пятница, 31 августа 2012 г.

30 вопросов из CISM. Часть 2/2. (перевод)


Некоторые вопросы повторяют предыдущие.
В16. Что из перечисленного БОЛЬШЕ подходит для включения в стратегию ИБ?
А. Разработка бизнес контролей в качестве ключевых;
Б. Процессы ИБ, методы, инструменты и техники;
В. Правила FW, сетевые настройки,  настройки IDS;
Г. Смета бюджета на покупку средств защиты.

В17. Организация может достичь большего, если менеджер ИБ уделяет ОСОБОЕ внимание:
А. рискам организации;
Б. повсеместному измерению организационных рисков;
В. нуждам безопасности;
Г. ответственности перед подразделениями организации.

В18. Какие из перечисленных ролей вступают в КОНФЛИКТ интересов с задачами менеджера ИБ?
А. Оценка запросов третьих лиц на доступ;
Б. Оценка адекватности плана непрерывности бизнеса;
В. Финальное утверждение политик ИБ;
Г. Мониторинг строгого соблюдения физической безопасности.

В19. Какая из перечисленных ситуаций должна быть исправлена ПЕРВОЙ для обеспечения успешного управления ИБ в организации?
А. В департамент ИБ трудно подобрать персонал;
Б. ИТ директор утвердил изменения в политике ИБ;
В. Комитет по надзору за ИБ собирается только ежеквартально;
Г. Управляющий ЦОД подписал все проекты по ИБ.

В20. Какие требования имеют НАИМЕНЬШИЙ приоритет для ИБ?
А. Технические;
Б. Законодательные;
В. В части ПДн;
Г. Требования бизнеса.

В21. Какую цель менеджер ИБ должен достичь ПЕРВОЙ после утверждения на должность?
А. Разработать архитектуру ИБ;
Б. Установить хорошее взаимодействие с руководством организации;
В. Подобрать опытный персонал;
Г. Оценить эффективность организации.

В22. НАИБОЛЕЕ важно, когда архитектура ИБ сочетается с:
А. лучшими практиками по отрасли;
Б. планами ИТ;
В. лучшими практиками в области ИБ;
Г. бизнес целями и задачами.

В23. Что из перечисленного ЛУЧШЕ подходит под определение «действующий по собственному усмотрению»?
А. Политики;
Б. Процедуры;
В. Инструкции;
Г. Стандарты.

В24. Технологии безопасности должны выбираться ПРЕИМУЩЕСТВЕННО на основе:
А. способности уменьшать бизнес риски;
Б. материалов публикаций;
В. появляющихся новых технологий;
Г. выигрыша в цене.

В25.  Что из перечисленного меняется РЕДКО в результате изменения технологий?
А. Стандарты;
Б. Процедуры;
В. Политики;
Г. Инструкции.

В26. НАИБОЛЕЕ важным фактором в планировании долговременного хранения бизнес информации на случай ее изменения являются:
А. объем носителей информации и их срок годности;
Б. требования законов и нормативных документов;
В. бизнес стратегия и направление развития;
Г. приложения и носители информации.

В27. Какая из перечисленных характеристик показывает ПРЕИМУЩЕСТВА децентрализованного подхода к обеспечению ИБ в территориально распределенных организациях?
А. Более неформальный подход к обеспечению качества;
Б. Лучший контроль за соблюдением политик;
В. Лучшее сопоставление с целями организации;
Г. Большая экономия операционных расходов.

В28. Какая из перечисленных позиций БОЛЬШЕ всего подходит в качестве спонсора для разработки и внедрения инфраструктуры ИБ в большой международной организации?
А. Директор по ИБ;
Б. Исполнительный директор;
В. Chief Privacy Officer (не знаю, как его точно перевести: риск менеджер, СВК);
Г. Директор по правовым вопросам.

В29 Что из перечисленного может стать ГЛАВНОЙ целью управления ИБ?
А. Пересмотр механизмов внутреннего контроля;
Б. Вовлечение в процесс принятия бизнес решений;
В. Полное исключение факторов риска.
Г. Обеспечение доверия к данным.

В30. Взаимоотношения между технологиями безопасности ЛУЧШЕ определяются в:
А. метриках ИБ;
Б. сетевой топологии;
В. архитектуре ИБ;
Г. моделях улучшения процессов.

Можно начинать отвечать.

среда, 29 августа 2012 г.

Все уже обновили скайп?

Вчера сижу в интернете, никого не трогаю, вдруг всплывает сообщение, что ваш скайп устарел. Я очень удивляюсь, так как он у меня и не установлен, но делаю скриншоты для общественности. Вот вам утренний фишинг.

Делай раз:
Делай два:
Делай три:


понедельник, 27 августа 2012 г.

Постоянная осведомленность персонала

Попался мне интересный вопрос о повышении осведомленности персонала. Привожу его здесь вместе с объяснением.

The MOST effective way to ensure network users are aware of their responsibilities to comply with an organization's security requirements is:

A. messages displayed at every logon.

B. periodic security-related e-mail messages.

C. an Intranet web site for information security.

D. circulating the information security policy.

Answer: A

Explanation:

Logon banners would appear every time the user logs on, and the user would be required to read and agree to the same before using the resources. Also, as the message is conveyed in writing and appears consistently, it can be easily enforceable in any organization. Security-related e-mail messages are frequently considered as "Spam" by network users and do not, by themselves, ensure that the user agrees to comply with security requirements. The existence of an Intranet web site does not force users to access it and read the information. Circulating the information security policy atone does not confirm that an individual user has read, understood and agreed to comply with its requirements unless it is associated with formal acknowledgment, such as a user's signature of acceptance.

И предлагаю соответствующую реализацию для Windows. Впрочем, где-то мне уже попадалась похожая идея, поэтому я не претендую на изобретение велосипеда.

четверг, 23 августа 2012 г.

30 вопросов из CISM. Часть 1/2. (перевод)


Некоторые вопросы повторяют предыдущие.

В1. Что из перечисленного должно быть ПЕРВЫМ шагом при разработке плана ИБ?
А. Проведение технической оценки уязвимостей;
Б. Анализ текущей бизнес стратегии;
В. Проведение анализа возможного ущерба для бизнеса;
Г. Оценка текущего уровня осведомленности персонала в вопросах ИБ.

В2. Руководство организации ЛУЧШЕ получит представление об ИБ, если будет:
А. использовать иллюстрированные примеры успешных атак;
Б. объяснять технические риски;
В. развивать организацию, учитывая лучшие практики;
Г. связывать риски безопасности с ключевыми бизнес целями.

В3. НАИБОЛЕЕ подходящая роль менеджмента  организации в вопросах поддержки ИБ заключается в:
А. оценке предлагаемых вендорами СЗИ;
Б. оценке рисков в организации;
В. утверждении политики ИБ и её финансировании;
Г. наблюдении за строгим соблюдением нормативных требований.

В4. Что из перечисленного обеспечит БОЛЬШИЙ успех по управлени ИБ в организации?
А. Управляющий комитет будет утверждать проекты ИБ;
Б. Со всеми менеджерами будет проводиться обучение по требованиям ИБ;
В. Обучение правилам ИБ будет доступно для всех сотрудников на внутреннем портале;
Г. Управляющий комитет будет требовать соответствия законам и нормативным требованиям.

В5. Управление ИБ в организации ПРЕИМУЩЕСТВЕННО определяется:
А. принуждением к использованию определенных технологий;
Б. нормативными требованиями;
В. возможными судебными процессами;
Г. бизнес стратегией.

В6. Что из перечисленного заслуживает ГЛАВНОГО внимания в требованиях по защите ПДн?
А. Отсутствие ограничений на использование ПДн;
Б. Идентификация утечек ПДн;
В. Права доступа к ПДн;
Г.  Принадлежность ПДн к субъектам ПДн.

В7. Инвестиции в технологии ИБ должны основываться на:
А. оценке уязвимостей;
Б. анализе количества защищаемых данных;
В. бизнес климате организации;
Г. рекомендациях аудиторов.

В8. Сохранение коммерческой информации ПРЕИМУЩЕСТВЕННО должно основываться на:
А. бизнес стратегии и направлении развития организации;
Б. законодательных и нормативных требованиях;
В. объемах носителей данных и времени их хранения;
Г. задачах и анализе количества данных.

В9. Какие из следующих характеристик занимают ЦЕНТРАЛЬНОЕ место в управлении ИБ?
А. Стоимость управления;
Б. Строгое соблюдение политик;
В. Большее пересечение с бизнес нуждами;
Г. Быстрое выполнение запросов.

В10. Успешное внедрение процесса управления ИБ в ПЕРВУЮ очередь требует:
А. обучения персонала для повышения осведомленности в вопросах ИБ.
Б. обновления политик ИБ;
В. работы группы управления инцидентами;
Г. архитектуры ИБ.

В11. Какая из следующих позиций будет являться БОЛЕЕ влиятельной для создания группы по управлению ИБ?
А. Менеджер ИБ;
Б. Исполнительный директор;
В. Аудитор;
Г. Юрист.

В12. НАИБОЛЕЕ важный компонент политики ПДн это:
А. уведомления;
Б. гарантии;
В. ответственность;
Г. географическая структура организации.

В13. Стоимость внедрения средств контроля ИБ не должна ПРЕВОСХОДИТЬ:
А. ожидаемого уровня ежегодных потерь;
Б. уровня потерь в результате инцидента;
В. стоимости информационного актива;
Г. стоимости внедрения защитных мер.

В14. Когда стандарты безопасности организации противоречат бизнес целям необходимо:
А. изменить стандарты безопасности;
Б. изменить бизнес цели;
В. провести анализ рисков;
Г. принять риски.

В15. МИНИМАЛЬНО стандарты безопасности технической инфраструктуры должны быть определены в:
А. стратегии ИБ;
Б. инструкциях ИБ;
В. модели ИБ;
Г. архитектуре ИБ.

Можно начинать отвечать.

вторник, 21 августа 2012 г.

Кому вопросы CISM?

Купил на данном ресурсе вопросник, посвященный курсу CISM - 631 вопрос. Соответсвенно, если кому нужно, могу поделиться за полцены.

Пишите.

понедельник, 20 августа 2012 г.

Еще 10 вопросов из CISM (перевод)


В1. Руководство организации ЛУЧШЕ получит представление об ИБ, если будет:
А. использовать иллюстрированные примеры успешных атак;
Б. объяснять технические риски;
В. развивать организацию, учитывая лучшие практики;
Г. связывать риски безопасности с ключевыми бизнес целями.

В2. Какие из следующих характеристик занимают ЦЕНТРАЛЬНОЕ место в управлении ИБ?
А. Стоимость управления;
Б. Строгое соблюдение политик;
В. Большее пересечение с бизнес нуждами;
Г. Быстрое выполнение запросов.

В3. НАИБОЛЕЕ важный компонент политики ПДн это:
А. уведомления;
Б. гарантии;
В. ответственность;
Г. географическое покрытие.

В4. НАИБОЛЕЕ важно, когда архитектура ИБ сочетается с:
А. лучшими практиками по отрасли;
Б. планами ИТ;
В. лучшими практиками в области ИБ;
Г. бизнес целями и задачами.

В5. Технологии безопасности должны выбираться ПРЕИМУЩЕСТВЕННО на основе:
А. способности уменьшать бизнес риски;
Б. материалов публикаций;
В. появляющихся новых технологий;
Г. выигрыша в цене.

В6. Что оказывает ВАЖНЕЙШЕЕ воздействие на модель управления ИБ?
А. Количество сотрудников;
Б. Расстояния между территориальными площадками;
В. Сложность организационной структуры;
Г. Бюджет организации.

В7. ПЕРВИЧНАЯ цель разработки стратегии ИБ это:
А. установление метрик ИБ и других измерителей производительности;
Б. обучение владельцев бизнес процессов согласно их обязанностям;
В. обеспечение соответствия законам и нормативным документам;
Г. поддержка бизнес целей организации.

В8. Какая ПРЕИМУЩЕСТВЕННАЯ роль у менеджера ИБ в процессе классификации ИТ активов?
А. Определение и утверждение структуры классификации активов;
Б. Определение применимых уровней классификации;
В. Обеспечение безопасности активов в соответствии с классификацией;
Г. Проверка правильности уже классифицированных активов.

В9. Менеджер ИБ, работая в международной организации, которая подпадает под законодательные требования различных стран, должен довести до ВСЕХ территориальных площадок:
А. агрегированные требования всех законодательных норм;
Б. только основные стандарты и сделать дополнительные стандарты, кому потребуется;
В. требования, являющиеся лучшими практиками по отрасли;
Г. требования и обязать их исполнение всеми вне зависимости от юрисдикции.

В10. Какое действие ЛУЧШЕ описывает роль менеджера ИБ в международной организации, в связи с появлением новых нормативных требований по отношению к операционным рискам?
А. Удостоверение, что все ИТ риски определены.
Б. Оценка возможного ущерба от ИБ рисков;
В. Демонстрирование, что существующие контроли уменьшают ИТ риски;
Г. Предложение новых ИТ контролей для уменьшения операционных рисков.

Коллеги, просьба высказываться, через неделю приведу правильные ответы.




пятница, 10 августа 2012 г.

Первые вопросы из CISM (перевод)

Начал читать книгу CISM 2011 и первые 10 вопросов первой главы решил перевести для обозрения общественности, чтобы продемонстрировать какой подход проповедуется в ней с точки зрения менеджмента информационной безопасности.

В1. Стратегия ИБ важна для организации преимущественно тем, что она предоставляет:

А. Основу для определения лучшей логической архитектуры ИБ в организации.

Б. Утвержденное намерение и направление деятельности ИБ.

В. Пользователям инструкции о том, как безопасно выполнять свои повседневные обязанности.

Г. Помощь аудиторам для обеспечения соответствия требованиям.



В2. Наиболее важная причина обеспечить хорошее взаимодействие в области ИБ между подразделениями организации:

А. Сделать меры ИБ более приятными к сопротивляющимся сотрудникам.

Б. Человеческий фактор представляет самый большой риск.

В. Информировать бизнес подразделения о стратегии ИБ.

Г. Согласно требованиям законодательства все сотрудники должны информироваться о мерах ИБ.



В3. Законодательная база требует от многих организаций деятельности по ИБ. Что в этой связи наиболее важно для менеджера ИБ?

А. Обращаться к руководству организации для совета о применимости того или иного требования законодательства.

Б. Считать актуальными все требования законодательства и обращаться с запросами об их толковании.

В. Включать в оценку риски ИБ для всех департаментов организации подверженные им.

Г. Игнорировать большинство требований законодательства, т.к. наказания по многим из них отсутствуют.



В4. Что считается наиболее важным при разработке политик ИБ:

А. Они должны основываться на профилях угроз.

Б. Они должны быть полноценными, но без излишней детализации.

В. Они должны быть подписаны руководством.

Г. Все сотрудники должны прочитать их и понять.



В5. Первичная цель ИБ при разработке хороших процедур удостовериться, что:

А. Они выполняются, как и предполагалось.

Б. Они однозначно понимаются и соответствуют стандартам.

В. Они написаны простым языком и разосланы всем сотрудникам.

Г. Соответствие им может быть проверено.



В6. Назначение ролей и ответственности наиболее эффективно, если:

А. Есть поддержка руководства организации.

Б. Назначения основываются на опыте.

В. Назначения обеспечивают полный спектр ролей.

Г. Ответственность понимается и принимается добровольно.



В7. Первичная польза для организации получается в результате эффективного управления ИБ, когда обеспечивается:

А. Соответствие требованиям законодательства.

Б. Принятие уровней угроз.

В. Приоритет в восстановлении ресурсов.

Г. Максимальный возврат инвестиций.



В8. С точки зрения менеджера ИБ наиболее важным фактором защиты данных является:

А. Соответствие требованиям бизнеса и законодательства.

Б. Обеспечение целостности документов от повреждений.

В. Правильное использование носителей информации.

Г. Обеспечение конфиденциальности данных и их шифрование.



В9. Какая роль является лучшей для пересмотра прав доступа пользователей?

А. Владелец ресурса.

Б. Менеджер ИБ.

В. Администратор домена.

Г. Бизнес менеджер.



В10. В процессе внедрения процесса управления ИБ менеджер ИБ преимущественно отвечает за:

А. Разработку стратегии ИБ.

Б. Пересмотр стратегии ИБ.

В. Взаимодействие с другими подразделениями в рамках стратегии ИБ.

Г. Утверждение стратегии ИБ.



Коллеги, прошу по желанию отвечать на вопросы.

среда, 8 августа 2012 г.

Ситуационные задачи к главе о непрерывности бизнеса (перевод)

Сценарий:

Компания пересматривает планы непрерывности бизнеса для своей головной организации (ГО) и 16 своих филиалов. Текущий план не обновлялся уже 8 лет, а компания за это время выросла в 3 раза. В ГО работают 750 сотрудников. Для работы они используют сетевой доступ посредством Frame Relay в ЦОД, в котором расположено более 60 приложений, базы данных, файловые и принт- серверы. Мобильные пользователи получают доступ к этим ресурсам посредством VPN. Пользователи ГО и филиалов получают доступ в Интернет через FW и Proxy, находящийся в ЦОД. Критичные приложения имеют допустимое время восстановления от 3 до 5 дней. Филиалы расположены от 30 до 50 миль друг от друга, причем ни один филиал не расположен ближе, чем в 25 миль от ГО. В каждом филиале работают от 20 до 35 сотрудников. В каждом филиале есть свой почтовый, файловый и принт- сервер. Носители с резервными копиями данных из ЦОД хранятся на территории другой компании в 35 милях от ЦОД. Носители с резервными копиями филиалов хранятся в смежных филиалах по соглашениям о взаимовыручке.
Текущий договор с организацией, предоставляющей услуги резервного сайта, включает 25 серверов и рабочие места для 100 сотрудников компании. Отдельным соглашением оговаривается возможность установки дополнительных своих 2 серверов и 10 рабочих мест для любого филиала, в котором будет заявлено о наступлении бедствия. Договор заключен на 3 года и подразумевает пересмотр аппаратных характеристик оборудования с учетом развития техники. Услугами резервного сайта будут одновременно пользоваться и другие компании, с которыми заключены подобные договоры.

Руководство компании хочет расширить текущий договор по принципу цена/эффективность.

Вопросы:

В1. Основываясь на информации выше, что должен порекомендовать аудитор по отношению к договору о резервном сайте?

А. Увеличить количество рабочих мест до 750.

Б. Увеличить количество серверов до 35.

В. Начать хранить носители информации с резервными копиями на резервном сайте.

Г. Требовать пересмотра характеристик серверов и рабочих мест ежеквартально.



В2. Основываясь на информации выше, что должен порекомендовать аудитор в части рекомендаций по восстановлению работоспособности?

А. Добавить в договор по отдельному соглашению для каждого филиала.

Б. Обеспечить филиалы необходимыми мощностями для взаимного резервирования друг друга.

В. Переместить все серверы филиалов в ЦОД.

Г. Пересмотреть договор, чтобы в нем было указано оборудование, достаточное для работы самого большого филиала.

вторник, 7 августа 2012 г.

Пересмотр плана непрерывности бизнеса (перевод)


При пересмотре плана непрерывности бизнеса (BCP) аудитор должен удостовериться, что его основные элементы хорошо проработаны в плане. Проверка процедур может включать следующиe действия:
Получить текущую версию BCP или аналогичное руководство.
Получить версию BCP, которая была в действительности разослана и проверить её на актуальность.
Оценить эффективность документированных процедур на случай их применения.
Пересмотреть критерии выбора приложений, определение для них приоритета и планируемой технической поддержки.
Определить для всех приложений время, в течение которых они могут оставаться неработоспособными в случае наступления каких-либо бедствий.
Определить все критичные приложения.
Определить, имеет ли запасная площадка корректные версии необходимых приложений, проверить их на совместимость между собой. В противном случае ИС не будет работоспособной после восстановления.
Получить список членов из группы восстановления.
Получить копию договора или соглашения на использование запасной площадки.
Пересмотреть список персонала, участвующего в BCP, контакты персонала запасной площадки, контакты всех необходимых вендоров с точки зрения полноты и достоверности.
Сделать звонки некоторым сотрудникам, а также другому персоналу, чтобы таким конкретным способом удостовериться в корректности указанной контактной информации.
Проинтервьюировать персонал, чтобы удостовериться в том, что все правильно понимают свои обязанности, а также понимают свою ответственность в случае наступления рисковых событий.
Оценить как документированы процедуры.
Оценить процедуры по актуализации руководств. Все ли обновления руководств производятся и распространяются своевременно? Документирована ли в них специфическая ответственность персонала?
Пересмотреть процедуры бекапа, предназначенные для каждой области BCP.
Определить соответствуют ли процедуры бекапа и восстановления друг другу?

Дополнительные меры:
Оценить полноту, применимость, точность, актуальность и легкость для понимания для всех разработанных процедур.
Удостовериться в том, что все вновь проведенные операции (транзакции), выполненные после процесса восстановления, можно будет отделить от обычных.
Определить, что вся команда восстановления имеет соответствующие инструкции в зависимости от типа бедствия.
Определить, что все подходящие процедуры существуют и они актуализированы.
Определить, что существует план перевода процессов на резервную площадку.
Определить, что существует план восстановления процессов с резервной площадки на основную.
Определить, есть ли необходимость реконструкции (изменения) информационных процессов при их переводе на резервную площадку.

Рассматриваемые вопросы должны включать:
Кто отвечает за администрирование и координацию работ по плану?
Отвечает ли администратор или координатор работ за актуальность плана?
За что конкретно отвечают члены команды восстановления при наступлении бедствия?
Где хранится BCP?
Все ли критичные системы включены в BCP?
Какие системы не включены в BCP и почему?
Какое оборудование не включено в BCP и почему?
Кто управляет BCP в случае вступления его в действие и почему?
Каким образом и кем осуществляется принятие решение о вступлении в действие BCP?
Все ли документированные процедуры восстановления ведут к успешному восстановлению?
Рассчитан ли BCP на разные типы бедствий?
Бекап телекоммуникационного оборудования, а также сетевых и телефонных линий отражен в BCP?
Где расположена запасная площадка?
BCP предусматривает перевод всех основных информационных систем организации с резервной площадки куда-либо еще в случае невозможности восстановления исходной площадки?
BCP предусматривает разделение файлов данных, баз данных, систем управления ими для функционирования на разных площадках?
BCP предусматривает ручную или автоматическую загрузку данных в ИС?
Как проводится обучение персонала как установленным процедурам, так и в части резервного копирования данных?
Процедуры восстановления документированы?
Проводится ли регулярный бекап всех требуемых файлов, информации и приложений?
Кто определяет методы и частоту бекапа для всех критичных данных?
Требуется ли проведение on-line операций на основной площадке, чтобы разместить резервные копии на удаленных площадках и наоборот?
Осведомлены ли сотрудники о том, что в случае бедствий их оборудование (ПК, принтеры и т.д.) могут быть перераспределены между другими площадками?
Существуют ли документированные процедуры на случай потерь данных?
Где находится расписание тестирования и тренировки персонала?