Nume si prenume

_______________________

Test final MSI

25 ian 2010

1. Enumeraţi care sunt in opinia dumneavoastră principalele caracteristici ale societăţii actuale
care impun creşterea nivelului de securitate al informaţiilor.
a. Crearea premizelor pentru construcţia societăţii informaţionale – societatea bazata pe
cunoaştere.
b. Rolul determinant al informaţiilor in mecanismele de decizie, comandă şi control in
mecanismele sociale şi economice – necesitatea informaţiilor complete şi credibile.
c. Creşterea interdependenţelor şi complexităţii proceselor sociale şi economice precum
si diversificarea intereselor care necesită armonizare, fenomenul de globalizare,
comerţul, migraţia forţei de muncă, – concurenţa, războiul informaţional;
d. Crearea magistralei informaţionale globale – socializarea comunicaţiilor şi a
schimbului de informaţii;
e. Dezvoltarea exploziva a tehnologiilor informatice – pătrunderea lor in zona
infrastructurilor critice ale societăţii.

2. Alegeţi din lista de mai jos care sunt principalele atribute de securitate ale reţelelor si
sistemelor referitoare la securitatea informaţiilor în format electronic:
a. Controlul accesului f. Integritatea
b. Disponibilitatea g. Protecţia fizica
c. Trasabilitatea h. Autenticitatea
d. Confidenţialitatea i. Nerepudierea
e. Existenta unei politici de
securitate

3. Definiţi pe scurt ce înţelegeţi prin clasificarea informaţiilor si care sunt principalele clase de
informaţii clasificate stabilite prin lege in România si care în NATO.
a. Sensul general: informaţii încadrate într-o serie de clase definite de o autoritate (ex.
informaţiile clasificate secrete de stat, informaţii clasificate NATO, informaţii privind
intimitatea persoanelor, informaţii publice etc.
b. Informaţii clasificate secrete de stat: strict secrete de importantă deosebită, strict
secrete, secrete precum şi informaţiile secrete de serviciu;
c. Informaţii certificate (autentificate) şi informaţii necertificate.
d. Informaţiile clasificate NATO: top secret, secret, confidenţial, restricted,
e. Informaţii „neclasificate” NATO: unclasified, public.

4. Prezentaţi principalele autorităţi ale statului Roman cu atribuţii in protecţia informaţiilor.

a. ORNISS
b. SRI
c. MCSI - ANCOM
d. Autorităţi departamentale (Autorităţile desemnate de Securitate – legea 182/2002 :
SRI, SIE, MApN, MIRA, STS, SPP, Ministerul e Justiţie)
5. Care sunt principalele fluxuri de informaţii într-o organizaţie care trebuie avute in vedere la
construcţia sistemului de securitate al informaţiilor ?
a. Traseul documentelor: puncte de intrare, înregistrare, puncte de ieşire, puncte de
multiplicare, locuri de procesare, locuri de păstrare (arhive).
b. Comunicaţiile telefonice si de date: punctele de acces către reţelele externe şi către
internet (regulile de acces), accesul la suporţii de memorie.
1
 c. Bazele de date (camera cu servere, calculatoarele cu informaţii sensibile).
d. Accesul persoanelor in zonele sensibile.

6. Definiţi infrastructurile critice si care sunt infrastructurile critice ale unui stat ?
a. Infrastructurile care sunt suport pentru activităţile vitale care privesc viaţa şi sănătatea
oamenilor sau care provoacă evenimente sociale in avalanşă.
b. Principalele infrastructuri critice:
i. Retelele de comunicatii, de baze de date si prelucrare;
ii. Retelele de producere si distributie a energiei electrice;
iii. Reteaua de transporturi (aerian, naval, terestru – drumuri, poduri, parc auto);
iv. Retelele financiare;
v. Distributia de gaze, combustibil;
vi. Retelele sanitare;
vii. Retelele de interventie in caz de urgenta (pompieri, politie, smurd, energie,
comunicatii de urgenţă etc.)
viii. Retelele guvernamentale ( de decizie).

7. Enumeraţi pe scurt principalele dificultăţi ale actului de justiţie in mediul virtual (privind
criminalitatea electronica).
a. Inconsistenţa şi volatilitatea termenilor referitori la un mediu in evoluţie rapidă.
b. Problema teritorialităţii justiţiei şi independenţa de spaţiu şi timp a activităţilor din
mediul virtual.
c. Caracterul nematerial al probelor şi utilizarea lor intr-un mediu baza pe materialitatea
probelor.
d. Viteza de evoluţie a tehnologiei mult mai mare decât capacitatea de reglementare a
sistemului juridic.

8. Definiţi conceptul de criminalitate electronica in sens general.

a. Orice delict cu sau în legătură cu reţele sau echipamente de calcul, care include:
oferta, posesia sau distribuţia de informaţii despre activităţi criminale.
i. Reţeaua sau echipamentele sunt support pentru activităţi criminale (rol pasiv,
ex.: stabileşte contacte, reclamă pt. droguri, pornografie cu minori etc.) ;
ii. Reţeaua sau echipamentele sunt instrumente ale crimei (au rol activ, ex.:
clonează cărţi de credit, falsifică bani);
iii. Reţeaua sau echipamentele sunt victime ale activităţii criminale;

9. Alegeţi din variantele de mai jos care este in accepţiunea dumneavoastră deosebirea cea mai
semnificativa dintre abordarea sistematica a unei probleme complexe si abordarea sistemica a
aceleiaşi probleme:
a. Abordarea sistematica a unei probleme se concentrează pe găsirea soluţiei de
rezolvare pe când abordarea sistemica se concentrează pe formularea problemei;
b. Abordarea sistematica a problemei implică descompunerea problemei in probleme
mai simple si rezolvarea lor pe rând pe când abordarea sistemica implica cooperarea
cu toţi factorii de care depinde rezolvarea problemei pentru a găsi soluţia optima;
c. Abordarea sistematica implica planificarea etapelor de rezolvare si urmărirea atingerii
lor pe când abordarea sistemica urmăreşte evidenţierea influentei aceste probleme
asupra mediului si a activităţilor conexe.
10. Care sunt principalele costuri ale securităţii (supravieţuirii) asupra unui sistem – precizaţi pe
scurt principalele efecte ale subevaluării şi ale supra evaluării securităţii sistemului.
a.
11. Enumeraţi principalele caracteristici ale mediului virtual care au implicaţii majore in
abordarea securităţii informaţiei si a reţelelor.
a.
2
12. Precizaţi care sunt principalele puncte de vedere holistice (complementare) ale abordării
sistemice ale sistemului de securitate si principalele lor caracteristici.
a. Abordarea hard (probleme clar definite)
b. Abordarea soft (probleme vag definite)
c. Abordarea in regim catastrofic

13. Principiile generale ale securităţii informaţiilor – recomandările OECD.

a. Promovarea unei culturi de securitate pentru toti participantii;
b. Constientizarea riscurilor, diseminarea politicilor, practicilor si a masurilor de
securittate – necesitatea implementarii lor;
c. Crearea unui nivel ridicat de incredere in sistemele informatice si de comunicatii;
d. Crearea suportului tehnic pentru securitate si implemetarea masurilor si procedurilor
de securitate;
e. Promovarea cooperarii intre participanti;
f. Participantii trebuie sa fie convinsi de necesitatea sistemelor de securitate si sa poata
decide nivelul acesteia;
g. Toti participantii sunt responsabili de securitatea informatiilor si a sistemelor;
h. Participantii trebuie sa fie capabili sa raspunda prompt, cooperant pentru a preveni,
detecta si raspunde la incidentele de securitate.
i. Toti participantii trebuie sa respecte interesele legitime ale celorlalti;
j. Masurile de securitate ale informatiilor si retelelor trebuie sa fie in concordanta cu
principiile valorilor democratice;
k. Participantii trebuie sa isi faca propria analiza de riscuri;
l. Participantii trebuie sa includa masurile de securitate ca elemente esentiale ale
sistemelor informatice şi de comunicatii;
m. Participantii trebuie sa fie liberi sa adopte masurile de securitate adecvate pe care le
doresc;
n. Participantii trebuie sa isi revada si sa adapteze periodic sistemul de securitate al
informatiilor si relelelor si sa refaca politicile, practicile, masurile si procedurile,

14. Ce este o politica formala de securitate?

a. O politica de securitate redactata in forma scrisa aprobata de conducerea organizaţiei;
b. Un set de reguli emise de administratorul sistemului pe care utilizatorii sunt
îndemnaţi sa le respecte;
c. Un set de decizii ale autoritarii de drept care împart stările posibile ale unui
sistem in stări autorizate (sigure) si stări neautorizate (nesigure) precum si un set
de reguli care aplicate riguros transforma in mod garantat o stare sigura tot
intr-o stare sigură.
15. Ce este o politica (practica) de securitate:
a. Un set de reguli de buna conduită care prin aplicare sa conducă şi să păstreze sistemul
in condiţii satisfăcătoare de securitate.
b. Un document de securitate redactat in forma scrisa aprobat de conducerea
organizaţiei, realizat in conformitate cu legislaţia, obiectivele organizaţiei,
standardele de securitate si cultura de securitate;
c. Un set de reguli emise de administratorul sistemului pe care utilizatorii sunt obligaţi
sa le respecte;
16. Precizaţi care dintre următoarele tipuri de atribute securitate (integritate, confidenţialitate,
disponibilitate, integritate si confidentialitate) pe care sunt axate următoarele modele de
securitate:
a. Modelul Bell-La Padula _confidenţialitate
b. Biba _integritate
c. Clark – Wilson _integritate
d. Modelul zidului Chinezesc _confidentialitate si integritate
3
17. Arătaţi pe scurt câteva din principalele obiective ale politicii de securitate ale unei
organizaţii.
a. Defineste si fixeaza regulile “jocului”;
b. Stabileste legatura dintre cadrul general de securitate si conditiile locale de securitate
– aplica regulile generale la conditiile locale, rezolva conflictele;
c. Arata modul de integrare al mecanismelor de securitate in functionarea generala a
organizatiei;
d. Fixează cadrul general de securitate necesar instituţiei;
e. Stabileşte principiile după care se ghidează securitatea;
f. Trimite un mesaj al conducerii şi al structurii de securitate către: public, personalul
angajat, clienţi si beneficiari;

18. Cine semnează (autorizeaza) politica de securitate a informaţiilor şi reţelelor într-o

organizaţie:
a. Administratorul reţelei;
b. Administratorul de securitate al organizaţiei;
c. Directorul general al organizaţiei;
d. Proiectantul sistemului de securitate;
e. Auditorul sistemului de securitate.

19. Precizaţi pe scurt atribuţiile managerului de securitate.

a. Atribuţii manageriale generale
i. planificare
ii. organizare
1. determinarea activitatilor care trebuie executate
2. gruparea si atribuirea activitatilor pe subordonati (executanti)
3. delegarea autoritatii necesare subordonatilor pentru a executa
activitatile intr-o maniera coordonata
iii. conducere
iv. coordonare
v. control
b. Atribuţii specifice
i. Creaza si implementeaza politicile si proceduritle de securitate;
ii. Se asigura ca procedurile sunt in concordanta cu politiciele de securitate si
modul de lucru al institutiei;
iii. Se asigura ca echipamentle de securitate sunt corect instalate si functioneaza;
iv. Verifica daca softul, echipamentele si procedurile sunt aduse la zi privind
vulnerabilitatile descoperite;
v. Asista, controleaza echipele de dezvoltare, intretinere si exploatare in
implementarea masurilor de securitate;
vi. Organizeaza accesul fizic la echipamente si informatii precum si accesul
logic la informatii si procese (aplicatii);
vii. Organizeaza raspunsul la incidente si coopereaza cu autoritatile atunci cand
este cazul;
viii. Participa la auditul extern de securitate prin coordonarea echipei interne;

20. Definiti pe scurt principlalele caracteristici ale nivelelor de evaluare EAL 1 – EAL 7 stabilite
prin Common Criteria (ISO 15408).
a. EAL 1 – testat functional – asigura securitatea intr-un mediu de lucru fara amenintari
serioase;
b. EAL 2 – testat structural – necesita cooperare intre producator si evaluator, satisface
nevoile practice medii de securitate comerciale;

4
 c. EAL 3 – testat metodic si verificat – include cautarea vulnerabilitatilor, implica
testare independenta;
d. EAL 4 – metodic proiectat, testat si corectat, este nivelul maxim comercial, nu
necesita investitii mari suplimentare pentru securitate;
e. EAL 5 – semiformal proiectat si testat – include masuri speciale de securitate
moderate, include un model formal de securitate si justificarea relativ riguroasa a
corespondentei cu realitatea, analiza canalelor ascunse, rezista la atacuri calificate;
f. EAL 6 – proiectare si testare semiformal verificata - mediul de proiectare este
controlat riguros, functiile critice sunt demonstrate matematic;
g. EAL 7 – formal testat si verificat – toate functiile si asigurarile de securitate sunt
testate si verificate pe modelul formal si verificata corespondenta cu practica;

21. Precizaţi pe scurt principalii factori care intervin in procesul de management al riscurilor.
a. Utilizatorii sistemelor;
b. Agenţii de ameninţare (atacatorii);
c. Ameninţările;
d. Valorile organizaţiei;
e. Vulnerabilităţile valorilor;
f. Riscurile;
g. Măsurile de securitate (contramăsurile).

22. Enumeraţi câteva din principalele cai de tratare a riscurilor intr-o organizaţie.
a. Limitarea riscurilor – in momentul producerii impactului se pun in functie masuri
prin care se opreste propagarea efectelor impactului;
b. Planificarea riscurilor – planificarea prioritatilor de securitate functie contextul de
mediu si monitorizarea mediului;
c. Transferul riscurilor – transferul unor valori, inchirierea unor valori sau servicii,
asigurare;
d. Asumarea riscurilor – nivelul riscului este suficient de mic pentru a suporta
prejudiciile atunci cand se produce;
e. Diminuarea riscurilor – riscurile inacceptabile sunt reduse prin contramasuri pana la
un nivel acceptabil;
f. Eliminarea surselor generatoare de amenintare (valorilor) – daca prin costurile de
securitate se depaseste valoarea aparata se renunta la ea ;

23. Precizaţi care sunt principalele etape concrete ale managementului de riscuri specificate in
standardele de management al riscurilor: ISO 27005 si ISO 13335.
a. Stabilirea contextului;
b. Identificarea riscurilor;
c. Analiza riscurilor;
d. Evaluarea riscurilor;
e. Tratarea riscurilor;
f. Comunicarea riscurilor;
g. Monitorizarea şi corectarea.

24. Precizaţi pe scurt care sunt caracteristicile unui lider.

a. Dorinta de a excela. Un lider nu este niciodata multumit cu locul al doilea. Trebuie sa
fie un om cu initiativa care este dispus sa se angajeze pentru timp indelungat si in
munca sustinuta pentru a avea succes.
b. Simtul responsabilitatii. Unui lider nu îi este frica sa caute, sa accepte si cu incredere
sa-si indeplineasca responsabilitatile.
c. Capacitate de munca. Adevaratii lideri sunt oricand dispusi sa accepte conditia
succesului – ore lungi de munca grea.
5
 d. Atitudine pozitiva in relatiile interumane. Liderii studiaza si analizeaza pe cei care ii
urmeaza, incercand intotdeauna sa-i inteleaga pe ei si problemele lor. Abilitatea de a
intelege colegii de munca este, probabil, cea mai importanta caracteristica a unui bun
leadership.
e. Entuziasm contagios. Liderii buni trebuie sa transmita acest entuzias contagios
partenerilor lor.

25. Care sunt principalele valori ale unei organizaţii care trebuie luate in calcul la analiza de
riscuri.
a. Oamenii: personalul, clienţii, furnizorii, partenerii etc.
b. Facilităţile;
c. Bunurile materiale;
d. Informaţii;
e. Activităţi
f. Imagine – percepţia publică.

26. Care sunt principalele elemente care intervin in materializarea intenţiei unui agent de
ameninţare ?
a. Catalizatorii care declanşează acţiunea;
b. Motivaţia;
c. Capacitatea agentului de a acţiona;
d. Posibilităţîle de acces;
e. Factorii inhibitori şi cei amplificatori;

27. Precizaţi pe scurt principalele avantaje ale analizei cantitative de riscuri.

a. Rezultatele sunt bazate in mare masura pe date obiective in evaluarea frecventelor si
valorilor;
b. Efortul este indreptat spre definire si identificare;
c. Ofera suport pentru analiza cost – beneficii;
d. Rezultatele sunt usor interpretate in valori cuantificabile;

28. Când se face analiza de riscuri si cine participa la ea ?

a. Periodic;
b. Cand resursele sunt limitate, nu acopera nevoile si trebuiesc decise prioritatile;
c. La analiza unui proiect nou;
d. Cand se fac reduceri bugetare;

29. Care sunt principalele atribuţii ale unei structuri de securitate intr-o organizaţie ?
a. Adminitreaza programul de control al cheilor si incuietorilor companiei.
b. Conduce programul de instruire si pregatire de securitate.
c. Investigheaza toate actele comise in interiorul companiei impotriva proprietatii si
persoanelor.
d. Administreaza programul pentru protectia conducerii executive.
e. Coordoneaza activitatile speciale de protectie necesare pe durata evenimentelor
deosebite.
f. Retine si preda autoritatilor toate persoanele care au comis un atac asupra persoanei
sau impotriva proprietatii, echipamentului, matreialelor, produselor, bunurilor etc.
g. Proiecteaza si implementeaza controalele fizice ale cladirilor companiei.
h. Administreaza si conduce controlul accesului in cladiri, inclusiv legitimatiile de
acces.
i. Conduce verificarile inainte si dupa angajare.
j. Intocmeste tematica si conduce inspectiile pentru identificarea vulnerabilitatilor de
securitate si penrtu prevenirea pierderilor.
6
 k. Contracteaza si administreaza serviciile externalizate de securitate.
l. Furnizeaza servicii de curierat in situatii de urgenta.
m. Actioneaza ca sfatuitor/consilier pentru managementul superior in problemele legate
de securitate

30. Care sunt principalele cerinţe ale funcţiei de sef al structurii de securitate intr-o organizaţie ?
a. Experienta in managementul securitatii cu accent pe securitatea IT;
b. Experienta in implementarea si auditul masurilor de securitate;
c. Experienta in “data center security”;
d. Experienta in planificarea afacerilor;
e. Buna cunoastere a echipamentelor de securitate;
f. Cunoasterea legislatiei si standardelor;
g. Capacitate buna de comunicare verbala si in scris;
h. O buna intelegere a mecanismelor de securitate;
i. Cunostinte de criptografie;

Evaluare test final:

Un punct se atribuie din oficiu.
Întrebările au pondere egală. Se notează fiecare cu o notă de la 0-10 pentru restul de 9 puncte.