"Мэдээллийн аюулгүй байдлын менежмент" шалгалт /туршилтаар/ амжилттай болж өндөрлөлөө

Монгол улсад сүүлийн жилүүдэд Мэдээллийн аюулгүй байдлаар мэргэшсэн хүний нөөцийн хомсдол бий болж эхэлсэн бөгөөд хүний нөөц хомсдохын хэрээр мэдээллийн хамгаалалт, аюулгүй байдалтай холбоотой төрөл бүрийн эрсдлүүд бий болсон. Эдгээр эрсдлүүд нь ихэвчлэн хүний оролцоотойгоор үүсдэг бөгөөд энэ чиглэлээр мэргэжилтэн бэлтгэж байгаа их дээд сургууль, тусгайлан шалгадаг тестийн төв Монгол улсад хараахан байхгүй байна.

МТҮП нь дээрх хэрэгцээ шаардлага дээр үндэслэн “Мэдээллийн аюулгүй байдлын менежмент” гэсэн шинэ төрлийн шалгалтыг /туршилтаар/ 2019 оны 6 сарын 10-ны өдөр амжилттай зохион байгууллаа. Энэхүү шалгалтанд Монгол улсад мэдээллийн технологиороо тэргүүлэгч томоохон байгууллагуудын 15 мэдээллийн аюулгүй байдал хариуцсан мэргэжилтнүүд оролцлоо.

Шалгалт нь мэдээллийн аюулгүй байдлын стратеги, менежмент, технологи гэсэн агуулгын хүрээнд үдээс өмнөх 50 тест, үдээс хойшхи практикийн 3 асуулттай байлаа. Энэхүү шалгалт нь ITPEC-ийн 2 дугаар түвшний шалгалт болох МТ-ийн инженерийн суурь шалгалттай дүйцэх ОУ-ын шалгалт юм.

МТҮП нь тус шалгалтыг албан ёсоор 2020 оны 4 сард зохион байгуулахаар төлөвлөж байгаа бөгөөд шалгалтанд бэлтгэх сургалтыг шалгалтын агуулгын хүрээнд зохион байгуулах болно.

Энэ удаагийн туршилтын шалгалтын асуултаас сонирхуулахад:

Which of the following is the role of a C&C server in a botnet?

a)    It reduces the load on the network and servers by caching website content and distributing it to users in place of the original server.

b)    It prevents the tapping of the password in user authentication when an internal network is accessed from a remote location via the Internet by using protocols such as CHAP.

c)    It prevents the tapping of the password in user authentication when an internal network is accessed from a remote location via the Internet by using a one-time password that uses the challenge and response method.

d)    It sends commands from an external location and receives responses to and from a computer that is intruded on and hijacked in order to perform unauthorized operations such as an attack against another computer.

 

Risk management is defined in JIS Q 31000:2010 (ISO 31000:2009) (Risk management -- Principles and guidelines) as “coordinated activities to direct and control an organization with respect to risk.” Which of the following is an appropriate order of execution for the activities that make up this process?

a)    Risk identification → Risk response → Risk analysis → Risk evaluation

b)    Risk identification → Risk analysis → Risk evaluation → Risk response

c)    Risk evaluation → Risk identification → Risk analysis → Risk response

d)    Risk evaluation → Risk analysis → Risk identification → Risk response