Информационная безопасность и защита информации - ответы на вопросы

• организацию работы с документами
• анализ угроз информационной безопасности
• разработку мотивационной программы для сотрудников

• правовым
• программным
• техническим
  

• Настроить многоуровневую систему контроля доступа, использовать шифрование данных и регулярно обновлять программное обеспечение для устранения уязвимостей.
• Установить антивирусное программное обеспечение и брандмауэр – этих мер будет достаточно для защиты данных от внешних угроз.
• Ограничить доступ к системе только для администраторов, поскольку они несут ответственность за безопасность данных. Остальные сотрудники могут пользоваться системой без ограничений.

• Провести обучение для всех сотрудников, разъяснить новые правила и убедиться, что сотрудники подписали документы, подтверждающие их ознакомление с политикой информационной безопасности.
• Разослать новое положение о политике информационной безопасности по электронной почте и попросить сотрудников прочитать его самостоятельно, не проводя дополнительных тренингов.
• Провести обучение только для тех сотрудников, работа которых связана с обработкой конфиденциальных данных. Остальным сотрудникам достаточно разослать информацию о новой политике информационной безопасности.

1. выполнять процедуры мониторинга и анализа
2. проводить регулярный анализ результативности СОИБ
3. измерять результативность мер управления для проверки соответствия требованиям информационной безопасности (ИБ)
4. пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков
5. проводить внутренние аудиты системы менеджмента информационной безопасности (СМИБ) через установленные периоды времени
6. регулярно проводить анализ СМИБ (проводится руководством организации)
7. обновлять планы ИБ с учетом результатов анализа и мониторинга
8. регистрировать действия и события, способные повлиять на результативность или функционирование СОИБ

• Обладатель
• Заказчик
• Спонсор
  

1. инициирование (согласование полномочий аудитора и план проверки)
2. сбор информации
3. анализ данных
4. выработка рекомендаций, документов
5. подготовка отчета
6. презентация (по желанию заказчика)

1. определить область и границы действия СОИБ
2. определить политику СОИБ
3. определить подход к оценке риска в организации
4. идентифицировать риски
5. проанализировать и оценить риски
6. определить и оценить различные варианты обработки рисков
7. выбрать цели и меры управления для обработки рисков
8. получить подтверждения руководством предполагаемых остаточных рисков
9. получить разрешение руководства на внедрение СОИБ
10. подготовить положение о применимости

1. определение требований и критериев оценки системы безопасности
2. разработка системы защиты информации
3. внедрение системы защиты информации
4. аттестация системы защиты информации

1. этап характеризуется использованием естественно возникавших средств информационных коммуникаций
2. этап связан с началом использования искусственно создаваемых технических средств электро- и радиосвязи
3. этап связан с появлением радиолокационных и гидроакустических средств
4. этап связан с изобретением и внедрением в практическую деятельность электронно-вычислительных машин (компьютеров)
5. этап связан с использованием сверх мобильных коммуникационных устройств с широким спектром задач
6. этап связан с созданием и развитием глобальных информационно-коммуникационных сетей с использованием космических средств обеспечения

• Уведомить руководство и ИТ-отдел, запросить удаление данных из личной почты.
• Попробовать самостоятельно удалить письмо из отправленных и надеяться, что получатель не заметит произошедшего инцидента.
• Игнорировать инцидент, если нет признаков взлома или утечки, и в будущем не допускать подобных оплошностей.
  

• Проверить законодательство страны и международные соглашения на предмет трансграничной передачи данных; убедиться в том, что соблюдаются требования о защите персональных данных.
• Хранить данные за рубежом без дополнительных проверок, так как современные хостинг-провайдеры обеспечивают высокий уровень безопасности; убедиться в том, что соблюдаются требования о защите персональных данных.
• Переносить данные за границу только в том случае, если клиенты явно согласились на это. В остальных случаях можно хранить данные в локальных серверах.

• Обновить систему паролей, обязать сотрудников сменить свои пароли на более сложные и провести инструктаж по созданию надежных паролей.
• Заменить пароли сотрудников на более сложные без их ведома и уведомления, чтобы избежать нарушения безопасности. Выслать сотрудникам их новые пороли на электронную почту.
• Предупредить сотрудников об опасности использования простых паролей, но не требовать немедленной смены паролей, чтобы не вызвать панику. Предложить сотрудникам в течение недели сменить свои пароли на более сложные.

• Объяснить, что двухфакторная аутентификация значительно повышает уровень защиты, даже если пароль будет украден.
• Объяснить, что руководство требует внедрить эту систему, так как это соответствует правилам безопасности, принятым в вашей компании.
• Сказать, что двухфакторная аутентификация необходима только для самых важных учетных записей, поэтому большинство сотрудников могут её не использовать.
  

1. провести анализ процессов выявления угроз и управления рисками, связанными с использованием информационных технологий
2. оценить политику информационной безопасности (ИБ)
3. удостовериться в правильности и полноте реализации кредитной организацией комплекса мер и процедур по обеспечению информационной безопасности и непрерывности электронной обработки данных
4. убедиться в действенности проводимого службой ИБ и/или службой внутреннего контроля мониторинга применения информационных технологий и обеспечения ИБ
5. выборочно (в плане контроля) или полностью проверить и оценить конкретные направления обеспечения информационной безопасности
6. оценить уровень риска

• 40 %
• 45 %
• 80 %
• 95 %
  

• Немедленно исправить нарушения, уведомить контролирующие органы о принятых мерах и подготовить документы, подтверждающие соответствие информационной системы требованиям законодательства.
• Исправить нарушения и (если они были незначительны) продолжить работу в прежнем режиме. В случае серьезных нарушений необходимо уведомить о них контролирующие органы.
• Исправить все нарушения, но не уведомлять контролирующие органы, так как это может вызвать дополнительную проверку. Провести разъяснительную работу с сотрудниками, виновными в нарушениях.

• Мария составляет документ, содержащий основные правила компании по защите данных, и напоминает сотрудникам, что они обязаны соблюдать конфиденциальность. Она ссылается на внутренние инструкции компании, но не включает ссылки на федеральные законы или международные стандарты, чтобы не перегружать документ.
• Мария включает в документ требования, предусмотренные федеральным законом "О персональных данных" и другими нормативными актами, такими как GDPR, а также приводит пошаговые инструкции по безопасной работе с персональными данными, учитывая последние выявленные уязвимости. Она проводит инструктаж для сотрудников, чтобы объяснить новые требования и научить их соблюдать принятые меры безопасности.
• Мария пересылает всем сотрудникам ссылку на официальный сайт с текстом закона и предлагает самостоятельно изучить его положения. Она считает, что знание основ законодательства достаточно для соблюдения информационной безопасности.
  

• Иван создает подробный документ с политиками и правилами информационной безопасности и рассылает его всем сотрудникам, указывая на обязательность ознакомления. При этом он предполагает, что документ достаточно самоочевиден и дополнительных инструктажей не требуется.
• Иван разрабатывает документ, включающий ключевые правила и меры по информационной безопасности, и проводит обязательный тренинг для всех сотрудников, объясняя важность каждого аспекта и организуя регулярные тестирования для проверки знаний. Он также создает внутренний канал для сотрудников, чтобы они могли задавать вопросы и узнавать последние новости по теме информационной безопасности.
• Иван вводит новую систему пропусков, установку камер наблюдения и обязательное закрытие всех корпоративных учетных записей после окончания работы. Он акцентирует внимание на технических мерах, оставляя административные и организационные аспекты на усмотрение сотрудников, надеясь, что они адаптируются к изменениям.
  

• Оператор
• Обладатель
• Заказчик
  

• правовым
• программным
• техническим

• Стратегия
• Цель
• Задача
  

• только внутренними
• только внешними
• внутренними и внешними

• Внедрить двухфакторную аутентификацию для всех пользователей, а также обучить их правилам использования сложных паролей и управлению аутентификационными данными.
• Внедрить автоматическую смену паролей раз в месяц без необходимости двухфакторной аутентификации, так как это снижает нагрузку на пользователей.
• Ограничить доступ к данным только для тех пользователей, у которых есть административные права, а остальные пользователи могут продолжать использовать одноразовые пароли
  

• выполнять процедуры мониторинга и анализа
• проводить регулярный анализ результативности СОИБ
• измерять результативность мер управления для проверки соответствия требованиям информационной безопасности (ИБ)
• пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков
• проводить внутренние аудиты системы менеджмента информационной безопасности (СМИБ) через установленные периоды времени
• регулярно проводить анализ СМИБ (проводится руководством организации)
• обновлять планы ИБ с учетом результатов анализа и мониторинга
• регистрировать действия и события, способные повлиять на результативность или функционирование СОИБ
  

1. Сотрудник группы безопасности
2. Администратор безопасности системы
3. Администратор безопасности данных
4. обеспечение контроля за защитой наборов данных и программ, помощь пользователям и организация общей поддержки групп управления защитой и менеджмента в своей зоне ответственности
5. ежемесячное опубликование нововведений в области защиты, новых стандартов, а также контроль за выполнением планов непрерывной работы и восстановления и за хранением резервных копий
6. реализация и изменение средств защиты данных, контроль за состоянием защиты наборов данных, ужесточение защиты в случае необходимости, а также координирование работы

1. оценить информационную инфраструктуру компании и принять меры по устранению уязвимостей, описанные в политике безопасности
2. разработать методические материалы и инструкции по работе с информацией
3. внедрить утверждённые инструменты защиты данных, которые ещё не используются компанией
4. ознакомить сотрудников с утверждёнными положениями

• Немедленно отключить систему от сети, провести анализ на наличие вредоносного программного обеспечения, устранить уязвимости и восстановить работу системы только после полного аудита
• Прекратить только обработку конфиденциальных данных и продолжить работу с незначительной информацией, пока проводится анализ угроз.
• Перезагрузить систему и обновить антивирусное программное обеспечение, что решит проблему с возможными атаками.
  

• Провести обучение для всех сотрудников, разъяснить новые правила и убедиться, что сотрудники подписали документы, подтверждающие их ознакомление с политикой информационной безопасности.
• Разослать новое положение о политике информационной безопасности по электронной почте и попросить сотрудников прочитать его самостоятельно, не проводя дополнительных тренингов.
• Провести обучение только для тех сотрудников, работа которых связана с обработкой конфиденциальных данных. Остальным сотрудникам достаточно разослать информацию о новой политике информационной безопасности.

• Настроить многоуровневую систему контроля доступа, использовать шифрование данных и регулярно обновлять программное обеспечение для устранения уязвимостей.
• Установить антивирусное программное обеспечение и брандмауэр – этих мер будет достаточно для защиты данных от внешних угроз.
• Ограничить доступ к системе только для администраторов, поскольку они несут ответственность за безопасность данных. Остальные сотрудники могут пользоваться системой без ограничений.
  

• Проверить законодательство страны и международные соглашения на предмет трансграничной передачи данных; убедиться в том, что соблюдаются требования о защите персональных данных.
• Хранить данные за рубежом без дополнительных проверок, так как современные хостинг-провайдеры обеспечивают высокий уровень безопасности; убедиться в том, что соблюдаются требования о защите персональных данных.
• Переносить данные за границу только в том случае, если клиенты явно согласились на это. В остальных случаях можно хранить данные в локальных серверах.
  

• регулятивный
• охранительный
• материальный
• процессуальный

Несанкционированный доступ к информации это:
Выберите один ответ:

• Вход на компьютер с использованием данных другого пользователя
• Доступ к информации, не связанный с выполнением функциональных обязанностей и не оформленный документально
• Доступ к СУБД под запрещенным именем пользователя
• Работа на чужом компьютере без разрешения его владельца
• Доступ к локально-информационной сети, связанный с выполнением функциональных обязанностей

• совершенствование мотивационной политики
• строгое соблюдение руководством и сотрудниками установленных правил защиты конфиденциальной информации
• постоянный анализ работы системы защиты информации для ее совершенствования

• Провести аудит безопасности облачного сервиса, убедиться в шифровании данных и внедрить политику доступа, после чего перенести в облако все необходимые данные.
• Сразу перенести все данные в облако без предварительных проверок, так как облачные технологии достаточно надежны.
• Сохранить только самые важные данные на облачном хранилище, чтобы минимизировать риски.
  

• провести анализ процессов выявления угроз и управления рисками, связанными с использованием информационных технологий
• оценить политику информационной безопасности (ИБ)
• удостовериться в правильности и полноте реализации кредитной организацией комплекса мер и процедур по обеспечению информационной безопасности и непрерывности электронной обработки данных
• убедиться в действенности проводимого службой ИБ и/или службой внутреннего контроля мониторинга применения информационных технологий и обеспечения ИБ
• выборочно (в плане контроля) или полностью проверить и оценить конкретные направления обеспечения информационной безопасности
• оценить уровень риска
  

• Немедленно отключить систему от сети, провести анализ на наличие вредоносного программного обеспечения, устранить уязвимости и восстановить работу системы только после полного аудита.
• Прекратить только обработку конфиденциальных данных и продолжить работу с незначительной информацией, пока проводится анализ угроз.
• Перезагрузить систему и обновить антивирусное программное обеспечение, что решит проблему с возможными атаками.

• P 15.000-2016
• Р ИСО 9001-2015
• P 50922-2006

• организацию режима охраны
• организацию работы с сотрудниками
• планирование заработной платы

• Стратегия
• Цель
• Задача

• 40 %
• 45 %
• 80 %
• 95 %