حسابرسی فناوری اطلاعات

مروری بر سوالات آزمون CISA

آزمون CISA توسط ISACA برگزار شده و کسانی که با موفقیت این آزمون را بگذرانند می توانند با کسب شرایط لازم، گواهینامه مربوطه را به عنوان حسابرس سیستم های اطلاعاتی دریافت کنند. برخی از سوالات آزمون CISA عبارت است از:

  1. Kerberos ضعف عمده ای دارد كه در ………… قابل مشاهده شده است.
  • الف – دفاع عمیق
  • ب- Hypervisor
  • ج- شبکه های بی سیم
  • د- سیستم های کلید نامتقارن

جواب: ب

Kerberos یک نرم افزار برای ورود متمرکز به سیستم ها است (SSO) است. هنگامی که SSO به خطر افتاد، کل برنامه های کاربردی به خطر می افتد. مدیر ماشین مجازی که hypervisor نامیده می شود چندین ماشین مجازی را روی یک هاست مدیریت می کند. هنگامی که hypervisor به خطر بیفتد ، تمام ماشینهای مجازی موجود در ماشین های میزبان به خطر می افتند. بنابراین ، هر دو Kerberos و Hypervisor پتانسیل شکست دارند.


  1. در هنگام Degaussing، چه اتفاقی می افتد:
  • الف- یک هارد دیسک را با استفاده از نرم افزار مناسب رونویسی کنید.
  • ب- دیسک های سخت را از نظر فیزیکی نابود کنید.
  • ج- درایو هارد را در معرض میدان مغناطیسی قرار دهید.
  • د- فرمت یک هارد دیسک حاوی اطلاعات حساس.

جواب : ج

Degaussing به معنای قرار گرفتن یک رسانه ذخیره سازی در برابر میدان های مغناطیسی قوی است که الگوی داده ضبط شده را تحریف کرده و درایو را غیرقابل خواندن می کند.


  1. منافع اصلی ناشی از سازمانی كه از خود ارزیابی كنترل (Control Self Assessment) استفاده می كند، این است که:
  • الف- اثربخشی حسابرسی را بهبود می بخشد.
  • ب- حجم کار کارمندان حسابرسی را کاهش می دهد.
  • ج- باعث افزایش ارتباط بین بخش های مختلف می شود
  • د. استفاده از ابزارهای فناوری را تسهیل می کند.

جواب: الف

CSA اثربخشی حسابرسی را بواسطه اقدام فعال مدیران مرتبط برای پذیرفتن مسئولیت ریسک ها و کنترل ها بهبود می بخشد زیرا مدیران مستقیم، مسئولیت ریسک و کنترل را بر عهده می گیرند. CSA باعث کاهش کار کارمندان حسابرسی، افزایش ارتباطات و تسهیل استفاده از ابزارهای فناوری می شود، اما اینها اهداف اصلی نیستند.


  1. در زمان ارزیابی برنامه تخلیه(Evacuation Plan) یک سازمان، حسابرس فناوری اطلاعات باید تعیین کند که:
  • الف. با اهداف كسب و كار مطابقت دارد.
  • ب. مورد آزمون قرار گرفته است.
  • ج. در کل امکانات ارسال شده است.
  • د. شفاف، دقیق بوده و به خوبی ارجاع شده است.

جواب: ب

صرف نظر از تمرکز و اهداف کسب و کار، طرح تخلیه اضطراری تنها یک هدف اصلی را دنبال می کند و آن نجات جان انسانها است. بنابراین ، مهمتر از همه این است که این طرح برای ارزیابی قابلیت اجرا در صورت بروز وقایع غیرمترقبه مورد آزمون قرار گرفته باشد.


  1. احراز هویت از طریق امضاهای دیجیتال توسط ………… صوررت می­گیرد.
  • الف – رمزگذاری پیام با کلید عمومی گیرنده
  • ب – رمزگذاری کل پیام با کلید خصوصی فرستنده
  • ج – ایجاد پیام با استفاده از الگوریتم هش
  • د. رمزگذاری پیام با کلید خصوصی فرستنده

جواب : د

رمزگذاری پیام با کلید عمومی گیرنده باعث تحقق محرمانگی می شود. رمزگذاری کل پیام با کلید خصوصی فرستنده به تأیید اعتبار کمک می کند اما این روشی نیست که توسط امضاهای دیجیتالی استفاده شود. ایجاد پیام با استفاده از الگوریتم هش باعث تضمین یکپارچگی می رسد. لیکن در امضای دیجیتال، پیام با الگوریتم هش رمزنگاری شده و هش با کلید خصوصی فرستنده امضا می شود.


6. کدام یک از موارد زیر بیشتر تحت تأثیر سیاست سازمانی خواهد بود؟

  • الف- الزامات نظارتی
  • ب – سطوح ریسک باقیمانده (Residual Risk)
  • ج – توافق نامه های سطح خدمات (Service Level Agreements) با مشتریان
  • د. تخمین زمان منسوخ شدن فناوری

جواب: ب

الزامات نظارتی به سختی از سایر موارد تأثیرپذیر هستند. توافقنامه سطح خدمت بیشتر توسط مشتری ها دیکته می شوند. منسوخ شدن فن آوری توسط محیط خارجی تعیین می شود. میزان ریسک باقیمانده براساس مشخصات ریسک سازمانی توسط هیئت مدیره تعیین می شود.


7. چه نوع از ریسک رخ می دهد وقتی حسابرس IS از ابزارها و تکنیک های مناسبی برای حسابرسی استفاده نکرده و نتیجه گیری کرده خطای با اهمیتی وجود ندارد؟

  • الف- ریسک کسب و کار
  • ب- خطر تشخیص
  • ج – خطر باقیمانده
  • د-  ریسک ذاتی

جواب: ب

ریسک کسب و کار خطری است که اهداف کسب و کار را تهدید می کند. ریسک تشخیص ریسکی است که در اثر اشتباه حسابرس IS رخ می دهد. ریسک باقیمانده سطح قابل قبول ریسک است در حالیکه ریسک ذاتی ریسکی است که ناشی از ماهیت کسب و کار در هنگام کنترل جبران نشده است.


8. مهمترین دغدغه حسابرس فناوری اطلاعات در زمان تضمین امنیت ترافیک بر روی اینترنت چیست؟

  • الف- IPSec
  • ب- پروتکل اینترنت (IP)
  • ج- امنیت لایه حمل و نقل (TLS)
  • د- لایه های امن سوکت (SSL)

جواب: ب

IPSec ، TLS و SSL همه پروتکل های امنیتی هستند. IP برای مسیریابی استفاده می شود و نه برای امنیت.


9. کدام یک از تهدیدهای زیر طی آموزش امنیت اطلاعات به بهترین شکل پیشگیری می شود؟

  • الف- Dumpster diving
  • ب- Piggybacking
  • ج- Data diddling
  • د- Botnet

جواب: الف

Dumpster diving یک حمله مهندسی اجتماعی است که در آن یک مهاجم برای کسب اطلاعات به سطل زباله کاغذهای باطله مراجعه می کند. برای جلوگیری از این حمله، دریافت اطلاعات و آموزش ها کافی است. Piggybacking زمانی است که یک شخص غیر مجاز از هویت یک شخص مجاز استفاده می شود.  Data diddling یک حمله داخلی است در حالی که botnet مجموعه ای از سیستم های به خطر افتاده است که برای حملات DOS استفاده می شود.


10- کدام یک از موارد زیر یک ویژگی اصلی معماری سازمانی است؟

  • الف- می توان از آن برای مستند سازی آسیب پذیری دارایی های اطلاعات استفاده کرد
  • ب- می توان برای بودجه ریزی در یک مرکز پردازش اطلاعات استفاده کرد
  • ج – توسعه آن باید فناوری محور باشد.
  • د- عمدتاً برای برنامه ریزی تاکتیکی در سازمان های تجاری استفاده می شود

جواب: ب

معماری سازمانی برای ثبت آسیب پذیری ها استفاده نمی شوند. آنها می توانند فناوری محور یا کسب و کار محور باشند. از آنها می توان برای برنامه ریزی تاکتیکی استراتژیک استفاده کرد. معماری سازمانی می توانند به عنوان پایه ای برای بودجه ریزی برای گروه IT مورد استفاده قرار گیرند.


11- کدام یک از پروتکل های زیر برای تبدیل پیکره بندی IP اختصاص داده شده توسط ارائه دهنده خدمات اینترنت (ISP) به پیکربندی MAC که توسط سازنده میزبان شبکه اختصاص یافته استفاده می شود؟

  • الف-  سیستم نام دامنه (DNS)
  • ب- پروتکل تنظیمات میزبان پویا (DHCP)
  • ج-  پروتکل دسترسی به فهرست سبک (LDAP)
  • د-  پروتکل قطعنامه آدرس (ARP)

پاسخ: گزینه د

DNS برای تبدیل نام دامنه به IP و برعکس استفاده می شود. DHCP برای اختصاص دینامیکی IP به یک سیستم (بدون مداخله دستی) استفاده می شود. LDAP برای جستجوی اطلاعات از یک سرور (فهرست) استفاده می شود. ARP برای نقشه برداری آدرس های IP در آدرس های دستگاه های فیزیکی استفاده می شود.


12-  استفاده از روش های نمونه گیری آماری به حداقل رساندن کدام ریسک کمک می کند:

  • الف- ریسک تشخیص
  • ب – ریسک تجاری
  • ج – ریسک کنترل
  • د- ریسک تطبیق

پاسخ: گزینه الف

ریسک نمونه برداری مربوط به ریسک تشخیص است. اگر ریسک نمونه برداری به حداقل برسد، ریسک تشخیص به حداقل می رسد. ریسک شغلی ریسکی است که می تواند در دستیابی به اهداف تجاری تأثیر بگذارد. ریسک کنترل ، ریسکی است که در صورت عدم موفقیت کنترل ایجاد می شود. در حالی که ریسک تطبیق، ریسکی است که سازمان از مقررات نظارتی خارج خواهد کرد.


13-  یک سیستم تشخیص نفوذ که مبتنی بر الگوهای حمله شناخته شده باشد، از کدام نوع زیر است:

  • الف- مبتنی بر امضا(Signature-based)
  • ب- مبتنی بر آماری (Statistical-based)
  • ج – شبکه عصبی (neural network)
  • د- بدون ارتباط (connectionless)

پاسخ: گزینه الف

الگوهای حمله شناخته شده، الگوهای مبتنی بر امضا نامیده می شوند. تشخصیص نفوذ مبتنی بر آمار، براساس رفتار شناخته شده و مورد انتظار سیستم ها است. شبکه های عصبی توانایی یادگیری دارند. بدون اتصال به این معنی است که دو سیستم قبل از مبادله ارتباطات نیازی به برقراری تماس قبلی ندارند.


14- کدام یک از پروتکل های زیر را می توان بهتر با استفاده از فایروال روتر، فیلتر کرد؟

  • الف- پروتکل پیام کنترل اینترنت (ICMP)
  • ب- پروتکل تنظیمات میزبان پویا (DHCP)
  • ج-  پروتکل کنترل انتقال (TCP)
  • د-  لایه های امن سوکت (SSL)

پاسخ: گزینه الف

ICMP در لایه شبکه ، DHCP در لایه جلسه ، TCP در لایه Transport و SSL در لایه Application عمل می کند. فایروال روتر در لایه شبکه کار می کند.


15- کدام یک از موارد زیر بهترین گزینه برای مسئولیت حاکمیت فناوری اطلاعات سازمان است؟

  • الف – مدیر اجرایی
  • ب- مدیر ارشد اطلاعات
  • ج – کمیته مدیریت IT
  • د-  هیئت مدیره

پاسخ: گزینه د

حاکمیت وظيفه هيئت مديره است كه بايد تا پايين ترين سطح مديريت سازمان انتقال یابد. کمیته مدیریت IT وظیفه اجرای استراتژی فناوری اطلاعات را به تصویب هیئت مدیره دارد. مدیرعامل و CIO اعضای مهمی در هیئت مدیره هستند که وظیفه حاکمیت IT را بر عهده دارد.


16- برای رفع مشکل میرایی، افزودن ………. به شبکه ضروری است.

  • الف-  دیوار آتش
  • ب- سوییچ
  • ج – تکرار کننده ها
  • د- روترها

پاسخ: گزینه ج

فایروال ها برای محافظت از شبکه استفاده می شوند. سوئیچ ها برای ایجاد LAN های مجازی و تبادل پیام در شبکه به کار می روند. از تکرارکننده ها برای تقویت سیگنال ها استفاده می شود زیرا در مسافتی بیش از 100 متر سیگنال ها  ضعیف می شوند. از روترها برای ارسال بسته ها در دو شبکه استفاده می شود.


17- کدام یک از موارد زیر بزرگترین نگرانی برای یک حسابرس فناوری اطلاعات در زمان ارزیابی سیستم مدیریت رمز عبور سازمان است؟

  • الف- تغییر رمز عبور به طور خودکار اجرا نمی شود.
  • ب –  فایل های رمز عبور با یک الگوریتم رمزگذاری دو طرفه رمزگذاری می شوند.
  • ج- کلمات عبور اولیه توسط سیستم تولید می شوند.
  • د- احراز هویت یك عاملی توسط سازمان مورد استفاده قرار می گیرد.

پاسخ: گزینه ب

رمزنگاری کلمه های عبور با الگوریتم های دو طرفه ضروری است.


18- هنگام تهیه یک برنامه امنیت اطلاعات ، کدام یک از موارد زیر را باید ابتدا انجام دهید؟

  • الف- تعیین مالکان دارایی
  • ب- انجام ارزیابی آسیب پذیری
  • ج – اجرای فایروال ها و سیستم های تشخیص نفوذ
  • د- تعیین و فهرست برداری موجودی داراییهای اطلاعات

پاسخ: گزینه د

اولین قدم در تهیه برنامه امنیت اطلاعات تعیین دارایی هایی است که باید در برنامه بدان ها پرداخته شود.


19- کدام یک از موارد زیر بهترین پاسخ خطرات به ریسک نقض محرمانگی در رایانش ابری است؟
الف- ریسک را از طریق بیمه انتقال دهید
ب – کارمندان فروشنده موافقت نامه های عدم افشا را امضا کنند.
ج – پیاده سازی رمزگذاری الگوریتم هش
د. زیرساخت کلید عمومی

پاسخ: گزینه ب

حفظ محرمانگی اطلاعات در خدمات رایانش ابری علاوه بر ساز و کارهای فنی از طریق امضای موافقتنامه عدم افشای اطلاعات میسر می شود.

نظر دهید