- •Расположите этапы процесса управления инцидентами иб в порядке их следования: 1) использование; 2) улучшение; 3) анализ; 4) планирование и подготовка.
- •Суииб – это
- •Управление инцидентами иб – это состоящий из ряда подпроцессов процесс, на вход которого поступают
- •В соответствии с гост исо/мэк 18044 инцидент иб – это
-
В этап «анализ» процесса управления инцидентами ИБ включается
-
определение улучшений для внедрения новых или пересмотренных защитных мер ИБ
-
определение улучшений СУИИБ
-
изучение уроков, извлеченных из инцидентов ИБ
-
проведение ГРИИБ дополнительной правовой экспертизы
-
Вторая оценка и подтверждение инцидента ИБ входят в обязанности
-
ГРИИБ
-
Расположите в порядке убывания степени важности приоритеты действий при принятии ответных мер во время инцидента ИБ: 1) предотвратить повреждение систем, сервисов и сетей; 2) защитить критически важные данные (в соответствии с законодательными нормами и требованиями организации); 3) защитить жизнь и здоровье людей; 4) защитить прочие данные, включая управленческую и другую информацию, поскольку потеря данных дорога с точки зрения ресурсов, затраченных на её накопление; 5) минимизировать ущерб, нанесенный вычислительным ресурсам.
-
3,2,4,1,5
-
Расположите этапы процесса управления инцидентами иб в порядке их следования: 1) использование; 2) улучшение; 3) анализ; 4) планирование и подготовка.
-
4,1,3,2
-
В этап «улучшение» процесса управления инцидентами ИБ включается:
-
пересмотр и анализ имеющихся результатов управления ИБ и анализа рисков ИБ организации
-
инициирование и внедрение улучшений в области ИБ
-
улучшение СУИИБ и её документации
-
изменения в политиках, стандартах и процедурах ИБ, а также изменения в конфигурациях ПО и АО
-
В ISO/IEC 27035 и ГОСТ Р ИСО/МЭК ТО 18044 описание процессов управления инцидентами ИБ основано на использовании:
-
модели PDCA
-
Согласно ISO/IЕС 27035 процесс управления инцидентами ИБ включает следующие основные подпроцессы:
-
ответная реакция на инцидент
-
извлечение уроков из инцидента
-
оценка инцидента и принятие решений по инциденту
-
обнаружение/идентификация и подготовка отчета по инциденту
-
планирование и подготовка к обработке инцидентов
-
Обнаружить и сообщить об инциденте ИБ могут
-
сотрудники подразделений, ответственных за поддержание информационной инфраструктуры
-
специалисты подразделения ИБ
-
рядовые сотрудники
-
Если определено, что инцидент ИБ не находится под контролем, то
-
ГРИИБ активизирует антикризисные действия
-
Если подтверждается, что инцидент ИБ находится под контролем, то
-
ГРИИБ переходит к другим дальнейшим необходимым действиям по реагированию, проведению правовой экспертизы и передаче информации с целью ликвидации инцидента ИБ и восстановления нормальной работы АтС
-
Если ответственный сотрудник, принявший сообщение о событии ИБ в процессе его первичной оценки приходит к выводу, что полученная информация событием ИБ, но не является инцидентом, то ему необходимо
-
Зафиксировать данное сообщение в надлежащем виде (в БДСИИБ) при этом дальнейшая работа по событию ИБ в рамках процесса управления инцидентами ИБ не требуется
-
Управление инцидентами ИБ – это состоящий из ряда подпроцессов процесс, на выходе которого
-
Информация о причинах произошедшего инцидента ИБ, нанесенном организации ущербе и мерах, которые необходимо принять для того, чтобы инцидент ИБ не повторился вновь
-
Основные задачи, решаемые в рамках процесса управления инцидентами ИБ:
-
обнаружение, оповещения и учета инцидентов ИБ
-
реагирование на инциденты ИБ
-
анализ и расследование произошедших инцидентов ИБ
-
Эффективность процесса управления инцидентами ИБ зависит от:
-
имеющихся возможностей по получению и анализу информации, связанной с инцидентом ИБ
-
координации и согласованности действий всех вовлеченных в него лиц
-
оперативности и корректности полученных результатов
-
Субъектом события ИБ может быть:
-
пользователь
-
ПО
-
злоумышленник
-
Действием события ИБ может быть:
-
Сканирование
-
Подмена
-
Чтение
-
Модификация
-
Копирование
-
Удаление
-
Кража
-
Объектом события может быть:
-
сеть
-
компьютер
-
информация
-
учетная запись
-
процесс
-
Результатом события ИБ может быть:
-
Нарушение политики ИБ
-
Влияние на безопасность
-
Смена состояния объекта
-
В этап «использование» процесса управления инцидентами ИБ включается:
-
сбор персоналом ГОЭ информации, связанной с событиями ИБ и первичная оценка этой информации
-
анализ, проводимый ГРИИБ, с целью определить, находится ли инцидент ИБ под контролем обнаружение и сообщение о возникновении событий ИБ и уязвимостей
-
За обеспечение защищенного хранения информации об инциденте ИБ для возможного проведения дальнейшей экспертизы и ее использования судом в качестве доказательства отвечает:
-
ГРИИБ
-
Если в процессе второй оценки и подтверждения инцидента ИБ было определено, что инцидент ложный, то
-
заполняется отчет о событии ИБ, добавляется в БДСИИБ и передается руководителю ГРИИБ, копии отчета передаются ГОЭ, сообщившему о событии лицу и его руководителю
-
Разработка и реализация процесса управления инцидентами ИБ в соответствии с лучшими практиками обеспечивает:
-
Определение ролей и ответственности персонала организации за реагирование на инциденты ИБ.
-
предоставление необходимой информации для проведения анализа рисков ИБ
-
предоставление оперативной информации для мониторинга эффективности ИБ
-
предотвращение инцидентов ИБ в будущем
-
Доказательства в электронной форме могут быть получены из:
-
журналов событий операционных систем
-
журналов событий средств защиты информации
-
электронных баз данных
-
мобильных телефонов
-
USB-накопителей
-
Наиболее критичные аспекты проведения технико-криминалистической экспертизы:
-
обеспечение целостности доказательств
-
сохранение доказательств
-
сбор доказательств
-
К основным подпроцессам процесса управления инцидентами относятся
-
Реагирование на инциденты ИБ
-
Анализ инцидентов ИБ
-
Обработка сообщений об уязвимостях, событиях ИБ и инцидентах ИБ
-
Расследование инцидентов ИБ
-
оповещение об уязвимостях, событиях ИБ и инцидентах ИБ;
-
Обнаружение уязвимостей, событий ИБ и инцидентов ИБ
-
анализ эффективности процесса управления инцидентами ИБ.
-
В этап «планирование и подготовка» процесса управления инцидентами ИБ включается
-
обновление политик управления ИБ и обработки рисков ИБ на всех уровнях
-
создание в организации ГРИИБ
-
технические и другие средства для поддержки СУИИБ
-
проектирование и разработка программы обеспечения осведомленности об управлении инцидентами ИБ
-
ознакомление всего персонала организации о существовании СУИИБ и надлежащих способах сообщения о событиях ИБ
-
Варианты обработки всех возможных типов инцидентов ИБ, влияющих на доступность/разрушение и целостность системы, сервиса и/или сети, определяются в
-
стратегии УНБ
-
В случае намеренной атаки на систему, сервис и/или сеть, оставление их подключенными к Интернету и другим сетям возможно с целью
-
сбора наиболее полной информации о нарушителе при условии, если он не знает, что находится под наблюдением
-
обеспечение правильного функционирования критически важных бизнес-приложений
-
Если в процессе реагирования на инцидент ИБ очевидна необходимость объявления кризисной ситуации, то
-
отвечающий за ОНБ руководитель оповещается об активизации плана ОНБ, об этом также информируется руководитель ГРИИБ и высшее руководство организации
-
При реагировании на инциденты ИБ самой низкой степени серьезности
-
все необходимые действия выполняются, одним специалистом и не требуют сбора ГРИИБ для реагирования на него
-
В процессе немедленного реагирования информация, которая могла быть повреждена во время инцидента ИБ, обязательно сверяется членом ГРИИБ с резервными записями с целью
-
выявления изменения, стирания или модификации информации
-
В соответствии с ГОСТ ИСО/МЭК 27001 инцидент ИБ - это
-
появление одного или нескольких нежелательных или неожиданных событий ИБ, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ
-
В соответствии с ГОСТ ИСО/МЭК 18044 инцидент ИБ – это
-
Появление одного или нескольких нежелательных или неожиданных событий ИБ, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ
-
В процессе реагирования на инцидент на случай судебного разбирательства необходимо осуществить действия:
-
документировать и хранить вместе с исходными носителями спецификации и описания сервисных команд, которые используются для дублирования
-
при выполнение дублирования обеспечить присутствие не менее двух понятых
-
провести полное дублирование пораженной системы, сервиса и/или сети или резервное копирование журналов и рабочих файлов
-
собрать и проанализировать журналы соседних систем, сервисов и/или сетей
-
всю собранную информацию хранить на носителях только для чтения
-
При возникновении события ИБ действием субъекта, направленным на объект, может быть:
-
удаление
-
подмена
-
модификация
-
кража
-
копирование
-
В рамках какого процесса происходит восстановление функций бизнеса в исходное состояние при их нарушении в результате инцидентов ИБ:
-
обеспечения непрерывности бизнеса
-
Информация какого типа должна собираться в первую очередь в процессе правовой экспертизы?
-
Временная информация
-
В процессе второй оценки и подтверждения инцидента ИБ принимающий отчеты сотрудник ГРИИБ
-
обращается за уточнениями к ГОЭ
-
вводит полученную форму в БДСИИБ
-
подтверждает получение формы отчета ГОЭ
-
собирает дополнительную необходимую информацию о событии ИБ
-
анализирует содержание отчета
-
Обнаружить и сообщить об инциденте ИБ могут
-
сотрудники подразделении, ответственных за поддержание информационной инфраструктуры
-
рядовые сотрудники
-
специалисты подразделения ИБ
-
Типовые действия, выполняемые в рамках процесса управления инцидентами ИБ:
-
реагирование на инцидент ИБ
-
идентификация инцидента ИБ
-
восстановление после инцидента ИБ
-
последующие действия по инциденту ИБ (анализ первопричин возникшего инцидента ИБ, проведение служебного расследования и предоставление отчета об инциденте ИБ заинтересованным сторонам).
-
При реагировании на инциденты ИБ высокой степени серьезности
-
осуществляется информирование владельцев активов и владельцев бизнес-процессов, вовлеченных в инцидент ИБ, непосредственно после назначения ответственных за его разрешение и требуется созыв ГРИИБ
-
Стандарт ISO/IEC 27035 содержит структурированный подход к:
-
осуществлению ответной реакции и управлению инцидентами ИБ
-
постоянному улучшению управления ИБ и инцидентами ИБ
-
обнаружению, оценке и устранению уязвимостей
-
обнаружению, составлению отчетов и оценке инцидентов ИБ
-
Деятельность по управлению инцидентами включает в себя
-
сохранение информации об инциденте ИБ и сбор доказательств
-
разрешение и закрытие инцидентов ИБ
-
обнаружение и регистрация произошедших инцидентов ИБ
-
оценку, классификацию и приоритезацию инцидентов ИБ
-
извлечение уроков из инцидентов ИБ
-
подготовка к усовершенствованию процесса управления инцидентами ИБ
-
Область знаний, посвященная сбору доказательств для последующего расследования компьютерного преступления:
-
Компьютерная форензика
-
Форма отчета по инциденту ИБ, оформляемая при первичной оценке, содержит информацию о том
-
На что он влияет или может повлиять
-
Указания на вероятную значительность/незначительность инцидента ИБ
-
Фактическое или потенциальное воздействие инцидента ИБ на бизнес организации
-
Что представляет собой инцидент ИБ
-
Что явилось его причиной, чем или кем он был вызван
-
Как инцидент ИБ обрабатывался до этого времени
-
ISO/IEC 27037 содержит
-
Руководство по идентификации доказательств в электронной форме
-
Руководство по транспортировке доказательств в электронной форме
-
Руководство по сбору и/или получению доказательств в электронной форме
-
Руководство по хранению доказательств в электронной форме
-
идентификации доказательств в электронной форме;
-
сбору и/или получению доказательств в электронной форме;
-
пометке доказательств в электронной форме;
-
хранению доказательств в электронной форме;
-
транспортировке доказательств в электронной форме;
-
сохранению доказательств в электронной форме.