затраты / выгоды
D. Оценить потенциальные потери от угрозы в год
12. Тактическое планирование – это:
A. Среднесрочное планирование
B. Долгосрочное планирование
C. Ежедневное планирование
D. Планирование на 6 месяцев
13. Что является определением воздействия (exposure) на безопасность?
A. Нечто, приводящее к ущербу от угрозы
B. Любая потенциальная опасность для информации или систем
C. Любой недостаток или отсутствие информационной безопасности
D. Потенциальные потери от угрозы
14. Эффективная программа безопасности требует сбалансированного применения:
A. Технических и нетехнических методов
B. Контрмер и защитных механизмов
C. Физической безопасности и технических средств защиты
D. Процедур безопасности и шифрования
15. Функциональность безопасности определяет ожидаемую работу механизмов безопасности, а гарантии определяют:
A. Внедрение управления механизмами безопасности
B. Классификацию данных после внедрения механизмов безопасности
C. Уровень доверия, обеспечиваемый механизмом безопасности
D. Соотношение затрат / выгод
16. Какое утверждение является правильным, если взглянуть на разницу в целях безопасности для коммерческой и военной организации?
A. Только военные имеют настоящую безопасность
B. Коммерческая компания обычно больше заботится о целостности и доступности данных, а военные – о конфиденциальности
C. Военным требуется больший уровень безопасности, т.к. их риски существенно выше
D. Коммерческая компания обычно больше заботится о доступности и конфиденциальности данных, а военные – о целостности
A. Угрозы х Риски х Ценность актива
B. (Угрозы х Ценность актива х Уязвимости) х Риски
C. SLE x Частоту = ALE
D. (Угрозы х Уязвимости х Ценность актива) x Недостаток контроля
18. Что из перечисленного не является целью проведения анализа рисков?
A. Делегирование полномочий
B. Количественная оценка воздействия потенциальных угроз
C. Выявление рисков
D. Определение баланса между воздействием риска и стоимостью необходимых контрмер
19. Что из перечисленного не является задачей руководства в процессе внедрения и сопровождения безопасности?
A. Поддержка
B. Выполнение анализа рисков
C. Определение цели и границ
D. Делегирование полномочий
20. Почему при проведении анализа информационных рисков следует привлекать к этому специалистов из различных подразделений компании?
A. Чтобы убедиться, что проводится справедливая оценка
B. Это не требуется. Для анализа рисков следует привлекать небольшую группу специалистов, не являющихся сотрудниками компании, что позволит обеспечить беспристрастный и качественный анализ
C. Поскольку люди в различных подразделениях лучше понимают риски в своих подразделениях и смогут предоставить максимально полную и достоверную информацию для анализа
D. Поскольку люди в различных подразделениях сами являются одной из причин рисков, они должны быть ответственны за их оценку
21. Что является наилучшим описанием количественного анализа рисков?
A. Анализ, основанный на сценариях, предназначенный для выявления различных угроз безопасности
B. Метод, используемый для точной оценки потенциальных потерь, вероятности потерь и рисков
C. Метод, сопоставляющий денежное значение с каждым компонентом оценки рисков
D. Метод, основанный на суждениях и интуиции
22. Почему количественный анализ рисков в чистом виде не достижим?
A. Он достижим и используется
B. Он присваивает уровни критичности. Их сложно перевести в денежный вид.
C. Это связано с точностью количественных элементов
D. Количественные измерения должны применяться к качественным элементам
23. Если используются автоматизированные инструменты для анализа рисков, почему все равно требуется так много времени для проведения анализа?
A. Много информации нужно собрать и ввести в программу
B. Руководство должно одобрить создание группы
C. Анализ рисков не может быть автоматизирован, что связано с самой природой оценки
D. Множество людей должно одобрить данные
24. Какой из следующих законодательных терминов относится к компании или человеку, выполняющему необходимые действия, и используется для определения обязательств?
A. Стандарты
B. Должный процесс (Dueprocess)
C. Должная забота (Duecare)
D. Снижение обязательств
25. Что такое CobiT и как он относится к разработке систем информационной безопасности и программ безопасности?
A. Список стандартов, процедур и политик для разработки программы безопасности
B. Текущая версия ISO 17799
C. Структура, которая была разработана для снижения внутреннего мошенничества в компаниях
D. Открытый стандарт, определяющий цели контроля
26. Из каких четырех доменов состоит CobiT?
A. Планирование и Организация, Приобретение и Внедрение, Эксплуатация и Сопровождение, Мониторинг и Оценка
B. Планирование и Организация, Поддержка и Внедрение, Эксплуатация и Сопровождение, Мониторинг и Оценка
C. Планирование и Организация, Приобретение и Внедрение, Сопровождение и Покупка, Мониторинг и Оценка
D. Приобретение и Внедрение, Эксплуатация и Сопровождение, Мониторинг и Оценка
27. Что представляет собой стандарт ISO/IEC 27799?
A. Стандарт по защите персональных данных о здоровье
B. Новая версия BS 17799
C. Определения для новой серии ISO 27000
D. Новая версия NIST 800-60
28. CobiT был разработан на основе структуры COSO. Что является основными целями и задачами COSO?
A. COSO – это подход к управлению рисками, который относится к контрольным объектам и бизнес-процессам
B. COSO относится к стратегическому уровню, тогда как CobiT больше направлен на операционный уровень
C. COSO учитывает корпоративную культуру и разработку политик
D. COSO – это система отказоустойчивости
29. OCTAVE, NIST 800-30 и AS/NZS 4360 являются различными подходами к реализации управления рисками в компаниях. В чем заключаются различия между этими методами?
A. NIST и OCTAVE являются корпоративными
B. NIST и OCTAVE ориентирован на ИТ
C. AS/NZS ориентирован на ИТ
D. NIST и AS/NZS являются корпоративными
30. Какой из следующих методов анализа рисков пытается определить, где вероятнее всего произойдет сбой?
A. Анализ связующего дерева
B. AS/NZS
C. NIST
D. Анализ сбоев и дефектов
31. Что было разработано, чтобы помочь странам и их правительствам построить законодательство по защите персональных данных похожим образом?
A. Безопасная OECD
B. ISO\IEC
C. OECD
D. CPTED
32. Символы шифруемого текста перемещаются по определенным правилам внутри шифруемого блока этого текста, это метод:
1. гаммирования;
2. подстановки;
3.кодирования;
4.перестановки;
5.аналитических преобразований.
33. Символы шифруемого текста заменяются другими символами, взятыми из одного или нескольких алфавитов, это метод:
1.гаммирования;
2. подстановки
3.кодирования;
4.перестановки;
5.аналитических преобразований.
34. Символы шифруемого текста последовательно складываются с символами некоторой специальной последовательности, это метод:
1. гаммирования;
2. подстановки;
3. кодирования;
4. перестановки;
5. аналитических преобразований.
35. Защита информации от утечки это деятельность по предотвращению:
1. получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации;
2. воздействия с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации;
3. воздействия на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений;
4. неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа;
5. несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.
36.Защита информации это:
1. процесс сбора, накопления, обработки, хранения, распределения и поиска информации;
2. преобразование информации, в результате которого содержание информации становится непонятным для субъекта, не имеющего доступа;
3. получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств;
4. совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям;
5. деятельность по предотвращению утечки информации, несанкционированных и непреднамеренных воздействий на неё.
37. Естественные угрозы безопасности информации вызваны:
1.деятельностью человека;
3. воздействиями объективных физических процессов или стихийных природных явлений, независящих от человека;
38 Икусственные угрозы безопасности информации вызваны:
1. деятельностью человека ;
2. ошибками при проектировании АСОИ, ее элементов или разработке программного обеспечения;
3. воздействиями объективных физических процессов или стихийных природных явлений, независящих от человека;
4. корыстными устремлениями злоумышленников;
5. ошибками при действиях персонала.
39. К основным непреднамеренным искусственным угрозам АСОИ относится:
1. физическое разрушение системы путем взрыва, поджога и т.п.;
2. перехват побочных электромагнитных, акустических и других излучений устройств и линий связи;
3. изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных помех и т.п.;
4. чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;
5. неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы.
40.К посторонним лицам нарушителям информационной безопасности относится:
1. представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации;
2. персонал, обслуживающий технические средства;
3. технический персонал, обслуживающий здание;
4. пользователи;
5. сотрудники службы безопасности.
6. представители конкурирующих организаций
.
7. лица, нарушившие пропускной режим;
41. Спам, который имеет цель опорочить ту или иную фирму, компанию, политического кандидата и т.п:
1. черный пиар;
2. фишинг;
3. нигерийские письма;
4. источник слухов;
5. пустые письма.
42. Спам распространяет поддельные сообщения от имени банков или финансовых компаний, целью которых является сбор логинов, паролей и пин-кодов пользователей:
1. черный пиар;
2. фишинг;
3. нигерийские письма;
4. источник слухов;
5. пустые письма.
43. Антивирус обеспечивает поиск вирусов в оперативной памяти, на внешних носителях путем подсчета и сравнения с эталоном контрольной суммы:
1. детектор;
2. доктор;
3. сканер;
4. ревизор;
5. сторож.
44. Антивирус не только находит зараженные вирусами файлы, но и "лечит" их, т.е. удаляет из файла тело программы вируса, возвращая файлы в исходное состояние:
3. сканер;
4. ревизор;
5. сторож.
45. Антивирус запоминает исходное состояние программ, каталогов и системных областей диска когда компьютер не заражен вирусом, а затем периодически или по команде пользователя сравнивает текущее состояние с исходным:
1.детектор;
2. доктор;
3. сканер;
4. ревизор;
5. сторож.
46. . Антивирус представляет собой небольшую резидентную программу, предназначенную для обнаружения подозрительных действий при работе компьютера, характерных для вирусов:
1. детектор;
2. доктор;
3. сканер;
4. ревизор;
5. сторож.
47. Активный перехват информации это перехват, который:
1. заключается в установке подслушивающего устройства в аппаратуру средств обработки информации;
2. основан на фиксации электромагнитных излучений, возникающих при функционировании средств компьютерной техники и коммуникаций;
3. неправомерно использует технологические отходы информационного процесса;
4. осуществляется путем использования оптической техники;
5. осуществляется с помощью подключения к телекоммуникационному оборудованию компьютера.
48. Перехват, который заключается в установке подслушивающего устройства в аппаратуру средств обработки информации называется:
1. активный перехват;
2. пассивный перехват;
3. аудиоперехват;
4. видеоперехват;
5. просмотр мусора.
49. Перехват, который основан на фиксации электромагнитных излучений, возникающих при функционировании средств компьютерной техники и коммуникаций называется:
1. активный перехват;
2. пассивный перехват
;
3. аудиоперехват;
4. видеоперехват;
5. просмотр мусора.
50. Перехват, который осуществляется путем использования оптической техники называется:
1. активный перехват;
2. пассивный перехват;
3. аудиоперехват;
4. видеоперехват;
5. просмотр мусора.
51. К внутренним нарушителям информационной безопасности относится:
1. клиенты;
2. пользователи системы;
3. посетители;
4. любые лица, находящиеся внутри контролируемой территории;
5. представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации.
6. персонал, обслуживающий технические средства.
7. сотрудники отделов разработки и сопровождения ПО;
8. технический персонал, обслуживающий здание
Кто - перед кем?
Чем - за что?
Формула ответственности
Обобщение успешной и не очень практики последних лет и месяцев показало, что ключом к успеху компаний все более становится ответственность сотрудников. Какие бы технологии организации бизнес-процессов ни применялись - безответственный сотрудник способен испортить все, что угодно. Как бы слабо ни были формализованы бизнес-процессы - команда ответственных людей способна творить чудеса. При этом наличие ответственных людей дает компании дополнительный «бонус» - с помощью конструктивной ответственности довольно легко компенсируется даже отсутствие профессиональных знаний и навыков.
Где-то в 1983-м году мой сосед по комнате поехал на свадьбу двоюродной сестры в Карпаты. Последний отрезок пути проходил по достаточно сельской местности, автобус шел около четырех часов. Примерно в середине маршрута у одной из пассажирок начались родовые схватки.
В таких нервных обстоятельствах нормальное течение родов, занимающее от восьми до двенадцати часов, довольно легко переходит в т.н. «стремительные роды». Началась паника. Под влиянием воплей пассажиров и пассажирок водитель остановил автобус и … сбежал. Как ни странно, даже ехавшие в автобусе женщины «с опытом» самоустранились от процесса.
В общем, в итоге роды были успешно приняты одним случайно ехавшим в автобусе студентом ветеринарного техникума и одним студентом физфака МГУ. Сейчас этот ответственный студент является профессором университетов Канады, США и Оксфорда. «Крестница» и двоюродная сестра чувствуют себя хорошо.
Технологии не-взятия ответственности, приемы не-замечания, «перепихивания», пропускания ответственности мимо себя, перебрасывания ответственности, «отмазок» - прекрасно отработаны. Видимо, они зашиты у многих на уровне ДНК.
Мы предполагаем отработать более продуктивные технологии - взятия на себя ответственности, так чтобы не было слишком много, не по силам, и приемы наложения (не делегирования!) ответственности
Заостряется серьезный вопрос обеспечения необходимого уровня ответственности, особенно - на ключевых постах и в ключевых точках. На первых этапах хотелось бы минимум прогнозировать - насколько ответственным будет поведение данного сотрудника. В дальнейшем - научиться повышать уровень ответственности до необходимых величин. Как показывает опыт - это возможно, хотя и требует подготовки.
Ответ на первый вопрос - как можно спрогнозировать, насколько ответственным будет поведение сотрудника - мы получим в рамках этой статьи, второму вопросу посвящена следующая работа.
Понимание ответственности
Для начала - о чем идет речь? Что такое ответственность, к которой мы стремимся, как конкретное свойство сотрудника?
В первую очередь, Ответственность - понятие сложное, комплексное. Как «красота», например. Или - «сейсмоустойчивость». Итоговый, интегральный уровень, величина этого свойства легко оценивается по последствиям, но для практических целей управления требуется знать большое количество параметров и свойств, которыми этот итоговый уровень определяется.
Отдельно стоит заметить, что многие путают внешнюю ответственность - возлагаемую (делегируемую), или самостоятельно взятую, - и показатель внутренней степени ответственности .
Разница между ними - как между весом штанги, которую спортсмену предлагают «выжать», и реальной способностью спортсмена поднять груз. Когда спортсмен и окружающие имеют большой опыт - эти показатели очень близки. Но в случае малого знания о возможностях, либо серьезных изменений во внешней среде или в самом спортсмене - будут значительно отличаться. Например - спортсмен приболел или перетренировался. И «обычный» груз теперь ему не по силам. Или - спортсмен «в ударе» - и реально готов «горы свернуть»
Для того чтобы обеспечить понимание свойств ответственности, стоит обратиться к наблюдению, опыту и эксперименту. Такой подход позволяет выделить несколько независимых аспектов ответственности и выстроить простые измерительные шкалы в рамках каждого из них. Ниже приведены примеры таких шкал.
Шкала ответственности по действиям относительно проблемы
Тестовой проблемой может стать что угодно - от текущего бачка в туалете до отсутствия национальной идеи России. Главное, чтобы эту проблему человек не мог быстро решить своими силами - уровень ответственности, определяемый плакатом «Уходя - гасите свет!», нас не особенно интересует, поскольку явно недостаточен для серьезных целей.
Понаблюдайте за человеком некоторое время, вспомните его поведение на совещаниях, в конкретных ситуациях. 99% статистически достоверно будут вести себя в соответствии с одним из сценариев, описанных ниже.
- Вообще не заметил проблему, хотя имел все возможности, в т.ч. и понимание проблемы
- Заметил, но тут же забыл
- Заметил, озвучил в первый попавшийся адрес, и забыл
- Заметил, сообщил «кому следует» - и забыл
- Заметил и довел информацию до человека, готового взять на себя ответственность за решение
- Заметил и взял на себя ответственность за итог (харакири-1)
- Взял на себя ответственность за метаитог (харакири-2)
- Взял на себя ответственность за коллективный результат (харакири-3)
- Взял на себя ответственность за будущее
Этюд о харакири производит весьма глубокое впечатление на сотрудников компаний, посещающих семинары, на которых затрагивается тема ответственности. Суть его в следующем…
Представьте себе конвейер Тойоты… Исходный скелет автомобиля неуклонно движется по нему к Его Величеству Покупателю… кто-то из служителей культа качества привинчивает колесо, кто-то вставляет пепельницу в дверцу, кто-то навешивает эту дверцу…
И вдруг Его Величество изволят сообщить ужасную весть. Пепельница - о ужас! - не открывается до конца! Видимо, тот, кто вставлял ее, слегка недотянул винтик. Или гайку. Или перетянул. Или вставил с небольшим перекосом…
Разумеется, всем известно, кто персонально работал со злополучной пепельницей - управленческий учет на японских заводах ставили по заветам русского экономиста Василия Леонтьева, который через США продвигал идеи и технологии, разработанные безвестными советскими экономистами 20-х и 30-х годов ХХ века, творчески развивших идеи Форда и Тейлора…
В общем, со стыда тот, кто допустил небрежность, вставляя пепельницу, делает себе харакири. Этот уровень ответственности мы называем «харакири-1».
Параллельно харакири делает тот, кто навешивал дверь, в которой была злополучная пепельница. Он мог заметить и исправить небрежность - и не сделал этого! Это - уровень ответственности «харакири-2».
Но самое интересное для исследователей, и самое важное для будущих покупателей Тойоты - это то, что сотрудник, который стоял в цепочке гораздо раньше, привинчивал колесо и никаким образом не мог даже узнать про проклятую пепельницу, тоже пытается сделать себе харакири. Потому что ему стыдно работать в такой компании, где так плохо относятся к качеству продукции … Это - «харакири-3», ответственность за коллективный результат.
После минуты молчания обычно следует реплика от наиболее проникнувшегося моментом участника: «но скажите, что ведь это неправда? Что таких людей на самом деле не бывает? Или - они все японцы?». Надежда на то, что ты все же не самый безответственный человек на этом свете, умирает последней. Но умирает…
Но довольно об эмоциях, вернемся к технологическим аспектам социологии, а также к психологии экономики.
Уже в этом рассмотрении мы наталкиваемся на то, что ответственность избирательна и имеет «порог важности». Текущий бачок туалета может не сильно заинтересовать Генерального Директора компании - у него есть за что отвечать и помимо расхода воды. Хотя обычно Генеральные реагируют по схеме №4 - поскольку чувствуют ответственность за расходы фирмы в целом. И не поднимаются выше - поскольку отвечают за компанию в целом по уровню 8-9, и ответственность за компанию конфликтует с частной ответственностью за небольшую ее часть.
Практическое применение этой шкалы находится весьма быстро. Например, в одной из компаний, где автор регулярно присутствует на собеседованиях с кандидатами на посты ТОР-менеджеров, последние полгода регулярно возникает обращенный к кандидату вопрос: «Скажите, сколько парикмахерских в городе Ростове?». Поведение кандидата, его реакция на вопрос такого характера, дальнейшие действия при попытке найти решение и ответ, многое могут сказать и о стиле его мышления, и о привычном стиле руководства, и о многих других вещах. В частности - об уровне ответственности относительно решения поставленной владельцем компании задачи. Многие кандидаты «сыплются» на том, что несколько раз подряд отказываются решать эту задачу, генерируя самые разные причины и объяснения. Интересно бывает наблюдать, как человек с неплохими ухватками менеджера грамотно находит на пятом уровне ответственности среди присутствующих того, кто будет решать эту задачу за него… и как он постепенно уходит вниз по шкале ответственности, когда тот, кто ведет собеседование, постепенно «замуровывает» обходные пути.
Некоторые кандидаты очень быстро доходят до уровня 1 - уровня «да я вообще здесь проблемы не вижу, давайте говорить о серьезных делах». К счастью, есть и те, кто осознает, что если задача поставлена лично владельцем компании или Генеральным Директором, то ее надо все же решить в поставленных условиях, и начинают подниматься по уровню ответственности. Высокий балл получает тот кандидат, который после того, как комиссия сочтет задачу решенной, все-таки искренне поинтересуется - а каков правильный ответ и каков наиболее эффективный путь решения. Самый высший балл получает тот, кто спокойно удовлетворяется ответом: «А мы и сами не знаем…» и комментирует «ну ладно, надо будет потом посмотреть в Интернете».
Приведенный пример дает массу информации о кандидате, в том числе описывает реальное применение «проблемной» шкалы ответственности для поиска кандидатов. В данном случае автора лично и руководство компании интересует даже не стартовый уровень ответственности, а динамика ее изменения. В какую сторону пойдет кандидат - в сторону снижения градуса ответственности, или в сторону повышения? Напомню - речь идет о подборе на ТОР-должности, в компании, которая активно развивается. И автоматически предполагается, что необходимый компании уровень ответственности ТОР-менеджеров будет только нарастать, и кандидат уже сейчас должен продемонстрировать внутреннюю готовность идти в ногу с компанией
Шкала ответственности по времени
Помнил об ответственности 1 минуту, 10 минут, час, сутки, неделю и т.д. А потом - забыл. Такое свойство - постепенно забывать об ответственности за что-то - характерно для любого человека, кроме разве что исключительных экземпляров. Иногда кажется, что есть люди, не забывающие о своей ответственности со временем, но этот феномен связан не с их свойствами, а с тем, что жизнь и окружающие постоянно прямо или косвенно напоминают об ответственности. Каждый из нас помнил формулу корней квадратного уравнения минимум до выпускных экзаменов в школе, но через 20-30 лет ее помнят только те, кто время от времени вынужден ей пользоваться. Остальным приходится либо листать справочник, либо вспоминать формулу, задействуя ассоциативные механизмы глубокой памяти.
Интересно, что уровень ответственности (например, стоимость актива, за который человек отвечает) практически не влияет на скорость забывания об этой ответственности. Любой из тех, кто читает эту статью, в состоянии привести десятки примеров этого факта/закона. Если человек забывает покормить кошку или прогулять собаку, т.е. ведет себя безответственно на периоде порядка часов, он с такой же легкостью забудет провести профилактику и техническое обслуживание ценного агрегата или проработать материалы, касающиеся принятия решения на миллионы долларов. И в результате на Совете Директоров будет голосовать «по обстоятельствам», а не по разуму. Разумеется, речь идет опять же о статистически достоверных случаях, те или иные исключения относятся к «хвостам» распределений плотности вероятности.
Когда мы представляем эту конкретную характеристику конкретного человека, ее непосредственное значение и величину в рамках общего понятия ответственности, мы имеем возможность минимум соотносить умение «помнить ответственность», которого требует должность, и соответствующий индекс кандидата. В сложных случаях, когда приходится чем-то жертвовать, слабость свойств по обсуждаемой шкале довольно легко компенсируется техническими и организационными мерами - главное, вовремя принять ответственное решение об их применении и ответственно подойти к его выполнению.
Базовое тестирование показателя ответственности по шкале времени довольно просто. Достаточно задать кандидату вопрос: «а какие дела вы передали своему преемнику на предыдущем месте работы», и вы заметите, что большинство вспоминает о текущих делах («делать то-то», операционный уровень ответственности, функциональный подход), мало кто говорит о задачах порядка квартала (целевой подход), и единицы мыслят масштабами времени, соответствующими сроку существования компании. Хотя мне лично очень хотелось бы услышать от своего предшественника примерно такую фразу: «вот Вася, он разгильдяй, но ты его не выгоняй! Раз в три года он совершает подвиг, который полностью окупает его зарплату лет на пятьдесят вперед!»
Шкала ответственности по осознанию угроз
Сколько реально важных угроз объекту ответственности способен осознать субъект ответственности? Каков масштаб осознаваемых угроз (в рублях)? С какого объема угроза перестает восприниматься ответственным человеком? Иными словами: угрозы каким важным подъобъектам и свойствам объекта ответственности может осознать субъект ответственности? Какой процент это составляет от общего объема реальных угроз? Процент можно считать от числа угроз, но лучше - от суммы угроз, выраженной в рублях или иных конкретных единицах.
Например, мать оценивает систему ребенок (объект ответственности) - мороженое (объект - источник угрозы), 3-я порция. Некоторые матери не замечают угрозы от мороженого вообще. Другие замечают угрозу ангины (цена вопроса - неделя больничного). Третьи - угрозу ожирения, гормонального срыва (год-пять на исправление последствий). Четвертые - угрозу психике ребенка, а вместе с тем - его социальному будущему (он не умеет вовремя остановиться, легко «ведется» на чувственные удовольствия, не может управлять своими страстями - масштаб десятилетий и судьбы вообще). Мать, заметившая угрозу гормонального срыва, имеет в нашей шкале индекс ответственности около 5-15%...
В рамках бизнес-задач мы применяем и такой способ тестирования уровня ответственности кандидатов (1) на должность. Дается вводная: «будучи на ответственной должности, вы рано или поздно совершите ошибку». Как правило, 95% кандидатов с этим соглашаются, поскольку понимают или чувствуют, что слишком оптимистичные и априорно лгущие высшему руководству сотрудники компании на ТОР-должностях не нужны. Далее следует серия вопросов: «что вы будете делать, если сумма и последствия ошибки оценивается в вашу месячную зарплату? Годовую? За сто лет? Составляет сто миллионов долларов? Миллиард?». Попытка ответить на эти вопросы дает весьма интересную информацию о многих качествах кандидата, в том числе и об уровнях его ответственности. Мы полагаем, что ответственный сотрудник должен минимум ощущать границу, за которой он от ответственности обязательно откажется. Если такого отказа не поступает, то даже при рациональных в целом решениях проблемы убытка от ошибки кандидат оценивается как «умный, но безответственный». А такое сочетание гарантирует высокую рискованность действий кандидата вне той сферы, где она оправдана его деловыми качествами.
Практикум паноптикума
Оценка уровня ответственности по каждой из перечисленных шкал не вызывает затруднений, и даже при проведении такой оценки «на глазок» имеет достаточную точность. Для проведения такой оценки достаточно пообщаться с человеком несколько часов в обстановке, близкой к реальной деятельности. Если человек проработал в вашей компании месяц-другой, уже можно делать выводы, если же речь идет о новом человеке, то «подбрасывая» ему тестовые ситуации на собеседовании, можно довольно быстро оценить его свойства. Особенно если мы привлекаем для оценки не отдельного субъективного специалиста, а группу будущих коллег кандидата, прошедших предварительный инструктаж специалиста по оцениванию уровней и потенциала ответственности. Напомним, что для проведения оценки не обязательно иметь специальное образование типа психологического, достаточно представлять будущую работу сотрудника и обладать здравым смыслом. Непосредственные приемы тестирования и оценки, выработка описания ситуации, в которой должны проявиться свойства кандидата, правильнее и удобнее создавать динамически, а не путем использования стандартных, а потому всем известных, методик.
Технологические выводы и рекомендации по применению осознанной информации появляются уже на уровне здравого смысла. Идея Парацельса «лечи подобное подобным» не всегда продуктивна в медицине, но уже практика эволюции и самообучения четко приучает нас к тому, что в схожих ситуациях стоит применять схожие решения, если они показали свою успешность.
Разные должности и сферы деятельности в компании используют разные аспекты ответственного поведения. Зная, в какой конкретной шкале и на каком уровне ответственности находится наш сотрудник, мы можем подобрать/создать профиль должности таким образом, чтобы для конкретного человека уровень ответственности по актуальной для данной должности шкале ответственности не был запредельным. И наоборот - сверхответственные люди на определенных должностях не нужны. Во всем должен быть разумный баланс.
Посмотрим с этой точки зрения на должность, например, финансового директора. Пока поговорим только о тех шкалах ответственности, которые мы уже обсудили. По практике многих компаний финансовому директору по большинству вопросов деятельности фирмы «показана» ответственность по «шкале проблемы» - не выше пяти ! А вот по шкалам «время памяти» и «осознание угроз» - желательно иметь максимально высокий балл.
Что касается последних двух утверждений, то они не вызывают сомнений. Ярким же примером справедливости первого утверждения может служить ситуация, сложившаяся в одной из пермских производственных компаний несколько лет назад. Финансовый директор с внутренним уровнем ответственности не ниже седьмого, начал по факту пытаться подменить собой генерального директора - «из лучших побуждений». Но, не обладая опытом и чутьем последнего, гипертрофируя чисто финансовые аспекты деятельности компании, едва не парализовал ее работу. С человеком пришлось расстаться. Перейдя на работу в банк, он нашел себя в этой стихии, и владельцы банка не могут нарадоваться высочайшему уровню ответственности, который проявляет этот человек.
Почему так произошло? Потому что в производственной компании в области управления финансовыми рисками (запасы, дебиторка, перекредитование и т.п.) лежит не более 20% успеха, а в банке обеспечение возвратности вложений - это 95% успеха.
Шкала ответственности по времени наступления последствий
Шкала ответственности по параметру «перед кем ответственность»
- Перед некоторым формальным законом, инструкцией, регламентирующим, нормативным документом. Всегда есть возможность аннулировать ответственность ссылками на обстоятельства или огрехи в документе
- Перед конкретным человеком (руководителем или потребителем). Аннулировать ответственность существенно труднее, но есть возможность обмануть, улестить, ввести в заблуждение, сманипулировать, «поплакаться» и т.п. - и таким образом реально снять с себя ответственность
- Перед Делом. Ответственность перед Делом снять не удастся, но возможны бюрократические игры с определением того, «что есть Дело», подмена Дела некоторым формализмом и т.п.
- Перед Конечным Результатом. Конечный Результат многих частных Дел (например, прибыль компании, или доля рынка, или себестоимость продукции, или удовлетворенность потребителей) является одним из лучших показателей ответственности. Недостаточно сделать хорошо (что такое «хорошо»?) какое-то частное дело. Нужно сделать его так, чтобы оно оптимальным способом «легло» в общее Дело, двигая его вперед и вверх. А Конечный Результат Дела легко оцифровывается как по количеству, так и по качеству, и может быть проверен объективными и независимыми даже не оценками, а измерениями .
- Перед собственной Совестью. А можно сказать - перед мнением потомков через 100, 200, 500 лет. Хорошо ли ты сделал свое малое дело не только в рамках прибыли твоей компании, но и для людей в целом? Такая ответственность без специальной подготовки по силам далеко не каждому, зато именно она позволяет выстраивать реально клиенториентированный бизнес, служит критерием правильности не только тактических, но и стратегических решений
Ключевым вопросом в области ответственности является вопрос
«а судьи кто?»
Выстраивание персональной ответственности и ответственных отношений в компании
Упомянутый выше субъект ответственности - тот, кто отвечает - обладает еще массой свойств, определяющих различные категории внутри множества субъектов ответственности.
В этой части мы наметим направления исследования ответственности, каждое из которых может быть подробно раскрыто - если это актуально.
Ответственные люди отличаются по
- Степени своего понимания ответственности. От полного непонимания к пониманию микрорезультата - и через цепочку действий/явлений все большего временнóго масштаба - к ответственности перед Будущим (для атеистов) и Богом (для верующих). В итоге - перед Вечностью
- По степени рефлексии ответственности
- По умению не казнить себя за ошибки, но и не забывать о них
Ответственность проявляется через функции управления
- Через наблюдение. Ответственный человек непрерывно наблюдает за объектом ответственности
- Через решение
- Ответственный человек готовит решение, проверяет его на будущие последствия. Как говорится - «думает, прежде чем командовать или делать»
- Ответственный человек не отказывается от принятия решения, не затягивает его, подходит к решению «ответственно»
- Через действия по исполнению решения. Ответственный человек не только делает многое сам, но и побуждает других - как «вниз», так и «вбок», и «наверх»
- Через суждение об оптимальности решения (рефлексии решения)
Ответственность имеет «ширину». Можно отвечать только за количество, можно еще и за некоторый набор качественных параметров
Ответственность имеет «глубину». Можно отвечать только за свой результат, а можно отвечать и за всю цепочку, в которой этот результат является составным звеном (другой разрез темы «харакири»)
Ответственность ярко проявляется в отношении человека к решениям в сложной ситуации. Если он активно ищет решения, в т.ч. необычные, на первый взгляд рискованные, это высокий уровень. Если отвергает предлагаемые решения с мотивировкой «долго», «сложно», «непонятно» - это низкий уровень.
Ответственность проявляется в готовности принять решение в сложной ситуации. «Надо подумать» и «надо переспать с этим вариантом» - два разных уровня ответственности. В первом случае мы откладываем решение на неизвестное время, во втором - принимаем решение уже сейчас, и просто дополняем его небольшим действием, усиливающим его «крепость» и увеличивающим качество. Самоустранение от принятия решения - управленческие кома и ступор - указывают на низкий уровень ответственности. Еще более низкий уровень демонстрируют те, кто устраняется от выработки решения и даже от поиска решения. Полная безответственность - когда человек не готов осознать объективные цифры, характеризующие результаты его личной деятельности и результаты в сфере его ответственности
Ответственность проявляется в поисках виноватых. Высоко ответственный человек начинает поиск с себя и своих подчиненных. Безответственный винит внешние обстоятельства. Абсолютно безответственный - руководителей, начальников
Ответственность проявляется в отношении к рискам. Высоко ответственный человек работает с рисками - смело их вскрывает, объективно оценивает и отрабатывает меры противодействия. Слабо ответственный - предпочитает не замечать. Безответственный - специально прячет, подсознательно стараясь создать себе «объективное» оправдание для будущих неудач
Ответственность проявляется в способности настоять на своем перед высоким начальством (Рокоссовский, «Операция Багратион»)
Одна из существенных составляющих ответственности - стремление улучшать себя как носителя этой ответственности. Это стремление чаще всего бессознательно, но заметно со стороны. Правда, его часто путают со стремлением поглощать знания без особого разбора, и стремлением повышать свою формальную «образованность», коллекционируя дипломы о высшем образовании, МВА и т.п.
Ответственный человек ищет решения, безответственный - оправдания.
Ответственность проявляется в ситуациях выбора.
Ответственность выявляется и через способность переступить через гордыню и прислушаться к разумным советам. Вместе с тем стремление следовать советам обличает безответственность.
Ответственный человек готов жертвовать своей ответственности, ее предмету. Минимум - жертвовать свое время, на размышления и действия относительно предмета ответственности. Максимум - чем-то весьма для себя ценным - деньгами, жизнью, семьей…
Именно на этих свойствах основаны экспресс-тесты на ответственность.
Довольно часто сила одних свойств ответственности может компенсировать слабость других. Однако распространенная российская ошибка - принимать раскаяние, особенно серьезно запоздалое, особенно неискреннее, за ответственность - приносит много бед
Можно ли говорить о некоторой интегральной мере ответственности? Да, можно, хотя это очень грубый параметр, почти как «мера здоровья». Интегральная мера ответственности наиболее адекватно практике считается как среднее геометрическое из нормированных на 100 частных показателей ответственности.
0-9 - полная безответственность. Карлсон
10-39 - Низкая ответственность. Троцкий
40-59 - Средняя ответственность. Колчак
60-90 - Высокая ответственность. Штирлиц
90-100 - Ответственность. Рокоссовский.
Ответственность напоминает некоторый гормон, который присутствует в организме в определенных количествах. Частично этот «гормон ответственности» вырабатывается каждым организмом, частично он «поступает из внешней среды». От коллег, руководителей, родителей… J
С точки зрения физиологии, ответственность есть постоянно действующий центр возбуждения в мозгу. Один из «центров опасности». Высокий уровень ответственности - когда этот центр работает все время, как у спящей матери младенца. При этом стоит заметить, что к ответственности следует прилагать разумное поведение. Иначе получится исключительно инстинктивное и непродуктивное реагирование на опасность - реальную или мнимую.
Ответственность - это когда человек страдает, если сделал что-то не так (в т.ч. страдает - если не сделал). Но это - потом, когда уже предъявили, люди, обстоятельства или совесть. Более высокий уровень - заметить в моменте. Еще более высокий - спрогнозировать. В последних двух случаях работает еще и разум, который «запускается» опять же ответственностью. Можно сказать: если ты ответственный человек - сразу же включай мозги, когда ответственное подсознание выдало сигнал опасности!
Итоги
Вот таким получилось начало ответа на первый из вопросов, поставленных в начале статьи. При этом такое длинное начало дает возможность дать короткий ответ на этот вопрос: как спрогнозировать - насколько ответственным будет поведение данного сотрудника?
Ответ действительно недлинный. Прогноз поведения легко построить, если нам известны уровни ответственности по каждому из показателей, ее характеризующих. В дополнение к этому знанию требуется понимание того, насколько сильно снижается ответственность, если внешние факторы не стимулируют ее повышения. Итоговый уровень ответственности в конкретный момент времени равен исходному «обычному» уровню за вычетом накопленной поправки на усталость.
Если человека и ситуацию предоставить самим себе, то по второму закону социодинамики любые позитивные качества будут ухудшаться, а социальная энтропия системы - стремиться к максимуму. Достаточно вспомнить жестокий рассказ Чехова «Спать хочется!», чтобы понять направление «естественного» хода событий и темпа снижения ответственности при накоплении, например, усталости. Каждый из нас может по собственному опыту вспомнить, как ведет себя в таких случаях, например, внимательность - «младшая сестра» ответственности.
В сверхсерьезных ситуациях профилактикой «усталости ответственности» занимаются «с запасом». В одном из материалов печати в свое время мне встретился рассказ о том, как организовано дежурство офицеров РВСН у пульта с «красной кнопкой». Лично мне известно ощущение, которое человек испытывает при ответственности за несколько десятков миллионов долларов. Такое ощущение я испытывал в течение двух лет. Но я слабо представляю, как я смог бы вынести ответственность за управление хотя бы десятью ракетами с РГЧ общей мощностью «всего» 10 мегатонн… Офицеры РВСН, по словам автора статьи, служат у пульта годами. Правда, непосредственное «боевое дежурство» продолжается не более 30 минут.
К счастью, в простых случаях уровень ответственности достаточно хорошо восстанавливается после элементарного отдыха нужной продолжительности - от «спокойной ночи» до пары месяцев в Непале.
Разумеется, уровень ответственности и степень ответственности поведения, как всякие социологические и психологические величины, имеют вероятностный характер. Но в подавляющем большинстве практических случаев «пики» распределений являются достаточно узкими, а элементарные меры тактического стимулирования ответственности легко выводят ее на интересующий нас «правый» пик, который, собственно и начинает усталостный дрейф «налево» как единое целое.
1. Стоит заметить, что понятие «кандидат на должность» мы используем более широко, чем это обычно принято. Для нас «кандидатом» является в том числе и человек, занимающий данную должность уже несколько лет. Дело в том, что со временем меняется и человек, и должность, а самый простой способ объективно проверить соответствие человека должности - объявить его «кандидатом» и рассмотреть «как в первый раз». Обычно такие подходы оформляются путем проведения аттестаций или переподписания контракта, но мы предпочитаем свой метод как более яркий и более устойчивый к «замыливанию» взгляда.
Вопросы экзамена CISSP являются концептуальными, поэтому они сформулированы соответствующим образом. Задачей кандидата является выбор наилучшего из всех представленных вариантов ответа. Среди вариантов ответа может не быть идеального ответа на поставленный вопрос - кандидат должен выбрать лучший ответ из имеющихся вариантов.
1. Кто является основным ответственным за определение уровня классификации информации?
2. Какая категория является наиболее рискованной для компании с точки зрения вероятного мошенничества и нарушения безопасности?
3. Если различным группам пользователей с различным уровнем доступа требуется доступ к одной и той же информации, какое из указанных ниже действий следует предпринять руководству?
4. Что самое главное должно продумать руководство при классификации данных?
5. Кто в конечном счете несет ответственность за гарантии того, что данные классифицированы и защищены?
6. Что такое процедура?
7. Какой фактор наиболее важен для того, чтобы быть уверенным в успешном обеспечении безопасности в компании?
8. Когда целесообразно не предпринимать никаких действий в отношении выявленных рисков?
9. Что такое политики безопасности?
10. Какая из приведенных техник является самой важной при выборе конкретных защитных мер?
11. Что лучше всего описывает цель расчета ALE?
12. Тактическое планирование – это:
13. Что является определением воздействия (exposure) на безопасность?
14. Эффективная программа безопасности требует сбалансированного применения:
15. Функциональность безопасности определяет ожидаемую работу механизмов безопасности, а гарантии определяют:
16. Какое утверждение является правильным, если взглянуть на разницу в целях безопасности для коммерческой и военной организации?
17. Как рассчитать остаточный риск?
A. Сотрудники
По стадии обработки информация может быть первичной, вторичной,
Логин это имя ползователя
Укажите правильный адрес ячейки : Б) В1256
Закон «О государственных секретах» был принят в: 1999
Неверно,что вероятность бывает нулевая
Вероятность случившегося события: равна 1
Программы поиска и лечения компьютерных вирусов Dr. Web
Детерменизм это определенность
Информация. Аппаратное обеспечение
1.Наименьшая единица измерения информации
A) Бит
D) Программа
2. К какому поколению ЭВМ относятся компьютеры, на которых мы работаем
A) I поколение
B) II поколение
C) III поколение
D) IV поколение
E) Не знаю
3. Одному Мегабайту памяти соответствует
A) 1024 Кб
D) Среди предъявленных ответов нет правильного
4. Информация - это
A) Реальное отражение явлений
B) Все, что передается источником
A) Переменную и постоянную
B) Текстовую и графическую
C)
Первичную. вторичную, промежуточную и результатную
D) Входную, выходную, внутреннюю и внешнюю
E) Плановую, нормативно-справочную, учетную и оперативную
6. Эмпирические данные, научные знания, гипотезы, теории, законы составляют
A) Формальную структуру информации
D) Реальное отражение явлений
E) Все. что передается источников
7. Данные - это
A) Результат познания действительности
B) Информация, представленная в удобном для обработки виде
C) Любая информация
D) Все, что передается источником
E) Снятая неопределенность
8. Укажите характерную черту информационного общества
A) Приоритет информации по сравнению с другими ресурсами
B) Возможность беспрепятственного получения информации
C) Глубокое внедрение информационных технологий в отдельные отрасли науки
D) Реальное отражение явлений
E) Все передаемся источником
9. Что не является опасной тенденцией информационного общества?
A) Сложность по овладению информационными технологиями
B) Возрастающее влияние средств, массовой информации на общество
С) Нарушение частой жизни людей посредством информационных технологий
D) Невозможность беспрепятственного получения информации
E) Глубокое внедрение информационных технологий в частную жизн
10. Какое свойство информации отражает ее способность реагировать на изменение сходных данных без нарушения необходимой точности?
A) достоверность
B) устойчивость
С) точность
D) своевременность
E) актуальность
11. Какое из высказываний наиболее точно отражает представление об информационном обществе?
A) Общество, в котором большинство работающих занято производством, хранением, переработкой и реализацией информации, особенно высшей ее формы - знаний
B) Общество, в котором большинство работающих занято в сфере услуг
C) Общество, в котором большинство работающих занято производством программного обеспечения
D) Общество. в котором отпадает необходимость в традиционном обучении. Основой обучения становится компьютер
E) Общество, в котором большинство работающих занято в сфере производства материальных продуктов
12. Что такое форматирование?
A) Оптимизация диска
B) Среди предъявленных ответов нет правильного
С) Переименование диска
D) Проверка на наличие вирусов
Е) Инициализация (разметка) диска
13. Для чего служит модем?
A) Среди предъявленных ответов нет правильного
B) Для удобства ввода текстовой информации
C) Для создания порции данных
D) Для перевода информации с одного языка на другой
Е) Для преобразования аналоговой информации в дискретную и наоборот
14. Минимальные составляющие персонального компьютера:
A) системный блок, монитор, модем
B) монитор, клавиатура, жесткий диск
С) системный блок, монитор, клавиатура
D) устройство управления и арифметико-логического устройства
E) устройства ввода и устройства вывода
15. Какое из устройств относится к периферийным устройствам персонального компьютера?
A) Сканер
В) Блок питания
С) Системная плата
D) Видеоплата
E) Электронные схемы
16. Микропроцессор - это
А) основной узел компьютера
В) устройство для хранения информации
C) канал связи
D) устройство ввода
Е) устройство вывода
17. Микропроцессор состоит из
А) устройства ввода
B) устройства управления и арифметико-логического устройства
С) устройства вывода
D) монитор. клавиатуры, жесткого диска
E) постоянной и оперативной памяти
Ответ: В Тема. 2 Подтема: 2 Сложность: 0 Вопрос.
18. Микропроцессор имеет
А) внешнюю память
В) не имеет памяти
С) постоянную и оперативную память
D) устройство ввода
E) устройство вывода
Ответ: С Тема. 2 Подтема: 2 Сложность: 0 Вопрос.
19. Программы, обеспечивающие связь компьютера с подключенными к нему внешними устройствами называются
A) средствами пользовательского интерфейса
B) прикладными программами
C) поисковыми серверами
D) утилитами
E) драйверами
Ответ E. Тема: 2 Подтема: 2 Сложность: 0 Вопрос:
20. Какое из перечисленных устройств располагается в системном блоке персонального компьютера?
A) плоттер
B) монитор
C) стриммер
D) сканер
E) системная плата
Ответ E Тема: 2 Подтема: 2 Сложность: 1 Вопрос:
21. Что не входит в состав системного блока?
A) сканер
B) жесткий диск
C) материнская плата
D) ОЗУ, ПЗУ
E) генератор тактовых частот
22. К какому устройству относятся термины Intel 386, Intel 486, Pentium?
A) к монитору
B) к принтеру
C) к микропроцессору
D) к устройству для хранения информации
Е) к каналу связи
23. Внешняя память компьютера расположена
A) на CD-диске, вне системного блока
B) на жестком диске, внутри системного блока
C) на ZIP-диске, вне системного блока
D) на материнской плате
E) и микропроцессоре
24. В каком узле хранится информация в персональном компьютере?
A) в микропроцессоре
B) в мониторе
C) на жестком магнитном диске
D) на материнской плате
E) ОЗУ, ПЗУ
25. Для чего предназначено ОЗУ?
A) для хранения постоянной программной информации
B) для хранения справочной неизменяемой информации
C) для оперативной записи, хранения и считывания информации, непосредственно чествующей в вычислительном процессе, выполняемом ПК в текущий момент времени
D) для длительного хранения информации и оперативного обмена данными с прочими блоками машины
Е) для долговременного храпения любой информации, которая может когда-либо потребоваться для решения задач
26. Накопители на магнитных дисках служат для
A) хранения информации
В) просмотра информации
C) изменения информации
D) архивации
Е) проверки на вирус
27. Магнитный диск состоит из
A) ячеек
В) дорожек (концентрических окружностей)
D) сегментов
28. Расположите накопители: СD, 3-х дюймовая дискета, ZIP-дискета по мере увеличения объема хранимом информации
A) ZIP-дискета, гибкая дискета, CD
B) СD, гибкая дискета, ZIP-дискета
C) гибкая дискета, ZIP-дискета, CD
D) ZIP-дискета, СD
E) гибкая дискета, СD, ZIP-дискста
29. ZIP- накопители - это
A) внешнее устройство для хранения данных
B) устройство для создания архивных zip-файлов
C) устройство для работы с компакт-дисками
30. Единицей измерения тактовой частоты, в значительной степени, определяющей быстродействие компьютера, является
C) бит
D) байт
E) МГц
31. Емкость дискеты размером 3,5 дюйма
A) 1,2 Мбайт
B) 360 Кбайт
C) 0,7 Мбайт
D) 1,4 Мбайт
32. Форматирование диска - это
A) придание определенной формы диску
B) нумерация дорожек и разбиение диска на секторы
C) считывание или хранение информации
D) архивация
E) проверка накопителя на вирус
33. К устройствам ввода информации относятся
A) принтер, клавиатура, модем
B) сканер, монитор, мышь
С) клавиатура, сканер, мышь
D) монитор, принтер, сканер
E) монитор, модем, клавиатура
34. Клавиатура предназначена для
A) ввода информации в персональный компьютер
B) вывода информации
C) ввода и вывода информации
D) проверки данных
E) кодировки информации
35. Сколько кнопок может иметь мышь?
C) 2 пли 3
D) 1, 2 или 3
36. Как называется устройство ввода информации в ЭВМ непосредственно с бумажного документа
А) Лазерный принтер
B) Клавиатура
С) Сканер
D) Трекбол
E) Джойстик
37. Без какого из ниже перечисленных устройств, невозможно подключение к Интернет?
A) Модем
B) Диджитайзер
C) Термопринтер
D) Сканер
Е) Плоттер
38. Сканер - это
A) устройство для считывания текстовой и графической информации в компьютер
B) устройство для построения графиков
С) устройство для передачи информации по сети
D) устройство для объединения персональных компьютеров в локальную сеть
E) устройство для преобразования звукового сигнала в аналоговый
39. В зависимости от вида управляющего лучом сигнала, мониторы подразделяются на
A) Цифровые и терминальные
B) Аналоговые и цифровые
C) Аналоговые и планшетные
D) Цифровые и планшетные
Е) Монохромные и аналоговые
40. Модем - это
A) устройство для передачи данных между компьютерами через телефонную сеть
В) устройство для объединения персональных компьютеров в локальную сеть
D) устройство для преобразования аналогового сигнала в цифровой
E) устройство для преобразования звукового сигнала в аналоговый
41. Единица измерения скорости передачи информации через модем
B) бод
42. Функции модема при передаче данных
A) преобразование цифрового сигнала в аналоговый
B) преобразование аналогового сигнала в цифровой
C) преобразование звукового сигнала в аналоговый
D) объединение персональных компьютеров в локальную сеть
E) объединение персональных компьютеров в глобальную сеть
43. Функции модема при приеме данных
A) преобразование цифрового сигнала в аналоговый
B) преобразование аналогового сигнала в цифровой
C) объединение персональных компьютеров в локальную сеть
О) объединение персональных компьютеров в глобальную сеть
Е) преобразование звукового сигнала в аналоговый
44. Разрешение экрана монитора - это
А) количество точек на экране по вертикали и горизонтали
В) количество цветовых оттенков, которое может воспроизводить точка экрана
С) количество текстовых символов, вмещающихся на экран
D) графическая адаптация файлов
E) размер монитора по диагонали
45. Понятия «лазерный», «матричный», «струйный» относятся
А) к монитору
B) к принтеру
C) к cканеру
D) к плоттеру
E) к модему
46. К мультимедийным устройствам относятся
A) Принтер, сканер, звуковая карта
B) звуковая карта, видеокамера, динамики
C) модем, сканер, плоттер
D) сканер, монитор, мышь
E) монитор, принтер, сканер
Группы П-41, П-42,П-43.
1. Кто является основным ответственным за определение уровня классификации информации?
A. Руководитель среднего звена
B. Высшее руководство
C. Владелец +
D. Пользователь
A. Сотрудники +
B. Хакеры
C. Атакующие
D. Контрагенты (лица, работающие по договору)
3. Что самое главное должно продумать руководство при классификации данных?
A. Типы сотрудников, контрагентов и клиентов, которые будут иметь доступ к данным
B. Необходимый уровень доступности, целостности и конфиденциальности +
C. Оценить уровень риска и отменить контрмеры
D. Управление доступом, которое должно защищать данные
4. Кто в конечном счете несет ответственность за гарантии того, что данные классифицированы и защищены?
A. Владельцы данных
B. Пользователи
C. Администраторы
D. Руководство+
5. Что такое процедура?
A. Правила использования программного и аппаратного обеспечения в компании
B. Пошаговая инструкция по выполнению задачи +
C. Руководство по действиям в ситуациях, связанных с безопасностью, но не описанных в стандартах
D. Обязательные действия
6. Какой фактор наиболее важен для того, чтобы быть уверенным в успешном обеспечении безопасности в компании?
A. Поддержка высшего руководства+
B. Эффективные защитные меры и методы их внедрения
C. Актуальные и адекватные политики и процедуры безопасности
D. Проведение тренингов по безопасности для всех сотрудников
7. Когда целесообразно не предпринимать никаких действий в отношении выявленных рисков?
A. Никогда. Для обеспечения хорошей безопасности нужно учитывать и снижать все риски
B. Когда риски не могут быть приняты во внимание по политическим соображениям
C. Когда необходимые защитные меры слишком сложны
D. Когда стоимость контрмер превышает ценность актива и потенциальные потери+
8. Что такое политики безопасности?
A. Пошаговые инструкции по выполнению задач безопасности
B. Общие руководящие требования по достижению определенного уровня безопасности
C. Широкие, высокоуровневые заявления руководства+
D. Детализированные документы по обработке инцидентов безопасности
9. Какая из приведенных техник является самой важной при выборе конкретных защитных мер?
A. Анализ рисков
B. Анализ затрат / выгоды+
C. Результаты ALE
D. Выявление уязвимостей и угроз, являющихся причиной риска
10. Что лучше всего описывает цель расчета ALE?
A. Количественно оценить уровень безопасности среды
B. Оценить возможные потери для каждой контрмеры
C. Количественно оценить затраты / выгоды
D. Оценить потенциальные потери от угрозы в год+
11. Тактическое планирование – это:
A. Среднесрочное планирование +
B. Долгосрочное планирование
C. Ежедневное планирование
D. Планирование на 6 месяцев
12. Что является определением воздействия (exposure) на безопасность?
A. Нечто, приводящее к ущербу от угрозы +
B. Любая потенциальная опасность для информации или систем
C. Любой недостаток или отсутствие информационной безопасности
D. Потенциальные потери от угрозы
13. Эффективная программа безопасности требует сбалансированного применения:
A. Технических и нетехнических методов +
B. Контрмер и защитных механизмов
C. Физической безопасности и технических средств защиты
D. Процедур безопасности и шифрования
14. Функциональность безопасности определяет ожидаемую работу механизмов безопасности, а гарантии определяют:
A. Внедрение управления механизмами безопасности
B. Классификацию данных после внедрения механизмов безопасности
C. Уровень доверия, обеспечиваемый механизмом безопасности +
D. Соотношение затрат / выгод
15. Какое утверждение является правильным, если взглянуть на разницу в целях безопасности для коммерческой и военной организации?
A. Только военные имеют настоящую безопасность
B. Коммерческая компания обычно больше заботится о целостности и доступности данных, а военные – о конфиденциальности +
C. Военным требуется больший уровень безопасности, т.к. их риски существенно выше
D. Коммерческая компания обычно больше заботится о доступности и конфиденциальности данных, а военные – о целостности
A. Угрозы х Риски х Ценность актива
B. (Угрозы х Ценность актива х Уязвимости) х Риски
C. SLE x Частоту = ALE
D. (Угрозы х Уязвимости х Ценность актива) x Недостаток контроля+
17. Что из перечисленного не является целью проведения анализа рисков?
A. Делегирование полномочий +
B. Количественная оценка воздействия потенциальных угроз
C. Выявление рисков
D. Определение баланса между воздействием риска и стоимостью необходимых контрмер
18. Что из перечисленного не является задачей руководства в процессе внедрения и сопровождения безопасности?
A. Поддержка
B. Выполнение анализа рисков +
C. Определение цели и границ
D. Делегирование полномочий
19. Гарантия того, что конкретная информация доступна только тому кругу лиц, для которых она предназначена
a) Конфиденциальность+
b) целостность
c) доступность
d) аутентичность
e) аппелеруемость
20. Гарантия того, что АС ведет себя в нормальном и внештатном режиме так, как запланировано
a) Надежность+
b) точность
c) контролируемость
d) устойчивость
e) доступность
21. классификацию вирусов по способу заражения входит
a) опасные
b) файловые
c) резидентные нерезидентные+
d) файлово -загрузочные
22. Комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на предприятии это…
A. комплексное обеспечение ИБ+
B. безопасность АС
C. угроза ИБ
D. атака на АС
E. политика безопасности
23. Вирусы, не связывающие свои копии с файлами, а создающие свои копии на дисках, не изменяя других файлов, называются:
a) компаньон - вирусами
b) черви+
d) студенческие
24. К видам системы обнаружения атак относятся:
a. системы, обнаружения атаки на ОС
b. системы, обнаружения атаки на конкретные приложения
c. системы, обнаружения атаки на удаленных БД
d. все варианты верны+
25. Автоматизированная система должна обеспечивать
a) надежность
b) доступность и целостность+
c) контролируемость
26. Основными компонентами парольной системы являются
A. интерфейс администратора база данных учетных записей+
B. хранимая копия пароля
C. все варианты верны
27. К принципам информационной безопасности относится
a) скрытость
b) масштабность
c) системность+
28. К вирусам изменяющим среду обитания относится:
B. студенческие
C. полиморфные+
D. спутники
29. Охрана персональных данных, государственной служебной и других видов информации ограниченного доступа это…
a) Защита информации+
b) Компьютерная безопасность
c) Защищенность информации
d) Безопасность данных
30. Система физической безопасности включает в себя следующую подсистему:
a) скрытность
b) аварийная и пожарная сигнализация+
c) Безопасность данных
31. Какие степени сложности устройства Вам известны
a) Упрощенные встроенные
b) простые сложные+
c) оптическиепростые
d) встроенные
32. К механическим системам защиты относятся:
a) Проволока+
b) сигнализация
33. К выполняемой функции защиты относится:
a) внешняя защита
b) внутренняя защита
c) все варианты верны+
34. Набор аппаратных и программных средств для обеспечения сохранности, доступности и конфиденциальности данных:
A. Защита информации
B. Компьютерная безопасность+
C. Защищенность информации
D. Безопасность данных
35. Гарантия того, что при хранении или передаче информации не было произведено несанкционированных изменений:
A. конфиденциальность
B. целостность+
C. доступность
D. аутентичность
E. аппелеруемость
36. Гарантия точного и полного выполнения команд в АС:
A. надежность
B. точность+
C. контролируемость
D. устойчивость
E. доступность
37. Уровень защиты, при котором затраты, риск, размер возможного ущерба были бы приемлемыми:
A. принцип системности
B. принцип комплексности
C. принцип непрерывности
D. принцип разумной достаточности+
E. принцип гибкости системы
38. Совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты АС от заданного множества угроз безопасности:
A. Комплексное обеспечение информационной безопасности
B. Безопасность АС
C. Угроза информационной безопасности
D. атака на автоматизированную систему
E. политика безопасности+
39. Особенностями информационного оружия являются:
A. системность
B. открытость
C. универсальность+
40. К типам угроз безопасности парольных систем относятся
A. словарная атака
B. тотальный перебор
C. атака на основе психологии
D. разглашение параметров учетной записи
E. все варианты ответа верны+
41. К вирусам не изменяющим среду обитания относятся:
A. Черви+
B. студенческие
C. полиморфные
D. все варианты ответа верны
42. Антивирусная программа принцип работы, которой основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых вирусов называется:
A. ревизором
B. иммунизатором
C. сканером+
D. доктора и фаги
43. В соответствии с особенностями алгоритма вирусы можно разделить на два класса:
a) вирусы изменяющие среду обитания, но не распространяющиеся
b) вирусы не изменяющие среду обитания при распространении+
c) вирусы не изменяющие среду обитания и не способные к распространению в дальнейшем
44. К достоинствам технических средств защиты относятся:
A. регулярный контроль
B. создание комплексных систем защиты+
C. степень сложности устройства
D. Все варианты верны
45. К системам оповещения относятся:
a) инфракрасные датчики+
b) электромеханические датчики
c) электрохимические датчики
46. К национальным интересам РФ в информационной сфере относятся:
a) Реализация конституционных прав на доступ к информации+
b) Защита информации, обеспечивающей личную безопасность
a) Политическая экономическая и социальная стабильность
b) Сохранение и оздоровлении окружающей среды
45.Интерпретация информации – это