Информационная безопасность и защита информации - ответы на вопросы

• организацию работы с документами
• анализ угроз информационной безопасности
• разработку мотивационной программы для сотрудников

• правовым
• программным
• техническим
  

• Настроить многоуровневую систему контроля доступа, использовать шифрование данных и регулярно обновлять программное обеспечение для устранения уязвимостей.
• Установить антивирусное программное обеспечение и брандмауэр – этих мер будет достаточно для защиты данных от внешних угроз.
• Ограничить доступ к системе только для администраторов, поскольку они несут ответственность за безопасность данных. Остальные сотрудники могут пользоваться системой без ограничений.

1. выполнять процедуры мониторинга и анализа
2. проводить регулярный анализ результативности СОИБ
3. измерять результативность мер управления для проверки соответствия требованиям информационной безопасности (ИБ)
4. пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков
5. проводить внутренние аудиты системы менеджмента информационной безопасности (СМИБ) через установленные периоды времени
6. регулярно проводить анализ СМИБ (проводится руководством организации)
7. обновлять планы ИБ с учетом результатов анализа и мониторинга
8. регистрировать действия и события, способные повлиять на результативность или функционирование СОИБ

1. инициирование (согласование полномочий аудитора и план проверки)
2. сбор информации
3. анализ данных
4. выработка рекомендаций, документов
5. подготовка отчета
6. презентация (по желанию заказчика)

1. определить область и границы действия СОИБ
2. определить политику СОИБ
3. определить подход к оценке риска в организации
4. идентифицировать риски
5. проанализировать и оценить риски
6. определить и оценить различные варианты обработки рисков
7. выбрать цели и меры управления для обработки рисков
8. получить подтверждения руководством предполагаемых остаточных рисков
9. получить разрешение руководства на внедрение СОИБ
10. подготовить положение о применимости

• Провести обучение для всех сотрудников, разъяснить новые правила и убедиться, что сотрудники подписали документы, подтверждающие их ознакомление с политикой информационной безопасности.
• Разослать новое положение о политике информационной безопасности по электронной почте и попросить сотрудников прочитать его самостоятельно, не проводя дополнительных тренингов.
• Провести обучение только для тех сотрудников, работа которых связана с обработкой конфиденциальных данных. Остальным сотрудникам достаточно разослать информацию о новой политике информационной безопасности.

1. этап характеризуется использованием естественно возникавших средств информационных коммуникаций
2. этап связан с началом использования искусственно создаваемых технических средств электро- и радиосвязи
3. этап связан с появлением радиолокационных и гидроакустических средств
4. этап связан с изобретением и внедрением в практическую деятельность электронно-вычислительных машин (компьютеров)
5. этап связан с использованием сверх мобильных коммуникационных устройств с широким спектром задач
6. этап связан с созданием и развитием глобальных информационно-коммуникационных сетей с использованием космических средств обеспечения

• Обладатель
• Заказчик
• Спонсор
  

1. определение требований и критериев оценки системы безопасности
2. разработка системы защиты информации
3. внедрение системы защиты информации
4. аттестация системы защиты информации

• 40 %
• 45 %
• 80 %
• 95 %
  

• Уведомить руководство и ИТ-отдел, запросить удаление данных из личной почты.
• Попробовать самостоятельно удалить письмо из отправленных и надеяться, что получатель не заметит произошедшего инцидента.
• Игнорировать инцидент, если нет признаков взлома или утечки, и в будущем не допускать подобных оплошностей.
  

• Стратегия
• Цель
• Задача
  

• Проверить законодательство страны и международные соглашения на предмет трансграничной передачи данных; убедиться в том, что соблюдаются требования о защите персональных данных.
• Хранить данные за рубежом без дополнительных проверок, так как современные хостинг-провайдеры обеспечивают высокий уровень безопасности; убедиться в том, что соблюдаются требования о защите персональных данных.
• Переносить данные за границу только в том случае, если клиенты явно согласились на это. В остальных случаях можно хранить данные в локальных серверах.

• Обновить систему паролей, обязать сотрудников сменить свои пароли на более сложные и провести инструктаж по созданию надежных паролей.
• Заменить пароли сотрудников на более сложные без их ведома и уведомления, чтобы избежать нарушения безопасности. Выслать сотрудникам их новые пороли на электронную почту.
• Предупредить сотрудников об опасности использования простых паролей, но не требовать немедленной смены паролей, чтобы не вызвать панику. Предложить сотрудникам в течение недели сменить свои пароли на более сложные.

• Объяснить, что двухфакторная аутентификация значительно повышает уровень защиты, даже если пароль будет украден.
• Объяснить, что руководство требует внедрить эту систему, так как это соответствует правилам безопасности, принятым в вашей компании.
• Сказать, что двухфакторная аутентификация необходима только для самых важных учетных записей, поэтому большинство сотрудников могут её не использовать.
  

• только внутренними
• только внешними
• внутренними и внешними

• Угрозы
• Преимущества
• Ошибки
  

• Оператор
• Обладатель
• Заказчик
  

• Немедленно исправить нарушения, уведомить контролирующие органы о принятых мерах и подготовить документы, подтверждающие соответствие информационной системы требованиям законодательства.
• Исправить нарушения и (если они были незначительны) продолжить работу в прежнем режиме. В случае серьезных нарушений необходимо уведомить о них контролирующие органы.
• Исправить все нарушения, но не уведомлять контролирующие органы, так как это может вызвать дополнительную проверку. Провести разъяснительную работу с сотрудниками, виновными в нарушениях.

1. провести анализ процессов выявления угроз и управления рисками, связанными с использованием информационных технологий
2. оценить политику информационной безопасности (ИБ)
3. удостовериться в правильности и полноте реализации кредитной организацией комплекса мер и процедур по обеспечению информационной безопасности и непрерывности электронной обработки данных
4. убедиться в действенности проводимого службой ИБ и/или службой внутреннего контроля мониторинга применения информационных технологий и обеспечения ИБ
5. выборочно (в плане контроля) или полностью проверить и оценить конкретные направления обеспечения информационной безопасности
6. оценить уровень риска

• Мария составляет документ, содержащий основные правила компании по защите данных, и напоминает сотрудникам, что они обязаны соблюдать конфиденциальность. Она ссылается на внутренние инструкции компании, но не включает ссылки на федеральные законы или международные стандарты, чтобы не перегружать документ.
• Мария включает в документ требования, предусмотренные федеральным законом "О персональных данных" и другими нормативными актами, такими как GDPR, а также приводит пошаговые инструкции по безопасной работе с персональными данными, учитывая последние выявленные уязвимости. Она проводит инструктаж для сотрудников, чтобы объяснить новые требования и научить их соблюдать принятые меры безопасности.
• Мария пересылает всем сотрудникам ссылку на официальный сайт с текстом закона и предлагает самостоятельно изучить его положения. Она считает, что знание основ законодательства достаточно для соблюдения информационной безопасности.
  

• правовым
• программным
• техническим

• документы верхнего уровня
• документы основного уровня
• документы технического уровня
  

• Иван создает подробный документ с политиками и правилами информационной безопасности и рассылает его всем сотрудникам, указывая на обязательность ознакомления. При этом он предполагает, что документ достаточно самоочевиден и дополнительных инструктажей не требуется.
• Иван разрабатывает документ, включающий ключевые правила и меры по информационной безопасности, и проводит обязательный тренинг для всех сотрудников, объясняя важность каждого аспекта и организуя регулярные тестирования для проверки знаний. Он также создает внутренний канал для сотрудников, чтобы они могли задавать вопросы и узнавать последние новости по теме информационной безопасности.
• Иван вводит новую систему пропусков, установку камер наблюдения и обязательное закрытие всех корпоративных учетных записей после окончания работы. Он акцентирует внимание на технических мерах, оставляя административные и организационные аспекты на усмотрение сотрудников, надеясь, что они адаптируются к изменениям.
  

1. Материальная ответственность
2. Гражданско-правовая
3. Административная
4. заключается в обязанности возместить убытки, причинённые работодателю
5. включает в себя возмещение убытков, причинённых нарушением прав на коммерческую тайну
6. предусматривает наказание за разглашение информации, доступ к которой ограничен федеральным законом

1. Эшелонированность
2. Интеграция
3. Гибкость
4. рубежи защиты информации располагаются последовательно, так что нарушение одного уровня не обязательно приводит к нарушению следующего
5. различные элементы системы защиты работают вместе, обеспечивая комплексную защиту информации
6. система способна адаптироваться к изменяющимся условиям и новым угрозам

1. оценить информационную инфраструктуру компании и принять меры по устранению уязвимостей, описанные в политике безопасности
2. разработать методические материалы и инструкции по работе с информацией
3. внедрить утверждённые инструменты защиты данных, которые ещё не используются компанией
4. ознакомить сотрудников с утверждёнными положениями

Несанкционированный доступ к информации это:
Выберите один ответ:

• Вход на компьютер с использованием данных другого пользователя
• Доступ к информации, не связанный с выполнением функциональных обязанностей и не оформленный документально
• Доступ к СУБД под запрещенным именем пользователя
• Работа на чужом компьютере без разрешения его владельца
• Доступ к локально-информационной сети, связанный с выполнением функциональных обязанностей

Процесс сообщения субъектом своего имени или номера, с целью получения определённых полномочий (прав доступа) на выполнение некоторых (разрешенных ему) действий в системах с ограниченным доступом:
Выберите один ответ:

• Авторизация
• Аутентификация
• Идентификация
• Обезличивание
• Деперсонализация

• только внутренними
• только внешними
• внутренними и внешними
  

• Внедрить двухфакторную аутентификацию для всех пользователей, а также обучить их правилам использования сложных паролей и управлению аутентификационными данными.
• Внедрить автоматическую смену паролей раз в месяц без необходимости двухфакторной аутентификации, так как это снижает нагрузку на пользователей.
• Ограничить доступ к данным только для тех пользователей, у которых есть административные права, а остальные пользователи могут продолжать использовать одноразовые пароли
  

Действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных:
Выберите один ответ:

• обезличивание персональных данных
• уничтожение персональных данных
• блокирование персональных данных
• использование персональных данных