среда, 21 ноября 2012 г.

Вопросы с 301 по 350 из CISM (перевод)

301. К чему МОЖЕТ привести проведенный тренинг по повышению осведомленности в вопросах ИБ?
А. К уменьшению количества инцидентов;
Б. К увеличению сообщений об инцидентах;
В. К уменьшению изменений в политиках ИБ;
Г. К увеличению нарушений прав доступа.

302. Схема классификации информации должна:
А. учитывать возможный ущерб от брешей в защите;
Б. учитывать персональные данные;
В. проводиться менеджером ИБ;
Г. учитывать все существующие системы.

303. Какой метод ЛУЧШЕ всего подходит для передачи пользователю первоначального пароля для входа в почтовую систему?
А. Система на стороне пользователя самостоятельно создает сложный пароль со сроком действия в 30 дней;
Б. Создать простой пароль, установить признак окончания срока действия пароля «немедленно» и сообщить пароль по телефону;
В. Разрешить пользователю беспарольный вход в систему и требовать задания пароля в течение 10 дней;
Г. Установить начальный пароль равным идентификатору пользователя со сроком действия в 30 дней.

304. Кем должна спонсироваться программа ИБ?
А. Менеджером по инфраструктуре;
Б. Департаментом аудита;
В. Владельцами ключевых бизнес процессов;
Г. Менеджером ИБ.

305. Что является НАИБОЛЕЕ важным для включения в текст соглашения с провайдером хостинга web-сервера?
А. Условия прекращения договора;
Б. Ограничения ответственности;
В. Уровень сервиса;
Г. Конфиденциальность ПДн.

306. Какая ЛУЧШАЯ метрика для оценивания эффективности межсетевого экрана?
А. Количество заблокированных атак;
Б. Количество отброшенных пакетов;
В. Средняя пропускная способность;
Г. Количество правил.

307. Что обеспечивает закрытие новых выявленных уязвимостей ОС в надлежащее время?
А. Управление уязвимостями;
Б. Управление изменениями;
В. Управление базовыми настройками;
Г. Управление закупками.

308. Какое ГЛАВНОЕ преимущество внедрения системы синхронизации паролей?
А. Уменьшение загрузки администраторов систем;
Б. Увеличение безопасности связанных между собой систем;
В. Уменьшение сроков и частоты смены паролей;
Г. Отсутствие необходимости в двухфакторной аутентификации.

309. Какой инструмент НАИБОЛЕЕ подходит для оценки достижения целей процесса управления ИБ?
А. SWOT-анализ;
Б. Диаграмма «Водопады»;
В. Gap-анализ;
Г. Сбалансированная система показателей.

310. Что обеспечивает НАИБОЛЕЕ эффективное исправление ошибок в программном коде критичных бизнес приложений?
А. Управление уязвимостями;
Б. Управление изменениями;
В. Метрики ИБ;
Г. Контроль версий.

311. Некритическое исправление для ОС, но повышающее её безопасность не может быть применено для бизнес-приложения т.к. оно не совместимо с ним. Что в этой ситуации является ЛУЧШИМ решением?
А. Переписать код приложения, чтобы было можно применить исправление в ОС;
Б. Предпринять компенсирующие меры;
В. Применить исправление, после чего запускать приложение в привилегированном режиме;
Г. Протестировать исправление в тестовой среде, по результатам настроить ОС, после чего применить исправление.

312. Что является НАИБОЛЕЕ важным в успехе программы ИБ?
А. Тренинги повышения осведомленности персонала;
Б. Достижение целей организации;
В. Финансовая поддержка руководства;
Г. Адекватный начальный бюджет и персонал.

313. Что является НАИБОЛЕЕ важным в успехе программы ИБ?
А. Адекватный тренинг по новым технологиям защиты;
Б. Хорошие коммуникации с ключевыми владельцами процессов;
В. Адекватные политики, стандарты и регламенты ИБ;
Г. Поддержка менеджментом организации.

314. Какое решение НАИБОЛЕЕ эффективно для противодействия доступа из вне с целью модификации информации в корпоративных БД?
А. DMZ;
Б. Классификация информации;
В. Ролевой контроль доступа;
Г. IDS.

315. Какая технология используется для подключения пользователей к сети организации через Интернет и исключает подмену пользователей?
А. IDS;
Б. Фильтрация IP-адресов;
В. Двухфакторная аутентификация;
Г. ЭЦП.

316. Какая подходящая частота для установки обновлений ОС для промышленных систем?
А. По расписанию в зависимости от выхода новых версий приложений;
Б. По расписанию в зависимости от выхода новых обновлений;
В. Ежеквартально, одновременно с техническим обслуживанием;
Г. В зависимости от критичности обновлений.

317. Какое устройство должно быть размещено в DMZ?
А. Прокси-сервер;
Б. Сервер приложений;
В. Сервер департамента Х;
Г. Резервный сервер.

318. Где должен быть размещен пограничный маршрутизатор?
А. Там же, где и web-сервер;
Б. Там же, где и IDS;
В. В DMZ;
Г. На границе домена.

319. Где должен быть размещен web-сервер электронной коммерции?
А. Во внутренней сети;
Б. В DMZ;
В. Там же, где и сервер БД;
Г. Там же, где и контролер домена.

320. Чем ЛУЧШЕ защитить клиента, пользующегося услугами электронной коммерции?
А. Шифрованием данных;
Б. ЭЦП;
В. Сложным паролем;
Г. Двухфакторной аутентификацией.

321. Какая мера ЛУЧШЕ защищает от SQL-инъекции?
А. Регулярное обновление файлов сигнатур;
Б. Правильное конфигурирование МСЭ;
В. IDS;
Г. Контроль ввода в web-формах.

322. Что является НАИБОЛЕЕ важным при внедрении IDS?
А. Настройка;
Б. Обновление;
В. Шифрование;
Г. Фильтрация пакетов.

323. Что является НАИБОЛЕЕ важным в защите номеров кредитных карт клиентов при использовании POS-терминалов?
А. Аутентификация;
Б. Устранение уязвимостей;
В. Шифрование;
Г. Принцип неотказуемости.

324. Какая практика подходит ЛУЧШЕ для использования удаленного доступа заказчиков, а также временных работников?
А. Вести логирование всех удаленных входов и направлять данные журналы менеджеру;
Б. Предопределять и устанавливать даты окончания действия соответствующих учетных записей;
В. Настроить оповещение по почте менеджера о том, когда каждый такой заказчик (сотрудник) заканчивает работать;
Г. Обеспечить ознакомление каждого такого заказчика (сотрудника) с правилами ИБ.

325. От кого должно поступать прямое указание на внесение изменений в ключевые ИС, чтобы предотвратить возможный ущерб от несоответствия новым требованиям регуляторов?
А. От внутреннего аудитора;
Б. От разработчика или аналитика ИС;
В. От владельца бизнес процесса;
Г. От главного юрисконсульта.

326. Что НАИБОЛЕЕ важно при внедрении продукта мониторинга за событиями ИБ?
А. Простота установки;
Б. Полнота документации;
В. Доступность технической поддержки;
Г. Загрузка наблюдаемых систем.

327. Что является НАИБОЛЕЕ важным при использовании ПО для сканирования на уязвимости корпоративной сети?
А. Никогда не использовать ПО с открытым кодом;
Б. Сфокусировать внимание только на промышленных серверах;
В. Сканировать с учетом возможных векторов атак;
Г. Никогда не нарушать бизнес процессы.

328. Что ЛУЧШЕ гарантирует, что вносимые в приложения изменения не нарушат их защищенность?
А. Стресс тестирование;
Б. Управление уязвимостями;
В. Управление изменениями;
Г. Применение политик безопасной настройки.

329. В чем заключается преимущество VPN для удаленных пользователей?
А. Помогает обеспечить защищенное взаимодействие;
Б. Увеличивает безопасность связанных с ней систем;
В. Позволяет менять пароли менее часто;
Г. Устраняет необходимость двухфакторной аутентификации.

330. Что НАИБОЛЕЕ эффективно для защиты беспроводных сетей, при помощи которых осуществляется доступ в корпоративную сеть?
А. Маршрутизатор на границе сети;
Б. Шифрование трафика;
В. МСЭ на границе сети;
Г. IDS на границе сети.

331. Что НАИБОЛЕЕ эффективно для защиты от фишинговых атак?
А. МСЭ с блокирующими правилами;
Б. Обновление сигнатур файлов;
В. Тренинг повышения осведомленности персонала;
Г. Мониторинг за сетевыми событиями.

332. Что должно автоматически случиться ПЕРВЫМ, когда вновь установленная система IDM ненормально и без оповещения прекращает работать?
А. МСЭ должен блокировать весь входящий трафик;
Б. Все системы должны блокировать вход пока IDM не восстановит свою работу;
В. Должен произойти автоматический откат в не синхронизированный режим;
Г. Системы должны логировать все попытки входа для последующего анализа.

333. Какой НАИБОЛЕЕ важный риск для middleware при использовании технологии Клиент-Сервер?
А. Обновления на сервере могут быть не применены;
Б. Резервные копии систем сделаны не полностью;
В. Целостность систем может быть нарушена;
Г. Пользовательские сессии могут быть перехвачены.

334. Что НАИБОЛЕЕ важно для защиты информации находящейся на территории другой организации при использовании провайдера на аутсорсе?
А. Защитить передаваемую и хранящуюся информацию;
Б. Удостовериться, что провайдер соответствует требованиям стандартов ИБ;
В. Удостовериться, что провайдер действительно использует технологии защиты;
Г. Иметь результаты последней независимой оценки провайдера.

335. Какой механизм безопасности НАИБОЛЕЕ эффективен для защиты критичной информации при её передачи в зашифрованном виде за пределы организации?
А. Правильная настройка МСЭ;
Б. Сильный алгоритм шифрования;
В. Аутентификация встроенная в приложения;
Г. Защита ключей шифрования.

336. В процессе внедрения новой почтовой системы, менеджер ИБ должен обеспечить конфиденциальность электронных писем в процессе доставки. Какой метод ЛУЧШЕ всего подходит для этого?
А. Шифрование;
Б. Цифровые сертификаты;
В. Цифровые подписи;
Г. Хэширование.

337. Какая НАИБОЛЕЕ важная причина того, что IDS, работающие на основе анализа статистической информации и поиска аномалий распространены МЕНЬШЕ по сравнению с IDS, работающими на основе сигнатурных методов?
А. Они вносят большую задержку в сетевой трафик;
Б. Они создают много ложноположительных срабатываний даже после минимального изменения систем;
В. Они создают большое количество ложных оповещений о действиях пользователей или систем;
Г. Они не обнаруживают новые типы атак.

338. Для чего менеджер ИБ использует метрики?
А. Чтобы оценить работу программы управления ИБ;
Б. Чтобы оценить производительность систем ИБ;
В.  Чтобы оценить эффективность процесса анализа рисков;
Г. Что оценить эффективность работы команды реагирования на инциденты.

339. Какой НАИБОЛЕЕ важный фактор в программе повышения осведомленности персонала в вопросах ИБ?
А. Кастомизировать содержимое курса для целевой группы;
Б. Заручиться поддержкой руководства;
В. Обеспечить, чтобы курс прошли все сотрудники;
Г. Избегать использования технических деталей. Использовать конкретные примеры.

340. Какая практика ПОЛНОСТЬЮ предотвращает атаки «Человек посередине» между двумя хостами?
А. Использование токенов для аутентификации;
Б. Использование IPSec для VPN;
В. Использование HTTPS с сертификатом сервера;
Г. Контроль MAC-адресов.

341. Какая из следующих функций обычно отсутствует при использовании SSL в браузере?
А. Аутентификация основанная на сертификатах на клиенте;
Б. Аутентификация основанная на сертификатах на сервере;
В. Конфиденциальность данных между клиентом и сервером;
Г. Несколько алгоритмов шифрования.

342. Какой протокол является ЛУЧШИМ для обеспечения конфиденциальности при передаче финансовой информации заказчику через web-сервер?
А. SSL;
Б. SSH;
В. IPSec;
Г. S/MIME.

343. Как называются свойства придаваемые сообщению путем его «обработки» закрытым ключом отправителя и публичным ключом получателя?
А. Аутентификация и авторизация;
Б. Конфиденциальность и целостность;
В. Конфиденциальность и неотказуемость;
Г. Аутентификация и неотказуемость.

344. Что может быть причиной нарушения конфиденциальности, когда пользователь получает доступ к web-серверу через SSL по КЛИЕНТСКОМУ сертификату?
А. IP-спуфинг;
Б. «Человек посередине»;
В. Отказ;
Г. Троян.

345. Какая НАИБОЛЕЕ подходящая метрика для включения в ежеквартальный отчет для исполнительного директора?
А. Тенденция соответствия политикам по серверам;
Б. Процент серверов соответствующим политикам;
В. Количество установленных обновлений;
Г. Тенденция применения обновлений.

346. Что НАИБОЛЕЕ важно для разработки основ программы ИБ?
А. Выявление критичной информации подлежащей защите;
Б. Разработка политик ИБ и применение их на всю организацию;
В. Определение минимального уровня ИБ;
Г. Физический и логический контроль доступа;

347. Что ЛУЧШЕ придает электронным письмам целостность, идентификацию отправителя и неотказуемость?
А. Симметричная криптография;
Б. PKI;
В. Хэширование;
Г. MAC.

348. Какой контроль ЛУЧШЕ подходит для определения точности работы биометрической системы доступа в серверные помещения?
А. Просмотр логов доступа системы;
Б. Сопровождение входящих сотрудниками охраны;
В. Регистрация посетителей в журнале перед входом в помещения;
Г. Дополнение биометрической системы индивидуальными кодами доступа.

349. Что должен делать руководитель ИБ, чтобы УЛУЧШИТЬ соответствие целям организации?
А. Регулярно пересматривать программу ИБ;
Б. Оценивать результаты деятельности организации;
В. Регулярно повышать уровень осведомленности персонала;
Г. Проводить тесты на проникновение;

350. Что является НАИБОЛЕЕ важным для включения в политику ИБ?
А. Определение ролей и зон ответственности;
Б. Определение области применимости программы;
В. Определение ключевых целей программы;
Г. Примеры процедур и стандартов программы.

среда, 14 ноября 2012 г.

Вопросы с 251 по 300 из CISM (перевод)

251. Какая техника НАИБОЛЕЕ точно показывает, нужно ли внедрять меры для снижения рисков ИБ?

А. Анализ контрмер с точки зрения стоимости и пользы;

Б. Тест на проникновение;

В. Программа периодического анализа рисков;

Г. Расчет ожидаемых годовых потерь.



252. Организация хочет внедрить дополнительные меры ИБ для нового процесса. Примером чего это является?

А. Устранения риска;

Б. Передаче риска;

В. Уменьшения риска;

Г. Принятия риска.



253. Кто ПРЕИМУЩЕСТВЕННО отвечает за определения уровней при классификации информации?

А. Менеджер;

Б. Хранитель данных;

В. Пользователь;

Г. Владелец данных.



254. На основе чего должно проводиться присвоение классов для критичной информации?

А. На основе области определенной к защите;

Б. На основе уровней доступа;

В. Согласно стоимости информационных ресурсов;

Г. В зависимости от бюджета программы защиты.



255. Организация сертифицирована на соответствие международному стандарту безопасности. Какой механизм в дальнейшем ЛУЧШЕ поможет организации определить уровень соответствия требованиям регуляторов?

А. Определение ключевых индикаторов (KPI);

Б. Проведение анализа влияния на бизнес (BIA);

В. Gap-анализ;

Г. Техническая оценка уязвимостей.



256. При проведении качественного анализа рисков, какой метод покажет БОЛЕЕ достоверные результаты?

А. Вычисление ожидаемых потерь;

Б. Моделирование возможного сценария реализации угроз;

В. Оценка стоимости информационных активов;

Г. Техническая оценка уязвимостей.



257. Какая техника БОЛЕЕ эффективна при использовании в программе управления рисками?

А. Оценка изменения прав доступа пользователей?

Б. Сравнение результатов с лучшими практиками по отрасли;

В. Сопоставление результатов с рисками организации;

Г. Вовлечение в процесс всех сотрудников организации.



258. Для чего НАИБОЕЕ эффективно регистрировать риски?

А. Для назначения ответственных за их уменьшение;

Б. Для определения угроз и их вероятностей;

В. Для пересмотра рисков на периодической основе;

Г. Для оценки ежегодных финансовых потерь.



259. После утверждения в организации комитета ИБ, каков должен быть следующий шаг в реализации программы управления ИБ?

А. Определение метрик безопасности;

Б. Проведение оценки рисков;

В. Gap-анализ;

Г. Внедрение средств защиты информации.



260. Какие важные составляющие используются в оценке влияния на бизнес (BIA)?

А. Допустимое время простоя, информационные ресурсы, критичность;

Б. Цена простоя бизнеса в год как фактор бюджета на ИБ;

В. Разработанная методология непрерывности бизнеса;

Г. Структура команды кризисного управления организацией.



261. Как оценка рисков может обеспечить защиту информации?

А. Риски снижаются до приемлемого уровня, согласующегося с целями организации;

Б. Внедряются средства защиты информации;

В. Проводятся обучающие программы для персонала по основам ИБ;

Г. Устраняются уязвимости во всех информационных системах.



262. Какой САМЫЙ эффективный путь снизить риск возникновения природного бедствия, а также ущерб от него?

А. Внедрить контрмеры;

Б. Исключить данный риск;

В. Передать данный риск;

Г. Принять данных риск.



263. Каков ПЕРВЫЙ шаг c т.з. плана непрерывности бизнеса должен предпринять менеджер ИБ, чтобы платежная система непрерывно работала даже в условиях урагана?

А. Провести качественный и количественный анализы рисков;

Б. Определить стоимость платежной системы;

В. Сопоставить стоимость внедрения плана непрерывности c возможными потерями;

Г. Провести анализ влияния на бизнес (BIA).



264. Как ЛУЧШЕ должны быть организованы процессы ИБ?

А. Они должны быть сопоставлены с бизнес целями компании и сделаны путем создания безопасных процессов;

Б. Они должны быть документированы, также за их невыполнение должна быть установлена ответственность;

В. Они должны точно следовать международным стандартам и лучшим практикам;

Г. Они должны учитывать ожидания сотрудников.



265. На чем должен сосредоточить свое внимание в ПЕРВУЮ очередь менеджер ИБ при внедрении контролей ИБ?

А. На минимизации ущерба;

Б. На устранении всех уязвимостей;

В. На ориентировании на подобные организации;

Г. На сертификации организации консалтинговой компанией.



266. До какого уровня ЧАСТО требуется уменьшить ущерб в процессе управления рисками?

А. До уровня установленного менеджером ИБ;

Б. До приемлемого организацией уровня;

В. До соответствия требованиям регулятора;

Г. До минимально возможного уровня.



267. Кто в процессе анализа рисков должен определить приемлемый уровень риска для web-приложения?

А. Офицер ИБ;

Б. ИТ-директор;

В. Владелец ресурса;

Г. Главный исполнительный директор.



268. Какова может быть цель корректирующего контроля?

А. Уменьшить поток рекламы;

Б. Оповещать о компрометации;

В. Уменьшить ущерб;

Г. Обеспечить соответствие.



269. Что НАИБОЛЕЕ важно для обеспечения ИБ в новой системе?

А. Провести анализ влияния на бизнес (BIA);

Б. Признать личные мобильные устройства сотрудников частью ИС;

В. Начать тренинг для персонала по основам ИБ;

Г. Провести базовый анализ рисков.



270. Ранее принятый риск должен быть:

А. периодически переоценен, т.к. он может измениться или могут измениться условия;

Б. принят на постоянной основе, т.к. руководством уже были потрачены ресурсы на его анализ;

В. исключен из рассмотрения, т.к. система защита по нему уже создана;

Г. исключен из рассмотрения, т.к. он уже принят.



271. Менеджер ИБ получил информацию о том, что его компания представляет интерес для группы хакеров, которые используют различные техники проникновения, включая социальную инженерию. Какой ПЕРВЫЙ шаг должен сделать менеджер ИБ?

А. Провести полную оценку используемых хакерами техник атак;

Б. Провести программу повышения осведомленности по теме социальная инженерия;

В. Немедленно обратиться к руководству для поднятия приоритета данного риска;

Г. Увеличить бдительность за системами мониторинга, такими как IDS.



272. Какой шаг предпринимается ПЕРВЫМ в процессе оценки рисков?

А. Интервьюирование персонала;

Б. Идентификация угроз;

В. Идентификация активов и определение их стоимости;

Г. Определение вероятностей возможных рисков.



273. Какой из методов аутентификации предотвращает replay?

А. Сравнение с хэшем пароля;

Б. Механизм запрос/ответ;

В. WEP;

Г. Базовая аутентификация HTTP.



274. В организации присутствует процесс, в который вовлечен вендор. Оценка рисков проводилась во время внедрения процесса. Через год было принято решение использовать другого вендора. Что нужно сделать в этой ситуации?

А. Ничего, т.к. оценка рисков проводилась во время внедрения процесса;

Б. Выявить уязвимости и провести их оценку;

В. Провести оценку рисков заново;

Г. Запросить у нового вендора соответствие стандарту SAS 70 Type II.



275. Кто может ЛУЧШЕ оценить разработку и успешное выполнение программы ИБ?

А. Внутренний аудитор;

Б. Главный операционный директор;

В. Управляющий комитет;

Г. Руководство ИТ.



276. Что ЛУЧШЕ обеспечивает конфиденциальность передаваемой через интернет информации?

А. VPN;

Б. МСЭ и маршрутизаторы;

В. Биометрическая аутентификация;

Г. Двухфакторная аутентификация.



277. От чего БОЛЬШЕ зависит эффективность антивирусных средств?

А. От фильтрации пакетов на входе в сеть;

Б. От IDS на входе в сеть;

В. От обновления ПО;

Г. От вирусных сигнатур.



278. Какой тип контроля доступа САМЫЙ эффективный?

А. Централизованный;

Б. Основанный на ролях;

В. Деценрализованный;

Г. Дискреционный.



279. Какое устройство подходит для размещения в DMZ?

А. Маршрутизатор;

Б. Межсетевой экран;

В. Почтовый транспортный сервер;

Г. Сервер аутентификации.



280. Где должен размещаться IDS?

А. За межсетевым экраном;

Б. На межсетевом сервере;

В. В DMZ;

Г. На внешнем маршрутизаторе.



281. Какая ЛУЧШАЯ причина установки в организации двух параллельных МСЭ, выходящих из DMZ в интернет?

А. Более глубокая защита;

Б. Разделение тестовой и промышленной среды;

В. Балансировка нагрузки;

Г. Предотвращение DDoS.



282. Где должен размещаться экстранет-сервер?

А. До межсетевого экрана;

Б. На межсетевом сервере;

В. В DMZ;

Г. На внешнем маршрутизаторе.



283. Какая метрика ЛУЧШЕ показывает эффективность программы повышения осведомленности персонала?

А. Количество сброшенных паролей;

Б. Количество сообщений об инцидентах;

В. Количество обработанных инцидентов;

Г. Количество нарушений правил доступа.



284. На чем в ПЕРВУЮ очередь должен фокусироваться мониторинг безопасности?

А. На критичной для бизнеса информации;

Б. На помощи владельцам бизнеса управлять рисками;

В. На обнаружении сетевых вторжений;

Г. На записи всех событий нарушивших безопасность.



285. Какой метод обеспечивает ЛУЧШЕЕ знание и понимание политик ИБ?

А. Периодические встречи фокус-группы;

Б. Периодический пересмотр соответствия;

В. Тренинг персонала с использованием презентаций;

Г. Ознакомление сотрудников под роспись.



286. Какой САМЫЙ важный документ, заключаемый между организацией и внешней компанией?

А. Соглашение об условиях прерывании взаимоотношений;

Б. Соглашение об ограничении ответственности;

В. Соглашение о качестве сервиса;

Г. Соглашение о финансовых требованиях.



287. Какая метрика ЛУЧШЕ показывает эффективность работы систем обнаружения сетевых атак?

А. Количество обнаруженных атак;

Б. Количество успешных атак;

В. Отношение количества ложно позитивных срабатываний к ложно негативным.

Г. Отношение успешных и неуспешных атак.



288. Что НАИБОЛЕЕ эффективно для предотвращения слабых мест системы, которая вводится в промышленную эксплуатацию?

А. Устранение уязвимостей;

Б. Управление изменениями;

В. Применение политик безопасности;

Г. Обнаружение вирусов.



289. Какой инструментарий БОЛЬШЕ подходит для определения времени затраченного на проект.

А. Диаграмма Ганта;

Б. Диаграмма «Водопады»;

В. Метод «Критичный путь»;

Г. Быстрая разработка приложений (RAD).



290. Что НАИБОЛЕЕ эффективно для предотвращения слабых мест в операционной системе?

А. Устранение уязвимостей;

Б. Управление изменениями;

В. Применение политик безопасности;

Г. Управление конфигурациями.



291. Что нужно сделать, когда проводимые изменения конфликтуют с принятыми стандартами ИБ?

А. Рассчитать остаточные риски;

Б. Актуализировать стандарты ИБ;

В. Пересмотреть вносимые изменения;

Г. Принять компенсирующие меры.



292. Кто САМЫЙ подходящий для утверждения структуры управления ИБ в организации?

А. Внутренний аудитор;

Б. Менеджер ИБ;

В. Управляющий комитет;

Г. Менеджер инфраструктуры.



293. Какое САМОЕ эффективное решение, позволяющее предотвратить несанкционированное изменение пользователями конфиденциальной информации?

А. Применение стандартов ИБ;

Б. Ведение логов систем;

В. Ролевой контроль доступа;

Г. Контроль на выходе из систем.



294. Что обычно используется для подтверждения отправителя и целостности информации через интернет?

А. Биометрическая аутентификация;

Б. Встроенная стеганография;

В. Двухфакторная аутентификация;

Г. Встроенная цифровая подпись.



295. Какая САМАЯ подходящая частота обновления антивирусных сигнатур на промышленных серверах?

А. Ежедневно;

Б. Еженедельно;

В. Вместе с обновлениями ОС;

Г. При запланированных изменениях.



296. Какое оборудование должно быть размещено в DMZ?

А. Сетевой коммутатор;

Б. Web-сервер;

В. Сервер БД;

Г. Файловый сервер.



297. Где должен быть размещен межсетевой экран?

А. Там же где web-сервер;

Б. Вместе с IDS;

В. В DMZ;

Г. На границе домена.



298. Где должен быть размещен интранет-сервер?

А. Во внутренней сети;

Б. Там же где сервер, используемый в качестве МСЭ;

В. Там же, где внешний маршрутизатор;

Г. Там же, где контроллер домена.



299. Чем ЛУЧШЕ обеспечивается контроль доступа за критичной информацией, находящейся на сервере во внутренней сети?

А. Шифрованием;

Б. ЭЦП;

В. Сложными паролями;

Г. Двухфакторной аутентификацией.



300. Владелец ресурса обнаружил, что в приложении управление безопасностью реализовано очень слабо. Что в этой ситуации сделать ЛУЧШЕ всего?

А. Реализовать централизованное управление;

Б. Внедрить санкции за несоответствие;

В. Применить ИТ-политики;

Г. Периодически пересматривать соответствие.

вторник, 6 ноября 2012 г.

Про Постановление Правительства 1119

В сентябре делал заметку по проектам Постановлений об Уровнях защищенности и Требованиях к защите. Сейчас после выхода обобщенного Постановления решил привести обе таблицы в соответствие с ним.
Типы:
Уровень
Тип
Категория
Принадлежность
Количество
1
I (НДВ в СПО)
Специальная
-
-
Биометрия
-
-
Иные
-
-
II (НДВ в ППО)
Специальные
Не сотрудники
Более 100 000
2
I (НДВ в СПО)
Общедоступные
-
-
II (НДВ в ППО)
Специальные
Сотрудники
-
Специальные
Не сотрудники
Менее 100 000
Биометрия
-
-
Общедоступные
Не сотрудники
Более 100 000
Иные
Не сотрудники
Более 100 000
III (нет НДВ)
Специальные
Не сотрудники
Более 100 000
3
II (НДВ в ППО)
Общедоступные
Сотрудники
-
Общедоступные
Не сотрудники
Менее 100 000
Иные
Сотрудники
-
Иные
Не сотрудники
Менее 100 000
III (нет НДВ)
Специальные
Сотрудники
-
Специальные
Не сотрудники
Менее 100 000
Биометрия
-
-
Иные
Не сотрудники
Более 100 000
4
III (нет НДВ)
Общедоступные
-
-
Иные
Сотрудники
-
Иные
Не сотрудники
Менее 100 000

Меры:
Уровень
Меры
4
-        физическая безопасность помещений;
-        сохранность носителей ПДн;
-        перечень лиц, имеющих доступ к ПДн;
-        применение СЗИ, прошедших оценку соответствия (Было на Уровне 2).
3
Дополнительно:
-        назначить ответственного за безопасность ПДн.
2
Дополнительно:
-        доступ к логам только сотрудников оператора (Было на Уровне 3).
1
Дополнительно:
-        логирование изменений прав доступа;
-        создание структурного подразделения ответственного за ИБ.
-
Лицензия ТЗКИ для защиты своей организации по-прежнему не нужна.

Отдельно хочу пройтись по замечанию Алексея Лукацкого на счет контролируемой зоны. Читаем пункт 13:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
Ну и ставьте себе на здоровье хоть по полицейскому возле каждого сервера ИСПДн. А кто мешает растянуть контролируемую зону, чтобы она вышла за физические пределы помещений и распространилась на мобильные устройства сотрудников? Напишем модель угроз, по которой на мобильные устройства будут передаваться (отображаться) минимальное количество ПДн, с которыми и будет работать:  пограничник, банковский/страховой агент и кто угодно еще. И поставим необходимые СЗИ на планшеты для защиты передаваемой по каналу связи и отображаемой на экране информации. Да хоть и сертифицированные, о чем должны думать уже производители этих самых СЗИ.
Я лично считаю, что одним росчерком пера нельзя подавить прогресс и развитие технологий, поэтому к пониманию и выполнению требований нужно тоже подходить творчески.