Информационные технологии и информационная безопасность в финансовой сфере - ответы на вопросы

…– это розничная продажа товаров поштучно или в небольшом количестве непосредственно конечным потребителям.

Установите правильную последовательность этапов совершенствования системы обеспечения информационной безопасности:

• 1 Выявлять возможности улучшения СОИБ
• 2 Предпринимать необходимые корректирующие и предупреждающие действия
• 3 Передавать подробную информацию о действиях по улучшению СМИБ всем заинтересованным сторонам
• 4 Обеспечивать внедрение улучшений СМИБ для достижения запланированных целей

Атака «…» представляет из себя путь передачи информации между процессами системы, которые нарушают политику информационной безопасности.

Установите хронологическую последовательность этапов проверки системы обеспечения информационной безопасности:

• 1 Выполнять процедуры мониторинга и анализа
• 2 Проводить регулярный анализ результативности СОИБ
• 3 Измерять результативность мер управления для проверки соответствия требованиям ИБ
• 4 Пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков
• 5 Проводить внутренние аудиты системы менеджмента информационной безопасности (СМИБ) через установленные периоды времени
• 6 Регулярно проводить руководством организации анализ СМИБ
• 7 Обновлять планы ИБ с учетом результатов анализа и мониторинга
• 8 Регистрировать действия и события, способные повлиять на результативность или функционирование СОИБ

Цель … анализа рисков – охарактеризовать возможные риски в количественном эквиваленте.

• количественного
• качественного
• смешанного

Атака «…» характерна для систем, которые обрабатывают денежные счета.

Установите хронологическую последовательность этапов развития информационной безопасности:

• 1 Этап характеризуется использованием естественно возникавших средств информационных коммуникаций.
• 2 Этап связан с началом использования искусственно создаваемых технических средств электро- и радиосвязи
• 3 Этап связан с появлением радиолокационных и гидроакустических средств.
• 4 Этап связан с изобретением и внедрением в практическую деятельность электронно-вычислительных машин (компьютеров).
• 5 Этап связан с использованием сверхмобильных коммуникационных устройств с широким спектром задач.
• 6 Этап связан с созданием и развитием глобальных информационно-коммуникационных сетей с использованием космических средств обеспечения.

Принципами информационной безопасности являются…(два варианта ответа)

• конфиденциальность
• достоверность
• гибкость
• простота

Установите хронологическую последовательность этапов развития организации:

• 1 стартап, или внедрение
• 2 рост
• 3 зрелость
• 4 спад
• 5 возрождение

Система… – совокупность алгоритмов шифрования и методов распространения ключей.

Установите последовательность этапов управления рисками:

• 1 выявление риска и оценка вероятности его реализации и масштаба последствий, определение максимально возможного убытка;
• 2 выбор методов и инструментов управления выявленным риском;
• 3 разработка риск-стратегии с целью снижения вероятности реализации риска и минимизации возможных негативных последствий;
• 4 реализация риск-стратегии;
• 5 оценка достигнутых результатов и корректировка риск-стратегии.

Защита персональных данных клиентов и сотрудников должна соответствовать нормам № …-ФЗ «О персональных данных».

Российской компанией InfoWatch в 2004г. проведено исследование в области корпоративной защиты ИБ. Соотнесите результаты исследований и процент мнения респондентов:

• A. 62%
• B. 98%
• C. 89%
• D. респондентов считают, что действия инсайдеров являются самой большой угрозой для российских организаций
• E. респондентов считает, что нарушение конфиденциальности информации - самая большая внутренняя угроза
• F. респондентов считают электронную почту самым распространенным путем утечки конфиденциальной информации

Российской компанией InfoWatch в 2004г. проведено исследование в области корпоративной защиты ИБ. Соотнесите результаты исследований и процент мнения респондентов:

• A. 99,4%
• B. 87%
• C. 76%
• D. допускают возможность наличия незарегистрированных инцидентов внутренней ИБ
• E. считают технические средства эффективным способом защиты
• F. планируют внедрение систем защиты от нарушения конфиденциальности информации в ближайшие 2 года

По оценкам экспертов, латентность киберпреступлений в Великобритании составляет … %.

• 30
• 85
• 60

…– член какой-либо группы людей, имеющей доступ к информации, недоступной широкой публике.

Установите соответствие между программами и их характеристиками:

• A. Захватчик ресурсов
• B. Перехватчик паролей
• C. Вирус
• D. программа, которая при своем выполнении стремится монополизировать какой-либо ресурс системы.
• E. программа, которая может заражать другие программы путем включения в них своей, возможно модифицированной, копии.
• F. программа специально предназначена для воровства паролей.

Установите соответствие между программами и их характеристиками:

• A. Троянский конь
• B. Вирус
• C. Сетевой червь
• D. программа, которая выполняет в дополнение к основным не описанные в документации действия.
• E. программа, которая может заражать другие программы путем включения в них своей, возможно модифицированной, копии.
• F. программа, которая распространяется через сеть, в том числе Интернет и не оставляет своей копии на магнитном носителе.

Стратегия информационной безопасности кредитных организаций сильно отличается от аналогичных стратегий других компаний, и это обусловлено двумя обстоятельствами….

• специфическим характером угроз
• публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов
• увеличением количества клиентов банка
• стандартным характером угроз

Технология «…» – вид интернет-мошенничества, цель которого — получить идентификационные данные пользователей.

Установите соответствие между уровнями зрелости организации по модели Carnegie Mellon University и характеристиками:

• A. Уровень «Анархия»
• B. Уровень «Фольклор»
• C. Уровень «Стандарты»
• D. сотрудники сами определяют, что хорошо, а что плохо; затраты и качество не прогнозируются; отсутствует контроль изменений; высшее руководство плохо представляет реальное положение дел
• E. выявлена определенная повторяемость организационных процессов; опыт организации представлен в виде «преданий корпоративной мифологии»; знания накапливаются в виде личного опыта сотрудников и пропадают при их увольнении
• F. «корпоративная мифология» записана на бумаге; процессы повторяемы и не зависят от личных качеств исполнителей; информация о процессах для измерения эффективности не собирается

Установите соответствие между названием и сущностью характеристик информационной безопасности (ИБ):

• A. организационные
• B. нормативно-правовые
• C. технические
• D. характеристики службы обеспечения ИБ, иерархия обеспечения ИБ, разграничение полномочий по обеспечению ИБ
• E. наличие нормативных документов, политика ИБ, порядок пересмотра нормативных документов
• F. порядок доступа в помещения и физической защиты средств вычислительной техники, порядок разработки, установки и сопровождения ПО и аппаратных средств.

Расположите в хронологической последовательности этапы реализации системы обеспечения информационной безопасности (СОИБ):

• 1 Разработать план обработки рисков
• 2 Реализовать план обработки рисков
• 3 Внедрить выбранные меры управления
• 4 Определить способ измерения результативности
• 5 Реализовать программы по обучению и повышению квалификации сотрудников
• 6 Управлять работой СОИБ
• 7 Управлять ресурсами СОИБ
• 8 Внедрить процедуры, обеспечивающие возможность быстрого реагирования на инциденты

…– сочетание вероятности и последствий наступления неблагоприятных событий.

Установите соответствие между видами атак и их характеристиками:

• A. Салями
• B. Скрытые каналы
• C. Сборка мусора
• D. Характерна для систем, которые обрабатывают денежные счета
• E. Представляет из себя путь передачи информации между процессами системы, которые нарушают политику информационной безопасности
• F. Характерно, что после окончания работы обрабатываемая информация не всегда полностью удаляется из памяти, а часть данных может оставаться на разных носителях

Установите соответствие между нормативными документами и их требованиями:

• A. Закон РФ от 23.09.1992 № 3523-1 «О правовой охране программ для электронных вычислительных машин и баз данных»
• B. ФЗ от 20.02.1995 № 24-ФЗ «Об информации, информатизации и защите информации»
• C. Положение Банка России от 05.12.2002 № 205-П «О правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории РФ».
• D. запрещает использование программного обеспечения с нарушением авторских прав.
• E. определяет, что защите подлежит любая информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.
• F. обязывает руководителя кредитной организации при применении технических средств обеспечить: ограничение доступа к совершению операций; конфиденциальность применяемых кодов и паролей;

…– растянутый во времени процесс, который основан на знаниях как собственника, так и злоумышленника.

Установите соответствие между уровнями зрелости организации по модели Carnegie Mellon University и характеристиками:

• A. Уровень «Стандарты»
• B. Уровень «Измеряемый»
• C. Уровень «Оптимизируемый»
• D. наличие формализованного описания процессов не означает, что они работают; организация начинает адаптировать свой опыт к специфике бизнеса; производится анализ знаний и умений сотрудников с целью определения необходимого уровня компетенции
• E. процессы измеряемы и стандартизованы
• F. фокус на повторяемости, измерении эффективности, оптимизации; вся информация о функционировании процессов фиксируется

Переход от проверки конкретных операций к проверке внутренних систем банков становится стратегическим направлением контактного надзора в лице … Банка России.

• инспекционных подразделений
• технических подразделений
• финансовых инспекционных подразделений

…– необходимость предотвращения разглашения, утечки какой-либо информации.

Расположите в правильной последовательности этапы анализа рисков с помощью методики CRAMM.

• 1 Решение задачи определения границ исследуемой системы.
• 2 Идентификация ресурсов.
• 3 Определение ценности ресурсов обязательно в полном варианте анализа рисков.
• 4 Оценка угроз и уязвимости оцениваются зависимости пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимости.
• 5 Проведение коррекции результатов или использование других методов оценки.
• 6 Генерируется несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням.

Анализ … в бизнесе – это основной процесс при принятии менеджером решений о направлении движения кредитной организации или ее конкретных действиях.

… платежи – это специальная форма обмена электронными данными, без которых практически ни один современный банк не может функционировать.

По оценкам экспертов, латентность киберпреступлений в США составляет … %.

• 80
• 45
• 95

Суть концепции… – пересылаемые по линиям связи сообщения должным образом оформленные и переданные, служат основанием для выполнения одной или нескольких банковских операций.

Основной метод анализа информационных рисков – … анализ.

• количественный
• качественный
• смешанный

«…» – это скрытая, недокументированная точка входа в программный модуль, который вставляется в программу обычно на этапе отладки для облегчения работы.

Количество членов группы может быть разным, но в зависимости от размеров банка рекомендуется не меньше ...

• трех
• пяти
• десяти

…информационной безопасности – это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам.

… мошенничество – совершение противоправных действий в сфере денежного обращения путем обмана, злоупотребления доверием и других манипуляций с целью незаконного обогащения.

Расположите в хронологической последовательности этапы планирования системы обеспечения информационной безопасности (СОИБ):

• 1 Определить область и границы действия СОИБ
• 2 Определить политику СОИБ
• 3 Определить подход к оценке риска в организации
• 4 Идентифицировать риски
• 5 Проанализировать и оценить риски
• 6 Определить и оценить различные варианты обработки рисков
• 7 Выбрать цели и меры управления для обработки рисков
• 8 Получить подтверждения руководством предполагаемых остаточных рисков
• 9 Получить разрешение руководства на внедрение СОИБ
• 10 Подготовить Положение о применимости

Отличительные особенности «скрытых каналов»:…(два варианта ответа)

• малая пропускная способность
• небольшой наносимый ими ущерб
• большой наносимый ими ущерб.
• большая пропускная способность;

Анализ … рисков – это комплекс мероприятий на выявление угроз информационной системе, оценку этих угроз с точки зрения вероятности их реализации и возможного ущерба.

… информация – информация, являющаяся конфиденциальной, то есть «доверительной, не подлежащей огласке, секретной»; это понятие равнозначно с понятиями тайны или секрета

Расположите в хронологической последовательности этапы аудита информационной безопасности:

• 1 инициирование (согласование полномочий аудитора и план проверки);
• 2 сбор информации;
• 3 анализ данных;
• 4 выработка рекомендаций, документов;
• 5 подготовка отчета;
• 6 презентация (по желанию заказчика).

К технологиям дистанционного банковского обслуживания относят … (2 варианта ответа)

• «Интернет Клиент-Банк»
• пластиковые карты
• сберегательные книжки
• почтовые услуги

…– это инструмент оценки эффективности внедрения бизнес-процессов в организации, позволяющий эффективно отслеживать прогресс.

… информационной безопасности — совокупность условий и факторов, создающих опасность нарушения информационной безопасности.

Расположите в правильной последовательности этапы разработки системы защиты информации:

• 1 Предпроектные работы
• 2 Проектирование
• 3 Внедрение
• 4 Аттестация

По оценкам экспертов, латентность киберпреступлений в Германии составляет … %.

Закон Российской Федерации от 23.09.1992 № … «О правовой охране программ для электронных вычислительных машин и баз данных» запрещает использование программного обеспечения с нарушением авторских прав.

• 3523-1
• 456
• 281

…– это составление списка серверов, автоматизированных рабочих мест, телекоммуникационного оборудования, программного обеспечения.

… – это ресурсы, контролируемые компанией в результате прошлых событий, от которых компания ожидает экономической выгоды в будущем (данная трактовка ...

Основной фактор, который определяет отношение организаций к вопросам информационной безопасности, –...

• степень мотивации сотрудников
• степень зрелости
• процент текучки кадров

Вероятность …– вероятность того, что в результате принятия решения произойдут потери для предпринимательской фирмы, т. е. вероятность нежелательного исхода.

… – это профессиональная оценка объективных экономических фактов, которая должна присутствовать в работе регулирующего органа, оценивающего деятельность кредитных организаций

Пропажа данных о работе с секретными счетами Bank of England в январе … года заставила банк поменять коды всех корреспондентских счетов. В этой связи в Великобритании были подняты по тревоге все имеющиеся силы разведки и контрразведки. Это было сделано, чтобы не допустить невероятной утечки информации, способной нанести огромный ущерб.

• 1999
• 1986
• 2005

В соответствии с п. … инструкции Банка России от 25.08.2003 № 105-И «О порядке проведения проверок кредитных организаций уполномоченными представителями Центрального банка Российской Федерации» мотивированное суждение должно основываться на полученных от кредитной организации документах.

• 7.5.1
• 10.5
• 5.7.1

... безопасность – практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации.

… – это некоторая последовательность битов, которая записывается на место, освобождаемое файлом.

Принцип атаки «…» – при обработке счетов используются целые единицы, а при исчислении процентов нередко получаются дробные суммы.

Расположите в правильной последовательности действия инспектора:

• 1 провести анализ процессов выявления угроз и управления рисками, связанными с использованием информационных технологий;
• 2 оценить политику ИБ;
• 3 удостовериться в правильности и полноте реализации кредитной организацией комплекса мер и процедур по обеспечению ИБ и непрерывности электронной обработки данных;
• 4 убедиться в действенности проводимого службой ИБ и/или службой внутреннего контроля мониторинга применения информационных технологий и обеспечения ИБ;
• 5 выборочно (в плане контроля) или полностью проверить и оценить конкретные направления обеспечения ИБ.
• 6 Оценить уровень риска.

По оценкам экспертов, латентность киберпреступлений в России составляет … %.

Исследование проблемы внутренних угроз показало, что… .(соотнесите результаты исследования и процент мнения респондентов):

• A. 62%
• B. 7%
• C. 6%
• D. искажение информации
• E. утрата информации
• F. кража оборудования

В августе 1995 года в Великобритании был арестован 24-летний российский математик Владимир Левин, который при помощи своего домашнего компьютера в Петербурге он сумел проникнуть в банковскую систему американского банка …

• Citibank
• Bank of America
• JPMorgan Chase

…банковское обслуживание – обмен финансовыми документами между клиентами и банками, который позволяет клиентам получить доступ к банковским и информационным услугам не выходя из дома или офиса.

…– процесс принятия и выполнения управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь проекта, вызванных его реализацией.

… – ненужные адресату электронные послания, рекламные письма и т. п., рассылаемые отдельными фирмами по Интернету или электронной почте.

Защищенная система содержит два вида средств…

• средства, которые используются в чрезвычайных ситуациях
• средства, которые способны функционировать с нарушением существующей политики информационной безопасности
• средства, направленные на контроль процессов
• профилактические средства

Атака «…», ей характерно, что после окончания работы обрабатываемая информация не всегда полностью удаляется из памяти, а часть данных может оставаться на разных носителях.

…– это общее название технологий дистанционного банковского обслуживания, а также доступ к счетам и операциям (по ним), предоставляющийся в любое время и с любого устройства, имеющего доступ в Интернет.

… организация – юридическое лицо, которое для извлечения прибыли как основной цели своей деятельности на основании специального разрешения (лицензии) Центрального банка Российской Федерации (Банка России) имеет право осуществлять банковские операции.

Установите хронологическую последовательность этапы проведения качественного анализа рисков в банке:

• 1 Формирование экспертной группы.
• 2 Определение границ информационной системы, риски в которой оцениваются.
• 3 Классификация обрабатываемой информации с точки зрения конфиденциальности, доступности и целостности.
• 4 Инвентаризация технических и программных ресурсов.
• 5 Формирование требований к обеспечению информационной безопасности.
• 6 Перечисление для каждой подсистемы функциональных задач.
• 7 Проведение анализа существующих мер защиты в информационной системе (ИС) и во всех подсистемах ИС.
• 8 Формирование характеристик угроз информационной системы.
• 9 Оценка угроз.
• 10 Оценка рисков.
• 11 Выработка предложений по управлению рисками.

Атака «...» – выполнение каких-либо действий злоумышленником от имени легального пользователя системы «Клиент-Банк» или «Интернет Клиент-Банк».

• маскарад
• салями
• скрытие каналы