вторник, 28 мая 2013 г.

Копирование блогов

Случайно поиском обнаружил, что мой блог начал копировать (причем частично) некий интегратор из ненецкого округа. Нет, я конечно не против копирования и я понимаю, что эти перепосты нужны, чтобы увеличить число заходов на свои сайты и в конечном счете раскрутить свой сайт и привлечь к себе еще больше денег. Но надо хотя бы спрашивать разрешение на это. Прикладываю скриншот:

четверг, 23 мая 2013 г.

21 приказ ФСТЭК


                Ну вот, появился новый документ по персональным данным, и сразу же всё ИБ сообщество дружно начинает высказываться на тему «что такое хорошо и что такое плохо». Пожалуй, вставлю и я несколько слов.
Документ мне очень понравился и прежде всего вот чем:
  • наконец-то отменен 58 приказ, вводивший мутное положение о защите ПДн;
  • меры защиты перечислены и они достаточно конкретны;
  • модель угроз теперь всему голова и да здравствуют компенсационные меры;
  • можно широко трактовать оставшиеся референсные меры.
О последних я и хочу высказаться.
  1. Ограничение программной среды. Это и отбор админских прав и контроль за установленным ПО и запрет на установку неразрешенного ПО.
  2. Обеспечение доступности. При желании сюда можно отнести и бесперебойное питание, и отказоустойчивые кластеры, и даже непрерывность бизнеса.
  3. Защита среды виртуализации. Наконец то можно смело обосновывать, покупать и внедрять разные Veeam’ы и vGate’ы.
  4. Защита технических средств. Хорошо ложится банальная опечатка корпусов, раздача персоналу RFID карт.
  5. Выявление инцидентов. Прямо говорится про предупреждение инцидентов, а значит обучение персонала, оно же повышение осведомленности в вопросах ИБ.
  6. Управление конфигурациями. Оно же Change Management. Сложная тема и очень мало кто ей серьезно занимается.
  7. А если этого всего мало, то для контроля защищенности Pentest самое оно.
Единственное, что омрачает новое ПП это сертификации на классы защиты, на недекларированные возможности, но в п.4 говорится, что это не очень обязательно, т.к. «Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных».
Вот и получается, какие такие угрозы безопасности я не могу парировать без сертифицированных СЗИ? Скорее всего, таких угроз будет не так уж и много. СКЗИ не в счет, т.к. это отдельная тема. А значит всё как обычно, пишем модель угроз, в которой показываем актуальность или неактуальность конкретных угроз безопасности и делаем вывод, что сертифицированные СЗИ не нужны.


среда, 22 мая 2013 г.

Вопросы с 601 по 631 из CISM (перевод)


Это последняя часть перевода.
 
601. Административный пароль на БД, содержащую конфиденциальную информацию клиентов был похищен. Как менеджер ИБ мог получить информацию об этом?
А. По попыткам неверного входа;
Б. По ошибкам записи данных;
В. По одновременным входам;
Г. По логам МСЭ.

602. Что является примером корректирующего контроля?
А. Переадресация входящего трафика при обнаружении DDoS;
Б. Фильтрация сетевого трафика перед входом во внутреннюю сеть;
В. Проверка входящего трафика на вирусы;
Г. Логирование входящего трафика.

603. Для определения как произошел сетевой инцидент, менеджер ИБ просматривает логи различных устройств. Какой сервер ЛУЧШЕ подходит для этого?
А. Сервер БД;
Б. Сервер DNS;
В. Сервер времени;
Г. Прокси-сервер.

604. Организация переживает много сетевых атак, которые доходят до внутренней сети. Что ЛУЧШЕ предпринять в этом случае?
А. Требовать использование сложных паролей;
Б. Перейти на статическую IP адресацию;
В. Внедрить ПО для централизованного сбора логов;
Г. Внедрить IDS.

605. В МСЭ обнаружены серьезные уязвимости. Что нужно немедленно сделать менеджеру ИБ?
А. Установить на все ОС последние обновления;
Б. Блокировать входящий трафик пока не найдется решение;
В. Получить консультацию у производителя МСЭ;
Г. Провести тест на проникновение.

606. Организация хранит резервные копии серверов на удаленной площадке (WARM site). Какая САМАЯ подходящая мера, направленная на оперативное использование их в чрезвычайной ситуации?
А. Считать данные с лент на удаленной площадке;
Б. Перевести ленты с удаленной площадке на основную и считать данные;
В. Отправить резервное оборудование на удаленную площадку;
Г. Ежеквартально инспектировать удаленную площадку и наличие лент.

607. Какой процесс является КРИТИЧЕСКИМ для определения приоритетов действий в плане непрерывности бизнеса?
А. Анализ воздействия на бизнес;
Б. Оценка рисков;
В. Выявление и оценка уязвимостей;
Г. Составление карты бизнес процессов.

608. Что САМОЕ важное после резервных копий для размещения на удаленной площадке в случае чрезвычайно ситуации?
А. Копии критичных контрактов и SLA;
Б. Копии плана непрерывности бизнеса;
В. Лицензии на ПО для купленных систем;
Г. Список важных телефонов провайдеров услуг.

609. Организации стало известно о недостатках безопасности в другой компании, которая использует подобную технологию. Что должен сделать менеджер ПЕРВЫМ?
А. Оценить вероятности подобных инцидентов;
Б. Отказаться от использования подобной технологии;
В. Сообщить руководству, что организация не пострадает;
Г. Оповестить персонал о том, что никаких нарушений безопасности у них нет.

610. Что считается САМЫМ важным при работе со средствами массовой информации при чрезвычайном происшествии?
А. Сообщение в СМИ, используя согласованные с руководством шаблоны писем;
Б. Отказ от комментариев до восстановления работоспособности;
В. Донесение через СМИ до властей о проблемах;
Г. Сообщение о потерях и планов по восстановлению.

611. При оценке защищенности было обнаружено, что персональные данные, хранящиеся на сервере доступны всем работникам. Какой ПЕРВЫЙ шаг должен сделать менеджер ИБ?
А. Скопировать образцы файлов как доказательства;
Б. Убрать открытый для всех доступ к данным;
В. Оповестить о ситуации владельцев данных;
Г. Обучить персонал отдела кадров контролировать доступ.

612. Что должен сделать менеджер ИБ в ПЕРВУЮ очередь, если нужно для расследования инцидента привлечение правоохранительных органов?
А. Получить улики, какие только возможно;
Б. Сохранить целостность улик;
В. Отключить всё вовлеченное в инцидент оборудование;
Г. Реконструировать последовательность событий.

613. Что имеет НАИВЫСШИЙ приоритет при разработке плана реагирования в случае происшествий?
А. Критичные данные;
Б. Критичная инфраструктура;
В. Безопасность персонала;
Г. Жизненно важные сведения.

614. Какая ГЛАВНАЯ цель вовлечение внешней компании при расследовании инцидентов ИБ?
А. Независимая точка зрения на инцидент;
Б. Получение поддержки и опыта при расследовании инцидентов;
В. Перенимание опыта для будущего улучшения процессов ИБ;
Г. Возможность впоследствии купить и внедрить что-либо, относящееся к ИБ.

615. Какая САМАЯ важная цель изучения результатов расследования инцидентов ИБ?
А. Извлечь уроки, чтобы улучшить процесс;
Б. Непрерывное совершенствование процесса расследования;
В. Обосновать выделение денег на программу безопасности;
Г. Изучить новый инструментарий по управлению расследованием.

616. Какой ЛУЧШИЙ механизм для определения эффективности процесса реагирования на инциденты?
А. Метрики процесса;
Б. Периодический аудит процесса;
В. Запись действий и последующий пересмотр;
Г. Собрания по результатам расследования.

617. Какой должен быть ПЕРВЫЙ шаг в плане реагирования на инциденты?
А. Оповестить необходимых специалистов;
Б. Начать сдерживающие процедуры для снижения последствий инцидента;
В. Разработать план реагирования для систематических атак;
Г. Подтвердить инцидент.

618. В организации произошла утечка данных о клиентах. Что ПЕРВЫМ должен сделать менеджер ИБ в такой ситуации?
А. Поставить в известность руководство;
Б. Определить масштаб компрометации;
В. Сообщить об инциденте в правоохранительные органы;
Г. Сообщить об этом клиентам, чьи данные утекли.

619. Менеджером проекта в системе была выявлена возможная проблема безопасности. Что должен сделать ПЕРВЫМ менеджер по расследованию инцидентов?
А. Запустить сканирование системы на уязвимости;
Б. Отключить логин, под которым работает система;
В. Изучить логи системы;
Г. Подтвердить существование проблемы.

620. Что принимается в расчет ПЕРВЫМ, когда определяется время восстановления?
А. Законодательные требования;
Б. Требования бизнеса;
В. Уровень финансовых потерь;
Г. Доступность ИТ ресурсов.

621. Какая задача должна проводиться после того как инцидент ИБ был подтвержден?
А. Идентификация инцидента;
Б. Сдерживание инцидента;
В. Определение причины инцидента;
Г. Оценка уязвимостей.

622. Менеджер ИБ полагает, что файловый сервер был скомпрометирован хакерами. Какое действие нужно предпринять ПЕРВЫМ?
А. Сделать резервную копию данных с сервера;
Б. Выключить скомпрометируемый сервер;
В. Начать процесс реагирования на инцидент;
Г. Отключить сервер от сети.

623. Недопущенный пользователь получил доступ к БД продавца, содержащей информацию с кредитных карт заказчиков. Что нужно сделать ПЕРВЫМ, чтобы сохранить эти данные и предотвратить незаконную активность?
А. Выключить сервер с БД;
Б. Немедленно сделать дубликат жесткого диска сервера БД;
В. Изолировать сервер с БД;
Г. Скопировать лог сервера БД на защищенный сервер.

624. Что является ГЛАВНЫМ при разработке плана непрерывности бизнеса или плана восстановления работоспособности?
А. Резервное копирование на удаленную площадку;
Б. Обслуживание отказоустойчивых систем;
В. Сопоставление со временем восстановления;
Г. Частота резервного копирования.

625. Что ЛУЧШЕ всего подходит для сбора и сохранения данных для расследования?
А. Шифрование жестких дисков;
Б. Обычное ПО для аудита;
В. Утвержденные юридические процедуры;
Г. ПО для корреляции событий.

626. Какой НАИБОЛЕЕ важный аспект расследования инцидента с привлечением правоохранительных органов?
А. Независимость расследования;
Б. Своевременное вмешательство;
В. Идентификация преступника;
Г. Последовательность мероприятий.

627. При сборе данных для расследования было выявлено, что данные на носителе информации были случайно изменены. Что в этой ситуации нужно сделать ПЕРВЫМ, чтобы расследовать инцидент?
А. Сделать копию данных испорченного носителя на новый носитель;
Б. Сделать посекторную копию исходных данных на новый носитель;
В. Сделать копию всех файлов, относящихся к расследованию;
Г. Запустить программу проверки контрольных сумм на всех логических дисках сервера.

628. У какой стратегии восстановления САМАЯ большая вероятность сбоев?
А. Горячий сайт;
Б. Избыточный сайт;
В. Взаимное соглашение;
Г. Холодный сайт.

629. Для определения чего может быть использована точка восстановления?
А. Максимального периода недоступности данных;
Б. Максимального периода недоступности систем;
В. Базового времени отказоустойчивости;
Г. Времени восстановления из резервных копий.

630. Какая из техник тестирования для разработке плана восстановления работоспособности САМАЯ лучшая по критерию цена / эффективность?
А. Тесты готовности;
Б. Бумажное тестирование;
В. Полное операционное тестирование;
Г. Фактическое прерывание работы.

631. Когда хранимая в электронном виде информация требуется для проведения расследования, чему должен быть отдан приоритет?
А. Назначению ответственности за имеющиеся данные;
Б. Определению доступа к данным и обеспечению их целостности;
В. Предопределению мошеннического профиля данных;
Г. Поддержание цепочки из всех заинтересованных сторон.

воскресенье, 19 мая 2013 г.

Вопросы с 551 по 600 из CISM (перевод)


551. Что нужно сделать ПЕРВЫМ при наступлении инцидента ИБ?
А. Документировать;
Б. Наблюдать;
В. Восстанавливать;
Г. Сдерживать.

552. Что является НАИБОЛЕЕ важным для успешного проведения восстановления?
А. Наличие резервных копий на удаленной площадке;
Б. Восстановление прежнего режима безопасности и доступности;
В. Обеспечение доступности более одного горячего резерва;
Г. Создание альтернативных сетевых маршрутов.

553. Какой НАИБОЛЕЕ важный элемент успешного тестирования восстановления с использованием внешней горячей площадке?
А. Запланировать тест на выходные;
Б. Заранее выделить IP-адреса;
В. Идентичность оборудования здесь и там;
Г. Участие бизнеса в тестировании.

554. Что ВСЕГДА должно проводиться после завершения теста на восстановление с использованием внешней горячей площадке?
А. Уничтожение данных и программ;
Б. Проведение совещания по результатам тестирования;
В. Комплексная оценка провайдера услуг;
Г. Оценка результатов тестирования.

555. Что должен содержать план реагирования на инциденты?
А. Обновленный список контактов;
Б. Критерии эскалации инцидентов;
В. Шаблоны для пресс-релизов;
Г. Список критичных бекапов.

556. Что является ЛУЧШИМ действием при успешном проникновении злоумышленников в сеть организации?
А. Позволить бизнесу штатно работать;
Б. Команде реагирования оценить профиль атакующего;
В. Позволить продолжение атаки с целью определения её источника;
Г. Проверить, как работает процесс реагирования на инциденты.

557. Для чего должна собираться группа расследования после завершения расследования инцидента?
А. Для изучения электронных доказательств;
Б. Для извлечения уроков;
В. Для идентификации злоумышленника;
Г. Для определения пострадавшей области.

558. Организация, владеющая несколькими ЦОД, использует один из них в качестве горячего резерва. Какая САМАЯ важная забота в этом случае?
А. Ширина канала связи между ЦОД;
Б. Загрузка мощностей ЦОД;
В. Различия между логической структурой ЦОД;
Г. Синхронизация версий ПО в ЦОД.

559. Что САМОЕ важное для определения успешности проведенного теста на восстановление?
А. Использовались бизнес данные, расположенные на резервной площадке;
Б. ИТ персонал полностью восстановил инфраструктуру;
В. Критические бизнес процессы успешно дублировались;
Г. Все системы восстановились в установленное RTO время.

560. Что является САМЫМ важным при построении площадки горячего резервирования или заключения подобной услуги с внешней компанией?
А. Стоимость постройки площадки или заключения договора;
Б. Стоимость возможных потерь за день и время восстановления?
В. Сложность инфраструктуры и сложности бизнеса;
Г. Критические результаты анализа воздействия на бизнес.

561. Новый почтовый вирус, использует вложения и маскировку графическим файлом, быстро распространяется через интернет. Каким образом ЛУЧШЕ всего отреагировать на эту угрозу?
А. Переместить в карантин все картинки с файловых серверов;
Б. Блокировать пересылку картинок в качестве вложений;
В. Поместить в карантин все почтовые серверы, соединенные с интернет;
Г. Блокировать входящую почту, но разрешить исходящую.

562. В большой организации выявлены попытки изучения сетевой инфраструктуры. Что нужно сделать?
А. Перегрузить маршрутизатор соединяющий DMZ и МСЭ;
Б. Выключить все серверы, расположенные в DMZ;
В. Наблюдать за попытками и изолировать атакуемый сегмент;
Г. Включить логирование событий на серверах атакуемого сегмента.

563. Что необходимо включить в договор на оказание услуг по горячему резервированию, если вы продаете эту услугу?
А. Мощности могут быть разделены между разными организациями;
Б. Оборудование предоставляется только на время бедствия, а не на все время;
В. Принцип «кто первый обратился, тот первый обслужился»;
Г. Оборудование может быть предоставлено эквивалентное необходимому.


564. Что нужно сделать ПЕРВЫМ после завершения DDoS-атаки?
А. Восстановить серверы из резервных копий;
Б. Провести оценку и определить статусы систем;
В. Провести анализ нанесенного ущерба;
Г. Изолировать поврежденные системы.

565. Какой НАИБОЛЕЕ важный элемент для успешного восстановления бизнеса в чрезвычайной ситуации?
А. Детальный технический план использования горячего резерва;
Б. Избыточная сетевая инфраструктура и резервные провайдеры интернет;
В. Регулярная сертификация оборудования, размещенного в горячем резерве;
Г. Установление адекватных критериев чрезвычайной ситуации.

566. Что должна содержать политика непрерывности бизнеса?
А. Телефоны для экстренного оповещения;
Б. Критерии для восстановления;
В. Анализ воздействия на бизнес;
Г. Перечень критичных резервных копий.

567. Какая ГЛАВНАЯ цель использоваться IDS?
А. Идентификация слабости сетевой инфраструктуры;
Б. Идентификация подозрительных доступов;
В. Идентификация начала сетевой атаки;
Г. Идентификация потенциальных атак на внутреннюю сеть.

568. О чем в ПЕРВУЮ очередь должна заботиться организация, если она использует автоматический инструментарий для управления непрерывностью бизнеса?
А. Обеспечить доступность электронных версий планов восстановления;
Б. Контроль версий ПО и корректировка плана восстановления при их изменении;
В. Поддержание верных гиперссылок на ресурсы, задействованные в плане восстановления;
Г. Отслеживание изменений в персонале и ресурсах, которым необходимо обеспечить непрерывность.

569. Какой ЛУЧШИЙ путь удостовериться, что все критичные серверы содержат последние версии вирусных сигнатур?
А. Проверить даты файлов последних вирусных сигнатур;
Б. Использовать свежий вирус, который ловится только последними обновлениями;
В. Посмотреть в консоли управления антивирусом;
Г. Проверить несколько серверов на наличие обновленных сигнатур.

570. Какое действие должен предпринять менеджер ИБ при обнаружении злоумышленника изучающего сетевой периметр?
А. Перегрузить подключенный к МСЭ пограничный маршрутизатор;
Б. Проверить логи IDS и наблюдать за любыми активными атаками;
В. Обновить IDS самыми последними сигнатурами;
Г.  Включить логирование на серверах, расположенных в DMZ.

571. Какой САМЫЙ важный критерий при выборе антивирусного ПО?
А. Распространенность и годовая стоимость;
Б. Интерфейс для взаимодействия с IPS и МСЭ;
В. Наличие системы оповещения и оценки ущерба новых вирусов;
Г. Простота обслуживания и частота обновлений.

572. Какой САМЫЙ важный недостаток при настройке обновлений антивируса на каждую пятницу на 23:00?
А. Все новые вирусы начнут обнаруживаться после выходных;
Б. Технический персонал чаще не доступен в выходные дни;
В. Системы подвержены новым вирусам длительное время;
Г. Успешность или неуспешность обновлений станет известна только в понедельник.

573. Кто должен вычислять необходимое время восстановления и ожидаемую стоимость восстановления при проведении анализа воздействия на бизнес?
А. Координатор непрерывности бизнеса;
Б. Менеджер ИБ;
В. Владельцы бизнес процессов;
Г. Берутся референсные значения по отрасли.

574. Что ЛУЧШЕ всего ассоциируется с программой непрерывности бизнеса?
А. Подтверждение работоспособности существующего детального плана восстановления;
Б. Периодическое тестирование резервных возможностей сетей;
В. Ежеквартальное обновление оборудования для горячего резерва;
Г. Анализ времени восстановления для критичных функций.

575. Для какого приложения требуется НАИМЕНЬШЕЕ время восстановления?
А. Приложение, содержащее платежные ведомости контрагентов;
Б. Приложение по управлению изменениями;
В. Web-сайт электронной коммерции;
Г. Приложение, содержащее перечень информационных активов.

576. Какие документы в ПЕРВУЮ очередь должна иметь группа реагирования на инциденты ИБ?
А. Результаты оценки рисков;
Б. Критерии определения серьезности;
В. Телефоны для экстренного оповещения;
Г. Перечень критичных резервных копий.

577. В чем заключается ПЕРВООЧЕРЕДНАЯ цель проведения теста на проникновение, как из вне сети, так и изнутри, как часть программы реагирования на инциденты?
А. Идентификация слабых мест в сети и защищенности серверов;
Б. Понимание путей улучшения процесса реагирования;
В. Выявления потенциальных векторов атак;
Г. Оптимальное реагирование на внутренние атаки.

578. В каком случае может произойти мошенничество при расследовании инцидента с лентами резервных копий? Ленты были:
А. конфискованы для расследования;
Б. оставлены в библиотеке для последующего анализа;
В. сложены в конверт и помещены в сейф под двойной контроль;
Г. переданы для независимого расследования;

579. На что ЛУЧШЕ опираться менеджеру ИБ при идентификации недостатков безопасности?
А. План непрерывности бизнеса;
Б. План восстановления работоспособности;
В. План реагирования на инциденты;
Г. План управления уязвимостями.

580. Менеджер ИБ для расследования инцидента ИБ изолировал скомпрометированный ПК. Какой подходящий следующий шаг?
А. Запустить исследовательское ПО для получения данных;
Б. Перегрузить ПК, чтобы разорвать удаленные подключения;
В. Сделать копию системной памяти;
Г. Документировать подключения и открытые TCP/UDP порты.

581. Почему содержимое неразмеченных участков памяти на носителях информации также является частью расследования инцидентов?
А. Там могут находиться скрытые данные;
Б. Там могут находиться данные для аутентификации;
В. Область может быть зашифрована;
Г. Область можно использовать в качестве свободного места.

582. Какая ПЕРВООЧЕРЕДНАЯ цель совещания после расследования инцидента?
А. Корректировка бюджета на будущее;
Б. Сохранение данных, полученных при расследовании;
В. Улучшение процесса расследования;
Г. Полное документирование инцидента.

583. Что должен ПРЕИМУЩЕСТВЕННО учитывать детальный план непрерывности бизнеса?
А. Различные альтернативы;
Б. Менее дорогие решения;
В.  Стратегии подходящие для всех приложений;
Г. Стратегии одобренные руководством.

584. Web-сервер финансовой организации был скомпрометирован, действиями под правами суперпользователя, после чего он был изолирован для проведения расследования. Каким должен быть следующий шаг?
А. Развернуть сервер, используя последнюю проверенную резервную копию;
Б. Поместить сервер в карантин;
В. Принять организационное решение и выключить сервер;
Г. Развернуть сервер с оригинального дистрибутива и применить все подходящие обновления.

585. Данные полученные со скомпрометированного сервера будут использоваться для расследования. Какой источник данных ЛУЧШИЙ?
А. Посекторное копирование жестких дисков;
Б. Последняя проверенная резервная копия, хранящаяся на удаленной площадке;
В. Дамп данных из оперативной памяти;
Г. Последняя резервная копия сервера.

586. На что ЛУЧШЕ ссылаться, обращаясь в суд при расследовании инцидентов ИБ?
А. На международные стандарты;
Б. На локальные требования регуляторов;
В. На обычно принимаемые «лучшие практики»;
Г. На политики безопасности организации.

587. Чрезвычайные меры принимаются на ранней стадии бедствия с целью предотвращения
травм или гибели людей, а также для:
А. определения степени повреждения имущества;
Б. сохранения окружающей среды;
В. обеспечение точного выполнения плана восстановления;
Г. снижения степени оперативных ущербов.

588. Какое ПЕРВОЕ действие должен выполнить менеджер ИБ узнав об украденном ноутбуке сотрудника компании?
А. Оценить ущерб от потери информации;
Б. Обновить перечень ноутбуков компании;
В. Обеспечить соответствие с отчетностью;
Г. Немедленно заблокировать учетную запись сотрудника.

589. Какое ПЕРВОЕ действие должен выполнить менеджер ИБ, получив сообщение об инциденте ИБ?
А. Подтвердить инцидент;
Б. Определить ущерб;
В. Оповестить пострадавшую сторону;
Г. Изолировать область инцидента.

590. Какой ГЛАВНЫЙ фактор должен учитываться при разработке технического решения по созданию площадки горячего резерва?
А. Время работоспособности на горячем резерве;
Б. Время восстановления работоспособности в обычном режиме;
В. Время восстановления работоспособности;
Г. Максимально возможные потери.

591. На какой ГЛАВНЫЙ фактор нужно обратить внимание при разработке стратегии резервного копирования, которая будет частью плана восстановления при чрезвычайных ситуациях?
А. Объем конфиденциальных данных;
Б. Точка восстановления работоспособности;
В. Время восстановления работоспособности;
Г. Максимальное время неработоспособности.

592. IDS должна:
А. работать непрерывно;
Б. игнорировать аномалии;
В. требовать стабильного, редко меняющегося окружения;
Г. находиться в сети.

593. Какое действие должно быть ПРИОРИТЕТНЫМ при обнаружении инфицированного вирусом сервера?
А. Изолировать инфицированный сервер;
Б. Определить все потенциальные повреждения;
В. Обновить вирусные сигнатуры на сервере;
Г. Выявить недостатки конфигурирования на МСЭ.

594. Что является ЛУЧШИМ подтверждением того, что цели непрерывности бизнеса и плана восстановления работоспособности достигнуты?
А. Тестирование подтвердило, что время восстановления не превысило расчетное;
Б. Тестирование планов выполнялось последовательно;
В. Тестирование подтвердило, что точка восстановления была определена верно;
Г. Был правильно определен объем информационных активов и их собственники.

595. Какая ситуация должна БОЛЬШЕ всего беспокоить менеджера ИБ?
А. Аудит логов не производится с продуктовых серверов;
Б. Идентификатор входа уволенного системного аналитика до сих пор существует в системе;
В. Техническая поддержка получает сообщения о большом количестве фишинговых писем;
Г. На ноутбуке системного администратора был найден Троян.

596. БД номеров кредитных карт клиентов была похищена хакерами. Каким должен быть ПЕРВЫЙ шаг в этой ситуации?
А. Подтвердить инцидент;
Б. Оповестить руководство об инциденте;
В. Начать сдерживающие инцидент процедуры;
Г. Сообщить в правоохранительные органы.

597. Специализированный инструментарий использовался для перехвата получаемой информации одним сотрудником. Каким должен быть СЛЕДУЮЩИЙ шаг, чтобы обеспечить законность этой процедуры и возможность использовать перехваченную информацию для расследования?
А. Документировать, как происходила атака;
Б. Сообщить в правоохранительные органы;
В. Сделать копию носителей информации;
Г. Заблокировать учетную запись контролируемого сотрудника.

598. Что важно при сборе информации для проведения впоследствии расследования?
А. Обеспечить назначение квалифицированного персонала;
Б. Делать точные копии устройств, носителей информации;
В. Отключить и изолировать устройства от сети;
Г. Оповещать правоохранительные органы до собственного расследования.

599. Какой способ является ЛУЧШИМ для уменьшения потерь при DDoS атаках?
А. Устанавливать на все серверы последние обновления ОС;
Б. Настроить пакетную фильтрацию для отбрасывания подозрительных пакетов;
В. Настроить NAT, чтобы внутренние адреса не маршрутизировались;
Г. Внедрить балансировщик загрузок на системы, выставленные в интернет.

600. Что НАИБОЛЕЕ эффективно для оправдания создания группы управления инцидентами?
А. Оценить ущерб для бизнеса от последнего инцидента;
Б. Независимо оценить причины инцидентов;
В. Постоянно улучшать состояние ИБ;
Г. Показать бизнесу пользу от снижения потерь от инцидентов.







воскресенье, 12 мая 2013 г.

Вопросы с 501 по 550 из CISM (перевод)

501. Где должны быть прописаны требования к сотрудникам и клиентам компании в части ИБ, в т.ч. меры защиты конфиденциальной информации и мероприятия по наблюдению за персоналом и уровнем безопасности?
А. В политике;
Б. В стратегии;
В. В инструкции;
Г. В стандарте.

502. Менеджеру ИБ была поставлена задача выбрать консультанта для оценки уровня зрелости процессов ИБ. Какое САМОЕ важное требования для консультанта?
А. Рекомендации других организаций;
Б. Прошлый опыт работы;
В. Образцы работ;
Г. Используемая методология.

503. После проведения обновлений ПО несколько бизнес подразделений сообщили о проблемах. Какой ПЕРВЫЙ шаг нужно сделать для разрешения ситуации?
А. Оценить проблему и при необходимости откатиться назад;
Б. Отключить системы от сети до устранения неполадок;
В. Немедленно удалить обновления;
Г. Немедленно обратиться к вендору для информации о дальнейших шагах.

504. При разработке SLA, подразумевающего передачу конфиденциальной информации провайдеру услуг, какой индикатор соответствия использовать ЛУЧШЕ всего?
А. Матрицу контроля доступа;
Б. Надежное шифрование;
В. Механизмы аутентификации;
Г. Хранилище данных.

505. Какая ПЕРВООЧЕРЕДНАЯ причина включения подразделения ИБ во все стадии жизненного цикла ИС?
А. Идентификация уязвимостей в системах;
Б. Поддержание должного уровня ИБ в организации;
В. Защита от компрометации систем;
Г. Соблюдение принципа разделение обязанностей.

506. Когда целесообразно использовать непрерывный мониторинг за производительностью систем?
А. Когда инциденты происходят часто, и они приводят к большому ущербу;
Б. Когда имеются законодательные требования для этого;
В. Когда инциденты происходят не часто, но они приводят к большому ущербу;
Г. Когда электронная коммерция основное направление компании.

507. Внешняя компания была нанята для разработки бизнес приложения. Что ЛУЧШЕ сделать менеджеру ИБ, чтобы исключить существования backdoor?
А. Мониторить трафик между компаниями на сетевом уровне;
Б. Оценивать безопасность кода всего приложения;
В. Проводить реверс инжиниринг всего приложения;
Г. Исследовать приложение под административными правами на тестовом сервере.

508. О чем ПРЕЖДЕ ВСЕГО должен заботиться менеджер ИБ проводя анализ сетевых правил на МСЭ?
А. Об источниках трафика;
Б. О широковещательных доступах;
В. О незарегистрированных портах;
Г. О нестандартных протоколах.

509. Какое САМОЕ эффективное с т.з. стоимости решение для повышения осведомленности персонала в вопросах ИБ?
А. Система вознаграждения персонала;
Б. Обучение персонала;
В. Политика ИБ, содержащая строгие меры за нарушения;
Г. Сообщение о выявленных нарушениях.

510. Какое решение САМОЕ эффективное для предотвращения несанкционированного доступа методами «друг за другом», «верхом»?
А. Карты доступа;
Б. Идентификация по фото;
В. Биометрическая идентификация;
Г. Повышение осведомленности.

511. Как владелец данных должен определять, что доступ предоставлен тому, кому это необходимо?
А. Делегированием вопроса к хранителю данных;
Б. Клонированием учетных записей;
В. На основании иерархии прав доступа;
Г. Сопоставлением с требованиями бизнеса.

512. Что из перечисленного ЛУЧШЕ показывает эффективность программы повышения осведомленности в вопросах ИБ?
А. Увеличение сообщений об инцидентах ИБ;
Б. Уменьшение сообщений об инцидентах ИБ;
В. Уменьшение количества сбросов паролей;
Г. Увеличение количества выявленных уязвимостей.

513. Что из перечисленного ЛУЧШЕ всего подходит для включения в курс повышения осведомленности в вопросах ИБ для нового сотрудника?
А. Информация о разных моделях безопасности;
Б. Информация о методах выбора стойких паролей;
В. Информация о ролевой системе доступа;
Г. Информация о выявлении уязвимостей.

514. Какой критический элемент непрерывной программы повышения уровня ИБ в организации?
А. Оценка процессов, включая обратную связь;
Б. Разработка SLA для процессов безопасности;
В. Завязывание корпоративных стандартов на международные;
Г. Обеспечение соответствия требованиям регуляторов.

515. Руководство организации, в которой нет процессов ИБ решает задействовать ИТ менеджера для проведения оценки уровня ИБ.  Какая ГЛАВНАЯ задача в этом случае для ИТ менеджера?
А. Сообщить о рисках во всех департаментах;
Б. Получить поддержку всех департаментов;
В. Сообщить об обнаруженных рисках безопасности;
Г. Иметь знания о стандартах безопасности.

516. В организации планируется внедрение ERP системы для 500 пользователей из разных департаментов. Какой метод контроля доступа в этом случае САМЫЙ подходящий?
А. Основанный на правилах;
Б. Мандатный принцип доступа;
В. Дискреционный принцип доступа;
Г. Основанный на ролях.

517. Организация планирует привлечь внешнего провайдера для размещения своего сайта в Интернет. О чем должен позаботиться в ПЕРВУЮ очередь менеджер ИБ?
А. Провести аудит компании провайдера;
Б. Заключить договор, включающий NDA;
В. Заключить договор, включающий принятие политик ИБ;
Г. Провести внешнему провайдеру тест на проникновение.

518. Какая САМАЯ важная цель при проведении теста на проникновение внешней компанией?
А. Снизить технические риски;
Б. Иметь независимый сертификат по сетевой безопасности;
В. Получить независимую оценку безопасности;
Г. Получить полный список уязвимостей.

519. На МСЭ периметра требуется открыть новый порт. Какой нужно сделать ПЕРВЫЙ шаг до проведения изменений?
А. Понять на что это может повлиять;
Б. Провести тест на проникновение;
В. Получить согласование руководства;
Г. Сделать резервные копии конфигурации и правил МСЭ.

520. Организация планирует передать на аутсорсинг внешней компании собственную CRM. Что нужно сделать ПЕРВЫМ?
А. Запросить внешнюю компанию провести тестирование знаний своего персонала;
Б. Провести собственную оценку рисков для определения необходимых контролей;
В. Провести аудит внешней компании для определения необходимых контролей;
Г. Провести оценку безопасности с целью обнаружить уязвимости.

521. Как повысить осведомленность персонала в вопросах ИБ?
А. Сделать рассылку статистики по инцидентам безопасности;
Б. Отслеживать количество инцидентов;
В. Поощрять персонал за повышение сознательности;
Г. Регулярно доводить до сведения политики ИБ.

522. Какой САМЫЙ подходящий метод обеспечить нужную длину паролей в крупной организации?
А. Попытаться простым перебором выявить несколько паролей;
Б. Установить ПО для перехвата паролей;
В. Попросить пользователей предъявить свои пароли;
Г. Настроить парольные политики для каждой системы.

523. Какой САМЫЙ эффективный с т.з. цены метод идентификации новых уязвимостей?
А. Внешние источники уязвимостей;
Б. Оценка уязвимостей внешними консультантами;
В. С помощью собственного IPS;
Г. С помощью собственной обманной системы размещенной в DMZ.

524. Какой ЛУЧШИЙ способ улучшить управлением процессами ИБ?
А. Проводить периодические аудиты ИБ;
Б. Проводить периодические тесты на проникновение;
В. Определить и мониторить метрики ИБ;
Г. Взаимодействовать с бизнесом в качестве обратной связи.

525. Какой эффективный путь для защиты приложений от SQL-инъекций?
А. Проверка ввода на стороне клиента;
Б. Сканирование БД на уязвимости;
В. Нормализовать схему БД с использованием промежуточной формы;
Г. Обеспечить применение обновлений безопасности на ОС.

526. Какая основная причина успешности атак методом подделки запросов (XSRF) на приложение?
А. Использование нескольких перенаправлений для завершения транзакции;
Б. Использование cookies в качестве единственного механизма аутентификации;
В. Использование недействительного лицензионного ключа;
Г. Размещение на сервере среди других приложений.

527. Чем в ПЕРВУЮ очередь должно определяться время хранения бизнес данных?
А. Периодической оценкой уязвимостей;
Б. Законодательными и нормативными требованиями;
В. Емкостью и надежностью носителей информации;
Г. Судебными решениями.

528. Организация заключила соглашение для отправки внешней корреспонденции новым бизнес партнером. Какое САМОЕ важное действие должен предпринять менеджер ИБ в этой ситуации?
А. Провести оценку уровня безопасности бизнес партнера;
Б. Обеспечить бизнес партнером принятие плана непрерывности бизнеса;
В. Обеспечить бизнес партнером принятие требований ИБ;
Г. Переговорить с другими клиентами данного бизнес партнера в части его работы.

529. Организация, которая использует внешний платежный процессинг зависит от уровня защищенности внешней компании. Какое требование САМОЕ важное для внесения в договор с такой компанией?
А. Право аудита;
Б. Конфиденциальность;
В. Хороший МСЭ;
Г. Постоянный мониторинг уровня соответствия.

530. Какая САМАЯ критичная активность для обеспечения безопасности внешней компании, в которую переданы ИТ сервисы на аутсорсинг?
А. Повышение осведомленности в вопросах ИБ персонала внешней компании;
Б. Регулярная оценка уровня ИБ внешней компании;
В. Включение требований ИБ в договор с внешней компанией;
Г. Требования соблюдения внешней компанией политик ИБ.

531. Оператор банка кладет платежные файлы в общую сетевую папку, из которой они позднее отправляются в процессинг. Данная ручная операция будет автоматизирована только через несколько месяцев. Пока же нужно создать контроль по критерию цена/эффективность. Какое решение будет САМЫМ подходящим?
А. Провести обучение вовлеченного в процесс персонала вопросам ИБ;
Б. Предоставить к сетевой папке доступ на основе ролевой модели;
В. Разработать скрипт для сравнения отправленного в папку и полученного процессингом контента;
Г. Операторам процесса подписать обязательство с ответственностью за мошенничества.

532. Что из перечисленного ЛУЧШЕ обеспечивает переоценку рисков в случае модификации бизнес приложения?
А. Процесс управления проблемами;
Б. Постоянное наблюдение за приложением;
В. Процесс управления изменениями;
Г. Анализ воздействия на бизнес.

533. Какой путь ЛУЧШИЙ чтобы собрать, классифицировать, установить приоритеты и связать уязвимости с информационными системами?
А. Сканирование на уязвимости;
Б. Тест на проникновение;
В. Оценка программного кода;
Г. Аудит безопасности.

 534. На какой стадии жизненного цикла систем находится выбор способа контроля доступа и алгоритм шифрования?
А. Дизайн процедур;
Б. Дизайн архитектуры;
В. Дизайн спецификации системы;
Г. Разработка системы.

535. Что из перечисленного считается фундаментальным компонентом ИБ?
А. Система ролевого контроля доступа;
Б. Автоматическое предоставление доступа;
В. Повышение осведомленного персонала;
Г.  Система предотвращения атака.

536. Как руководство организации узнает, что новая программа управления ИБ эффективна?
А. Ключевые метрики показывают уменьшение ущерба в результате инцидентов;
Б. Руководство утвердило программу и поддерживает её;
В. Сотрудники восприняли произошедшие изменения;
Г. Количество инцидентов уменьшается.

537. В чем заключается преимущество теста на проникновение в режиме белого ящика по сравнению с режимом черного ящика?
А. Это симуляция реальной внешней атаки;
Б. Не требуется вмешательство персонала;
В. Время на исследование и получение информации уменьшится;
Г. Критическая информация об инфраструктуре не будет выявлена тестируемым.

538. Какой способ является ЛУЧШИМ, чтобы предотвратить пересылки сотрудниками рекламных писем или писем  «счастья»?
А. Ознакомление с правилами использования почты;
Б. Низкий лимит на размер ящика;
В. Обучение персонала;
Г. Дисциплинарные меры.

539. Как ЛУЧШЕ защитить пользовательские пароли от атак методом перебора?
А. Хранить пароли в зашифрованном виде;
Б. Проводить обучение персонала;
В. Установить сложность пароля и периодическую смену;
Г. Установить блокировки учетных записей.

540. Какая мера является САМЫМ эффективным сдерживающим фактором против злоупотребления своими привилегиями?
А. Многоуровневая защита;
Б. Мониторинг логов систем;
В. Подписание политик ИБ;
Г. Создание высокодоступных систем.

541. В чем заключается преимущество от использования стеганографии, по сравнению с криптографией?
А. Существование сообщения неизвестно;
Б. Маленькая длина ключей;
В. Трафик не может быть перехвачен;
Г. Легкость в передаче такой информации.

542. В динамично растущей организации обновление политик ИБ сложная задача. Что можно сделать еще для эффективного управления бизнес рисками, за исключением политик?
А. Получать консультации у владельцев информации;
Б. Утвердить должность высокого уровня;
В. Формально управлять структурой ИБ;
Г. Утвердить должность менеджера ИБ.

543. После обновления web-приложения возможно появления в нем backdoor. Каким способом это ЛУЧШЕ всего выявить?
А. Тест на проникновение в режиме черного ящика;
Б. Аудит безопасности;
В. Изучение программного кода;
Г. Скан на уязвимости.

544. Для мониторинга сетей часто используется протокол SNMP v2. Какая уязвимость в нем присутствует?
А. Удаленное переполнение буфера;
Б. Межсайтовый скриптинг;
В. Аутентификация открытый текстом;
Г. Атака «человек в середине».

545. Начиная с какой фазы жизненного цикла проекта должна присутствовать безопасность?
А. Дизайн;
Б. Разработка;
В. Тестирование безопасности;
Г. Анализ технической осуществимости.

546. Что должно быть определено ПЕРВЫМ при внедрении плана непрерывности бизнеса?
А. Стоимость постройки резервной площадки;
Б. Увеличение цены дневного простоя;
В. Местоположение и стоимость восстановления работоспособности;
Г. Стоимость владения группы восстановления.

547. Настольный компьютер был вовлечен в инцидент ИБ. Что нужно с ним сделать, чтобы гарантировать неизменность имеющейся на нем информации?
А. Отключить ПК от всех источников питания;
Б. Отключить все локальные учетные записи за исключением администратора;
В. Зашифровать пользовательские профили и скопировать архивы на сервер безопасности;
Г. Скопировать все файлы ОС на компакт диск.

548. Компания имеет дополнительные офисы, на которых локально размещены файловые, почтовые и принт- серверы. Каждым офисом заключен договор на услугу hot site. Какой ГЛАВНЫЙ недостаток может заключаться в такой реализации восстановления работоспособности?
А. Эксклюзивное использование площадки ограничено 6 месяцами;
Б. Площадка может быть разделена с другими организациями;
В. Декларированное время может зависеть от приоритета;
Г. Провайдер сервиса обслуживает все компании в данной области.

549. Что должна сделать компания, занимающаяся on-line продажами при обнаружении сетевой атаки на свои ресурсы?
А. Выключить все точки сетевого доступа;
Б. Скопировать все логи устройств на компакт диски;
В. Изолировать сегмент сети, подвергшийся атаке;
Г. Включить логирование на всех видов событий.

550. Какой ЛУЧШИЙ метод обнаружения хакерской атаки и наблюдения за ней, чтобы не подвергать информационные активы ненужным рискам?
А. Межсетевое экранирование;
Б. Устройства для обнаружения вторжений;
В. Системы-ловушки;
Г. Экранирование подсетей.