вторник, 25 сентября 2012 г.

Все уже обновили свой эксплорер?

Стандартная фишинг-байка про обновление Internet Explorer.

Делай раз:
Делай два:
Делай три:

Делай четыре:
Делай, наконец, пять:

Вопросы со 101 по 150 из CISM (перевод)

101. Для чего менеджер ИБ должен понимать бизнес процессы и поддерживать отношения с бизнес подразделениями?
А. Чтобы понимать бизнес цели;
Б. Чтобы понять, если ли несоответствия требованиям;
В. Чтобы оценить возможный ущерб от компрометации данных;
Г. Чтобы понимать угрозы бизнеса.
 
102. Какой САМЫЙ эффективный способ обеспечить взаимодействие по конкретному решению между ИТ, ИБ и бизнесом при внедрении новой стратегии ИБ?
А.  Эскалировать вопрос внешнему аудитору;
Б. Обратиться к руководству, чтобы оно утвердило решение по безопасности;
В. Настоять на том, чтобы бизнес не принимал риски безопасности;
Г. Обратиться за помощью к руководству, представив ему варианты решения.
 
103. Как лучше заручиться поддержкой руководства о резервной площадке?
А. Периодически проводить оценку рисков;
Б. «Разрекламировать» требования регуляторов;
В. Разработать бизнес сценарий;
Г. Разработать эффективные метрики.
 
104. Как ЛУЧШЕ всего улучшить подотчетность системного администратора в части функций ИБ?
А. Включить ответственность ИБ в должностную инструкцию администратора;
Б. Требовать администратора получить сертификат по ИБ;
В. Провести тест на проникновение и оценку уязвимостей системы, за которую отвечает администратор;
Г. Провести оценку рисков системы, за которую отвечает администратор.
 
105. Какой самый важный элемент стратегии ИБ?
А. Определение целей;
Б. Временные интервалы на развитие;
В. Структура управления;
Г. Полнота политик.
 
106. Международная организация ведет бизнес в 16 странах. Какой фактор является САМЫМ важным при внедрении программы ИБ?
А. Утверждение руководителя в каждой стране;
Б. Состав руководства организации;
В. Различия культур в разных странах;
Г. Опыт в ИТ безопасности.
 
107.  Чем лучше убедить руководство инвестировать средства в ИБ?
А. Снижением себестоимости продукции;
Б. Соответствием политикам безопасности;
В. Защитой бизнес активов;
Г. Увеличением стоимости бизнеса.
 
108. Что должна включать хорошая политика ИБ по отношению к сайтам электронной коммерции?
А. Объяснение, что компания будет делать с собранной информацией;
Б. Отказ от ответственности за точность представленной на сайте информации;
В. Технические сведение о том, как защищена информация на сайте.
Г. Сведение о том, где фактически находится сайт.
 
109. Какой САМЫЙ важный фактор обеспечивает успех программы ИБ?
А. Доведение о сведений политик ИБ всем сотрудникам;
Б. Разработка политик ИБ;
В. Сопоставление с целями и задачами организации;
Г. Установление соответствия с политиками ИБ.
 
110. Что ЛУЧШЕ всего поможет достичь сопоставления ИБ с бизнес целями организации?
А. Наблюдение за ключевыми контролями?
Б. Хорошая программа повышения осведомленности персонала;
В. Программа ИБ, обеспечивающая бизнес деятельность;
Г. Эффективная структура ИБ.
 
111. Что ЛУЧШЕ всего показывает зрелость управления ИБ?
А. Непрерывный анализ, мониторинг и обратная связь;
Б. Непрерывный мониторинг возврата инвестиций в ИБ;
В. Непрерывное снижение рисков;
Г. Ключевые индикаторы риска.
 
112. Какой САМЫЙ лучший пример объяснения бизнесу, зачем нужны меры ИБ?
А. Подобрать решение, подходящее по критерию стоимость / эффективность;
Б. Объяснить текущие риски;
В. Указать на детальные требования регулятора;
Г. Показать потери в результате инцидента.
 
113. Что САМОЕ важное нужно понимать при разработке стратегии ИБ?
А. Требования регуляторов;
Б. Международные стандарты ИБ;
В. Риски организации;
Г. Цели организации.
 
114. В чем заключается преимущество централизованной структуры ИБ?
А. Легче проводить программу повышения осведомленности;
Б. Легче управлять и контролировать;
В. Это больше отвечает бизнес нуждам;
Г. Это ускоряет выполнение запросов безопасности.
 
115. Что поможет изменить культуру ИБ в организации?
А. Разработать процедуры, чтобы достигнуть состояния, прописанного в политике ИБ;
Б. Заручиться поддержкой руководства;
В. Внедрить строгую систему контроля ИБ;
Г. Периодически проводить аудит на соответствие требованиям.
 
116. Какой ЛУЧШИЙ способ показать бизнесу необходимость внедрения SSO системы?
А. Рассчитать возврат инвестиций;
Б. Провести оценку угроз;
В. Рассчитать возможные ежегодные потери;
Г. Предложить конкретный пример.
 
117. Какой ПЕРВЫЙ шаг установления программы управления ИБ?
А. Провести оценку рисков;
Б. Провести рабочую встречу с конечными пользователями;
В. Подготовить бюджет;
Г. Получить поддержку руководства.
 
118. Менеджер ИБ решил установить систему, для мониторинга доступа пользователей в Интернет и предотвращения доступа к определенным сайтам. Однако сразу после ее введения в действие пользователи одного подразделения стали жаловаться, что из-за запрета они не могут выполнять свою работу. Примером чего это является?
А. Конфликтом ИБ с нуждами организации;
Б. Строгой защитой информационных ресурсов;
В. Внедрением, позволяющим снизить риски;
Г. Демонстрацией способности предотвращать угрозы.
 
119. На чем должна основываться стратегия ИБ?
А. На управлении рисками ИБ, влияющими на бизнес цели;
Б. На управлении рисками ИБ с целью снизить их до нуля, чтобы не потребовалось их страховать;
В. На избегании рисков с целью, чтобы не потребовалось их страховать;
Г. На страховании большинства рисков и сохранении управления активами.
 
120. Что нужно включить в ежегодный бюджет ИБ, чтобы его проще было утвердить?
А. Анализ выгод от выделенных средств;
Б. Перечень ресурсов по рекомендации бизнеса;
В. Расчет полной стоимости владения;
Г. Сравнение затрат с другимии компаниями.
 
121. Какую пользу приносит процесс управления ИБ?
А. Снижается потенциальная ответственность перед регуляторами;
Б. Увеличивается уровень доверия в отношениях с вендорами;
В. Увеличиваются риски, основанные на неполной информации менеджеров;
Г. Прямое вовлечение руководства при разработке методов контролирования процессов.
 
122. На чем должно основываться инвестирование в технологии безопасности?
А. Точном сопоставлении с целями и задачами организации;
Б. Успехе в реализации предыдущих проектов;
В. Лучших бизнес практиках;
Г. Защите существующих технологий.
 
123. Кем должны определяться требования доступа к данным приложения?
А. Юридическим департаментом;
Б. Службой внутреннего контроля;
В. Менеджером ИБ;
Г. Собственником бизнес процесса.
 
124. Чем должна регулироваться информация, которая длительно не потребуется бизнесу с точки зрения подходов ИБ?
А. Политикой хранения данных;
Б. Порядком классификации информации;
В. Политикой резервного копирования;
Г. Защищаться с точки зрения анализа воздействия на бизнес.
 
125. Руководство организации решило отдать на аутсорсинг департамент ИТ, который вместе с вендором, разместил свои серверы в другом государстве. Что в этом решении САМОЕ критичное?
А. Законодательные требования страны не могут быть применены в другом государстве;
Б. Уведомление об уязвимостях могут приходить с задержками из-за разницы в часовых поясах;
В. Необходимо установить дополнительный сенсор IDS, что потребует дополнительных затрат;
Г. Компания потеряет физический контроль над серверами.
 
126. Чем обеспечивается эффективное управление ИТ?
А. Вертикалью власти «снизу вверх»;
Б. Менеджментом департамента ИТ;
В. Поддержкой юридического департамента;
Г. Вертикалью власти «сверху вниз».
 
127. Каким может быть ПЕРВЫЙ шаг на пути к тому, чтобы внутренняя культура организации стала более безопасной?
А. Внедрить строгие контроли;
Б. Провести программу повышения осведомленности;
В. Начать мониторинг действия пользователей;
Г. Получить одобрение руководства.
 
128. Какой ЛУЧШИЙ метод или техника обеспечения эффективного внедрения программы ИБ?
А. Получить поддержку руководства;
Б. Запустить программу повышения осведомленности;
В. Разослать сотрудникам политики ИБ для изучения;
Г. Вести сбор логов с системы предоставления прав доступа.
 
129. За что должно отвечать руководство при внедрении программы управления ИБ?
А. За разработку политик ИБ;
Б. За пересмотр курс повышения осведомленности;
В. За установления стратегического направления программы;
Г. За аудитом соответствия требованиям.
 
130. С целью покупки новой системы и внедрения нового процесса менеджер ИБ провел оценку рисков и анализ влияния на бизнес. Их результаты не согласуются с позицией бизнес подразделения. Как в этой ситуации лучше поступить менеджеру ИБ?
А. Принять решение руководителя бизнес подразделения;
Б. Настаивать на собственной позиции о рисках для организации;
В. Пересмотреть оценку с исполнительным директором, чтобы прийти к финальному решению;
Г. Заново провести оценку рисков и анализ влияния на бизнес.
 
131. Кто несет ответственность за то, что в зависимости от типа информации к ней применяются те или иные меры защиты?
А. Офицер ИБ;
Б. Руководство;
В. Конечные пользователи;
Г. Владелец информации.
 
132. Руководство организации получило новое законодательство, по которому требуются специальные меры защиты для конфиденциальной информации. Какое действие должно быть следующим?
А. Направить информацию в подразделение ИБ для выполнения;
Б. Исследовать вопрос для нахождения подходящего решения;
В. Потребовать менеджмент сообщить о соответствии;
Г. Никакого, т.к. подразделение ИБ не подотчетно руководству.
 
133. Меры информационной безопасности должны:
А. фокусироваться на устранении всех рисков;
Б. находить баланс между техническими и бизнес требованиями;
В. подталкиваться требованиями регуляторов;
Г. определяться руководством.
 
134. Какой САМЫЙ важный фактор успешного внедрения программы ИБ в масштабах предприятия?
А. Реалистичный бюджет;
Б. Осведомленность персонала в вопросах ИБ;
В. Поддержка руководства;
Г. Правильный расчет трудозатрат.
 
135. Какой ГЛАВНЫЙ риск, что процессы управления пользователями не представлены в комитете управления ИБ?
А. Функциональные требования не адекватны;
Б. Программа обучения персонала не адекватна;
В. Бюджет бизнес подразделений не адекватный;
Г. План ИБ не сопоставлен с бизнес требованиями.
 
136. В чем заключается ГЛАВНАЯ задача комитета управления ИБ по пересмотру плана внедрения ИБ?
А. Сопоставление плана с бизнес планом организации;
Б. Бюджет комитета достаточен для выполнения плана;
В. Чтобы соответствовать требованиям регуляторов;
Г. Чтобы уменьшить потенциальный ущерб для организации.
 
137. Что должно быть определено в стратегии ИБ тем или иным образом?
А. Критерии оценки рисков;
Б. Цели организации;
В. Сложность ИТ структуры;
Г. План восстановления работоспособности.
 
138. Какой фактор считается САМЫМ важным при внедрении процессов управления ИБ?
А. Достижение конфиденциальности важной информации;
Б. Применение международных стандартов ИБ к данным, покидающим организацию;
В. Строгое соблюдение стандартов ИБ организации;
Г. Установление ответственности менеджера ИБ за обеспечение защиты.
 
139. Что является лучшей причиной для проведения анализа влияния на бизнес?
А. Помощь в определении текущих рисков;
Б. Определение необходимого бюджета на реализацию контролей ИБ;
В. Удовлетворение требований регуляторов;
Г. Анализ эффективности бизнеса.

140. Какие рекомендации должны включаться в отчет о снижении рисков?
А. Об оценке рисков;
Б. О принятии рисков;
В. О развитии рисков;
Г. Количественную оценку рисков.
 
141. До какого уровня должна уменьшать риски программа управления рисками?
А. До нуля;
Б. До приемлемого уровня;
В. До приемлемого процента от годового дохода;
Г. До приемлемого размера вероятности рисковых событий.
 
142. Какая САМАЯ важная причина для регулярного проведения оценки рисков?
А. Оценка рисков не всегда точна;
Б. Риски ИБ часто меняются;
В. Переоценка может оптимизировать и уменьшить стоимость защитных мер;
Г. Это продемонстрирует руководству, что функции ИБ могут увеличить стоимость бизнеса.
 
143.  Что является ЛУЧШИМ индикатором успешной практики управления рисками?
А. Проведена количественная оценка всех рисков;
Б. Неотъемлемые риски исключены;
В. Остаточные риски минимизированы;
Г. Контроль за рисками осуществляют бизнес подразделения.
 
144. Что обычно имеет ОГРОМНОЕ негативное влияние на организацию?
А. Воровство ПО;
Б. Прерывание работы сервисов;
В. Потеря клиентской конфиденциальной информации;
Г. Внутренние мошенничества, ведущие к потерям средств.
 
145. Что должна использовать успешная программа управления ИБ для определения необходимого количества ресурсов?
А. Результаты анализа рисков;
Б. Отчет аудита компании;
В. Результаты теста на проникновение;
Г. Количество  доступных средств в бюджете.
 
146. Что ЛУЧШЕ защищает организацию от внутренних атак?
А. Статическая IP адресация;
Б. Сетевая трансляция адресов;
В. Проверка знаний персонала;
Г. Сертифицированная программа повышения осведомленности персонала.
 
147. На чем должно основываться определение ценности информационного актива в управлении рисками?
А. На начальной стоимости;
Б. На чистой стоимости;
В. На чистой приведенной стоимости;
Г. На стоимости замены.
 
148. На чем должна основываться стоимость информационной системы в анализе ущерба для бизнеса?
А. На стоимости восстановления;
Б. На стоимости пересоздания;
В. На стоимости в случае ее недоступности;
Г. На стоимости выполнения необходимых операций.
 
149. Принятие рисков достигается когда:
А. остаточные риски минимизированы;
Б. переданные риски минимизированы;
В. контролируемые риски минимизированы;
Г. неотъемлемые риски минимизированы.
 
150. Кто определяет стоимость информационный активов?
А. Бизнес менеджер;
Б. Аналитик бизнес систем;
В. Менеджер ИБ;
Г. Определяется средними показателями по отрасли.
 


понедельник, 24 сентября 2012 г.

Про проекты ПП по уровням защищенности и требования к защите ПДн


Прочитал проект постановления Правительства по Уровням защищенности. Вот такая у меня получилась табличка.
Уровень
Тип
Категория
Количество
1
I (НДВ в ОС)
Специальная
-
Биометрия
-
Иные
-
II (НДВ в ППО)
Специальные
более 100 000
2
I (НДВ в ОС)
Общедоступные
-
II (НДВ в ППО)
Специальные юр. лица
-
Специальные
менее 100 000
Биометрия
-
Общедоступные
более 100 000
Иные
более 100 000
III (нет НДВ)
Специальные
более 100 000
3
II (НДВ в ППО)
Общедоступные юр. лица
-
Общедоступные
менее 100 000
Иные юр. лица
-
Иные
менее 100 000
III (нет НДВ)
Специальные юр. лица
-
Специальные
менее 100 000
Биометрия

Иные
более 100 000
4
III (нет НДВ)
Общедоступные
-
Иные юр. лица
-
Иные
менее 100 000

А вот и меры из проекта Постановления о требованиях к защите ПДн.
Уровень
Меры
4
-        физическая безопасность помещений;
-        сохранность носителей ПДн;
-        перечень лиц, имеющих доступ к ПДн.
3
Дополнительно:
-        назначить ответственного за безопасность ПДн;
-        доступ к логам только сотрудникам оператора.
2
Дополнительно:
-        применение СЗИ, прошедших оценку соответствия (Сертифицированных?).
1
Дополнительно:
-        логирование изменений прав доступа;
-        назначить структурное подразделение ответственное за ИБ.

Чтобы самому себя контролировать лицензия на ТЗКИ не нужна!