|
1. Абстрактное формализованное или неформализованное описание возможных действий нарушителя, которое формируется на основе анализа типа злоумышленника, уровня его полномочий, теоретических знаний и практических навыков - это: |
А |
модель наблюдаемости |
Б |
модель нарушителя |
С |
модель гарантий; |
Д |
модель угроз |
|
2. Какая мотивация нелояльного инсайдера по нарушению информационной безопасности? |
А |
мотивация отсутствует |
Б |
накопление информации для возможного дальнейшего использования в своих интересах |
С |
отомстить работодателю |
Д |
продать конкурентам своей компании |
|
3. Менеджмент рисков (управление рисками) – это: |
А |
деятельность, связанная с оценкой рисков |
Б |
процесс сопоставления уровней рисков с заданным критериям риска для установления их значимости |
С |
процесс выявления, распознавания и описания рисков |
Д |
скоординированные действия по управлению и контролю в организации в условиях существования рисков ее функционированию |
|
4. Угроза – это: |
А |
существование потенциально опасного воздействия природного, техногенного или социального характера, реализация которого причиняет вред объекту риска |
Б |
взлом системы защиты злоумышленником с целью нарушения конфиденциальности, целостности или доступности информации |
С |
свойство объекта риска (ОР), которая создает условия для возможной реализации угрозы ОР |
Д |
совокупность социальных и экономических факторов, которые могут стать вероятной причиной деструктивных действий, в случае успешной реализации которых будет нанесен вред объекта риска |
|
5. Актив для СМИБ – это: |
А |
количественная мера возможности выполнения какой-либо деятельности |
Б |
все, что имеет ценность для организации |
С |
условия, позволяющие с помощью определенных преобразований получить желаемый результат |
Д |
часть бухгалтерского баланса, отражающего состав и стоимость имущества организации на определенную дату |
|
6. Стандарт ISO/IEC 27000 определяет: |
А |
требования к управлению рисками информационной безопасности |
Б |
требования к системе менеджмента качества организаций и предприятий |
С |
принципы и структуру системы менеджмента информационной безопасности |
Д |
глоссарий для стандартов СМИБ |
|
7. Стандарт ISO/IEC 27001: |
А |
освещает лучшие практические советы по менеджменту информационной безопасности для тех, кто отвечает за создание, реализацию или обслуживание СМИБ |
Б |
содержит обзор и словарь терминов, относящихся к СМИБ |
С |
содержит требования в сфере информационной безопасности по созданию, развитию и поддержке СМИБ |
Д |
содержит рекомендации по разработке и использованию измерений и мер измерения для проведения оценки эффективности реализованной СМИБ |
|
8. Риск информационной безопасности это: |
А |
количественная характеристика угроз информационной безопасности организации |
Б |
уязвимости системы менеджмента информационной безопасности организации |
С |
потенциальная возможность использования уязвимостей актива или группы активов конкретной угрозой для нанесения урона организации |
Д |
потери, которые организация понесла в результате реализации угроз информационной безопасности |
|
|
А |
риск, который есть в организации после проведения процедуры оценки риска |
Б |
риск, который остается после применения всех мер защиты информационных ресурсов |
С |
приемлемый уровень риска для организации |
Д |
риск по реализации наиболее опасных угроз информационной безопасности |
|
|
А |
это документ стандарта ISO27001, в котором осуществляется декларации о желании построить систему менеджмента информационной безопасности |
Б |
это документ стандарта ISO27001, в котором проводится анализ всех угроз информационной безопасности |
С |
это документ по стандарту ISO27001, в котором есть перечень мер контроля для реализации в системе менеджмента информационной безопасности |
Д |
это документ стандарта ISO27001, в котором предоставляется политика информационной безопасности организации |
|
|
А |
документ системы менеджмента информационной безопасности, в котором отражаются требования к системе оценки риска |
Б |
документ системы менеджмента информационной безопасности, в котором отражаются требования к обеспечению конфиденциальности, доступности и целостности информации со стороны государства, третьих сторон и внутренние требования |
С |
документ системы менеджмента информационной безопасности, в котором отображаются требования по обеспечению защиты информации в третьих сторонах (клиентах, поставщиков услуг) |
Д |
документ системы менеджмента информационной безопасности, в котором отражаются риски информационной безопасности |
|
|
А |
отказ руководства организации от развертывания системы менеджмента информационной безопасности |
Б |
отсутствие снижения риска вследствие неэффективности мер защиты |
С |
принятие руководством компании (организации) возможных потерь в результате реализации угроз информационной безопасности |
Д |
отсутствие снижения риска вследствие появления новых угроз информационной безопасности |
|
|
А |
должностное лицо, которое проводит оценку рисков информационной безопасности |
Б |
должностное лицо или организационная единица, которые имеют полномочия и несут ответственность за управление рисками |
С |
должностное лицо, которое осуществляет коммуникацию рисками с внешними организациями |
Д |
нормативный документ системы менеджмента информационной безопасности, в котором дается описание наиболее высоких рисков информационной безопасности |
|
|
А |
контроль -планирование-внедрение-улучшение |
Б |
планирование-внедрение-контроль-улучшение |
С |
планирование-внедрение-улучшение- контроль |
Д |
внедрение-улучшение- контроль- планирование |
|
|
А |
обработка инцидентов, аудит, контроль со стороны руководства |
Б |
разработку политик контроля действий персонала |
С |
реализацию корректирующих действий |
Д |
обработку риска информационной безопасности |
|
|
А |
Определение области действия СМИБ, разработка политики информационной безопасности, оценка риска ИБ, выбор механизмов контроля |
Б |
Управление рисками, разработка частных политик, внедрение СМИБ |
С |
Разработка заявления о применимости, управление рисками, разработка реестра информационных рисков, выбор механизмов контроля |
Д |
Определение области действия СМИБ, внедрение системы управления инцидентами, применение корректирующих и предупреждающих действий |
|
|
А |
Часть организации, в пределах которой будет разрабатываться и функционировать СМИБ |
Б |
Часть организации, в пределах которой СМИБ отдается на управление консалтинговой компании |
С |
Область экономической сферы действия организации, откуда действуют угрозы информационной безопасности |
Д |
Часть организации, попадающая под действие стандарта ISO9001 |
|
|
А |
Порядок обеспечения доступа сотрудников компании к ее ресурсам |
Б |
Общее намерение и направление на построение СМИБ, официально выраженное руководством |
С |
Порядок взаимодействия компании с другими организациями по вопросам информационной безопасности |
Д |
Концепция управления качеством в компании |
|
|
А |
Одобрена всеми сотрудниками компании, опубликована и доведена до всех лиц, в части их касающейся |
Б |
Одобрена руководством, доведена до всех заинтересованных сторон |
С |
Одобрена руководством, опубликована в средствах массовой информации |
Д |
Одобрена руководством, опубликована и доведена до сведения всех сотрудников и заинтересованных сторон |
|
|
А |
процесс оценки угроз и уязвимостей, и определения на основании этого полного риска ИБ |
Б |
процесс принятия риска |
С |
процесс анализа руководством компании причин высокого уровня риска |
Д |
процесс выбора и реализации мер по изменению риска |
|
|
А |
отказ от использования подверженного угрозе ресурса |
Б |
использование механизмов защиты для устранения риска |
С |
перенесение риска на консалтинговые компании |
Д |
страхование риска |
|
|
А |
процесс пересмотра угроз и уязвимостей по мере необходимости |
Б |
процесс перенесения риска на другие компании (организации), например, страхование риска |
С |
использование других ресурсов, менее подверженных риску |
Д |
передача результатов анализа риска руководству компании |
|
|
А |
Обмен информацией о риске с правоохранительными органами |
Б |
Получение информации о новых угрозах ИБ от специализирующихся в этой сфере компаниях |
С |
Обмен информацией о риске или совместное использование этой информации между лицом, принимающим решение, и другими причастными сторонами (например, другими отделами компании) |
Д |
Анализ риска ИБ службой информационной безопасности компании |
|
|
А |
документ, в котором приведен полный перечень рисков информационной безопасности |
Б |
нормативный документ системы менеджмента информационной безопасности, в котором дается описание наиболее высоких рисков информационной безопасности |
С |
описание результатов оценки рисков для правоохранительных и контролирующих государственных органов |
Д |
описание методики оценки рисков, используемая в организации |
|
|
А |
содержит полный перечень рисков информационной безопасности компании с возможными причинами их появления |
Б |
идентифицирует соответствующие действия менеджмента, ресурсы, обязанности и приоритеты для управления рисками по обеспечению безопасности информации |
С |
содержит краткий анализ угроз и уязвимостей СМИБ |
Д |
содержит полный перечень механизмов защиты информации из приложения А стандарта ISO27001 |
|
|
А |
Процедура разработана и в бумажном виде хранится в службе информационной безопасности |
Б |
Процедура разработана, документально оформлена, внедрена и поддерживается в рабочем состоянии |
С |
Процедура разработана соответствующими должностными лицами и хранится на рабочем месте |
Д |
Механизм защиты информации внедрен и функционирует |
|
|
А |
намерение инсайдера унести информацию из организации |
Б |
проникновение злоумышленника в информационную систему |
С |
размещение генератора шума в зоне R2 |
Д |
отсутствие политики доступа в информационную систему |
|
|
А |
Действие по периодичному пересмотру политики ИБ и механизмов контроля |
Б |
Действия по анализу новых угроз и уязвимостей в процессе обработки риска ИБ |
С |
Действие для устранения причин несоответствий, чтобы предупредить повторное их возникновение. |
Д |
Действия для устранения причин потенциальных несоответствий. |
|
|
А |
Правоохранительные органы |
Б |
Исполнительные структуры государственной власти |
С |
Специальные компании, специализирующиеся на информационной безопасности, форумы специалистов по защите информации, а также с профессиональные ассоциациями по ИБ |
Д |
Данного пункта нет в стандарте ISO27001 |
|
|
А |
оценка информации по всем кандидатам на вакансии |
Б |
закрытие прав доступа при увольнении сотрудников |
С |
контроль сотрудников службой безопасности в процессе работы компании |
Д |
оценка информации по уволенным сотрудникам на предмет их трудоустройства в конкурирующих компаниях |
|
|
А |
на столах сотрудников не должна оставаться в их отсутствие конфиденциальная информация в бумажном виде и на мобильных устройствах памяти |
Б |
обработка информации должна осуществляться только в категорированных помещениях |
С |
запрещено иметь мобильные устройства памяти в процессе работы с конфиденциальной информацией |
Д |
на экране монитора не должна высвечиваться конфиденциальная информация во время отсутствия пользователя на рабочем месте |
|
|
А |
намерения злоумышленника осуществит атаку на актив организации |
Б |
единичное, нежелательное или неожиданное событие информационной безопасности (или совокупность таких событий), которое может скомпрометировать бизнес-процессы компании или угрожает ее информационной безопасности |
С |
угроза нарушения конфиденциальности, целостности и доступности информации информационного актива компании |
Д |
результаты оценки рисков информационной безопасности |
|
|
А |
Несовершенство системы управления информационной безопасности (политики безопасности, частных политик процессов ОБИ, процедур ОБИ |
Б |
Все ответы правильные |
С |
Изменение структуры организации, бизнес процесса, клиентов |
Д |
Появление новых угроз |
|
|
А |
инцидентом ИБ |
Б |
событием ИБ |
С |
нормальной работой группы обработки инцидентов |
Д |
ничем не является |
|
|
А |
анализа причин инцидентов |
Б |
все ответы правильные |
С |
оценки эффективности работы СМИБ |
Д |
подготовки доказательств для привлечения к ответственности виновных |
|
|
А |
определяются взаимоотношения по вопросам информационной безопасности между отделами компании |
Б |
учитываются требования к нанимаемым на временную работу в компанию сотрудникам по вопросам информационной безопасности |
С |
описываются требования к поставщикам услуг (третьи стороны) по вопросам информационной безопасности |
Д |
учитываются взаимоотношения между руководством компании и сотрудниками по вопросам информационной безопасности |
|
|
А |
являются обязательными |
Б |
не являются обязательными |
С |
выполняются по усмотрению руководства компании |
Д |
все ответы правильные |
|
|
А |
только для государственных компаний и организаций |
Б |
только для компаний и организаций, где циркулирует секретная информация |
С |
для любых компаний и организаций |
Д |
только для IТ - компаний |
Тема |
Менеджмент информационной безопасности - практика |
|
39. Найти параметр ALE (annual loss expectancy), согласно методике анализа рисков компании Microsoft если: ARO = 3, значение класса актива = 10 млн. грн., Размер подвержености влияния = 80% |
А |
4 млн. грн |
Б |
2 млн. грн |
С |
16 млн. грн |
Д |
24 млн. грн |
|
40. Рассчитать относительный коэффициент возврата инвестиций (ROI), если полный риск равен ALEповн = 100000 грн., Окончательный риск равен ALEповн = 20000 грн., Стоимость защитных мероприятий равна 10000 грн. |
А |
13 |
Б |
10 000 |
С |
0,7 |
Д |
70 000 |
|
41. Рассчитать абсолютный коэффициент возврата инвестиций (ROI), если полный риск равен ALEповн = 120000 грн., Окончательный риск равен ALEповн = 30000 грн., Стоимость защитных мероприятий равна 10000 грн. |
А |
80 000 |
Б |
8 |
С |
90 000 |
Д |
110 000 |
|
42. Найти вероятность преодоления злоумышленником системы защиты, если она состоит из трех последовательно установленных уровней защиты. При этом вероятность преодоления злоумышленником первого уровня составляет 0,6, второго уровня – 0,5, третього уровня – 0,3. |
А |
0,09 |
Б |
0,06 |
С |
0,9 |
Д |
0,94 |
|
43. Найти вероятность преодоления злоумышленником системы защиты, если она состоит из трех параллельно установленных уровней защиты. При этом вероятность преодоления злоумышленником первого уровня составляет 0,4, второго уровня – 0,5, третього уровня – 0,6. |
А |
0,12 |
Б |
0,22 |
С |
0,88 |
Д |
0,99 |
|
44. Найти полный риск информационной безопасности по методике компании Digital Security (Модель анализа угроз и уязвимостей) Выходные данные: на информационный актив могут действовать угроза с вероятностью P1 = 0,9. Данная угроза может действовать через два типа уязвимостей, критичность реализации данной угрозы через уязвимости: угроза – уязвимость 1 – ER = 0,4; угроза – уязвимость 2 – ER = 0,8; Убытки для организации при поломке ресурса составляют: D = 100 000 грн. |
А |
72 000 грн |
Б |
82 000 грн. |
С |
90 000 грн |
Д |
10 000 грн |
|
45. Найти остаточный риск информационной безопасности по методике компании Digital Security (Модель анализа угроз и уязвимостей) Выходные данные: на информационный актив могут действовать угроза с вероятностью P1 = 0,7. Данная угроза может действовать через два типа уязвимостей, критичность реализации данной угрозы через уязвимости: угроза – уязвимость 1 – ER = 0,4; угроза – уязвимость 2 – ER = 0,8; Механизм защиты снизил уязвимость 2 до ER = 0,2; Убытки для организации при поломке ресурса составляют: D = 100 000 грн. |
А |
59000 |
Б |
41000 |
С |
68000 |
Д |
38000 |
|
46. Оценить относительную эффективность мероприятия по защите информации при расчете риска информационной безопасности по методике компании Digital Security (Модель анализа угроз и уязвимостей). Выходные данные: полный риск информационной безопасности - 90000 грн, окончательный риск информационной безопасности после реализации мероприятия защиты-20 000 грн. |
А |
0,523 |
Б |
0,77 |
С |
0,892 |
Д |
0,135 |
|
47. Оценить относительный уровень мотивации нарушителя в случае намерения атаковать актив. Выигрыш нарушителя при этом составит 10 000 грн. Затраты нарушителя на атаку составят 2000 грн. |
А |
8 000 |
Б |
0,2 |
С |
0,8 |
Д |
10000 |
|
48. Провести оценку рисков информационной безопасности с использованием качественной модели методики компании Microsoft. Выходные данные: Компания предоставляет медицинские услуги, критическая информация - данные о состоянии здоровья клиентов. Угроза - зловредные программы, которые могут уничтожить эту базу данных. Копирование базы данных не осуществляется. Антивирусное ПО не установлено |
А |
очень высокий |
Б |
высокий |
С |
средний |
Д |
низкий |
|
49. Провести оценку рисков информационной безопасности с использованием количественной модели методики компании Microsoft (шкала 1 - 100). Выходные данные: компания - научно-исследовательская. Актив - ноу-хау, который озвучивается. На качественном этапе установлено, что класс актива - высокое влияние на бизнес. Прослушивание злоумышленниками компании позволяет перехватить информации не в полном объеме, но позволяет восстановить недостающие данные. Вход в компанию контролируемый. Прослушивание возможно с использованием ЛАСР. В организации есть ответственный за ИБ. Аудит не проводится. Средств виброакустической защиты на окне нет. Информирование сотрудников относительно ИБ осуществляется постоянно. Процессы ИБ (допуск в помещения, обработка инцидентов ИБ) осуществляется. |
А |
30 |
Б |
40 |
С |
50 |
Д |
80 |
|
50. Провести оценку рисков информационной безопасности с использованием количественной модели методики компании Microsoft (шкала - деньги). Выходные данные: стоимость потерь компании в случае нарушения целостности актива - 100 000 грн. Угроза может вызвать средние повреждения актива. По оценкам, одна атака возможна раз в 4 года. |
А |
15 000 |
Б |
60 000 |
С |
40 000 |
Д |
12 000 |