Teste Gril-Â La Disciplina Auditarea Sistemelor Informatice

Teste gril la disciplina Auditarea sistemelor informatice pentru
specializarea CIG, anul III ZI i anul IV FR i ID 2008
1. Din definiia urmtoare a auditului lipsesc 4 grupuri de cuvinte.

Auditul este un proces sistematic de obinere i evaluare obiectiv a ... referitoare la ...
diferitelor aciuni economice i evenimente, pentru a certifica gradul n care acestea
corespund unor..., n vederea transmiterii acestei certificri ctre... .
Pentru completarea spaiilor libere din definiia de mai sus a auditului se propun urmtoarele grupe de
cuvinte:
a. dovezi;
b. criterii prestabilite;
c. declaraii, raportri i evaluri;
d. utilizatorii interesai.
Mai jos sunt date 4 variante cu ordinea de utilizare n definiie a acestor grupe de cuvinte:
1. a, b, c, d;
2. a, c, b, d;
3. c, b, a, d;
4. c, b ,d, a;
Indicai varianta corect independent de acordurile gramaticale.
2. Despre afirmaiile
a) Auditul intern reprezint activitatea de examinare obiectiv a ansamblului activitii entitii economice
n scopul furnizrii unei evaluri independente a managementului riscului, controlului i proceselor de
conducere a acestuia.
b) Pentru auditorul financiar auditul sistemului informatic nu va reprezenta un scop n sine la nivelul
entitii ci va constitui elementul de baz n cadrul activitii acestuia att n etapa de planificare a auditului,
ct i n perioada de desfurare a procedurilor de audit
se poate spune c sunt adevrate:
1. Ambele
2. Doar a
3. Doar b
4. Nici una
3. Despre auditul intern se poate spune c are n principal urmtoarele obiective:
1. Stimularea i promovarea eficienei i eficacitii tuturor funciilor i aplicaiilor entitii;
2. Asigurarea oportunitii raportrilor de orice natur, n special a celor financiare;
3. Meninerea conformitii cu legile i normele de reglementare aplicabile.
Indicai varianta eronat.
4. Auditul intern trebuie s aib n vedere c riscurile introduse de TI ar putea afecta:
1. Confidenialitatea datelor: protecia mpotriva dezvluirii neautorizate
2. Integritatea datelor: folosirea unor informaii precise, corecte, completate de factorul decizional
3. Disponibilitatea datelor: existena datelor necesare.

4. Indicai varianta incomplet.
5. Despre definiia auditului financiar i rolul controlului intern n cadrul auditului

financiar se poate spune c:
a. Auditul financiar const n activitatea desfurat de auditori independeni avnd
drept obiectiv exprimarea unei opinii, potrivit creia situaiile financiare au fost
ntocmite, sub toate aspectele semnificative, n conformitate cu interesele naionale.
b. Auditorul financiar se bazeaz n planificarea activitii i obinerea probelor de audit
pe calitatea controlului intern existent la entitatea auditat.
Teoretic, este posibil ca dintre afirmaiile de mai sus s fie adevrate
1. Doar a.
2. Doar b.
3. Nici una.
4. Amndou.
Din aceste patru variante alegei varianta corect.
6. Printre riscurile generate de tehnologia informaional se afl i:
a. Dependena de capacittile de funcionare ale echipamentelor i programelor
informatice;
b. Reducerea implicrii factorului uman;
c. Absena autorizrii tradiionale;
d. Lipsa dovezilor tranzaciilor.
1. Doar a i b.
2. Doar b i c
3. Doar b i d.
4. Toate
5. Nici una.
Din aceste cinci variante alegei varianta corect.
a) Auditul intern reprezint activitatea de examinare obiectiv a ansamblului activitii entitii economice
n scopul furnizrii unei evaluri independente a managementului riscului, controlului i proceselor de
conducere a acestuia.
b) Pentru auditorul financiar auditul sistemului informatic este util doar n etapa de planificare a auditului.
5. Ambele
6. Doar a
7. Doar b
8. Nici una
8. Din definiia urmtoare a auditului sistemelor informatice lipsesc 4 grupuri de cuvinte.
Auditul sistemelor informatice este activitatea prin care auditorul n urma ... unor probe
specifice de audit, i exprim , ... asupra modului n care sistemul informatic permite ...
strategice ale entitii n condiiile . a tuturor resurselor informatice.
Pentru completarea spaiilor libere din definiia de mai jos a auditului se propun urmtoarele grupe de
cuvinte
a. Colectare i evaluare.
b. Atingere obiective.
c. Opinie.
d. Utilizare eficient.
1. a, b, c, d;
2. a, c, b, d;
3. c, b, a, d;
4. c, b ,d, a;
9. Cte faze generale se disting n cadrul activitii de audit a sistemelor informatice?
1.
8.
2.
5.
3.
7.
4.
6.
Indicai varianta corect.
10. Din enumerarea de mai jos marcat cu linioare, lipsesc 5 grupuri de cuvinte.
Principalele categorii de activiti care se desfoar n cadrul auditrii sistemelor informatice se refer la
verificarea:
- ... sistemului informatic
- ... i a modului de desfurare a activitilor sistemului informatic
- . i n special al procedurilor de control automat, al validrilor, al prelucrrilor datelor i distribuiei
rezultatelor
- ... de calculatoare - drepturi de acces, firewall, antivirus, etc.
- . de recuperare n caz de dezastre.
Pentru completarea spaiilor libere din enumerarea de mai sus se propun urmtoarele grupe de cuvinte:
a. Managementului
b. Securitaii reelelor
c. Aplicaiilor informatice
d. Securitii fizice
e. Planurilor i procedurilor
Mai jos sunt date 4 variante cu ordinea de utilizare n enumerare a acestor grupe de cuvinte:
1. a, d, c, b, e;
2. a, c, b, d, e
3. c, b, e, a, d;
4. e, c, b ,d, a;
Indicai varianta corect
11. n fundamentarea planului su de audit i n precizarea procedurilor de audit cele mai
adecvate condiiilor concrete de desfurare a auditului, auditul financiar va utiliza:
a. Toate activitile desfaurate de auditorul sistemului informatic
b. Raportul auditorului sistemului informatic asupra eficienei, calitii i siguranei n
exploatare a sistemului informatic.
1. Doar a
2. Doar b
3. Amndou
4. Nici una.
12. Securitatea IT presupune :
1. Confidenialitate
2. Integritate
3. Vigilen
4. Conformitate cu legislaia
Indicai afirmaia incorect.
13. Din definia de mai jos a ameninrii lipsesc 4 grupuri de cuvinte.
O ameninare reprezint un ... care poate afecta securitatea (confidenialitatea,
integritatea, disponibilitatea) unui ... , component a ... , conducnd la o potenial ... sau
defeciune.
Pentru completarea spaiilor libere din definiia de mai sus se propun urmtoarele grupe de cuvinte:
a. pierdere
b. bun
c. sistem informatic
d. pericol.
1. a, b, c, d;
2. a, c, b, d;
3. d, b, c, a
4. c, b ,d, a;
14. Printre ntrebrile cheie prin care se poate obine o prim imagine privind securitatea
sistemului informatic al unei companii se afl i urmtoarele:
l.Este software-ul organizaiei certificat de o instituie specializat? Este configurat i instalat sigur?
Se realizeaz periodic misiuni de audit ale sistemului?
2. Sunt parolele sigure (se verific dac sunt: uor de ghicit, schimbate periodic, se folosesc
parole temporare sau implicite)? Pot angajaii s vad parolele n momentul tastrii? Se
blocheaz automat ecranele dup 2 ore de inactivitate?
3. Sunt ncriptate cele mai importante date stocate n sistem ?
4. Ct de accesibil este echipamentul? PC-urile i serverele sunt plasate n apropierea zonelor de
acces public?
Indicai intrebarea ce conine o eroare (celelalte sunt bine formulate).
15. Printre punctele cheie legate de controlul securitii a putea fi i urmtoarele:
1. Politic de securitate redactat.
2. Alocarea responsabilitilor privind securitatea.
3. Educarea i pregtirea utilizatorilor n problema colaborrii ntre colective de proiectare.
4. Raportarea incidentelor de securitate.
Indicai afirmaia eronat.
16. Printre punctele cheie legate de controlul securitii a putea fi i urmtoarele:
1. Controlul viruilor.
2. Plan de continuare a activitii (n caz de dezastre).
3. Controlul software-ului liceniat.
4. Salvarea datelor i gestiunea copiilor difuzate n exterior.
a) Vulnerabilitile reprezint orice caracteristici ale sistemului care ar uura posibilitile concurenei de a
afla secretele firmei.
b) Ameninrile reprezint orice pericol potenial la care este expus un sistem constnd n: acces
neautorizat, alterri sau distrugerea datelor, software-ului, resurselor hard sau de comunicaie etc.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
a) Vulnerabilitile reprezint orice caracteristici ale sistemului care l pot expune la ameninri.
b) Ameninrile reprezint orice pericol potenial la care este expus un sistem constnd n: acces
neautorizat, alterri sau distrugerea datelor, software-ului, resurselor hard sau de comunicaie etc.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
19. Deosebirea dintre ameninri i riscuri const n aceea c
a. Ameninrile exprim probabilitatea producerii unor evenimente adverse poteniale.
b. n timp ce riscurile exprim frecvena producerii ameninrilor.
1. Doar a
2. Doar b
3. Amndou
4. Nici una.
20. Principalele tipuri de ameninri ale unui sistem informatic al unei organizaii:
1. Dezastre naturale i politice;
2. Erori software i funcionri defectuoase ale hardware-ului;
3. Aciuni intenionate; Indicai
varianta incorect.
21. Printre principalele tipuri de vulnerabiliti ale unui sistem informatic al unei
organizaii se numr i urmtoarele:
1. Vulnerabilitile hardware i software.

2. Vulnerabilitile mediului de stocare.
3. Vulnerabiliti ale mediului de dezvoltare.
22. Printre principalele tipuri de vulnerabiliti ale unui sistem informatic al unei
organizaii se numr i urmtoarele:
a. Vulnerabiliti umane;
b. Vulnerabiliti fizice;
c. Vulnerabiliti naturale.
1. Doar a.
2. Doar b.
3. Doar c.
4. Toate trei.
5. Nici una.
a) Referitor a abordarea Bottom Up n mbuntirea securitii se poate spune c aceast abordare pleac
de la ce se dorete a fi protejat, de la ce nivel trebuie asigurat securitatea i fa de cine trebuie asigurat
aceast protecie.
b) Managementul securitii este un proces sistematic, continuu i riguros cuprinznd procese de
supraveghere, analiz, planificare, control i soluionare a riscurilor sistemului. se poate spune c sunt
adevrate:
1. Ambele
2. Doar a
1. Doar b
2. Nici una
24. Abordarea Top Down n mbuntirea securitii ncepe cu:
1. Precizarea nivelului de la care trebuie asigurat securitatea.
2. Analiza regulilor de securitate/politicilor/practicilor curente n cadrul organizaiei.
3. Definirea
obiectivelor
de
securitate
de
baz
legate
de
disponibilitate,
confidenialitate i integritate.
4. Analiza ameninrilor.
25. Printre principalele categorii de ameninri se numr i urmtoarele:
1. Ameninri avnd caracter aleatoriu.
2. Ameninri legate de identificare/autorizare
3. Ameninri privind credibilitatea serviciilor
4. Ameninri secrete.
26. Printre principalele categorii de ameninri se numr i urmtoarele:
1. Ameninri ale integritii/acurateei
2. Ameninri privind sigurana accesului
3. Ameninri de natura repudierii
4. Ameninri legale
27. Printre sursele ameninrilor se numr i urmtoarele:
1. Starea vremii
2. Spionajul economic (competitorii).
3. Angajaii
4. Hackerii.
1. Doar b.
2. Doar b i c.
3. Doar b, c i d.
4. Doar a.
5. Nici una.
28. Printre sursele ameninrilor se numr i urmtoarele:

1. Contractori vnztori care au acces (fizic sau prin reea) la sisteme.
2. Slaba pregtire a personalului.
3. Investigatori particulari.
4. Jurnaliti n cutarea unor subiecte
1. Doar a i b.
2. Doar b i c.
3. Doar b, c i d.
1. Doar a, c i d
2. Nici una.
29. Pentru completarea spaiilor libere din definiia de mai jos a managementului
securitii sistemului informatic se vor folosi urmtoarele grupe de cuvinte:
a. a managementului integrat;
b. efectelor riscurilor;
c. crearea instrumentelor;
d. analiza riscurilor i implementarea soluiilor.
Managementul securitii sistemului informatic este acea component . care urmrete . necesare pentru .
destinate limitrii . asupra sistemului informatic. Varianta cu ordinea de utilizare corect n text a acestor
grupe de cuvinte se afl printre cele de mai jos. n variant grupurile de cuvinte sunt reprezentate de litera
lor de ordine de mai sus:
1) a, b, c, d;
2) a, c, b, d;
3) c, b, a, d;
4) a, c ,d, b.
Indicai varianta corect.
30. Printre sarcinile ce revin managementului la vrf privitor la securitatea sistemului
informatic se afl i urmtoarele:
1. S fie informat despre securitatea informaiei stocate i procesate n cadrul sistemului;
2. S stabileas direcia strategiei i politicii n domeniul securitii IT i s defineasc un profil de risc
asumat;
3. Identificarea resurselor necesare efortului de realizare a sistemului de securitate stabilit prin
politicile elaborate;
4. Asignarea responsabilitilor la nivelul conducerii.
31. Printre sarcinile ce revin managementului la vrf privitor la securitatea sistemului
1. Stabilirea prioritilor;
2. Susinerea schimbrilor;
3. Definirea valorilor culturale legate de contientizarea riscurilor;
4. Contactarea auditorilor interni i externi;
32. Printre sarcinile ce revin
managementului
executiv
privitor
la
securitatea
sistemului
1. Scrierea politicii de securitate;

2. Asigurarea c rolurile individuale, responsabilitile i autoritile sunt clar
comunicate i nelese;
3. Identificarea ameninrilor i vulnerabilitilor i a practicilor aplicabile;
4. Punerea la punct a infrastructurii de comunicaie;
33. Printre sarcinile ce revin managementului executiv privitor la securitatea sistemului
1. Conduce reevalurile i testele periodice;
2. Implementeaz mijloacele de detectare a intruziunilor i modalitile de rspuns la incidente.
3. Asigur pregtirea utilizatorilor cu privire la necesitatea respectrii cerinelor de
corectitudine;
4. Asigur ca securitatea s fie o parte integrant a ciclului de via al proceselor i detalierea
cerinelor de securitate la nivelul fiecrei faze a ciclului de via.
34. Printre sarcinile ce revin managementului executiv privitor la securitatea sistemului
1. Dezvoltarea unui cadru de securitate i control care const din standarde, msuri, practici i
proceduri dup aprobarea politicii;
2. Decide cu privire la resursele disponibile, prioritile i msurile pe care i le poate permite
organizaia;
3. Stabilete msurile de monitorizare pentru detectarea i nlturareasurselor de erori provenite
din introducerea datelor;
4. Conduce reevalurile i testele periodice;
a) Referitor a abordarea Bottom Up n mbuntirea securitii se poate spune c aceast abordare pleac
de la ce se dorete a fi protejat, de la ce nivel trebuie asigurat securitatea i fa de cine trebuie asigurat
aceast protecie.
b) Managementul securitii este un proces sistematic, continuu i riguros cuprinznd procese de
identificare, analiz, planificare, control i soluionare a riscurilor sistemului. Se poate spune c sunt
adevrate:
1. Ambele
2. Doar a
3. Doar b
4. Nici una
36. Obiectivele de securitate pot fi sintetizate astfel:
a. Informaia s fie disponibil i utilizabil atunci cnd este solicitat i
sistemele care ofer respectiva informaie s prezinte mecanisme adecvate de protecie
la atacuri i de identificare a efectelor atacurilor (disponibilitate).
b. Informaia s fie accesibil tuturor utilizatorilor (confidenialitate)
c. Informaia este protejat mpotriva modificrilor neautorizate (integritate)
d. Tranzaciile ca i informaia transferat n mod electronic ntre
partenerii de afaceri s fie nealterat (autenticitate i nonrepudiere).

1. Doar a i b.
2. Doar b i c.
3. Doar b, c i d.
4. Doar c i d
5. Nici una.
37. Printre principalele activiti implicate de securitatea informaiilor se afl i urmtoarele:
1. Politica de dezvoltare - folosind obiectivele de securitate i
principiile de baz drept cadru pentru dezvoltarea politicii de securitate.
2. Roluri i responsabiliti - asigurarea faptului c rolurile individuale, responsabilitile i
autoritile sunt consemnate n documentele de proiectare a cadrului de securitate.
3. Proiectarea - dezvoltarea cadrului de securitate i control care const din standarde, msuri, practici
i proceduri.
Identificai afirmaia eronat.
38. Printre principalele activiti implicate de securitatea informaiilor se afl i urmtoarele:
1. Proiectarea - dezvoltarea cadrului de securitate i control care const din standarde, msuri, practici
i proceduri.
2. Monitorizarea - stabilirea mijloacelor de monitorizare pentru detectarea i sesizarea breelor
de securitate i asigurarea cunoaterii politicii, standardelor i practicilor minimale de securitate
acceptabile.
3. Contientizarea, formarea i educarea - contientizarea necesitii protejrii informaiei i pregtirea
utilizatorilor n domeniul practicilor de securitate.
a) Managementul riscurilor reprezint procesul de implementare i meninere a contramsurilor de
reducere a efectelor riscurilor la un nivel considerat acceptabil de ctre managementul organizaiei
b) Politica de securitate reprezint un set de reguli i practici care reglementeaz modul n care o
organizaie protejeaz i distribuie produsele sale.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
40. Managementul riscurilor impune printre altele i urmtoarele:
1. Auditul instituiilor publice.
2. Testarea vulnerabilitilor i accesului neautorizat.
3. Monitorizare (detectarea accesului neautorizat, dispozitive de identificare etc)
4. Instalarea i administrarea serviciilor de ncredere.
41. Managementul riscurilor impune printre altele i urmtoarele:
1. Analize de risc (vulnerabiliti)

2. Politici de securitate
3. Schema de securitate TI
4. Auditul instituiilor publice.

42. Despre analiza riscurilor se poate spune c:
a. Este un proces de evaluare a vulnerabilitilor sistemului i
care acesta este expus.
b. Procesul de analiz identific consecinele probabile ale riscurilor, asociate cu
vulnerabilitile.
c. Ofer bazele ntocmirii unui plan de securitate care s rspund unui raport
corespunztor eficien-cost.
1. Doar a.
2. Doar b.
3. Doar c.
4. Toate trei.
5. Nici una.
ameninrilor
43. Printre paii de parcurs n cadrul procesului de analiz a riscurilor se afl i urmtorii:
1. Stabilirea politicii generale de securitate a sistemului informaional. Politica general de
securitate va cuprinde reguli, norme, obligaii i responsabiliti aplicabile tuturor categoriilor de
informaii, procese de prelucrare i angajai din cadrul organizaiei.
2. Reproiectarea sistemului.
3. Managementul evenimentelor.
44. Printre paii de parcurs n cadrul procesului de analiz a riscurilor se afl i urmtorii:
1. Managementul societii sau instituiei.
2. Definirea arhitecturii de securitate care rspunde cel mai bine cerinelor organizaiei.
3. Control i feed-back.
a) Managementul riscurilor reprezint procesul de implementare i meninere a contramsurilor de
reducere a efectelor riscurilor la un nivel considerat acceptabil de ctre managementul organizaiei
b) Politica de securitate reprezint un set de reguli i practici care reglementeaz modul n care o
organizaie protejeaz i distribuie informaiile i n mod special informaiile sensibile.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
46. Politica de securitate presupune printre altele i elaborarea :
1. Structurilor de securitate.
2. Planului de actvitate a societii sau instituiei.
3. Directivelor i normelor de securitate n cadrul sistemului.
4. Clasificrii informaiilor. Indicai
afirmaia eronat.
la
47. Printre altele politicia de securitate se refer la:

a. Definirea resurselor i serviciilor accesibile utilizatorilor.
b. Controlul accesului.
c. Politici i metode pentru identificarea i autentificarea local i la distan a
utilizatorilor
d. Utilizarea metodelor i dispozitivelor de criptare pentru a mri viteza de transmisie
a datelor.
1. Doar a i b.
2. Doar b i c.
3. Doar a, b i c.
4. Doar c i d
5. Nici una.
48. Printre altele politicia de securitate se refer la:
a. Auditul sistemului informational.
b. Protecia
c. Manualele de securitate
d. Educaie i certificare.
1. Doar a i b.
2. Doar b i c.
3. Doar b, c i d.
4. Doar c i d
5. Nici una.
49. Pentru a defini resursele i serviciile accesibile utilizatorilor se stabilesc printre altele
i urmtorele elemente:
1. Serviciile care pot fi accesibile utilizatorilor interni (ex.: e-mail, htp, www)
2. Eventualele restricii impuse n utilizarea acestor servicii.
3. Utilizatorii care nu au dreptul s acceseze Internet-ul.
50. Pentru a defini resursele i serviciile accesibile utilizatorilor se stabilesc printre altele
i urmtorele elemente:
1.Serviciile furnizate de organizaie comunitii Internet.
2. Host-urile interne de la care se poate sau nu se poate "iei" n Internet.
3. Host-urile interne care nu pot fi accesate din exterior.
a) Scopul clasificrii informaiilor este de a identifica dificultatea fundamentrii msurilor de control i
protecie cele mai adecvate.
b) Datele interne reprezint date procesate n sistem n cadrul diferitelor compartimente funcionale pentru
care accesul direct, neautorizat trebuie prevenit.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
52. Printre principiile care pot fi folosite n clasificarea datelor se afl i urmtoarele:
a. Valoarea informaiei pentru companie;
b. Valoarea informaiei pe pia;
c. Costul informaiei respective;
d. Costul relurii transmiterii unei informaii distruse;
1. Doar a, b i c.
2. Doar b i c.
3. Doar b, c i d.
4. Doar c i d
5. Nici una.
53. Printre principiile care pot fi folosite n clasificarea datelor se afl i urmtoarele:
a. Consecinele generate de imposibilitatea de a accesa o anumit informaie;
b. Gradul de utilitate a informaiei n raport cu obiectivele
organizaiei;
c. Motivaia posibil a unor tere persoane, eventual competitori
de a accesa, modifica sau distruge o anume informaie;
d. Impactul asupra credibilitii organizaiei ca urmare a scderii calitii
produselor sale.
1. Doar a i b.
2. Doar a, b i c.
3. Doar b, c i d.
4. Doar c i d
5. Nici una.
54. Datele sunt clasificate pe patru nivele i anume:
1. Date publice (informaie neclasificat)
2. Date secret de serviciu.
3. Date confideniale
4. Date secrete (top secret").
Identificai afirmaia incorect.
55. n vederea clasificrii datelor nu se are n vedere doar coninutul datelor i
informaiilor din sistem ci i o serie de alte aspecte i anume:
a. Toate datele au un anume proprietar. Sistemul informatic recunoate drept
proprietar utilizatorul care a creat respectivele date n sistem;
b. Proprietarul datelor trebuie s precizeze ce ali utilizatori nu au dreptul s
acceseze respectivele date;
c. Proprietarul are responsabilitatea asupra datelor sale i trebuie s le asigure
securitatea mpreun cu administratorul n conformitate cu nivelul de clasificare
fixat;
organizaiei,
d. Toate documentele generate de sistem trebuie s fie la rndul lor clasificate, iar
nivelul de clasificare este recomandat s fie nscris n procesul verbal de predareprimire a corespondenei.
1. Doar a i b.
2. Doar a, b i c.
3. Doar b i c
4. Doar b i d
5. Nici una.
56. Pentru date publice (informaie neclasificat) sunt prevzute printre altele,
urmtoarele cerine:
1. Instalarea de snifere (software sau dispozitiv care captureaz pachetele de date transmise ntr-o
reea).
2. Scanare antivirus.
3. Deschiderea de conturi doar persoanelor autorizate, conturile putnd avea i parole de
acces.
4. Accesul la scriere pentru fiierele de sistem trebuie restricionat la grupuri de utilizatori sau
maini (calculatoare).
a) Scopul clasificrii informaiilor este de a identifica riscul aferent diferitelor categorii de informaii n
vederea fundamentrii msurilor de control i protecie cele mai adecvate.
b) Datele interne reprezint date procesate n sistem n cadrul diferitelor compartimente funcionale pentru
care accesul direct, neautorizat trebuie prevenit.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
58. Pentru documentele din clasa 2 de importan se recomand s existe un ghid al
utilizatorului cu caracteristici de securitate, adic:
a. Descrierea mecanismelor de securitate din punctul de vedere al utilizatorului.
b. Ghid pentru administrarea securitii.
1. Doar a
2. Doar b
3. Amndou
4. Nici una.
59. Pentru documentele din clasa 2 de importan:
a. Trebuie s existe funcii pentru verificarea integritii hardware i firmware.
b. Se verific dac au fost testate cu succes mecanismele de securitate.
1. Doar a
2. Doar b
3. Amndou
4. Nici una.
60. Despre documentele din clasa 3 de importan se poate spune c:
1. Sunt confideniale n cadrul organizaiei i protejate fa de accesul extern.
2. ncepnd de la acest nivel integritatea datelor este vital.
3. Afectarea confidenialitii acestor date ca urmare a unui acces neautorizat poate afecta
eficiena operaional a organizaiei, poate genera pierderi financiare i oferi un avantaj
competitorilor, dar la acest nivel afectarea confidenialitii datelor nc nu cauzeaz
scderea ncrederii clienilor.
61. Pentru clasa 3 de securitate protejarea accesului controlat presupune
recomandrile precizate pentru clasa 2 de senzitivitate la care se adaug:
1. Manualul caracteristicilor de securitate, identificarea i autorizarea (nu se
admite definirea de conturi la nivel de grup), calitatea controlului accesului
(controlul atribuirii de privilegii) i testarea securitii.
2. Responsabilitatea utilizatorului: utilizatorii au responsabilitatea aciunilor lor. De aceea trebuie
s existe posibilitatea de audit trail mpreun cu funcii de monitorizare i alert. Jurnalele de audit
(audit logs) trebuie s fie protejate.
3. Reutilizarea obiectelor: Este de dorit ca obiectele folosite de o persoan s fie
reiniializate nainte de a fi utilizate de o alt persoan.
a) Pentru clasa 3 de securitate securizarea transmisiei de date presupune ca n
transmiterea de mesaje sau n utilizarea de programe care comunic ntre ele trebuie
meninute confidenialitatea i integritatea.
b) n ce privete clasa 1 de securitate accesul intern sau extern neautorizat la aceste date
este critic. Integritatea datelor este vital. Numrul de utilizatori care au drept de acces la
aceste date este foarte limitat i pentru aceste date sunt fixate reguli foarte severe de
securitate privind accesul.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
a) Pentru clasa 3 de securitate securizarea transmisiei de date presupune ca n
transmiterea de mesaje sau n utilizarea de programe care comunic ntre ele trebuie
meninute confidenialitatea i integritatea.
b) Clasa 1 de securitate cuprinde date publice (informaie neclasificat).
1. Ambele
2. Doar a
3. Doar b
4. Nici una

a) Pentru controlul (inerea sub control a) securitii sistemelor informatice n cadrul fiecrei organizaii
trebuie s existe o politic de dezvoltare i un plan de securitate care s asigure implementarea acestei
politici.
b) Procesele de asigurare a securitii sistemelor informatice ndeplinesc funcia de a proteja sistemele
mpotriva folosirii, publicrii sau modificrii informaiilor stocate. se poate spune c sunt adevrate:
1. Ambele
2. Doar a
3. Doar b
4. Nici una
65. Auditul sistemului de securitate reprezint un demers deosebit de complex care:
a. Pornete de la evaluarea politicii i planului de dezvoltare.
b. Continu cu analiza arhitecturii de securitate, arhitecturii reelei, configuraiilor
soft, teste de penetrare etc.
1. Doar a
2. Doar b
3. Amndou
4. Nici una.
hard
66. Auditul securitii sistemului informatic realizeaz o evaluare obiectiv care va

indica:
1. Riscurile la care sunt expuse valorile organizaiei (hard, soft, informaii etc);
2. Expunerea organizaiei n cazul n care sunt luate msurile necesare limitrii riscurilor
identificate;
3. Eficiena i eficacitatea sistemului de securitate pe ansamblu i eficacitatea pe fiecare component a sa.
a) Pentru controlul (inerea sub control a) securitii sistemelor informatice n cadrul
fiecrei organizaii trebuie s existe o politic de dezvoltare i un plan de securitate care
s asigure implementarea acestei politici.
b) Procesele de asigurare a securitii sistemelor informatice ndeplinesc funcia de a
proteja sistemele mpotriva folosirii, publicrii sau modificrii neautorizate, distrugerii
sau pierderii informaiilor stocate.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
68. Despre securitatea sistemelor informatice se poate spune c:
a. Este realizat prin controale logice de acces.
b. Aceste controale asigur accesul tuturor utilizatorilor la sisteme, programe i date.
1. Doar a
2. Doar b
3. Amndou
4. Nici una.
69. Elemente de control logic care asigur securitatea sistemelor informatice sunt
reprezentate de:
a. Cerinele de confidenialitate a datelor.
b. Controlul autorizrii, autentificrii i accesului.
c. Identificarea utilizatorului i profilele de autorizare.
d. Stabilirea informaiilor necesare utilizator.
1. Doar a i b.
2. Doar a, b i c
3. Doar b i d.
4. Toate
5. Nici una.
70. Riscurile asociate sistemului informatic privesc:
a. Pierderea, deturnarea i/sau modificarea datelor i informaiilor din sistem
b. Accesul la sistemul informatic.
c. Afectarea sau chiar ntreruperea procesrii datelor.
1. Doar a.
2. Doar b.
3. Doar a i c.
4. Toate trei.
5. Nici una.
71. n funcie de vulnerabilitile care le genereaz, riscurile asociate sistemului
informatic se pot clasifica n:
a. Riscuri de mediu.
b. Riscuri asociate mediului.
1. Doar a
2. Doar b
3. Amndou
4. Nici una.
72. Riscurile sistemului informatic trebuie:
1. Evaluate din punct de vedere al gravitii efectelor lor.
2. Evaluate din punct de vedere al probabilitii producerii lor.
3. Estimate probabilistic pentru fiecare producere a unui risc i per total riscuri. Indicai afirmaia
eronat.
73. Sistemele informatice
evaluarea riscului:
a. Structura organizatoric
prezint
cteva
particulariti
ce
trebuie
avute
vedere
b. Natura specific a procesrii datelor

c. Aspecte procedurale
1. Doar a.
2. Doar b.
3. Doar c.
4. Toate trei.
5. Nici una.
a) Matricea de analiz a riscurilor ajut utilizatorii s identifice potenialele ameninri precum i datele i
bunurile care impun protecie.
b) Conceptul de risc al sistemului informatic exprim posibilitatea de apariie a unei neglijene care s
afecteze negativ resursele informaionale, financiare i funcionarea sistemului.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
75. Matricea de analiz a riscurilor este folosit n parcurgerea pailor urmtori:
a. Identificarea evenimentelor nedorite i a angajailor afectai de sistem, ca rspuns la
criteriile din ptrelele haurate.
b. Managerul responsabil cu securitatea va chestiona fiecare angajat identificat ca fiind
afectat de posibile riscuri, cu privire la riscurile asociate fiecrei coloane din matrice.
c. Determinarea controalelor care privesc fiecare problem de securitate.
d. Asignarea responsabilitilor de implementare a msurilor de securitate.
1. Doar a i b.
2. Doar a, b i c
3. Doar a, c i d.
4. Toate
5. Nici una.
a) Matricea de analiz a riscurilor ajut utilizatorii s identifice potenialele ameninri precum i datele i
bunurile care impun protecie.
b) Conceptul de risc al sistemului informatic exprim posibilitatea de apariie a unei neglijene care s
afecteze negativ resursele informaionale, financiare i funcionarea sistemului.
1. Doar a
2. Doar b
3. Ambele
4. Nici una
77. Principalele riscuri i accidentele pe care acestea le pot genera sunt:
1. Eroare de operare.
2. Funcionarea defectuoas a software-ului.

3. Date eronate nedectate de sistem.
4. Riscuri asociate componentelor instalaiilor de for.
a) Cele mai mari riscuri n sistemul informatic al organizaiilor i cele mai mari pierderi financiare sunt
determinate de erori neintenionate i omisiuni.
b) Existena riscurilor n sistemul informatic al organizaiilor impune definirea i implementarea unor
mecanisme de control cu scopul diminurii i chiar al eliminrii acestor vulnerabiliti.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
a) Cele mai mari riscuri n sistemul informatic al organizaiilor i cele mai mari pierderi financiare sunt
determinate de acte de terorism.
b) Existena riscurilor n sistemul informatic al organizaiilor impune definirea i implementarea unor
mecanisme de control cu scopul diminurii i chiar al eliminrii acestor vulnerabiliti.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
80. Mecanisme de control aplicabile sistemului informatic al organizaiilor sunt
reprezentate prin controale clasificate n:
1. Controale de descurajare a atacurilor.
2. Controale preventive
3. Controale detective
4. Controale corective Indicai
afirmaia eronat.
a) Controale sunt cuprinse n cadrul strategiei de securitate stabilit n procesul de management al
riscurilor.
b) Pentru fiecare risc identificat pot fi specificate trei niveluri de risc (sczut, mediu i mare), fiind necesar
n continuare, precizarea factorilor care determin respectivul nivel de risc
1. Ambele
2. Doar a
3. Doar b
4. Nici una
82. n vederea determinrii controalelor care trebuie implementate cu scopul limitrii
producerii riscurilor la care este expus sistemul sau pentru limitarea efectelor producerii
riscurilor, primii patru pai care se parcurg sunt urmtorii:
1. Identificarea resurselor.
2. Determinarea riscului (probabilitii) pentru fiecare vulnerabilitate identificat

3. Estimarea expunerii sau a pierderii poteniale pentru fiecare ameninare
4. Identificarea setului de controale care trebuie implementate pentru fiecare ameninare.
83. Riscurile sistemului informatic sunt urmare a:
1. Vulnerabilitilor sistemului
2. Complexitii procesului de producie.
3. Ciclului de via a sistemului
4. Nivelului de ncredere oferit de controlul intern, nivelul de pregtire a personalului, calitatea
managementului, climatul de munc existent.
5. Calitii documentaiei existente. Indicai
afirmaia incorect.
a) Controale sunt cuprinse n cadrul strategiei de securitate stabilit n procesul de management al
riscurilor.
b) Pentru fiecare risc identificat pot fi specificate dou niveluri de risc (sczut i mare), fiind necesar n
continuare, precizarea factorilor care determin respectivul nivel de risc se poate spune c sunt adevrate:
1. Ambele
2. Doar a
3. Doar b
4. Nici una
85. Printre riscurile ce pot fi identificate n urma evalurii unui sistem informatic se pot
afla i
a. Riscul asociat accesului fizic.
b. Riscul asociat reelei de comunicaii.
c. Riscul vechimii organizaiei.
d. Riscul funciilor sistemului.
1. Doar a i b.
2. Doar a, b i c
3. Doar a, b i d.
4. Toate
5. Nici una.
86. Printre riscurile ce pot fi identificate n urma evalurii unui sistem informatic se pot
afla i
a. Riscul asociat personalului
b. Riscul asociat personalului de specialitate
c. Riscul asociat managerilor
d. Riscul asociat ciclului de dezvoltare. Teoretic, este posibil ca dintre
afirmaiile de mai sus s fie adevrate
1. Doar a i b.
2. Doar a, b i c
3. Doar a, b i d.
4. Toate
5. Nici una.

87. Printre pierderile cauzate de riscurile prezentate de un sistem informatic se pot
numra i:
a. Fraude produse prin intermediul sistemului.
b. Divulgarea neautorizat a informaiilor.
c. Furtul de echipamente i informaii.
1. Doar a.
2. Doar b.
3. Doar a i c.
4. Toate trei.
5. Nici una.
88. Printre pierderile cauzate de riscurile prezentate de un sistem informatic se pot
numra i:
a. Distrugerea fizic a echipamentelor.
b. Distrugerea unor fiiere coninnd date.
c. ntreruperile de curent etc.
1. Doar a.
2. Doar b.
3. Doar a i b.
4. Toate trei.
5. Nici una.
89. Pentru determinarea pierderilor posibil a fi nregistrate de organizaie ca urmare a
producerii riscurilor aferente sistemului informatic trebuie s se in seama de
urmtoarele situaii posibile:
a. Impactul unor riscuri n planul pierderilor cauzate poate fi mare, dar
probabilitatea producerii unor astfel de riscuri este mai redus (exemplu:
producerea unui cutremur).
b. Pierderile cauzate de producerea unui anumit risc sunt de valori medii,
dar frecvena de producere a acestor ameninri este mare.
c. Pierderile pot fi ocazionale.
d. Pot exista atacuri asupra sistemului informatic, dar acestea s nu conduc la producerea de efecte
negative (exemplu: detectarea la timp a unor ncercri de intruziune n sistem). Teoretic, este posibil ca
dintre afirmaiile de mai sus s fie adevrate
1. Doar a i b.
2. Doar a, b i c
3. Doar a, b i d.
4. Toate
5. Nici una.
90. Metodele de minimizare a riscurilor trebuie s rspund printre altele urmtoarelor
imperative:
a. Creeaz din start un sistem informatic corect!
b. Pregtete utilizatorii pentru procedurile de securitate!

c. Odat sistemul pornit, menine securitatea sa fizic!
d. Securitatea fizic asigurat, previne accesul neautorizat!
1. Doar a i b.
2. Doar a, b i c
3. Doar a, b i d.
4. Toate
5. Nici una.
91. Metodele de minimizare a riscurilor trebuie s rspund printre altele urmtoarelor
imperative:
a. Avnd controlul accesului, se asigur ca relurile de proceduri s fie corecte!
b. Chiar dac exist proceduri de control, caut ci de a le perfeciona!
c. Chiar dac sistemul pare sigur, el trebuie auditat n scopul identificrii unor
noi posibile probleme de securitate!
d. Chiar dac eti foarte vigilent, pregtete-te de dezastre!
1. Doar a i b.
2. Doar a, b i c
3. Doar a, b i d.
4. Toate
5. Nici una.
92. Minimizarea riscurilor se poate realiza pe urmtoarele ci:
1. Dezvoltarea i modificarea sistemului informatic.
2. Pregtirea personalului pentru reducerea riscului.
3. Meninerea securitii fizice.
4. Controlul accesului la date, hardware i reele.
5. Controlul tranzaciilor
93. Controlul accesului presupune printre altele:
1. Controlul administrrii conturilor utilizator.
2. Monitorizarea crerii conturilor utilizatorilor.
3. Controlul administrrii parolelor.
4. Controlul configurrii profilelor pentru utilizatori sau grupuri de utilizatori.
94. Controlul accesului presupune printre altele:
1. Controlul conturilor privilegiate.
2. Controlul legturii la reea.
3. Controlul procesului de pornire a sistemului.
4. Controlul accesului de la distant.
95. Nivelul 1 de penetrare a atacului n profunzimea sistemului atacat se manifest sub
forma:
a. Suprancrcarea unei resurse limitate (memoria, lrgimea de band de reea, timpul

CPU etc.)
b. "Cderea" unui dispozitiv de reea sau a unui calculator gazd (de fapt se face
reconfigurarea unei resurse pentru a o face inutilizabil).
c. Atacuri distribuite de tip interzicerea serviciului: atacatorul se infiltreaz
n alte sisteme pe care le va folosi cu rol de ageni sau operatori care coordoneaz sistemele desemnate de
atacatori.
1. Doar a.
2. Doar b.
3. Doar a i b.
4. Toate trei.
5. Nici una.
a) Rezultatul atacurilor de nivelul 1 este perceput sub forma un flux de pachete, provenit de la sistemele
atacator, care este capabil s blocheze orice trafic legitim care ncearc s ajung la calculatorul atacat.
b) Atacurile de nivel 2 i 3 se realizeaz atunci cnd un utilizator extern obine acces la fiierele
utilizatorilor locali n sensul c le poate verifica existena, poate s le citeasc sau, chiar mai mult, poate
executa pe server un numr limitat de comenzi.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
a) Rezultatul atacurilor de nivelul 1 este perceput sub forma un flux de pachete, provenit de la sistemele
atacator, care este capabil s blocheze orice trafic legitim care ncearc s ajung la calculatorul atacat.
b) Atacurile de nivel 4 se realizeaz atunci cnd un utilizator extern obine acces la fiierele utilizatorilor
locali n sensul c le poate verifica existena, poate s le citeasc sau, chiar mai mult, poate executa pe
server un numr limitat de comenzi.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
98. Atacurile de nivel 2 i 3 sunt posibile datorit:
a. Configurrii greite realizate de administratorul reelei.
b. Vulnerabiliti interne software-ului.
1. Doar a
2. Doar b
3. Amndou
4. Nici una.
a) Atacurile de nivelul 4 se realizeaz de utilizatori locali (care posed parola de acces n reea i au folder
propriu) ce urmresc obinerea accesului de citire sau scriere n fiiere (foldere) la care nu sunt autorizai.
b) Atacurile de nivelul 4 se realizeaz atunci cnd un utilizator extern obine acces la fiierele utilizatorilor
server un numr limitat de comenzi.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
a) Atacurile de nivelul 4 se realizeaz de utilizatori locali (care posed parola de acces n reea i au folder
propriu) ce urmresc obinerea accesului de citire sau scriere n fiiere (foldere) la care nu sunt autorizai.
b) Atacurile de nivelul 5 ofer utilizatorilor neautorizati de la distan posibilitatea de a citi i/sau scrie
fiiere stocate n reeaua local..
1. Ambele
2. Doar a
3. Doar b
4. Nici una
a) Vulnerabilitile sistemului n cazul unui atac de nivel 5 pot fi fatale.
b) Atacurile de nivel 5 ofer utilizatorilor neautorizati de la distan posibilitatea de a citi i/sau scrie fiiere
stocate n reeaua local.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
a) Vulnerabilitile sistemului n cazul unui atac de nivel 5 pot fi fatale.
b) Atacurile de nivel 5 se realizeaz atunci cnd un utilizator extern obine acces la fiierele utilizatorilor
server un numr limitat de comenzi..
1. Ambele
2. Doar a
3. Doar b
4. Nici una
103. Rspunsul la atacurile de nivel trei, patru sau cinci se recomand s se
realizeze prin:
1. Izolarea segmentului de reea astfel nct atacul s nu poat fi extins la nivelul ntregii reele
locale.
2. Oprirea tuturor calculatoarelor din reea pn la identificarea sursei atacului.
3. Permiterea continurii atacului i nregistrarea tuturor dovezilor referitoare la acesta.
4. Identificarea sursei atacului.

104. Referitor la controlul administrrii conturilor utilizator, auditorul va trebui s se edifice
asupra urmtoarelor probleme:
a. In ce msur sunt cunoscute i aplicate standardele i practicile cele mai bune n
domeniu?
b. Dac exist definite proceduri pentru administrarea conturilor i care este coninutul
acestor proceduri.
1. Doar a
2. Doar b
3. Amndow
4. Nici una.
105. . n legtur cu procedurile pentru administrarea conturilor auditorul va verifica dac
aceste proceduri asigur:
1. Crearea de noi conturi utilizator;

2. Existena controalelor automate adecvate pentru limitarea numrului de ncercri
nereuite de conectare la contul unui utilizator.
3. Dezactivarea sau tergerea prompt a conturilor angajailor care au plecat din firm;
4. Verificarea periodic a msurii n care drepturile de acces acordate utilizatorilor corespund
atribuiilor lor de serviciu.
106. n procesul auditrii modului de creare a conturilor utilizatorilor, auditorul va
urmri:
1. Dac la momentul crerii conturilor au existat controale automate adecvate pentru limitarea
numrului de ncercri nereuite de conectare la contul unui utilizator..
2. Ct de bine este controlat introducerea unui nou user n sistem i cine are aceast responsabilitate.
3. Ce precauii s-au luat mpotriva accesului neautorizat printr-un ID implicit, creat de exemplu, la
instalarea sistemului de operare.
4. Modalitatea de atribuire a ID-ului i parolelor de acces. n acest sens auditorul va urmri dac exist o
convenie privitoare la structura ID i dac aceasta este respectat.
a) n procesul auditrii modului de creare a conturilor utilizatorilor auditorul va urmri respectarea
unicitii ID-ului i a parolelor i msura n care procedura de logare a utilizatorului impune precizarea fie a
ID-ului fie a parolei.
b) Controlul accesului de la distan impune auditorului abordarea a dou probleme diferite: controlul
reelei/accesul dial-up i controlul conexiunilor externe la reea. se poate spune c sunt adevrate:
1. Ambele
2. Doar a
3. Doar b
4. Nici una
108. Pentru auditarea controlului administrrii parolelor auditorul va analiza urmtoarele

aspecte:
1. Care sunt restriciile privitoare la lungimea numelui utilizatorului ?

2. Se respect unicitatea parolelor? Exist restricii privitoare la posibilitatea de a refolosi o
anumit parol? n acest sens se va verifica dac exist un registru al parolelor care s ofere un
istoric al acestora.
3. Existena unor restricii referitoare la durata de via a parolelor.

4. Ct de protejat este fiierul sistem coninnd parolele de acces? (Se procedeaz la
criptarea acestor fiiere?).
109. Printre recomandrile fcute de Green Book - Password management Guideline se afl
i urmtoarele:
1. Nu este admis utilizarea parolelor implicite.

2. Parolele pot s nu fie vizibile n momentul tastrii.
3. Se recomand ca parolele s fie astfel alese nct s fie uor de tastat de ctre utilizator astfel nct un
observator s nu poat vedea parola n momentul introducerii de la tastatur.
4. Nu este permis divulgarea parolelor ntre utilizatori (spre exemplu de multe ori un utilizator las
colegului de birou, care i preia sarcinile n perioada zilelor de concediu, propria parol).
110. Printre recomandrile fcute de Green Book - Password management Guideline se afl
i urmtoarele:
1. Se recomand ca administratorul s nu partajeze propria parol cu ali utilizatori.

2. Utilizatorii trebuie instruii asupra modului de alegere a parolei i contientizai asupra pericolului
spargerii parolelor.
3. Utilizatorii nu pot avea acces la fiierele care stocheaz parolele.

4. Un utilizator poate schimba parola altui utilizator.
111. Cu ocazia auditrii controlului configurrii profilelor pentru utilizatori sau grupuri de
utilizatori auditorul va verifica:
1. Msura n care drepturile de acces acordate utilizatorilor corespund intereselor acestora.
2. Msura n care are loc reevaluarea periodic a drepturilor de acces ale utilizatorilor.
3. Msura n care departamentul de resurse umane transmite informaii privind: transferurile de
personal n cadrul companiei, modificrile responsabilitilor n cadrul posturilor, plecri de
angajai din firm. Sunt dezactivate sau chiar terse n timp util conturile angajailor care au prsit
firma?
112. Cu ocazia auditrii controlului configurrii profilelor pentru utilizatori sau grupuri de
utilizatori auditorul va verifica:
1. Cine este rspunztor de controlul asupra autorizrii i msura n care managementul verific
periodic executarea acestor controale.
2. Ce verificri periodice se desfoar pentru identificarea conturilor inactive i minimizarea

riscului accesului neautorizat prin aceste conturi?
3. Care este intervalul de timp ales pentru a considera contul activ?
113. Cu ocazia auditrii controlului conturilor privilegiate auditorul trebuie s verifice
printre altele i urmtoarele:
a. Unicitatea parolelor definite pentru conturile utilizatorilor privilegiai la
nivelul serverelor.
b. Dac administratorii de reea se conecteaz la sistem prin conturi privilegiate sau
dispun de conturi exclusive.
c. Nivelul de adecvare a drepturilor asociate conturilor privilegiate.
d. Derularea unui control periodic asupra drepturilor de acces ataate conturilor
privilegiate.
1. Doar a i b.
2. Doar a, b i c
3. Doar a, b i d.
4. Toate
5. Nici una.
114. Cu ocazia auditrii controlului conturilor privilegiate auditorul trebuie s verifice
printre altele i urmtoarele:
1. Cum sunt folosite jurnalele conturilor administratorilor de sistem i ale conturilor privilegiate.
2. Dac nu se schimb prea des parolele administratorilor de sistem.
3. Cum este soluionat problema conturilor privilegiate aparinnd unor utilizatori care au plecat din
firm.
4. Existena documentaiei privind procedurile de acordare, creare i utilizare a conturilor
privilegiate.
115. n cadrul controlului proceselor de conectare i deconectare auditorul trebuie s
verifice printre altele i urmtoarele:
1. Dac exist controale automate adecvate pentru limitarea numrului de
ncercri nereuite de conectare la contul unui utilizator?
De obicei, numrul de ncercri este limitat la cinci.
2. Dac sunt prevzute n procedura de logare mesaje de atenionare privind tentative de
acces neautorizat.
3. Dac exist implementate controale pentru verifica dac logarea se realizeaz numai de la
calculatorul la care are acces utilizatorul conform procedurii fixate.
116. n cadrul controlului proceselor de conectare i deconectare auditorul trebuie s
verifice printre altele i urmtoarele:
1. Dac sistemul a fost configurat s nu permit conectri simultane folosind acelai cont de
utilizator.
2. n ce msur utilizatorii sunt limitai s se log-eze n anumite zile din sptmn.
3. Dac sistemul a fost configurat ca dup o anumit perioad de inactivitate nregistrat la

calculatoarele din reea s se declaneze automat procedura de login. Indicai afirmaia eronat.
117. Auditorul poate verifica dac sistemul permite utilizatorului ca n momentul
accesrii contului s obin informaii privind:
1. Data i ora la care contul a fost prima dat accesat.
2. Durata sesiunii de lucru la ultima accesare.
3. Principalele operaii realizate.
4. ncercrile nereuite de accesare a contului (numrul tentativelor i eventual data lor).
118. Referitor la controlul procesului de pornire a sistemului, la auditare, auditorul
a. Va culege informaiile necesare privind procedurile de pornire de la administratorul de
sistem sau de la responsabilul cu securitatea.
b. Va verifica msura n care se realizeaz un control al modului de desfurare a
procesului de pornire a sistemului i nivelul de securizare la nivelul acestui proces.
1. Doar a
2. Doar b
3. Amndow
4. Nici una.
a) n procesul auditrii modului de creare a conturilor utilizatorilor auditorul va urmri respectarea
unicitii ID-ului i a parolelor i msura n care procedura de logare a utilizatorului impune precizarea fie a
ID-ului fie a parolei.
b) Controlul accesului de la distan impune auditorului abordarea a dou probleme diferite:
controlul reelei/accesul dial-up i controlul conexiunilor inerne la reea. se poate spune c
sunt adevrate:
1. Ambele
2. Doar a
3. Doar b
4. Nici una
120. Cnd este vorba de controlul accesului la reea, auditorul ar trebui s rspund
porintre altele, la urmtoarle ntrebri:
1. Cum se realizeaz autentificarea conectrilor de la distan?
2. n cazul reelelor mari, sunt ele organizate pe domenii distincte?
3. n cazul reelelor partajate, mai ales dac acestea se extind n afara organizaiei, ce controale
sunt implementate pentru a se verifica dac utilizatorii pot accesa toate poriunile de reea?
121. Cnd este vorba de controlul accesului la reea, auditorul ar trebui s rspund
porintre altele, la urmtoarle ntrebri:
1. Sunt protejate transmisiile n reea? Cum se realizeaz aceast protecie?
2. n ce msur disponibilitatea facilitilor dial-up este este asigurat pe tot timpul?
3. Ce controale se folosesc pentru diagnosticul porturilor?
122. Cnd misiunea de audit impune verificarea modului n care se realizeaz controlul
conexiunilor externe la reea, auditorul va trebui s gseasc rspunsuri, printre altele, i
la urmtoarele ntrebri
a. Conexiunile externe sunt folosite pentru scopuri valide impuse de activitatea din
cadrul organizaiei?
b. Exist controale care s previn realizarea unor conexiuni care ar putea submina
securitatea sistemului?
c. Ce controale exist pentru a preveni navigarea neproductiv pe Internet a
personalului n afara sarcinilor de serviciu?
1. Doar a.
2. Doar b.
3. Doar a i c.
4. Toate trei.
5. Nici una.
123. Cnd misiunea de audit impune verificarea modului n care se realizeaz controlul
conexiunilor externe la reea, auditorul va trebui s gseasc rspunsuri, printre altele, i
la urmtoarele ntrebri:
a. Ct de bine este protejat gateway-ul dintre Internet i mediul firmei?
b. Ce controale exist pentru a preveni accesarea unor site-uri inadacvate?
c. Ct de bine sunt protejate conexiunile externe ale reelei pentru folosirea EDI i
EFT (Electronic Data Interchange i Electronic Found Transfer) ?
1. Doar a.
2. Doar b.
3. Doar a i c.
4. Toate trei.
5. Nici una.
124. Despre firewall se poate spune c:
1. Un firewall controleaz legturile dintre calculatoarele reelei private a organizaiei.
2. Un firewall este realizat, de obicei, printr-o combinaie de software i hardware.
3. Firewall-ul reprezint implementarea politicii de securitate n termeni de configurare a reelei.
125. Pentru ca un firewall s poat fi implementat n mod eficient politica de securitate
trebuie s identifice i s stabileasc:
1. Responsabilitile utilizatorilor din punctul de vedere al securitii i modului de acces la reea.
2. Metodele de autentificare a utilizatorilor interni sau aflai la distan.
3. Mecanismele de criptare a datelor memorate sau transmise prin reea.
4. Msurile de identificare a viruilor care ar putea intra n sistem. Indicai
afirmaia eronat.
a) Politica de securitate trebuie s identifice toate punctele poteniale de atac i s le protejeze pe fiecare la
nivelul specific de securitate.
b) Analiza detaliat a situaiei create ca urmare a producerii unui incident presupune: stabilirea prioritilor,
determinarea amplorii afectrii, notificarea administratorilor, managementului, reprezentantului legal i a
autoritilor n caz de nevoie.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
127. Profitnd de faptul c un firewall este dispus ntre dou reele, el mai poate fi
folosit i n alte scopuri dect acela de control al accesului i anume:
a. Pentru a monitoriza comunicaiile dintre reea i nregistrarea tuturor
comunicaiilor dintre o reea intern i o reea extern. De exemplu, un firewall
poate monitoriza, nregistra serviciile folosite i cantitatea de date transferat prin
conexiuni TCP/IP ntre propria reea i lumea exterioar;
b. Un firewall poate fi folosit pentru interceptarea i nregistrarea tuturor
comunicaiilor dintre reeaua intern i exterior;
c. Dac o organizaie are mai multe reele, separate din punct de vedere geografic,
fiecare avnd cte un firewall, exist posibilitatea programrii acestor
firewall-uri pentru a cripta automat coninutul pachetelor transmise ntre ele. n
acest fel, prin suportul Internet, organizaia i poate realiza propria reea virtual
privat.
1. Doar a.
2. Doar b.
3. Doar a i c.
4. Toate trei.
5. Nici una.
128. Politica de securitate pe segmentul firewall se realizeaz printre altele i pe
urmtoarele coordonate:
1.Siguran:
2. Identificare i stocare
3. Responsabilitate i audit
4. Controlul accesului
129. Despre disponibilitatea serviciului unui firewall se poate spune c:
1. Firewall-ul trebuie s fie disponibil 5 zile x 24 ore;
2. Managemetul schimbrii: updatarea i configurarea schimbrilor trebuie realizate n
conformitate cu procesul de asigurare a calitii;
3. Alertele trebuie s se produc n cazul "cderii" unor servicii/procese importante.
4. Servicii imprtante, cum ar fi WWW proxy trebuie configurate astfel nct s prezinte
disponibilitate ridicat.
130. Indicai afirmaia eronat.
1. Auditorul va trebui s analizeze i coninutul procedurilor de rspuns la incidente.
2. Scopul acestor proceduri este de a preciza detaliat care sunt aciunile ce trebuie ntreprinse n
cazul detectrii unei incident de securitate provenit din zona de acces a personalului n unitate.
3. Aciunile n cazul unei incident urmresc s protejeze i refac condiiile normele de operare a
calculatoarelor, serviciilor, informaiilor.
131. Procedura de rspuns la incidente trebuie s prevad urmtorii pai:
1. Constituirea echipei de aciune n caz de incidente.
2. Evaluarea rapid a incidentului detectat: identificarea sursei ameninrii.
3. Identificarea rezultatului ameninrii produse i anume afectarea: integritii, confidenialitii,
disponibilitii sistemelor/serviciilor/datelor.
132. In cazul producerii unui atac, este necesar s se rspund la urmtoarele ntrebri:
1. Atacatorul a penetrat cu succes sistemul?
2. Brea creat i permite s intre oricnd n sistem?
3. Ci intruiau fost detectai?
4. Ct de extins este efectul incidentului?
5. Care este principalul pericol (afectarea confidenialitii, desponibilitii etc)?
133. Printre aciunile ce trebuie derulate imediat ce s-a identificat un atac asupra
sistemului informatic pot consta n:
1. Restaurarea informaiei
2. Izolarea mainii subiect al atacului
3. Supravegherea conexiunii cu Internetul a reelei organizaiei
4. Oprirea unuia sau mai multor servere remote access Indicai
afirmaia eronat.
a) Politica de securitate trebuie s identifice toate punctele poteniale de atac i s le protejeze pe fiecare la
acelai nivel de securitate.
b) Analiza detaliat a situaiei create ca urmare a producerii unui incident presupune: stabilirea prioritilor,
determinarea amplorii afectrii, notificarea administratorilor, managementului, reprezentantului legal i a
autoritilor n caz de nevoie.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
135. Refacerea datelor/serviciilor/sistemelor n urma producerii unui incident const
urmtoarele aciuni:
1. Restaurarea datelor/serviciilor/programelor.
2. Constatarea efectul incidentului.
3. Verificarea programelor (pe baza copiilor existente) de pe mainile int a atacurilor.
4. nlturarea deficienelor care au permis producerea incidentului etc.
din
136. Urmrirea cauzelor care au permis producerea atacului i a modului n care au fost
ele remediate presupune :
1. Verificarea msurii n care toate serviciile au fost restaurate.

2. Limitarea efectului deficienei care a permis producerea incidentului.
3. Dac este necesar revederea procedurii de rspuns la incidente.
4. Dac sunt necesare schimbri n configurarea firewall-ului.
5. Dac este necesar realizarea unor proceduri legale sau de asigurare (unele riscuri pot fi
subiectul unor asigurri la firmele specializate).
137. Tipuri de firewall:
1. Firewall la nivel de reea. Folosesc routere la nivelul cruia sunt definite regulile privind cine i ce are
voie s acceseze n reeaua privat. Aceast tehnic se realizeaz prin filtrarea de pachete.
2. Firewall pentru hard disk.
3. Servere proxy.
4. Pori la nivel circuit: proxy local funcionnd ca un filtru de pachet. Indicai
afirmaia eronat.
138. Pentru ca politica de securitate s fie funcional i eficient trebuie dezvoltate
metode de monitorizare a utilizrii calculatoarelor i a reelei precum i proceduri
specifice aplicabile n momentul depistrii unor tentative de infiltrare n reea.
Firewall-urile pot fi configurate s declaneze alarme sonore atunci cnd sunt sesizate aciuni suspecte i de
asemenea genereaz fiiere jurnal coninnd informaii preioase legate de traficul dinspre/spre reea.
Referitor la aceste posibiliti ale firewall-ului auditorul va urmri:
1. Msura n care configurarea firewall-ului este corect i eficient
2. Dac firewall-ul genereaz jurnale cu informaii legate de traficul dinspre/spre reea.
3. Frecvena analizei acestor jurnale
4. Msurile luate n cazul aciunilor suspecte semnalate de firewall, rapiditatea acestor
msuri.
a) n cele mai multe cazuri viruii se protejeaz camuflndu-se n programul gazd, opernd cu efect
ntrziat, unii dintre ei chiar tergndu-i urmele.
b) Viermele se activeaz doar o dat cu programul gazd i apoi se multiplic infestnd i alte programe.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
a) n cele mai multe cazuri viruii se protejeaz camuflndu-se n programul gazd, opernd cu efect
ntrziat, unii dintre ei chiar tergndu-i urmele.
b) Viermii nu distrug date
1. Ambele
2. Doar a
3. Doar b
4. Nici una
a) Ca s se reproduc un vierme are nevoie s infecteze un program sau un suport de memorie extern.
b) Dei pare a realiza o funcie n sistem, un troian realizeaz i aciuni neautorizate. se poate spune c sunt
adevrate:
1. Ambele
2. Doar a
3. Doar b
4. Nici una
a) Ca s se reproduc un vierme nu are nevoie s infecteze un program sau un suport de memorie extern.
b) Dei pare a realiza o funcie n sistem, un troian realizeaz i aciuni neautorizate. se poate spune c sunt
adevrate:
1. Ambele
2. Doar a
3. Doar b
4. Nici una
a) Un vierme este un troian folosit pentru a introduce un virus, o bomb sau alte tipuri de atacuri.
b) Un virus este un mecanism inclus n sistem de cel care creeaz acel sistem. n acest fel, cel care creeaz
o aplicaie are oricnd acces n sistem, ocolind sistemele de securitate instalate.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
a) O bomb este un troian folosit pentru a introduce un virus, o bomb sau alte tipuri de atacuri.
b) Un virus este un mecanism inclus n sistem de cel care creeaz acel sistem. n acest fel, cel care creeaz
o aplicaie are oricnd acces n sistem, ocolind sistemele de securitate instalate.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
a) Spoof este numele generic dat unui program care determin un utilizator neavizat s cedeze drepturile i
privilegiile sale ntr-o reea.
b) Algoritmii asimetrici se caracterizeaz prin utilizarea unei chei unice folosit att n procesul de criptare
ct i n cel de decriptare.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
146. Despre posibilitile unui firewall de a lupta mpotriva viruilor i a altor categorii
de programe de ofensiv se poate spune c:
1. Sistemele firewall pot oferi o protecie sigur mpotriva viruilor i a altor categorii de programe
de ofensiv.
2. Ecranarea realizat prin firewall nu este suficient, de aceea se recomand utilizarea unui soft de
scanare a viruilor pe toate calculatoarele din reea.
3. Auditorul va urmri msura n care s-a prevzut utilizarea de firewall pentru filtrarea intrrilor dinspre
Internet i utilizarea de programe antivirus, actualizate permanent i executate regulat.
147. n vederea protejrii fa de atacul cu virui se recomand luarea urmtoarelor msuri:
1. Informarea utilizatorilor cu privire la pericolul i modul de propagare al viruilor.

2. Instalarea pe toate caculatoarele din reea de programe antivirus, actualizarea acestora
fcndu-se la cel puin anual.
3. Trebuie s existe programe pentru detectarea macro viruilor rezideni n memorie.
4. n cazul detectrii unui virus se va proceda la deconectarea din reea a calculatorului respectiv
i anunarea departamentului IT din organizaie.
148. n vederea protejrii fa de atacul cu virui se recomand luarea urmtoarelor msuri:
1. n cazul detectrii unui virus se va proceda la deconectarea din reea a calculatorului respectiv i
anunarea departamentului IT din organizaie;
2. Realizai periodic backup-ul serverelor;
3. Restricionai accesul utilizatorilor la floppy discuri;
4. Dac o aplicaie instalat pe server sau local este n mod Read-Only, dezactivai acest mod.
149. Despre criptare se poate spune c:
a. Utilizarea unor algoritmi pentru criptarea (cifrarea) informaiilor transmise reprezint
astzi singurul mijloc de rezolvare a problemelor privitoare la deconspirarea informaiilor
transmise n reele.
b. Prin criptare, mesajele vor fi transformate, pe baza unei chei de criptare, astfel nct s
poat fi nelese doar de destinatar.
1. Doar a
2. Doar b
3. Amndou
4. Nici una.
a) Spoof este numele generic dat unui program care determin un utilizator neavizat s cedeze drepturile i
privilegiile sale ntr-o reea.
b) Algoritmii simetrici se caracterizeaz prin utilizarea unei chei unice folosit att n procesul de criptare
ct i n cel de decriptare.
1. Ambele
2. Doar a
3. Doar b
4. Nici una

a) n cazul algoritmilor simetrici emitorul i emitentul vor deine o pereche de chei: una public
(cunoscut de oricine) i una privat (cunoscut doar de proprietar).
b) Ca semnturi digitale, se pot folosi semnturi cu cheie secret sau public, dar de obicei se prefer cheile
publice.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
152. Despre autentificare se poate spune c:
1. Este o tehnic prin care un proces verific un subiect care poate fi o persoan, o main, un
proces. Vom putea astfel ti dac partenerul de comunicaie este cel presupus i nu un impostor.
2. Autentificarea folosete ceea ce este cunoscut pentru ambele pri, dar nu i de alte persoane i
anume ce este subiectul, ce are sau ce tie subiectul.
3. Tehnicile de autentificare pot fi biologice (imaginea irisului, amprenta vocal, palmar
sau digital. ADN-ul, dinamica scrisului etc) sau pot folosi parole, carduri de identificare,
smart-token-uri etc.
153. Autentificarea prin semntura digital face ca:
1. Emitorul s poat verifica identitatea pe care pretinde c o are receptorul. Aceast
cerin este necesar, de exemplu, n sistemele financiare: este necesar s se asigure c un
ordin de cumprare sau de plat aparine companiei cu al crei cont bancar se va opera.
2. Emitorul s nu poat repudia ulterior coninutul mesajului. Aceast necesitate asigur
protejarea bncilor impotriva fraudelor: un client ar putea acuza banca implicat n tranzacie,
pretinznd, de exemplu, c nu a
3. Receptorul s nu poat pregti el nsui mesajul. n cazul unei tranzacii financiare cu o banc,
aceast cerin protejeaz clientul dac banca ncearc s-i falsifice mesajul.
a) n cazul algoritmilor simetrici emitorul i emitentul vor deine o pereche de chei: una public
(cunoscut de oricine) i una privat (cunoscut doar de proprietar).
b) Ca semnturi digitale, se pot folosi semnturi cu cheie secret sau public, dar de obicei se prefer cheile
publice.
1. Nici una
2. Ambele
3. Doar a
4. Doar b
a) IDS-urile (I ntrusion D etection S ystem) pot oferi, aproape n timp real, un rspuns automat legat de
activitile neautorizate identificate, posibilitatea de a analiza activitatea curent (zilnic) din reea n relaie
cu activitatea trecut cu scopul identificrii unor trenduri mai largi sau probleme.
b) Transportul copiilor de siguran ctre locaia special rezervat se va face n geni speciale, securizate,
de ctre persoane avnd aceast responsabilitate stabilit prin procedurile elaborate.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
156. Metodele de detectare a intruziunilor sunt urmtoarele:
1. Metoda profilelor i comportamentului normal
2. Metoda Schneider.
3. Metoda tiparului.
157. Securitatea fizic se evalueaz printre altele pe urmtoarele componente:
a. Cldiri
b. Transportul datelor
c. Copii de siguran
d. Discuri
1. Doar a i b.
2. Doar a, b i c
3. Doar a, b i d.
4. Toate
5. Nici una.
158. Securitatea fizic se evalueaz printre altele pe urmtoarele componente:
a. Calculatoare desktop
b. Laptop-uri/calculatoare portabile
c. Imprimante
d. "Clean desks"
1. Doar a i b.
2. Doar a, b i c
1. Doar a, b i d.
2. Toate
3. Nici una.
159. Referitor la cdiri, securitatea fizic prevede printre altele c incinta organizaiei
trebuie s fie organizat n urmtoarele zone:
1. Zona 1: accesibil publicului.
2. Zona 2: neaccesibil publicului ci numai personalului organizaiei.
3. Zona 3: Este o zon protejat, cu acces strict controlat accesibil numai pe baza identificrii
persoanelor (de obicei prin carduri de acces sau alte tehnici de identificare. De exemplu tehnicile
biometrice).
4. Zona 4: Incinta organelor de conducere colectiv (senatul invesitar, consiliul de administraie,
etc.).
a) IDS-urile (I ntrusion D etection S ystem) pot oferi, aproape n timp real, un rspuns automat legat de
activitile neautorizate identificate, posibilitatea de a analiza activitatea curent (zilnic) din reea n relaie
cu activitatea trecut cu scopul identificrii unor trenduri mai largi sau probleme.
b) Transportul copiilor de siguran ctre locaia special rezervat se va face n geni speciale, securizate,
de ctre persoane avnd aceast responsabilitate stabilit prin procedurile elaborate.
1. Nici una
2. Doar a
3. Doar b
4. Ambele
161. Referitor la discuri, controlul securitii fizice trebuie s se bazeze pe urmtoarele
recomandri:
a. O atenie deosebit trebuie acordat procedurilor de tergere a datelor din discuri,
tiindu-se faptul c tergerea se realizeaz n doi pai: tergere logic i respectiv tergere
fizic.
b. De aceea se recomad tergerea complet a datelor (n acest scop recomandndu-se
utilizarea unui produs standard).
c. O atenie mrit se va acorda procedurilor de tergere din dischete cu att mai mult cu
ct exist programe speciale de recuperare a datelor terse din astfel de suporturi.
d. O msur de precauie ar fi dezactivarea unitilor floppy.
1. Doar a i b.
2. Doar a, b i c
3. Doar a, b i d.
4. Toate
5. Nici una.
a) Trebuie asigurat securitatea fizic a calculatoarelor conectate sau nu n reeaua organizaiei.
b) Din punctul de vedere al securitii laptop-urile/calculatoarele portabile pot genera riscuri legate de
divulgarea informaiei, furt i posibilitatea accesului neautorizat la reeaua organizaiei.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
a) Securitatea fizic vizeaz doar calculatoarele conectate n reeaua organizaiei.
b) Din punctul de vedere al securitii laptop-urile/calculatoarele portabile pot genera riscuri legate de
divulgarea informaiei, furt i posibilitatea accesului neautorizat la reeaua organizaiei.
1. Ambele
2. Doar a
3. Doar b
4. Nici una

a) Listarea rapoartelor coninnd informaii confideniale se va realiza pe imprimante aflate n birourile
persoanelor autorizate s acceseze aceste date.
b) Regula "clean desks" precizeaz necesitatea securizrii tuturor documentelor i rapoartelor utilizate de
ctre personalul organizaiei n realizarea sarcinilor de lucru prin depunerea n dulapuri securizate la
sfritul orelor de program i asigurarea ca accesul persoanelor neautorizate la aceste documente s nu
poat fi posibil.
Se poate spune c sunt adevrate:
1. Ambele
2. Doar a
3. Doar b
4. Nici una
a) Listarea rapoartelor coninnd informaii confideniale se va realiza doar pe imprimante aflate n incinta
unitii care posed informaiile.
b) Regula "clean desks" precizeaz necesitatea securizrii tuturor documentelor i rapoartelor utilizate de
ctre personalul organizaiei n realizarea sarcinilor de lucru prin depunerea n dulapuri securizate la
sfritul orelor de program i asigurarea ca accesul persoanelor neautorizate la aceste documente s nu
poat fi posibil.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
166. Referitor la copii de siguran i evenimente neprevzute, auditorul trebuie s
verifice dac la nivelul organizaiei exist:
a. Proceduri prin care s se asigure funcionarea sistemului n cazul
cderii alimentrii cu energie electric sau a liniilor de comunicaii.
b. Exist sectoare "sensibile" - bancar, bursier, securitatea statului, energetic
etc. care impun asigurarea funcionrii continue a sistemelor informatice ceea
ce implic existena unor surse alternative de energie i/sau comunicaii.
c. Planuri bine testate i documentate, actualizate periodic prin care s se
asigure operaionalitatea sistemului informatic n condiiile producerii unor
evenimente neprevzute.
d. Proceduri i controlul aplicrii acestora, privind realizarea copiilor de
siguran i refacerea strii sistemului n cazul "cderii" acestuia ca
urmare a unor cauze hardware sau software.
1. Doar a i b.
2. Doar a, b i c
3. Doar a, b i d.
4. Toate
5. Nici una.
167. Referitor la planurilor prevzute (de Conceptul de Business Continuity

Management (BCM)) a fi elaborate de institutuie cu privire la activitatea ce se va
desfura (n caz de atac), pn la revenirea activitii la o desfurare normal, se poate
spune c acestea trebuie s cuprind printre altele:
a. Stabilirea echipei responsabile cu realizarea unui plan
de refacere a sistemului format din personalul din compartimentul de specialitate, auditorul
sistemului informatic, utilizatori.
b. Elaborarea procedurilor de verificare a principalelor componente ale
sistemului (date, soft, hard, documentaii) n cazul producerii
evenimentelor distructive i stabilirea responsabilitilor.
c. Stabilirea locaiilor n care vor fi pstrate copiile de siguran,
documentaiile i componente hardware.
d. Stabilirea prioritilor privind procedurile ce trebuie efectuate.
1. Doar a i b.
2. Doar a, b i c
1. Doar a, b i d.
2. Toate
3. Nici una.
168. Precizai aliniatul greit din procedura de mai jos
Cea mai popular tehnic de backup este GFS (bunic-tat-fiu) care presupun urmtoarea desfurare :
1. Se fac copii zilnice.
2. Copia zilnic se va rescrie n sptmna urmtoare.
3. La sfritul sptmnii se realizeaz "copia sptmnii" (corespunde ultimei copii zilnice).
4. Copia sptmnii se reface sptmna urmtoare.
5. La sfritul fiecrei luni se realizeaz "copia lunii"
169. Planurile prevzute a fi elaborate de institutuie referitor la activitatea ce se va
desfura n caz de atac, pn la revenirea activitii la o desfurare normal, trebuie s
prevad referitor la software backup urmtoarele:
a. Realizarea de copii ale sistemului de operare i ale aplicaiilor (se realizeaz n msura
n care licena permite acest lucru).
b. Copiile trebuie pstrate n loc sigur (chiar alte locaii dect sediul firmei).
1. Doar a
2. Doar b
3. Amndou
4. Nici una.
170. Planurile prevzute a fi elaborate de institutuie referitor la activitatea ce se va
desfura n caz de atac, pn la revenirea activitii la o desfurare normal, trebuie s
prevad referitor la hardware backup urmtoarele:
1. Achiziionarea unui al doilea sistem care poate fi:
- Un sistem Standby Hot care poate prelua imediat funcia sistemului operaional.
- Un sistem Standby Cold, stocat separat i la nevoie conectat pentru a
putea fi folosit.
2. ncheierea unui contract cu o firm al crei sistem de procesare a datelor are aceleai
faciliti i poate s suporte prelucrrile firmei al crui sistem nu mai este operaional.
3. Apelarea la o firm care ofer servicii n acest domeniu.
4. Contractele de service cu furnizorul hardware s prevad furnizarea, pe timp
nelimitat, a echipamentelor care le vor nlocui pe cele avariate.
Indicai activitatea greit
171. n cadrul organizaiei trebuie s existe o politic de backup pentru fiecare sistem sau
grup de sisteme care trebuie s cuprind:
1. Cnd i cum (parial sau total) se realizeaz copiile, unde se pstreaz aceste copii i pentru
ct timp?
2.Frecvena realizrii copiilor i cine este responsabil pentru verificarea corectitudinii lor?
3. n mod distinct, o descriere detaliat a modului de salvare a sistemului de operare.
4. Cum se realizeaz evidena copiilor n arhiv i cum pot fi recuperate copiile din arhiv
(persoane autorizate s depun/ridice copii, nregistrarea datei depunerii/ridicrii copiilor, data
returnrii copiilor la arhiv i persoana care a fcut reidicarea/returnarea copiilor etc).
172. . n cadrul organizaiei trebuie s existe o politic de restore care trebuie s
cuprind:
1. Persoana responsabil cu verificarea corectei operri.
2. O descriere detaliat a modului de restaurare a datelor pentru toate aplicaiile.
3. n mod distinct, o descriere detaliat a modului de restaurare a
sistemului de operare.
4. Obligativitatea testrii zilnice a politicii de restore.
173. Auditul aplicaiei presupune printre altele i urmtoarele:
1. Controlul conceperii aplicaiei.
2. Controlul acurateei, integritii i completitudinii intrrilor, prelucrrilor i ieirilor aplicaiei
3. Controlul integrrii datelor
4. Controlul funcionalitii calculatorului.
174. Auditul aplicaiei presupune printre altele i urmtoarele:
1. Controlul fiabilitii sistemului de calcul.
2. Controlul securitii.
3. Controlul perenitii.
1. Controlul exploatrii.
175. n legtur cu controlul calitii metodelor de realizare a aplicaiilor i
controlul calitii procedurilor de exploatare o deosebit atenie prezint printre altele
urmtoarele tipuri de controale:
1. Controlul intrrii n cldirea sitemului de calcul.
2. Controlul prelucrrilor
3. Controlul integritii fiierelor
4. Controlul ieirilor
176. n cadrul auditrii aplicaiei se va urmri dac prin modul n care a fost gndit
funcionalitatea aplicaiei s-a respectat i principiul separrii funciilor incompatibile.
Aceast cerin determin ca aplicaia s ofere una din urmtoarele faciliti:
a. Proceduri de validare a operaiilor de introducere a datelor de ctre persoanele
cu responsabiliti pe linia autorizrii intrrilor;
b. Proceduri de generare a situaiilor pentru controlul datelor introduse n sistem
(pentru analiza posteriori de ctre un superior ierarhic);
c. O combinare a celor dou proceduri prezentate mai sus.
1. Doar a.
2. Doar b.
3. Doar a i c.
4. Toate trei.
5. Nici una.
a) Anumite aplicaii prin natura prelucrrilor i sectoarelor de activitate n care sunt utilizate (sectorul
bancar, instituiile financiare etc) impun auditorului derularea unor activiti de identificare a posibilelor
operaiuni frauduloase.
b) O aplicaie bine realizat prezint proceduri de control care s limiteze utilizarea sa necorespunztoare i
n acest caz, controlul fiabilitii aplicaiei nu mai este necesar. se poate spune c sunt adevrate:
1. Ambele
2. Doar a
3. Doar b
4. Nici una
a) Anumite aplicaii prin natura prelucrrilor i sectoarelor de activitate n care sunt utilizate (sectorul
bancar, instituiile financiare etc) impun auditorului derularea unor activiti de identificare a posibilelor
operaiuni frauduloase.
b) O aplicaie bine realizat prezint proceduri de control care s limiteze utilizarea sa necorespunztoare,
dar i instruciuni de control al fiabilitii aplicaiei.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
179. n procesul auditrii aplicaiei se va ine seam de sarcinile administratorului de
reea ntre care se afl i urmtoarele:
1. s asigure funcionarea controlului logic aa cum s-a prevzut.
2. s asigure actualizarea controlului logic.
3. s verifice existena backup-ului aplicaiei.
4. s raporteze cerinele utilizatorilor.
180. Auditorul poate acumula probele de care are nevoie pentru a-i susine concluziile sale
cu privire la auditul aplicaiei sub forma:
1. Documente privind politicile i procedurile de securitate:
Listele de control al accesului;

Limitele autorizrilor automate ale utilizatorilor;
Jurnalele de securitate;
Cererile de modificri i modul de soluionare a acestora etc.
2. Documente privind procedurile de lucru ale aplicaiei.
3. Informaiile culese pe baza interviurilor, chestionarelor, testelor efectuate.
4. Flowchart-uri (adic machete ale documentelor) aplicaiei.
181. Controlul intrrilor este folosit pentru a se asigura faptul c toate tranzaciile sunt:
1. introduse corect
2. complete i valide
3. autorizate
4. aferente perioadei de gestiune precedente.
a) Autorizarea intrrilor tranzaciilor poate fi controlat prin identificarea utilizatorului, care a introdus
datele n sistem, pe baza privilegiilor asociate ID-urilor utilizatorilor.
b) n cadrul controlului formatului se verific natura datelor, lungimea datelor (evitarea producerii de
trunchieri), numrul de zecimale admis, acceptarea valorilor negative sau doar a celor pozitive, formatul
datei calendaristice, aplicarea semnului monetar.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
183. Despre validarea intrrilor de date se poate spune c:
1. Se poate realiza numai automat
2. Controalele de validare trebuie s asigure ndeplinirea criteriilor de validare prestabilite a
datelor
3. Reduce riscul introducerii de date incorecte.
184. Tipurile de controale aplicate asupra datelor de intrare sunt urmtoarele:
1. Controlul formularului.
2. Controlul domeniului de definiie a atributelor.
3. Controlul acurateei aritmetice.
4. Controlul existentei datelor. Indicai
afirmaia eronat.
a) Autorizarea intrrilor tranzaciilor poate fi controlat prin identificarea utilizatorului, care a introdus
datele n sistem, pe baza privilegiilor asociate ID-urilor utilizatorilor.
b) n cadrul controlului formatului se verific natura datelor, lungimea datelor (evitarea producerii de
trunchieri), numrul de zecimale admis, acceptarea valorilor negative sau doar a celor pozitive, formatul
datei calendaristice, aplicarea semnului monetar.
1. Nici una
2. Doar a
3. Doar b
4. Ambele
186. Controlul domeniului de definiie a atributelor urmrete :
1. ncadrarea ntr-o mulime de valori prestabilit (exemplu: abrevierile judeelor, tipuri de uniti
de msur, tipuri de documente).
2. ncadrarea ntr-un interval de valori prestabilit (exemplu: salariul angajailor ia valori n
intervalul [2.500.000, 30.000.000]).
3. Validri ale realizrilor unor atribute diferite, numit i testul dependenei logice dintre cmpuri.
Exemplu: validrile privind corespondena conturilor - contul X se poate debita doar prin
creditarea conturilor A,B sau C.
4. Testul "coincidenei" datelor.
Marcai activitatea eronat.
a) n cadrul controlului acurateei aritmetice, pe baza unor date de intrare introduse de operator pot fi
verificate elementele calculate din documentul primar. De exemplu, pe baza cantitii i preului unitar al
unui articol nscris ntr-o factur sistemul genereaz automat pe ecran valoarea produsului, TVA-ului,
valoarea cu TVA i apoi totalul facturii operatorul putnd confrunta aceste sume calculate cu cele nscrise n
factur.
b) n cadrul controlului existentei datelor testul se refer n principal la validarea datelor de intrare
reprezentnd coduri. Este suficient s introduci codul unul client i pe ecran s se afieze numele acestuia
sau un mesaj de eroare atenionnd asupra introducerii unui cod incorect/inexistent.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
a) n cadrul controlului existentei datelor, pe baza unor date de intrare introduse de operator pot fi verificate
elementele calculate din documentul primar. De exemplu, pe baza cantitii i preului unitar al unui articol
nscris ntr-o factur sistemul genereaz automat pe ecran valoarea produsului, TVA-ului, valoarea cu TVA
i apoi totalul facturii operatorul putnd confrunta aceste sume calculate cu cele nscrise n factur.
b) n cadrul controlului acurateei aritmetice testul se refer n principal la validarea datelor de intrare
reprezentnd coduri. Este suficient s introduci codul unul client i pe ecran s se afieze numele acestuia
sau un mesaj de eroare atenionnd asupra introducerii unui cod incorect/inexistent.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
189. Testul cifrei de control se aplic asupra datelor de intrare reprezentnd
elemente codificate i urmrete rejectarea codurilor eronate introduse. Cauza erorii la
nivelul elementelor codificate poate fi:
1. Trunchierea
2. Adugarea unui caracter suplimentar

3. Transcrierea incorect a codului n documentul primar
4. Scrirea codului cu majuscule n loc de cifre sau litere mici.
a) n cadrul testului tranzaciilor duplicate auditorul va trebui s verifice dac sistemul admite introducerea
repetat a acelorai date. De exemplu, introducerea repetat a unui aceluiai document (factur, bon de
consum etc).
b) Controlul securitii aplicaiei se poate realiza prin: identificarea i autorizarea utilizatorilor, controlul
accesului i monitorizarea activitii utilizatorilor.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
191. n cadrul verificrii modului cum sunt soluionte tranzaciilor refuzate de sistem
auditorul va trebui s verifice:
1. Cum se soluioneaz tranzaciile acceptate de sistem (care au trecut testul de validare)?
2. Cine rspunde de verificarea acestor date de intrare i de reintroducerea lor?
3. Dac sunt generate liste coninnd intrrile rejectate?
192. n derularea procedurilor de control al prelucrrilor auditorul va trebui s in seama
de:
1. Tipologia sistemului informatic.
2. Modalitile de introducere a datelor n sistem i procesarea acestora.
3. Vechimea sistemului informatic.
4. Nivelul de descentralizare a prelucrrilor.
193. n cadrul controlului fiierelor i al bazei de date, auditorul va trebui s verifice n
legtur cu transferul fiierelor, msura n care:
1. Au fost autorizate procedurile de transfer ale fiierelor din vechiul n noul sistem;
2. Procedurile au fost realizate de persoanele imputernicite;
3. S-a asigurat completitudinea i corectitudinea transferului.
4. Este asigurat transparena operaiilor de transfer.
194. n legtur cu funcionalitatea aplicaiei auditorul va trebui s determine printre
altele, msura n care:
1. Exist anumite prelucrri pe care aplicaia trebuie s le execute, dar nu le realizeaz sau le
realizeaz greoi.
2. Sunt funcionaliti care lipsesc i s precizeze care sunt acestea.
3. Aplicaia rspunde stilului i metodei de lucru specifice utilizatorului.
4. Aplicaia poate fi realizat n termenul stabilit.
195. Referitor la comunicarea sistemului cu utilizatorul auditorul

rspuns la urmtoarele ntrebri:
1. Este uor "s te pierzi" n program?
2. Exist opiuni de lucru care pot fi confundate cu altele?
3. Care sunt mesajele de eroare? Sunt utile, explicite?
4. Rezultatele sunt disponibile n timp util?
va
trebui
gseasc
196. Controlul datelor de ieire urmrete:

1. Completitudinea i acurateea ieirilor.
2. Respectarea termenelor prevzute pentru obinerea ieirilor.
3. Msura n care ieirile, la cererea utilizatorilor, pot fi dirijate ctre imprimant, monitor sau un
anumit fiier.
4. Este uor "s te pierzi" n program?
197. Controalele securitii aplicaiei sunt folosite pentru asigurarea:
1. Completitudinea i acurateea ieirilor.
2. Acurateei prelucrrilor.
3. Separrii sarcinilor incompatibile ntre persoanele implicate n procesarea datelor.
4. Controlul utilizatorilor.
a)
n cadrul testului tranzaciilor duplicate auditorul va trebui s verifice dac sistemul
admite introducerea repetat a acelorai date. De exemplu, introducerea repetat a
aceluiai numr pentru rubrica valoare.
b) Controlul securitii aplicaiei se poate realiza prin: identificarea i autorizarea
utilizatorilor, controlul accesului i monitorizarea activitii utilizatorilor.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
a) Controlul accesului impune verificarea de ctre auditor a urmtoarelor aspecte: controlul accesului la
aplicaie prin log-are, restricionarea accesului la modulele aplicaiei, restricionarea accesului la anumite
funcii ale aplicaiei i existena listelor de control al accesului.
b) Tehnica ncercrii const n crearea unui mediu de test, incluznd o copie a aplicaiei i a fiierelor
specifice.
1. Ambele
2. Doar a
3. Doar b
4. Nici una
a) Controlul accesului impune verificarea de ctre auditor a urmtoarelor aspecte: controlul accesului la
aplicaie prin log-are, restricionarea accesului la modulele aplicaiei, restricionarea accesului la anumite
funcii ale aplicaiei i existena listelor de control al accesului.
b) Tehnica ncercrii const n crearea unui mediu de test, incluznd o copie a manualului de utilizare i a
fiierelor specifice.
1. Ambele
2. Doar a
3. Doar b
4. Nici una

Teste Gril-Â La Disciplina Auditarea Sistemelor Informatice

Încărcat de

Informații document

Descriere:

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Descriere:

Drepturi de autor:

Formate disponibile

Teste Gril-Â La Disciplina Auditarea Sistemelor Informatice

Titlu original:

Încărcat de

Descriere:

Drepturi de autor:

Formate disponibile

Teste gril la disciplina Auditarea sistemelor informatice pentru

specializarea CIG, anul III ZI i anul IV FR i ID 2008

1. Din definiia urmtoare a auditului lipsesc 4 grupuri de cuvinte.

3. Disponibilitatea datelor: existena datelor necesare.

5. Despre definiia auditului financiar i rolul controlului intern n cadrul auditului

1. Vulnerabilitile hardware i software.

28. Printre sursele ameninrilor se numr i urmtoarele:

1. Scrierea politicii de securitate;

Teoretic, este posibil ca dintre afirmaiile de mai sus s fie adevrate

1. Analize de risc (vulnerabiliti)

4. Auditul instituiilor publice.

47. Printre altele politicia de securitate se refer la:

64. Despre afirmaiile

66. Auditul securitii sistemului informatic realizeaz o evaluare obiectiv care va

b. Natura specific a procesrii datelor

2. Funcionarea defectuoas a software-ului.

2. Determinarea riscului (probabilitii) pentru fiecare vulnerabilitate identificat

Din aceste cinci variante alegei varianta corect.

b. Pregtete utilizatorii pentru procedurile de securitate!

a. Suprancrcarea unei resurse limitate (memoria, lrgimea de band de reea, timpul

4. Identificarea sursei atacului.

1. Crearea de noi conturi utilizator;

108. Pentru auditarea controlului administrrii parolelor auditorul va analiza urmtoarele

1. Care sunt restriciile privitoare la lungimea numelui utilizatorului ?

3. Existena unor restricii referitoare la durata de via a parolelor.

1. Nu este admis utilizarea parolelor implicite.

1. Se recomand ca administratorul s nu partajeze propria parol cu ali utilizatori.

3. Utilizatorii nu pot avea acces la fiierele care stocheaz parolele.

2. Ce verificri periodice se desfoar pentru identificarea conturilor inactive i minimizarea

3. Dac sistemul a fost configurat ca dup o anumit perioad de inactivitate nregistrat la

1. Verificarea msurii n care toate serviciile au fost restaurate.

1. Informarea utilizatorilor cu privire la pericolul i modul de propagare al viruilor.

151. Despre afirmaiile

164. Despre afirmaiile

167. Referitor la planurilor prevzute (de Conceptul de Business Continuity

Listele de control al accesului;

2. Adugarea unui caracter suplimentar

195. Referitor la comunicarea sistemului cu utilizatorul auditorul

196. Controlul datelor de ieire urmrete:

S-ar putea să vă placă și