Лекции Толстого / Толстой риски
.pdf
13. Какие несоответствия устраняются при корректировке функционирования СУИБ в первую
очередь?
отсутствие или невозможность реализации некоторых требований
СУИБ
неспособность СУИБ обеспечить соблюдение ПолИБи политики
СУИБ или реализовывать бизнес-цели организации
• неэффективность СУИБ
• неспособность отражать определенные сетевые атаки
14.Каковы задачи управления применительно к ИБ?
выбор и реализация таких управляющих воздействий по ОИБ, которые позволят сохранить требуемый организации уровень ИБ в течение
длительного времени (стабилизация)
ориентированного подхода и выполнения требований законодательных
инормативных документов по ОИБ (целеполагание)
достижение экономической целесообразности в выборе защитных мер
иподдержания всех процессов ОИБ (оптимизация)
оценка по установленным критериям уровня ИБ в условиях изменения угроз ИБ, появления новых атак и обнаружения новых уязвимостей и поддержание требуемого уровня ИБ за счет реализации
постоянных корректирующих воздействий (слежение)
соблюдение планов обработки инцидентов ИБ и рисков ИБ, проведения аудитов ИБ, корректирующих действий в отношении
деятельности по ОИБ (выполнение программы)
•осознание необходимости ОИБОНБ и соответствующего уровня ИБ организации на основе риск-
15. На основе какого международного стандарта был разработан стандарт ISO/IEC 27002?
• BS 7799-2:1999
BS 7799-1:1999
16. Сколько стадий выделяют в жизненном цикле ПолИБ?
|
• |
пять |
|
|
• три
четыре (разработка – внедрение – применение – аннулирование)
17.Как в учебном курсе определяется управление ИБ?
циклический процесс, состоящий из совокупности целенаправленных действий, осуществляемых для достижения заявленных бизнес-целей организации посредством обеспечения защищенности ее информационной сферы, и включающий осознание необходимости ОИБ, постановку задачи по ОИБ, оценку текущей ситуации и состояния объекта управления, планирование мер по обработке рисков ИБ, реализацию, внедрение и оценку эффективности соответствующих защитных мероприятий и средств управления, распределение ролей и ответственности в области ОИБ, обучение и мотивацию сотрудников,
выбор управляющих и корректирующих воздействий и их реализацию
• логически взаимосвязанную между собой и непрерывную во времени последовательность работ, направленную на достижение поставленной специфичной цели ОИБ
18. Что отражается в Положении о применимости СУИБ?
Цели и средства управления и обоснования этого выбора
• Область СУИБ
цели и средства управления, реализованные в настоящее время
• Модели угроз и нарушителей ИБ
перечень исключений целей и средств управления и процедуру обоснования их исключения
|
19. |
Какие документы относятся к первому уровню в |
|
иерархии документов СУИБ? |
|
|
• |
описания (стандарты) технологий |
|
|
|
• планы работ
политика СУИБ
ПолИБ организации
|
20. |
Все ли рекомендуемые разделы корпоративной |
|||||||
|
|
ПолИБ перечислены далее? |
|||||||
|
Определение ИБ в терминах деятельности данной организации, области действия политики, целей, |
||||||||
|
задач и принципов ОИБ организации. Изложение намерения ОИБ, направленного на достижение |
||||||||
|
указанных целей. Общие сведения об активах, подлежащих защите. Модели угроз и нарушителей |
||||||||
|
ИБ. Высокоуровневое изложение правил и требований по ОИБ, представляющих особую важность |
||||||||
|
для организации. Санкции и последствия нарушений корпоративной ПолИБ. Перечень частных |
||||||||
|
ПолИБ, развивающих и детализирующих положения корпоративной ПолИБ, а также указание |
||||||||
|
подразделений организации, ответственных за их соблюдение и/или реализацию. Условия |
||||||||
|
пересмотра (выпуска новой редакции) документа. |
||||||||
|
• |
да |
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
нет |
(не хватает |
|
- |
|
Определение общих ролей и обязанностей, |
|
связанных с ОИБ; |
|
|
|
|
|
|
|
|
||
|
|
Положения по контролю реализации корпоративной ПолИБ; Ответственность за |
|||||||
|
|
реализацию и поддержку документа) |
|||||||
21. Как называются стадии жизненного цикла ПолИБ?
• разработка - реализации - проверка - аннулирование
разработка - внедрение - применение – аннулирование
•разработка - реализации - проверка – совершенствование
22.Есть ли какие-либо исключительные области или технологии, для которой организации не нужно создавать ПолИБ?
•да
нет
23. На основе чего из перечисленного разрабатывается ПолИБ организации?'
оценка рисков ИБ
учет особенностей бизнесаинтересов бизнес-целей и используемых технологий
требования законодательства РФ отраслевых нормативных актов
модель нарушителей ИБ
модель угроз ИБ
результаты идентификации активов
|
24. |
Что является основным предметом управления ИБ |
|||||||
|
|
в организации? |
|||||||
|
|
|
|
|
|
|
|||
|
|
|
|
||||||
|
планирование работ по ОИБ включая разработку и продвижение |
||||||||
|
|
соответствующей документации |
|
||||||
|
|
|
|
|
|
|
|||
|
поддержка и участие в эксплуатации защитных мер |
||||||||
|
|
|
|
|
|||||
|
|
|
|||||||
|
совершенствование работ по ОИБ на основе собственного опыта и |
||||||||
|
|
лучших практик |
|
||||||
|
|
|
|
|
|
||||
|
|
осуществление контроля за ОИБ и уровнем ИБ |
|||||||
25. Как выглядит критерий управления для области
ИБ?
минимум ущерба для активов организации при минимальных затратах
на обеспечение их ИБ
• максимум защищенности активов организации
26.Что из перечисленного служит спецификациями для осуществления ПолИБ
•процедуры
стандарты
•руководства
27.Как целесообразно осуществлять включение в частную ПолИБ пр; содержащихся в другой существующей политике?
•цитированием
ссылкой на другую политику
28. На каком уровне в классификации документации в области ОИБ. определенном в PC БР ИББС-2.0,
находится корпоративная ПолИБ?
•третьем
первом
|
• |
нулевом |
|
|
|
|
• |
втором |
29. Одинакова или нет структура содержания
корпоративной и частных ПолИБ?
одинакова
• не одинакова
30.На каком уровне в классификации документации в области ОИБ, определенном в PC БР ИББС-2.0,
находятся инструкции, порядки и регламенты, относящиеся к деятельности в области ОИБ?
(документы 1-го уровня, содержащие положения корпоративной ПолИБ организации и определяющие высокоуровневые цели, содержание и основные направления деятельности по ОИБ, предназначенные для организации в целом;2.документы 2-го уровня, содержащие положения частных ПолИБ и детализирующие положения корпоративной ПолИБ применительно к одной или нескольким областям ИБ, видам и технологиям деятельности организации;3.документы 3-го уровня, содержащие положения ИБ, применяемые к процедурам (порядку выполнения действий или операций) ОИБ, правила и параметры, устанавливающие способ осуществления и выполнения конкретных действий, связанных с ИБ в рамках технологических процессов, используемых в организации, либо ограничения по выполнению отдельных действий, связанных с реализацией защитных мер в используемых технологических процессах (технические задания, регламенты работ, порядки, инструкции по эксплуатации, руководства по администрированию и т. п.);4) документы 4-го уровня, содержащие свидетельства выполненной деятельности по ОИБ и отражающие достигнутые результаты (промежуточные и окончательные), относящиеся к ОИБ организации.)
третьем
|
• |
первом |
|
|
|
|
• |
втором |
|
|
•нулевом
31.Каков наиболее правильный и эффективный
способ добиться в организации минимизации рисков
ИБ еще до того, как появится первая проблема с
безопасностью?
разработать ПолИБ и в соответствии с ней реализовать,
эксплуатировать и совершенствовать СОИБ организации
• повысить осведомленность пользователей систем
• изучить лучшие практики в данной области
• разработать СОИБ
32. Кто в организации должен быть ознакомлен с политикой СУИБ?
• все сотрудники организации
заинтересованные стороны, входящие в область действия СУИБ
• все заинтересованные стороны
сотрудники организации, входящие в область действия СУИБ
33.Что понимают под средствами управления ИБ?
средства управления рисками, включая политики, процедуры, руководства, практики структуры, которые могут носить
административный, технический, управленческий и/
• любая мера или действие, модифицирующие риск ИБ
34. Как в учебном курсе определяется ПолИБ организации?
документация, определяющая высокоуровневые цели, содержаниеи основные направления деятельности ОИБ. предназначенная для
организации в целом
• набор норм, правил и практических приемов, которые
регулируют управление, защиту и распределение информации
• Документ верхнего уровня, заявляющий о целях организации, намерениях, задачах и средствах достижения целей в
определѐнной области действия СУИБ
•документация, определяющая высокоуровневые цели,
содержание и основные направления и устанавливающая правила,
процедуры, практические приемы и руководящие принципы ОИБ активов организации, которыми руководствуется в своей деятельности
35. Какие документы из перечисленных обычно включаются в документацию СУИБ?
отчетные документы
спецификации
рабочие инструкции
• ПолИБ организации
внешние документы (международные стандарты. ГОСТы и т.п.)
|
|
|
руководства по процессам управления ИБ |
политика СУИБ
документированные процедуры
формы и шаблоны
планы работ
36. Какое определение СУИБ принято в учебном курсе?
•самостоятельная система управления организации, основанная на
риск-ориентированном подходе, предназначенная для разработки,
внедрения, эксплуатации, постоянного контроля, анализа, поддержка улучшения ИБ, и включающая организационную структуру, политику,
планирование действий. обяз. установившийся порядок, процедуры,
процессы и ресурсы в области ИБ
Часть общей системы управления организации, основанная на рискориентированном подходе (на о рисков), предназначенная для разработки, внедрения, эксплуатации, постоянного контроля, анализ* поддержания и улучшения ИБ. и включающая организационную
структуру, политику, планирование обязанности, установившийся порядок, процедуры, процессы и ресурсы в области ИБ
37.Мониторинг ПолИБ осуществляется в рамках стадии
•аннулирование
применение
•внедрение
38.На какой стадии жизненного цикла ПолИБ осуществляется ее peвизия
|
• |
аннулирование |
|
|
•применение
разработка
•Внедрение
39.Что является выходными данными для процесса ОИБ?
документы по ОИБ
|
|
|
|
|
механизмы (средства, защитные меры) ОИБ |
||
|
|
|
|
|
|
сигнал опасности для бизнеса организации |
|
|
заказы на приобретение, поставку и регламентацию использования средств ОИБ на объекты и системы в организации, которые далее могут эксплуатироваться другими вспомогательными или основными подразделениями, и порядок их использования
40. Как можно коротко cформулировать вопросы, на которые нужно дать ответы при описании области действия корпоративной ПолИБ?
кем применяется
|
|
|
к чему применяется |
• почему применяется
когда применяется
как применяется
41. Что из перечисленного содержит рекомендации или предлагает подход к осуществлению ПолИБ?
|
• |
руководства |
|
|
• процедуры
стандарты
42.Что понимают под областью действия СУИБ?
область и границы применения СУИБ в терминах характеристик бизнеса, организации, ее расположения, ресурсов и технологий
•область применения СУИБ в терминах характеристик бизнеса,
организации, ее расположения, ресурсов и технологий
•границы применения СУИБ в терминах характеристик бизнеса,