Вопросы-экзамен
.docx
Вопросы для подготовки к экзамену по разделу:
«Выявление и расследование инцидентов информационной безопасности» учебной дисциплины «Информационно-аналитическое обеспечение безопасности предпринимательской деятельности»
-
Понятие инцидента ИБ. Основные причины возникновения инцидентов ИБ. Примеры инцидентов ИБ.
-
Классификация инцидентов ИБ.
-
Основные стадии развития инцидентов ИБ (подготовка, развитие, скрытие следов).
-
Возможные последствия инцидентов ИБ. Понятие ущерба. Виды ущерба. Оценка ущерба.
-
Основные предпосылки возникновения инцидентов ИБ. Краткий анализ основных предпосылок возникновения инцидентов ИБ.
-
Политика информационной безопасности организации. Основные положения политики информационной безопасности, порядок разработки и утверждения.
-
Основные способы и методы выявления инцидентов информационной безопасности. Признаки инцидентов информационной безопасности.
-
Концепция и структура построения системы управления инцидентами информационной безопасности.
-
Анализ и приоритезация инцидентов информационной безопасности.
-
Понятие мониторинга информационной безопасности. Виды и средства мониторинга информационной безопасности.
-
Аппаратно-программные средства мониторинга и аудита информационной безопасности.
-
Системы предотвращения утечек информации, DLP-системы.
-
Системы обнаружения вторжений (IDS).
-
Автоматизация процессов управления инцидентами. Системы управления инцидентами и событиями информационной безопасности.
-
Понятие менеджмента инцидентов ИБ. Этапы менеджмента инцидентов ИБ в соответствии с ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности».
-
Этап планирования и подготовки менеджмента инцидентов ИБ в соответствии с ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности».
-
Этап использования менеджмента инцидентов ИБ в соответствии с ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности».
-
Этап анализа менеджмента инцидентов ИБ в соответствии с ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности».
-
Этап улучшения менеджмента инцидентов ИБ в соответствии с ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности».
-
Особенности практического использования системы менеджмента инцидентов ИБ в соответствии с ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности».
-
Организация процесса управления инцидентами информационной безопасности в организации.
-
Создание и деятельность группы реагирования на инциденты информационной безопасности в соответствии с ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности».
-
Права и полномочия руководителя группы реагирования на инциденты информационной безопасности в соответствии с ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности».
-
Документация системы менеджмента инцидентов ИБ. Политика менеджмента инцидентов ИБ.
-
Программа менеджмента инцидентов ИБ. Особенности ее внедрения и реализации.
-
Правовые основы проведения расследований инцидентов информационной безопасности. Законодательство РФ.
-
Уголовный кодекс Российской Федерации. Краткий анализ статей УК РФ, связанных с компьютерными преступлениями.
-
Кодекс об административных правонарушениях. Краткий анализ статей КоАП РФ, связанных с компьютерными правонарушениями.
-
Особенности применения Трудового кодекса Российской Федерации при проведении расследований инцидентов информационной безопасности.
-
Государственные органы РФ, проводящие расследования. Порядок взаимодействия с правоохранительными органами.
-
Негосударственные организации, занимающиеся расследованием инцидентов ИБ на территории РФ, и их возможности.
-
Алгоритм действий при возникновении инцидентов информационной безопасности.
-
Основные этапы процесса реагирования на инцидент информационной безопасности.
-
Понятие расследования инцидента информационной безопасности. Решаемые задачи. Типовые ситуации, возникающие при расследовании инцидентов информационной безопасности.
-
Проведение расследований инцидентов информационной безопасности. Примерный алгоритм проведения расследования инцидента информационной безопасности.
-
Процедура ликвидации последствий инцидента информационной безопасности.
-
Документирование инцидента информационной безопасности.
-
Правовые основы для изъятия и исследования компьютерной техники. Основные ошибки, встречающиеся при изъятии имущества в ходе расследования инцидента ИБ.
-
Методика изъятия компьютерной техники и носителей информации. Обеспечение доказательственного значения изъятых материалов. Описание и пломбирование техники.
-
Методика исследования компьютерной техники. Общие принципы исследования техники. Техническое обеспечение исследования. Выводы эксперта и экспертное заключение.
Практические вопросы.
-
Составить план расследования инцидента информационной безопасности:
-
Оформить акт служебного расследования:
-
по факту разглашения конфиденциальной информации (умышленное);
-
по факту разглашения конфиденциальной информации (случайное);
-
по факту утраты съемного носителя информации с конфиденциальной информацией;
-
по факту кражи ноутбука с конфиденциальной информацией;
-
по факту несанкционированного копирования конфиденциальной информации на съемный носитель;
-
по факту несанкционированной распечатки конфиденциальной информации;
-
по факту пересылки конфиденциальной информации на внешний адрес сети Интернет;
-
по факту нарушения договора о защищенном электронном документообороте (компрометация криптографических ключей);
-
по факту нарушения договора о защищенном электронном документообороте (отправка информации в незашифрованном виде);
-
по факту нарушения политики использования электронной почтовой системы организации;
-
по факту нарушения политики использования информационных ресурсов организации;
-
по факту нарушения политики использования информационных систем организации;
-
по факту нарушения антивирусной политики организации;
-
по факту вывода из строя серверного оборудования или АРМ;
-
по факту действий пользователя, приведших к непреднамеренному уничтожению или модификации информации;
-
по факту несанкционированного подключения к локальной сети посторонних устройств;
-
по факту использования АРМ и информационных ресурсов организации в не служебных целях;
-
по факту компрометации парольной информации для доступа к локальной сети и информационным системам организации (использование чужого пароля, работа под чужой учетной записью);
-
по факту не правильного уничтожения (утилизации) бумажных документов и накопителей на магнитных дисках, содержащих конфиденциальную информацию;
-
по факту рассылки СПАМа по локальной сети организации.