Отказ ошибки сбой это природные угрозы - Не ошибается лишь тот, кто ничего не делает!

Тест
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

1. Под информационной безопасностью понимается…

А)
защищенность информации и поддерживающей инфраструктуры от случайных или
преднамеренных воздействий естественного или случайного характера, которые
могут нанести неприемлемый ущерб субъектам информационных отношений в том числе
владельцам и пользователям информации и поддерживающей инфраструктуре.

Б) программный продукт и базы данных должны быть защищены по
нескольким направлениям от воздействия
В) нет правильного ответа

2. Защита информации – это..

А)
комплекс мероприятий, направленных на обеспечение информационной
безопасности.

Б) процесс
разработки структуры базы данных в соответствии с требованиями пользователей
В) небольшая программа для выполнения определенной задачи

От чего зависит информационная безопасность?

А) от
компьютеров
Б) от поддерживающей инфраструктуры
В) от информации

Основные составляющие информационной
безопасности:

А) целостность
Б) достоверность
В) конфиденциальность

Доступность – это…

А)
возможность за приемлемое время получить требуемую информационную услугу.

Б) логическая
независимость
В) нет правильного ответа

Целостность – это..

А) целостность
информации
Б) непротиворечивость информации
В) защищенность от разрушения

Конфиденциальность – это..

А) защита от
несанкционированного доступа к информации

Б) программ и программных комплексов, обеспечивающих
технологию разработки, отладки и внедрения создаваемых программных продуктов
В) описание процедур

Для чего создаются информационные системы?

А) получения
определенных информационных услуг
Б) обработки информации
В) все ответы правильные

Целостность можно подразделить:

А) статическую
Б) динамичную
В) структурную

Где применяются средства контроля
динамической целостности?

А) анализе
потока финансовых сообщений

Б) обработке данных
В) при выявлении кражи, дублирования отдельных сообщений

Какие трудности возникают в информационных
системах при конфиденциальности?

А) сведения о
технических каналах утечки информации являются закрытыми
Б) на пути пользовательской криптографии стоят многочисленные технические
проблемы
В) все ответы правильные

Угроза – это…

А) потенциальная
возможность определенным образом нарушить информационную безопасность

Б) система
программных языковых организационных и технических средств, предназначенных для
накопления и коллективного использования данных
В) процесс определения отвечает на текущее состояние разработки требованиям
данного этапа

Атака
– это…

А) попытка
реализации угрозы
Б) потенциальная возможность определенным образом нарушить информационную
безопасность
В) программы, предназначенные для
поиска необходимых программ.

Источник угрозы – это..

А)
потенциальный злоумышленник
Б) злоумышленник
В) нет правильного ответа

Окно опасности – это…

А)
промежуток времени от момента, когда появится
возможность слабого места и до момента, когда пробел ликвидируется.

Б)
комплекс взаимосвязанных программ для
решения задач определенного класса конкретной предметной области

В)
формализованный язык для описания задач алгоритма решения задачи пользователя
на компьютере

Какие события должны
произойти за время существования окна опасности?

А) должно стать известно о средствах использования пробелов в защите.

Б) должны быть выпущены
соответствующие заплаты.

В) заплаты должны быть установлены в
защищаемой И.С.

17. Угрозы можно классифицировать по нескольким критериям:

А)
по спектру И.Б.
Б) по способу осуществления
В) по компонентам И.С.

По каким компонентам
классифицируется угрозы доступности:

А)
отказ пользователей
Б) отказ поддерживающей инфраструктуры
В) ошибка в программе

Основными источниками
внутренних отказов являются:

А)
отступление от установленных правил эксплуатации
Б) разрушение данных
В) все ответы правильные

Основными источниками
внутренних отказов являются:

А)
ошибки при конфигурировании системы
Б) отказы программного или аппаратного обеспечения
В) выход системы из штатного режима эксплуатации

21. По отношению к поддерживающей инфраструктуре
рекомендуется рассматривать следующие угрозы:

А)
невозможность и нежелание обслуживающего персонала или пользователя
выполнять свои обязанности
Б) обрабатывать большой объем программной информации
В) нет правильного ответа

Какие существуют грани
вредоносного П.О.?

А)
вредоносная функция
Б) внешнее представление
В) способ распространения

По механизму
распространения П.О. различают:

А)
вирусы
Б) черви
В) все ответы правильные

Вирус – это…

А)
код обладающий способностью к распространению путем внедрения в другие
программы
Б) способность объекта реагировать на запрос сообразно
своему типу, при этом одно и то же имя метода может использоваться для
различных классов объектов
В) небольшая программа для выполнения определенной задачи

Черви – это…

А)
код способный самостоятельно, то есть без внедрения в другие программы
вызывать распространения своих копий по И.С. и их выполнения
Б) код обладающий способностью к распространению путем внедрения в другие
программы
В) программа действий над объектом или его свойствами

Конфиденциальную
информацию можно разделить:

А)
предметную
Б) служебную
В) глобальную

Природа происхождения
угроз:

А)
случайные
Б) преднамеренные
В) природные

Предпосылки появления
угроз:

А)
объективные
Б) субъективные
В) преднамеренные

К какому виду угроз
относится присвоение чужого права?

А)
нарушение права собственности
Б) нарушение содержания
В) внешняя среда

Отказ, ошибки, сбой –
это:

А)
случайные угрозы
Б) преднамеренные угрозы
В) природные угрозы

Отказ — это…

А)
нарушение работоспособности элемента системы, что приводит к невозможности
выполнения им своих функций
Б) некоторая последовательность действий, необходимых
для выполнения конкретного задания
В) структура, определяющая последовательность выполнения
и взаимосвязи процессов

Ошибка – это…

А)
неправильное выполнение элементом одной или нескольких функций происходящее
в следствии специфического состояния
Б) нарушение работоспособности элемента системы, что приводит к невозможности
выполнения им своих функций
В) негативное воздействие на программу

Сбой – это…

А)
такое нарушение работоспособности какого-либо элемента системы в следствии
чего функции выполняются неправильно в заданный момент

Б)
неправильное выполнение элементом одной или нескольких функций происходящее в
следствие специфического состояния
В) объект-метод

Побочное влияние – это…

А)
негативное воздействие на систему в целом или отдельные элементы
Б) нарушение работоспособности какого-либо элемента системы в следствии чего
функции выполняются неправильно в заданный момент
В) нарушение работоспособности элемента системы, что приводит к невозможности
выполнения им своих функций

СЗИ (система защиты
информации) делится:

А)
ресурсы автоматизированных систем
Б) организационно-правовое обеспечение
В) человеческий компонент

Что относится к
человеческому компоненту СЗИ?

А)
системные порты
Б) администрация
В) программное обеспечение

Что относится к ресурсам
А.С. СЗИ?

А)
лингвистическое обеспечение
Б) техническое обеспечение
В) все ответы правильные

По уровню обеспеченной
защиты все системы делят:

А)
сильной защиты
Б) особой защиты
В) слабой защиты

По активности
реагирования СЗИ системы делят:

А)
пассивные
Б) активные
В) полупассивные

Правовое обеспечение
безопасности информации – это…

А)
совокупность законодательных актов, нормативно-правовых документов,
руководств, требований, которые обязательны в системе защиты информации
Б) система программных языковых организационных и
технических средств, предназначенных для накопления и коллективного
использования данных
В) нет правильного ответа

Правовое обеспечение
безопасности информации делится:

А)
международно-правовые нормы
Б) национально-правовые нормы
В) все ответы правильные

Информацию с
ограниченным доступом делят:

А)
государственную тайну
Б) конфиденциальную информацию
В) достоверную информацию

Что относится к
государственной тайне?

А)
сведения, защищаемые государством в области военной, экономической …
деятельности
Б) документированная информация
В) нет правильного ответа

Вредоносная программа —
это…

А)
программа, специально разработанная для нарушения нормального
функционирования систем
Б) упорядочение абстракций, расположение их по уровням
В) процесс разделения элементов абстракции, которые
образуют ее структуру и поведение

Основополагающие
документы для обеспечения безопасности внутри организации:

А)
трудовой договор сотрудников
Б) должностные обязанности руководителей
В) коллективный договор

К организационно —
административному обеспечению информации относится:

А)
взаимоотношения исполнителей
Б) подбор персонала
В) регламентация производственной деятельности

Что относится к
организационным мероприятиям:

А)
хранение документов
Б) проведение тестирования средств защиты информации
В) пропускной режим

Какие средства
используется на инженерных и технических мероприятиях в защите информации:

А)
аппаратные
Б) криптографические
В) физические

Программные средства –
это…

А)
специальные программы и системы защиты информации в информационных системах
различного назначения

Б)
структура, определяющая последовательность выполнения и
взаимосвязи процессов, действий и задач на протяжении всего жизненного цикла
В) модель знаний в форме графа в основе таких моделей лежит
идея о том, что любое выражение из значений можно представить в виде
совокупности объектов и связи между ними

50. Криптографические
средства – это…

А)
средства специальные математические и алгоритмические средства защиты
информации, передаваемые по сетям связи, хранимой и обрабатываемой на
компьютерах с использованием методов шифрования
Б) специальные программы и системы защиты информации в информационных системах
различного назначения

В)
механизм, позволяющий получить новый класс на основе
существующего

Источник

Обучайтесь и развивайтесь всесторонне вместе с нами, делитесь знаниями и накопленным опытом, расширяйте границы знаний и ваших умений.

поделиться знаниями или
запомнить страничку

Все категории
экономические
43,667
гуманитарные
33,655
юридические
17,917
школьный раздел
612,016
разное
16,908

Популярное на сайте:

Как быстро выучить стихотворение наизусть? Запоминание стихов является стандартным заданием во многих школах.

Как научится читать по диагонали? Скорость чтения зависит от скорости восприятия каждого отдельного слова в тексте.

Как быстро и эффективно исправить почерк? Люди часто предполагают, что каллиграфия и почерк являются синонимами, но это не так.

Как научится говорить грамотно и правильно? Общение на хорошем, уверенном и естественном русском языке является достижимой целью.

Источник

1. Наиболее распространенные средства воздействия на сеть офиса:
а) Слабый трафик, информационный обман, вирусы в интернет
б) Вирусы в сети, логические мины (закладки), информационный перехват+
в) Компьютерные сбои, изменение администрирования, топологии

2. Название информации, которую следует защищать (по нормативам, правилам сети, системы):
а) Регламентированной
б) Правовой
в) Защищаемой+

3. Что такое политика безопасности в системе (сети)? Это комплекс:
а) Руководств, требований обеспечения необходимого уровня безопасности+
б) Инструкций, алгоритмов поведения пользователя в сети
в) Нормы информационного права, соблюдаемые в сети

4. Наиболее важным при реализации защитных мер политики безопасности является следующее:
а) Аудит, анализ затрат на проведение защитных мер
б) Аудит, анализ безопасности
в) Аудит, анализ уязвимостей, риск-ситуаций+

5. Что такое источник угрозы?
а) потенциальный злоумышленник+
б) злоумышленник
в) нет правильного ответа

6. Что такое окно опасности?
а) промежуток времени от момента, когда появится возможность слабого места и до момента, когда пробел ликвидируется.+
б) комплекс взаимосвязанных программ для решения задач определенного класса конкретной предметной области
в) формализованный язык для описания задач алгоритма решения задачи пользователя на компьютере

7. Информационная безопасность:
а) защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или случайного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений в том числе владельцам и пользователям информации и поддерживающей инфраструктуре +
б) программный продукт и базы данных должны быть защищены по нескольким направлениям от воздействия
в) нет верного ответа

8. Защита информации:
а) небольшая программа для выполнения определенной задачи
б) комплекс мероприятий, направленных на обеспечение информационной безопасности +
в) процесс разработки структуры базы данных в соответствии с требованиями пользователей

9. Информационная безопасность зависит от следующих факторов:
а) компьютеров, поддерживающей инфраструктуры +
б) пользователей
в) информации

10. Основные источники внутренних отказов:
а) отступление от установленных правил эксплуатации
б) разрушение данных
в) все ответы правильные+

11. По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:
а) невозможность и нежелание обслуживающего персонала или пользователя выполнять свои обязанности+
б) обрабатывать большой объем программной информации
в) нет правильного ответа

12. Утечка информации в системе — ситуация, характеризуемая:
а) Потерей данных в системе+
б) Изменением формы информации
в) Изменением содержания информации

13. Свойством информации, наиболее актуальным при обеспечении информационной безопасности является:
а) Целостность+
б) Доступность
в) Актуальность

14. Определите, когда целесообразно не предпринимать никаких действий в отношении выявленных рисков:
а) когда риски не могут быть приняты во внимание по политическим соображениям
б) для обеспечения хорошей безопасности нужно учитывать и снижать все риски
в) когда стоимость контрмер превышает ценность актива и потенциальные потери +

15. Что такое политика безопасности?
а) детализированные документы по обработке инцидентов безопасности
б) широкие, высокоуровневые заявления руководства +
в) общие руководящие требования по достижению определенного уровня безопасности

16. Выберите, какая из приведенных техник является самой важной при выборе конкретных защитных мер:
а) анализ рисков
б) результаты ALE
в) анализ затрат / выгоды +

17. Угроза информационной системе (компьютерной сети):
а) Вероятное событие+
б) Детерминированное (всегда определенное) событие
в) Событие, происходящее периодически

18. Разновидностями угроз безопасности (сети, системы) являются:
а) Программные, технические, организационные, технологические+
б) Серверные, клиентские, спутниковые, наземные
в) Личные, корпоративные, социальные, национальные

19. Окончательно, ответственность за защищенность данных в компьютерной сети несет:
а) Владелец сети+
б) Администратор сети
в) Пользователь сети

20. По механизму распространения П.О. различают:
а) вирусы
б) черви
в) все ответы правильные+

21. Что такое отказ, ошибки, сбой?
а) случайные угрозы+
б) преднамеренные угрозы
в) природные угрозы

22. Определите, что такое отказ:
а) нарушение работоспособности элемента системы, что приводит к невозможности выполнения им своих функций+
б) некоторая последовательность действий, необходимых для выполнения конкретного задания
в) структура, определяющая последовательность выполнения и взаимосвязи процессов

23. Определите, что такое ошибка:
а) неправильное выполнение элементом одной или нескольких функций происходящее в следствии специфического состояния+
б) нарушение работоспособности элемента системы, что приводит к невозможности выполнения им своих функций
в) негативное воздействие на программу

24. Конфиденциальность это:
а) защита программ и программных комплексов, обеспечивающих технологию разработки, отладки и внедрения создаваемых программных продуктов
б) описание процедур
в) защита от несанкционированного доступа к информации +

25. Определите, для чего создаются информационные системы:
а) получения определенных информационных услуг +
б) обработки информации
в) оба варианта верны

26. Процедура это:
а) пошаговая инструкция по выполнению задачи +
б) обязательные действия
в) руководство по действиям в ситуациях, связанных с безопасностью, но не описанных в стандартах

27. Определите, какой фактор наиболее важен для того, чтобы быть уверенным в успешном обеспечении безопасности в компании:
а) проведение тренингов по безопасности для всех сотрудников
б) поддержка высшего руководства +
в) эффективные защитные меры и методы их внедрения

28. Что такое сбой?
а) такое нарушение работоспособности какого-либо элемента системы в следствии чего функции выполняются неправильно в заданный момент+
б) неправильное выполнение элементом одной или нескольких функций происходящее в следствие специфического состояния
в) объект-метод

29. Что такое побочное влияние?
а) негативное воздействие на систему в целом или отдельные элементы+
б) нарушение работоспособности какого-либо элемента системы в следствии чего функции выполняются неправильно в заданный момент
в) нарушение работоспособности элемента системы, что приводит к невозможности выполнения им своих функций

30. Относится к человеческому компоненту СЗИ:
а) системные порты+
б) администрация+
в) программное обеспечение

Источник

А) предметную

Б) служебную

В) глобальную

Природа происхождения угроз:

А) случайные

Б) преднамеренные

В) природные

Предпосылки появления угроз:

А) объективные

Б) субъективные

В) преднамеренные

К какому виду угроз относится присвоение чужого права?

А) нарушение права собственности

Б) нарушение содержания

В) внешняя среда

Отказ, ошибки, сбой – это:

А) случайные угрозы

Б) преднамеренные угрозы

В) природные угрозы

Отказ — это…

А) нарушение работоспособности элемента системы, что приводит к невозможности выполнения им своих функций

Б) некоторая последовательность действий, необходимых для выполнения конкретного задания

В) структура, определяющая последовательность выполнения и взаимосвязи процессов

Ошибка – это…

А) неправильное выполнение элементом одной или нескольких функций происходящее в следствии специфического состояния

Б) нарушение работоспособности элемента системы, что приводит к невозможности выполнения им своих функций

В) негативное воздействие на программу

Сбой – это…

А) такое нарушение работоспособности какого-либо элемента системы в следствии чего функции выполняются неправильно в заданный момент

Б) неправильное выполнение элементом одной или нескольких функций происходящее в следствие специфического состояния

В) объект-метод

Побочное влияние – это…

Достарыңызбен бөлісу:

Источник

Тесты по теме — Информационная безопасность (защита информации) с ответами

Правильный вариант ответа отмечен знаком +

1) К правовым методам, обеспечивающим информационную безопасность, относятся:

— Разработка аппаратных средств обеспечения правовых данных

— Разработка и установка во всех компьютерных правовых сетях журналов учета действий

+ Разработка и конкретизация правовых нормативных актов обеспечения безопасности

2) Основными источниками угроз информационной безопасности являются все указанное в списке:

— Хищение жестких дисков, подключение к сети, инсайдерство

+ Перехват данных, хищение данных, изменение архитектуры системы

— Хищение данных, подкуп системных администраторов, нарушение регламента работы

3) Виды информационной безопасности:

+ Персональная, корпоративная, государственная

— Клиентская, серверная, сетевая

— Локальная, глобальная, смешанная

4) Цели информационной безопасности – своевременное обнаружение, предупреждение:

+ несанкционированного доступа, воздействия в сети

— инсайдерства в организации

— чрезвычайных ситуаций

5) Основные объекты информационной безопасности:

+ Компьютерные сети, базы данных

— Информационные системы, психологическое состояние пользователей

— Бизнес-ориентированные, коммерческие системы

6) Основными рисками информационной безопасности являются:

— Искажение, уменьшение объема, перекодировка информации

— Техническое вмешательство, выведение из строя оборудования сети

+ Потеря, искажение, утечка информации

7) К основным принципам обеспечения информационной безопасности относится:

+ Экономической эффективности системы безопасности

— Многоплатформенной реализации системы

— Усиления защищенности всех звеньев системы

Основными субъектами информационной безопасности являются:

— руководители, менеджеры, администраторы компаний

+ органы права, государства, бизнеса

— сетевые базы данных, фаерволлы

9) К основным функциям системы безопасности можно отнести все перечисленное:

+ Установление регламента, аудит системы, выявление рисков

— Установка новых офисных приложений, смена хостинг-компании

— Внедрение аутентификации, проверки контактных данных пользователей

тест 10) Принципом информационной безопасности является принцип недопущения:

+ Неоправданных ограничений при работе в сети (системе)

— Рисков безопасности сети, системы

— Презумпции секретности

11) Принципом политики информационной безопасности является принцип:

+ Невозможности миновать защитные средства сети (системы)

— Усиления основного звена сети, системы

— Полного блокирования доступа при риск-ситуациях

12) Принципом политики информационной безопасности является принцип:

+ Усиления защищенности самого незащищенного звена сети (системы)

— Перехода в безопасное состояние работы сети, системы

— Полного доступа пользователей ко всем ресурсам сети, системы

13) Принципом политики информационной безопасности является принцип:

+ Разделения доступа (обязанностей, привилегий) клиентам сети (системы)

— Одноуровневой защиты сети, системы

— Совместимых, однотипных программно-технических средств сети, системы

14) К основным типам средств воздействия на компьютерную сеть относится:

— Компьютерный сбой

+ Логические закладки («мины»)

— Аварийное отключение питания

15) Когда получен спам по e-mail с приложенным файлом, следует:

— Прочитать приложение, если оно не содержит ничего ценного – удалить

— Сохранить приложение в парке «Спам», выяснить затем IP-адрес генератора спама

+ Удалить письмо с приложением, не раскрывая (не читая) его

16) Принцип Кирхгофа:

— Секретность ключа определена секретностью открытого сообщения

— Секретность информации определена скоростью передачи данных

+ Секретность закрытого сообщения определяется секретностью ключа

17) ЭЦП – это:

— Электронно-цифровой преобразователь

+ Электронно-цифровая подпись

— Электронно-цифровой процессор

18) Наиболее распространены угрозы информационной безопасности корпоративной системы:

— Покупка нелицензионного ПО

+ Ошибки эксплуатации и неумышленного изменения режима работы системы

— Сознательного внедрения сетевых вирусов

19) Наиболее распространены угрозы информационной безопасности сети:

— Распределенный доступ клиент, отказ оборудования

— Моральный износ сети, инсайдерство

+ Сбой (отказ) оборудования, нелегальное копирование данных

тест_20) Наиболее распространены средства воздействия на сеть офиса:

— Слабый трафик, информационный обман, вирусы в интернет

+ Вирусы в сети, логические мины (закладки), информационный перехват

— Компьютерные сбои, изменение админстрирования, топологии

21) Утечкой информации в системе называется ситуация, характеризуемая:

+ Потерей данных в системе

— Изменением формы информации

— Изменением содержания информации

22) Свойствами информации, наиболее актуальными при обеспечении информационной безопасности являются:

+ Целостность

— Доступность

— Актуальностьl

23) Угроза информационной системе (компьютерной сети) – это:

+ Вероятное событие

— Детерминированное (всегда определенное) событие

— Событие, происходящее периодически

24) Информация, которую следует защищать (по нормативам, правилам сети, системы) называется:

— Регламентированной

— Правовой

+ Защищаемой

25) Разновидностями угроз безопасности (сети, системы) являются все перчисленное в списке:

+ Программные, технические, организационные, технологические

— Серверные, клиентские, спутниковые, наземные

— Личные, корпоративные, социальные, национальные

26) Окончательно, ответственность за защищенность данных в компьютерной сети несет:

+ Владелец сети

— Администратор сети

— Пользователь сети

27) Политика безопасности в системе (сети) – это комплекс:

+ Руководств, требований обеспечения необходимого уровня безопасности

— Инструкций, алгоритмов поведения пользователя в сети

— Нормы информационного права, соблюдаемые в сети

28) Наиболее важным при реализации защитных мер политики безопасности является:

— Аудит, анализ затрат на проведение защитных мер

— Аудит, анализ безопасности

+ Аудит, анализ уязвимостей, риск-ситуаций

Страница 1 из 6

1. Кто является основным ответственным за определение уровня классификации информации?

A. Руководитель среднего звена
B. Высшее руководство
C. Владелец

D. Пользователь

2. Какая категория является наиболее рискованной для компании с точки зрения вероятного мошенничества и нарушения безопасности?

A. Сотрудники

B. Хакеры
C. Атакующие
D. Контрагенты (лица, работающие по договору)

3. Если различным группам пользователей с различным уровнем доступа требуется доступ к одной и той же информации, какое из указанных ниже действий следует предпринять руководству?

A. Снизить уровень безопасности этой информации для обеспечения ее доступности и удобства использования
B. Требовать подписания специального разрешения каждый раз, когда человеку требуется доступ к этой информации
C. Улучшить контроль за безопасностью этой информации

D. Снизить уровень классификации этой информации

4. Что самое главное должно продумать руководство при классификации данных?

A. Типы сотрудников, контрагентов и клиентов, которые будут иметь доступ к данным
B. Необходимый уровень доступности, целостности и конфиденциальности

C. Оценить уровень риска и отменить контрмеры
D. Управление доступом, которое должно защищать данные

5. Кто в конечном счете несет ответственность за гарантии того, что данные классифицированы и защищены?

A. Владельцы данных
B. Пользователи
C. Администраторы
D. Руководство

6. Что такое процедура?

A. Правила использования программного и аппаратного обеспечения в компании
B. Пошаговая инструкция по выполнению задачи

C. Руководство по действиям в ситуациях, связанных с безопасностью, но не описанных в стандартах
D. Обязательные действия

7. Какой фактор наиболее важен для того, чтобы быть уверенным в успешном обеспечении безопасности в компании?

A. Поддержка высшего руководства

B. Эффективные защитные меры и методы их внедрения
C. Актуальные и адекватные политики и процедуры безопасности
D. Проведение тренингов по безопасности для всех сотрудников

8. Когда целесообразно не предпринимать никаких действий в отношении выявленных рисков?

A. Никогда. Для обеспечения хорошей безопасности нужно учитывать и снижать все риски
B. Когда риски не могут быть приняты во внимание по политическим соображениям
C. Когда необходимые защитные меры слишком сложны
D. Когда стоимость контрмер превышает ценность актива и потенциальные потери

9. Что такое политики безопасности?

A. Пошаговые инструкции по выполнению задач безопасности
B. Общие руководящие требования по достижению определенного уровня безопасности
C. Широкие, высокоуровневые заявления руководства

D. Детализированные документы по обработке инцидентов безопасности

10. Какая из приведенных техник является самой важной при выборе конкретных защитных мер?

A. Анализ рисков
B. Анализ затрат / выгоды

C. Результаты ALE
D. Выявление уязвимостей и угроз, являющихся причиной риска

Данное Положение об обучении персонала вопросам информационной безопасности (далее «Положение») определяет цели, задачи обучения, основные виды обучения, порядок взаимодействия структурных подразделений Банка, полномочия и обязанности сотрудников при организации обучения вопросам информационной безопасности.

Настоящее Положение разработано с целью систематизации действий и процедур, направленных на обучение персонала вопросам информационной безопасности, для обеспечения надежной работы сотрудников в информационной банковской системе.

2.1. Цель обучения персонала – формирование и поддержание необходимого уровня квалификации персонала, с учетом требований Банка в сфере информационной безопасности и обеспечения высокого уровня безопасности в информационной банковской системе.

2.2. Задачи политики Банка в области обучения вопросам информационной безопасности:

выработка и соблюдение правил по защите информации;
разработка и внедрение системы обучения, включающей выявление потребности в обучении, планирование и бюджетирование, организацию обучения и контроль его результативности;
построение обучения в соответствии со спецификой бизнес-процессов Банка;
формирование стандартов обучения;
включение передового опыта, знаний, эффективных методов организации труда в процессе обучения персонала информационной безопасности;
мотивация сотрудников к повышению безопасности и обеспечению надежности работы;
регулярная проверка знаний в сфере информационной безопасности и их применение на практике.

3.1. По формам планирования, организации обучение и проверки знаний подразделяется на плановые и внеплановые:

Плановые – проводятся по программам обучения:
- Вводный инструктаж – проводится при поступлении руководителя или сотрудника в Банк;
- Первичный инструктаж на рабочем месте – проводится при выполнении работ, к которым предъявляются дополнительные (повышенные) требования по информационной безопасности;
- Первичная проверка знаний – проводится не позднее трех месяцев после назначения на должность;
- Повторное обучение – проводится для руководителей подразделений и сотрудников, выполняющие работы, к которым предъявляются дополнительные (повышенные) требования по информационной безопасности, проводится один раз в три года.
Внеплановые – проводятся по производственной необходимости, а также по заявкам руководителей структурных подразделений Банка.
- Внеочередное обучение – проводится при изменении требований по информационной безопасности, изменениях в технологических банковских процессов или при нарушениях информационной безопасности;
- Внеплановая проверка знаний – проводится при изменении требований по информационной безопасности, изменениях в технологических банковских процессов или при нарушениях информационной безопасности, проводится не реже одного раза в три года;
- Целевое обучение – проводится при выполнении разовых работ, не связанных с прямыми обязанностями сотрудников;
- Специальное обучение — проводится при выполнении работ, к которым предъявляются дополнительные (повышенные) требования по информационной безопасности.

3.2. По формам проведения обучение и проверки знаний подразделяется на индивидуальные и корпоративные (групповые), внутренние и внешние:

Индивидуальное обучение – проводиться с руководителем или сотрудником персонально;
Корпоративное (групповое) – организация групп или обучение одновременно нескольких сотрудников одного подразделения;
Внутреннее – проводится за счет внутренних ресурсов Банка;
Внешнее – проводится с привлечением внешних обучающих организаций.

4.1. Обучению и проверке знаний в порядке, установленном настоящим Положением, подлежат:

руководители и сотрудники подразделений главного отделения и дополнительных офисов непосредственно на рабочих местах, в помещении Отела по подбору кадров, Управления экономической защиты, Управления информационных технологий, или Отдела информационной безопасности;
практиканты, временные сотрудники или сотрудники привлекаемые для работы в Банке по договорам;
сотрудники, выполняющие работы, к которым предъявляются дополнительные (повышенные) требования по информационной безопасности.

4.2. Ответственность за организацию своевременного и качественного обучения и проверки знаний по информационной безопасности в целом по Банку возлагается на Председателя Правления, в структурных подразделениях – на руководителя подразделения.

Своевременность обучения по информационной безопасности сотрудников Банка контролирует Отдел информационной безопасности.

Обучение и инструктаж по информационной безопасности проводится в рабочее время.

4.3. Руководители и специалисты, вновь поступившие в Банк, должны пройти Первичный инструктаж, который проводит сотрудник Отдела информационной безопасности.

4.4. Вновь поступивший на работу руководитель и специалист, кроме вводного инструктажа, должен быть ознакомлен сотрудником Отдела информационной безопасности:

с «Правилами надежной работы в информационной банковской системе»;
со своими должностными обязанностями по обеспечению информационной безопасности в Банке и в структурном подразделении;
с законодательными и иными нормативными правовыми актами по информационной безопасности.

4.5. Проверка знаний по информационной безопасности поступивших на работу руководителей и специалистов проводится не позднее трех месяцев после назначения на должность, но не реже одного раза в три года.

4.6. Руководители подразделений и сотрудники, выполняющие работы, к которым предъявляются дополнительные (повышенные) требования по информационной безопасности, один раз в три года проходят обучение и проверку по информационной безопасности постоянно комиссии из сотрудников Управления экономической защиты, Управления информационных технологий, и Отдела информационной безопасности.

4.6. Внеочередное обучение и проверка знаний по информационной безопасности руководителей и сотрудников Банка проводится независимо от срока проведения предыдущего обучения и проверки:

при введении в действие новых или переработанных (дополненных) нормативных документов по информационной безопасности;
при изменениях технологических процессов и замене оборудования, требующих дополнительных знаний по информационной безопасности обслуживающего персонала;
при назначении или переводе на другую работу, если новые обязанности требуют от руководителей и сотрудников дополнительных знаний по информационной безопасности (до начала исполнения своих обязанностей);
по требованию руководителей подразделений при установлении недостаточных знаний;
после инцидентов и повышения вероятности осуществления угроз информационной безопасности, а также при нарушении руководителями и сотрудниками требований нормативных документов по информационной безопасности;
при перерыве в работе в данной должности более одного года.

4.7. Непосредственно перед очередной (внеочередной) проверкой знаний по информационной безопасности руководителей и сотрудников может проводиться специальная подготовка с целью углубления знаний по наиболее важным вопросам информационной безопасности, семинары, консультации. О дате и месте проведения проверки знаний сотрудник должен быть предупрежден не позднее чем за 15 дней.

4.8. Для проведения проверки знаний по информационной безопасности приказом по Банку создаются комиссии по проверке знаний.

4.9. В состав комиссий по проверке знаний по информационной безопасности руководителей и сотрудников назначаются приказом по предприятию:

председателем – сотрудник Отдела информационной безопасности;
членами комиссии: руководители и сотрудники Управления экономической защиты и Управления информационных технологий, а в случаях проверки знаний совместно с привлекаемыми внешними организациями — представители этих организаций (по согласованию с ними).

Проверку знаний по информационной безопасности комиссия может проводить в составе не менее трех человек.

Конкретный состав, порядок и форму работы комиссий по проверке знаний определяет Председатель Правления.

4.10. Обучение и проверка знаний фиксируются в Журнале проведения обучения и проверки знаний по вопросам информационной безопасности.

4.11. Внешнее обучение по вопросам информационной безопасности руководителей и сотрудников проводится по программам, разработанным и утвержденным учебными центрами, организациями, институтами, имеющими разрешение на проведение обучения в данной области.

4.12. Контроль за своевременным проведением проверки знаний по информационной безопасности руководителей и сотрудников Банка осуществляется Председателем Правления Банка.

5.1. Для выполнения работ, к которым предъявляются дополнительные (повышенные) требования по информационной безопасности, сотрудники проходят дополнительное специальное обучение по информационной безопасности.

5.2. Перечень операций и специальностей, по которым проводят специальное обучение, а также порядок, форму, периодичность и продолжительность обучения устанавливает Председатель Правления Банка, исходя из характера специальности, вида операций, специфики и условий труда.

5.3. Обучение проводится по программам, разработанным с учетом нормативных документов и утвержденным Председателем Правления Банка по согласованию с начальниками Управления экономической защиты, Управления информационных технологий и Отдела информационной безопасности.

5.4. После обучения экзаменационная комиссия проводит проверку теоретических знаний и практических навыков. Результаты проверки знаний регистрируются в Журнале проведения обучения и проверки знаний по вопросам информационной безопасности.

Сотруднику, успешно прошедшему проверку знаний, предоставляется право самостоятельной работы.

Перечень специальностей, работа по которым требует прохождения проверки знаний, и состав экзаменационной комиссии утверждает Председатель Правления Банка.

Проведение проверки знаний сотрудников по информационной безопасности регистрируется в Журнале проведения обучения и проверки знаний по вопросам информационной безопасности.

5.5. При получении сотрудником неудовлетворительной оценки повторную проверку знаний назначают не позднее одного месяца. До повторной проверки сотрудник к самостоятельной работе не допускается.

5.7. Перед очередной проверкой знаний в подразделениях организуются занятия, лекции, семинары, консультации по вопросам информационной безопасности.

5.8. Все сотрудники, имеющие перерыв в работе по данному виду работ, должности, профессии более трех лет, а при работе с повышенными требованиями — более одного года, должны пройти обучение по информационной безопасности до начала самостоятельной работы.

6.1. Вводный инструктаж

6.1.1. Вводный инструктаж по информационной безопасности проводят со всеми вновь принимаемыми на работу независимо от их образования, стажа работы по данной специальности или должности, с временными работниками, командированными и представителями сторонних организаций, прибывших на территорию Банка для проведения работ (по согласованию с руководством этих организаций).

6.1.2. Вводный инструктаж в Банке проводит сотрудник Отдела информационной безопасности, Управления экономической защиты, Управления информационных технологий или лицо, на которое приказом по Банку возложены эти обязанности.

6.1.3. Вводный инструктаж проводят в кабинете Отдела информационной безопасности, Управления экономической защиты, Управления информационных технологий или Отдела по работе с персоналом.

6.1.4. Вводный инструктаж проводят по программе, разработанной Отделом информационной безопасности с учетом требований стандартов, правил, норм и инструкций по информационной безопасности, а также всех особенностей Банковских технологических процессов.

6.2. Первичный инструктаж на рабочем месте

6.2.1. Первичный инструктаж на рабочем месте до начала выполнения своих обязанностей проводят при выполнении работ, к которым предъявляются дополнительные (повышенные) требования по информационной безопасности.

6.2.2. Первичный инструктаж на рабочем месте проводят по программе, разработанной Отделом информационной безопасности с учетом требований стандартов, правил, норм и инструкций по информационной безопасности.

6.2.3. Первичный инструктаж на рабочем месте проводят с каждым сотрудником или руководителем индивидуально с практическим показом безопасных приемов и методов выполнения своих обязанностей.

Первичный инструктаж возможен с группой лиц, выполняющих однотипные операции и в пределах общего рабочего места.

Проведение первичного инструктажа возлагается на сотрудника Отдела информационной безопасности, Управления экономической защиты, Управления информационных технологий или лицо, на которое приказом по Банку возложены эти обязанности.

Результаты первичного инструктажа заносят в Журнале проведения обучения и проверки знаний по вопросам информационной безопасности.

6.2.4. Сотрудники допускаются к самостоятельной работе после стажировки, проверки теоретических знаний и приобретенных навыков безопасных методов и способов работы.

6.3. Повторный инструктаж

6.3.1. Повторный инструктаж проходят все сотрудники или руководители подразделений, независимо от квалификации, образования, стажа, характера выполняемой работы, не реже одного раза в три года.

6.3.2. Повторный инструктаж проводят индивидуально или с группой работников, выполняющих однотипные операции и в пределах общего рабочего места.

6.4. Внеочередной инструктаж

6.4.1. Внеочередной инструктаж проводят:

при введении в действие новых или переработанных стандартов, правил, инструкций по информационной безопасности, а также изменений к ним;
при изменении технологического процесса, замене или модернизации оборудования, программного обеспечения и других факторов, влияющих на информационную безопасность;
при нарушении сотрудниками или руководителями требований информационной безопасности, которые могут привести или привели к инциденту;
по требованию органов надзора;
при перерывах в работе — для работ, к которым предъявляют дополнительные (повышенные) требования информационной безопасности более чем на 6 месяцев.

6.4.2. Внеочередной инструктаж проводят индивидуально или с группой работников одной специальности. Объем и содержание инструктажа определяют в каждом конкретном случае в зависимости от причин и обстоятельств, вызвавших необходимость его проведения.

6.4.3. Внеочередной инструктаж отмечается в Журнале проведения обучения и проверки знаний по вопросам информационной безопасности с указанием причин его проведения.

6.5. Целевой инструктаж

6.5.1. Целевой инструктаж проводится при выполнении разовых работ, не связанных с прямыми обязанностями по ликвидации последствий инцидентов.

6.5.2. Целевой инструктаж проводится руководителями подразделений.

6.6. Первичный инструктаж на рабочем месте, повторный, внеочередной и целевой проводят непосредственно руководители работ.

6.7. Инструктажи на рабочем месте завершаются проверкой знаний устным опросом, а также проверкой приобретенных навыков безопасных способов работы. Знания проверяет сотрудник, проводивший инструктаж.

6.8. Лица, показавшие неудовлетворительные знания, к самостоятельной работе не допускаются и обязаны вновь пройти инструктаж.

6.9. О проведении первичного инструктажа на рабочем месте, повторного, внеочередного и при допуске к работе сотрудник, проводивший инструктаж, делает запись в Журнале проведения обучения и проверки знаний по вопросам информационной безопасности с обязательной подписью инструктируемого и инструктирующего. При регистрации внеочередного и целевого инструктажа указывается причина его проведения.

Тест по анализу рисков информационных
систем

1. В каких единицах
измеряется риск?

в стоимостном
выражении

во временном выражении

в процентах

в уровнях

2.
Анализ информационных рисков
предназначен для :оценки
существующего уровня защищенности
информационной системы и формирования
оптимального бюджета на информационную
безопасность

оценки технического
уровня защищенности информационной
системы

получения стоимостной
оценки вероятного финансового ущерба
от реализации угроз, направленных
на информационную систему компании
и для оценки возможности реализации
угроз

убеждения руководства
компании в необходимости вложений
в систему обеспечения информационной
безопасности и для инструментальной
проверки защищенности информационной
системы

3.
Политика информационной безопасности,
прежде всего необходима для:
успешного
прохождения компанией регулярного
аудита по ИБ

обеспечения реального
уровня защищенности информационной
системы компании

понимания
персоналом важности требований по
ИБ

обеспечения адекватной защиты
наиболее важных ресурсов компании

4.
Политика информационной безопасности
в общем случае является
руководящим
документом для администраторов
безопасности и системных
администраторов

руководящим
документом для ограниченного
использования

руководящим
документом для руководства компании,
менеджеров, администраторов
безопасности и системных администраторов

руководящим документом для всех
сотрудников компании

5.
Предположим, информационная система
компании надежно защищена комплексом
средств информационной защиты
(межсетевые экраны, антивирусы,
системы защиты от НСД, системы
обнаружения атак и т.д.). Выберите,
как на существующий уровень рисков
влияет реализация требований политики
безопасности:

информационная
система сама по себе надежно защищена
комплексом средств защиты, поэтому
реализация требований политики
безопасности не оказывает существенного
влияния на уровень рисков

политика
безопасности, как документ для
непосредственного использования,
отсутствует, что не оказывает
существенного влияния на уровень
рисков из-за высокого <технологического>
уровня защищенности информационной
системы

политика безопасности
является формальным, не используемым
на практике документом, и это не
оказывает серьезного влияния на
существующий уровень рисков

реализация требований политики
безопасности существенно влияет на
уровень рисков, так как <технологический>
фактор защищенности информационной
системы является лишь необходимым,
но не достаточным условием обеспечения
безопасности

6.
Выберите, невыполнение какого из
следующих требований политики
безопасности, на Ваш взгляд, может
наибольшим образом повысить
существующие в системе информационные
риски:

регулярное
обновление антивирусных баз

создание
и поддержание форума по информационной
безопасности для всех специалистов,
вовлеченных в процесс обеспечения
ИБ

классификация ресурсов по
степени важности с точки зрения ИБ

завершение активной сессии
пользователя по окончании работы

7.
Международный стандарт управления
информационной безопасностью ISO
17799 предъявляет :

требования,
предъявляемые только для узкого
круга крупнейших мировых компаний

базовые требования по обеспечению
ИБ

повышенные требования по
обеспечению безопасности информационной
системы

требования, которые не
соответствуют законам стран СНГ в
области информационной безопасности

8.
Одной из рекомендаций ISO 17799 является
:

четкая
регламентация настроек межсетевых
экранов

применение антивирусных
продуктов ведущих производителей

проведение
анализа рисков и регулярных тестов
на проникновение сторонней компанией

необходимость прохождения
руководством компании регулярных
тренингов по ИБ

9.
Для проведения анализа информационных
рисков прежде всего необходимо :

градация
информационных рисков

построение
полной модели информационной системы
с точки зрения информационной
безопасности

модель
нарушителя

вероятностные оценки
угроз безопасности

10.
Основной задачей теста на проникновение,
прежде всего, является:

оценка
возможности обнаружения атаки
службой ИБ компании

проверка
времени реакции службы обеспечения
информационной безопасности

оценка
возможности осуществления атаки из
Интернет на информационную систему
компании

оценка возможных потерь
при реализации атаки из Интернет

11.
Тест на проникновение позволяет
(выберите наиболее полное и точное
определение)

убедить
руководство компании в реальной
опасности вторжения из Интернет и
обосновать необходимость инвестиций
в ИБ

снизить вероятные риски
вирусной атаки на корпоративную
сеть

обеспечить должный уровень
отношения руководства компании к
проблеме обеспечения ИБ

убедиться
в способности службы ИБ противостоять
возможным атакам злоумышленников
из Интернет

12.
Укажите в общем случае возможные
типовые пути воздействия при получении
удаленного доступа пользователя к
информации на сервере

атака
на канал передачи, атака на сервер,
атака на пользовательскую группу

вирусная атака на корпоративную
сеть

атака на станцию пользователя,
атака на канал передачи, атака на
сервер

проникновение злоумышленника
в сеть компании из Интернет

13.
Какой метод обычно используется
профессиональными взломщиками при
информационной атаке?

атака
на наиболее защищенную цель

атака
на промежуточную цель

атака на
наименее защищенную цель

атака
осуществляется без целенаправленного
выбора цели

14.
Пользователь осуществляет удаленный
доступ к информации на сервере. Пусть
условный уровень защищенности
информации на сервере — 24 единицы;
условный уровень защищенности
рабочего места пользователя — 10
единиц. Оцените условный уровень
защищенности удаленного доступа
пользователя к информации на сервере:

24
единицы

34 единицы

17 единиц

10 единиц

15.
Выберите наиболее оптимальную
стратегию управления рисками в
следующем случае: Веб-сервер компании
находится внутри корпоративной сети
и его программное обеспечение,
возможно, содержит уязвимости

уменьшение
риска и уклонение от риска

принятие
риска

изменение характера риска
и уклонение от риска

изменение
характера риска и уменьшение риска

16.
Для оценки ущерба по угрозе
<целостность> необходимо :

оценить
полную стоимость информации

оценить
какой ущерб понесет компания в случае
изменения информации

оценить
какой ущерб понесет компания в случае
осуществления несанкционированного
доступа к информации

оценить
возможность осуществления атаки на
ресурс, на котором хранится информация

17.
Выберите наиболее полное описание
методов, которые применяются при
оценке ущерба в случае нарушения
конфиденциальности информации

оценка
стоимости затрат на реабилитацию
подмоченной репутации, престижа,
имени компании

стоимость упущенной
выгоды (потерянный контракт)

стоимость затрат на поиск новых
клиентов, взамен более не доверяющих
компании

оценка стоимости
контрмер по уменьшению ущерба от
нарушения конфиденциальности
информации; оценка прямого ущерба
от нарушения конфиденциальности
информации

18.
В случае анализа рисков базового
уровня необходимо :

провести
тесты на проникновение

проверить
выполнение требований соответствующего
стандарта, например ISO 17799

провести
полный аудит информационной
безопасности, включая тесты на
проникновение

построить полную
модель информационной системы с
точки зрения информационной
безопасности

19.
В случае полного анализа рисков
обычно на практике используется
следующий подход:

накопление
статистических данных о реально
случившихся происшествиях, анализ
и классификация их причин; на выходе
метода: вероятностная оценка рисков
на основе статистических данных

анализ
технологических особенностей
информационных систем (например, на
основе немецкого стандарта BSI)

построение комплексной модели
информационной системы с точки
зрения ИБ (включая анализ технологических,
организационных, физических и др
аспектов ИБ) с целью получения оценок
защищенности информации и существующих
в системе информационных рисков

проводится полный внутренний
аудит безопасности информационной
системы без определения стоимостных
оценок возможных потерь от реализации
обнаруженных угроз

20.
Аудит информационной безопасности
в том числе должен включать в себя
(выберите наиболее полный ответ из
перечисленных):

анализ
информационных рисков для оценки
вероятного ущерба и инструментальную
проверку защищенности для определения
возможности реализации угроз

оценку
зависимости компании от внешних
связей и тесты на проникновение

оценку стоимости ресурсов и
информации

анализ и классификацию
угроз безопасности согласно модели
нарушителя

Источник