Информационные технологии и информационная безопасность в финансовой сфере /Темы 1-4 / Самый полный сборник из правильных ответов на отлично! 100/100

Информационные технологии и информационная безопасность в финансовой сфере /Темы 1-4 / Самый полный сборник из правильных ответов на отлично! 100/100

Информационные технологии и информационная безопасность в финансовой сфере
Введение в курс
Тема 1. Информационные финансовые технологии. Типичные угрозы для финансовых и банковских систем и продуктов
Тема 2. Преступления с использованием информационных технологий в банковской сфере
Тема 3. Информационные риски и стандарты информационной безопасности
Тема 4. Задачи органов надзора и практические аспекты инспекционных проверок в области обеспечения информационной безопасности в кредитных организациях
Заключение
Анкета обратной связи
Итоговая аттестация

Атака «...» – выполнение каких-либо действий злоумышленником от имени легального пользователя системы «Клиент-Банк» или «Интернет Клиент-Банк».
маскарад
салями
скрытие каналы

Установите хронологическую последовательность этапы проведения качественного анализа рисков в банке:
1 Формирование экспертной группы.
2 Определение границ информационной системы, риски в которой оцениваются.
3 Классификация обрабатываемой информации с точки зрения конфиденциальности, доступности и целостности.
4 Инвентаризация технических и программных ресурсов.
5 Формирование требований к обеспечению информационной безопасности.
6 Перечисление для каждой подсистемы функциональных задач.
7 Проведение анализа существующих мер защиты в информационной системе (ИС) и во всех подсистемах ИС.
8 Формирование характеристик угроз информационной системы.
9 Оценка угроз.
10 Оценка рисков.
11 Выработка предложений по управлению рисками.

… организация – юридическое лицо, которое для извлечения прибыли как основной цели своей деятельности на основании специального разрешения (лицензии) Центрального банка Российской Федерации (Банка России) имеет право осуществлять банковские операции.

…– это общее название технологий дистанционного банковского обслуживания, а также доступ к счетам и операциям (по ним), предоставляющийся в любое время и с любого устройства, имеющего доступ в Интернет.

Атака «…», ей характерно, что после окончания работы обрабатываемая информация не всегда полностью удаляется из памяти, а часть данных может оставаться на разных носителях.

Защищенная система содержит два вида средств…
средства, которые используются в чрезвычайных ситуациях;
средства, которые способны функционировать с нарушением существующей политики информационной безопасности.
средства, направленные на контроль процессов
профилактические средства

… – ненужные адресату электронные послания, рекламные письма и т. п., рассылаемые отдельными фирмами по Интернету или электронной почте.

…– процесс принятия и выполнения управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь проекта, вызванных его реализацией.

…банковское обслуживание – обмен финансовыми документами между клиентами и банками, который позволяет клиентам получить доступ к банковским и информационным услугам не выходя из дома или офиса.

В августе 1995 года в Великобритании был арестован 24-летний российский математик Владимир Левин, который при помощи своего домашнего компьютера в Петербурге он сумел проникнуть в банковскую систему американского банка …
Citibank
Bank of America
JPMorgan Chase

Исследование проблемы внутренних угроз показало, что… .(соотнесите результаты исследования и процент мнения респондентов):
A. 62%
B. 7%
C. 6%
D. искажение информации
E. утрата информации
F. кража оборудования

По оценкам экспертов, латентность киберпреступлений в России составляет … %.

Расположите в правильной последовательности действия инспектора:
1 провести анализ процессов выявления угроз и управления рисками, связанными с использованием информационных технологий;
2 оценить политику ИБ;
3 удостовериться в правильности и полноте реализации кредитной организацией комплекса мер и процедур по обеспечению ИБ и непрерывности электронной обработки данных;
4 убедиться в действенности проводимого службой ИБ и/или службой внутреннего контроля мониторинга применения информационных технологий и обеспечения ИБ;
5 выборочно (в плане контроля) или полностью проверить и оценить конкретные направления обеспечения ИБ.
6 Оценить уровень риска.

Принцип атаки «…» – при обработке счетов используются целые единицы, а при исчислении процентов нередко получаются дробные суммы.

… – это некоторая последовательность битов, которая записывается на место, освобождаемое файлом.

... безопасность – практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации.

В соответствии с п. … инструкции Банка России от 25.08.2003 № 105-И «О порядке проведения проверок кредитных организаций уполномоченными представителями Центрального банка Российской Федерации» мотивированное суждение должно основываться на полученных от кредитной организации документах.
7.5.1
10.5
5.7.1

Пропажа данных о работе с секретными счетами Bank of England в январе … года заставила банк поменять коды всех корреспондентских счетов. В этой связи в Великобритании были подняты по тревоге все имеющиеся силы разведки и контрразведки. Это было сделано, чтобы не допустить невероятной утечки информации, способной нанести огромный ущерб.
1999
1986
2005

… – это профессиональная оценка объективных экономических фактов, которая должна присутствовать в работе регулирующего органа, оценивающего деятельность кредитных организаций

Вероятность …– вероятность того, что в результате принятия решения произойдут потери для предпринимательской фирмы, т. е. вероятность нежелательного исхода.

Основной фактор, который определяет отношение организаций к вопросам информационной безопасности, –...
степень мотивации сотрудников
степень зрелости
процент текучки кадров

… – это ресурсы, контролируемые компанией в результате прошлых событий, от которых компания ожидает экономической выгоды в будущем (данная трактовка ...

…– это составление списка серверов, автоматизированных рабочих мест, телекоммуникационного оборудования, программного обеспечения.

Закон Российской Федерации от 23.09.1992 № … «О правовой охране программ для электронных вычислительных машин и баз данных» запрещает использование программного обеспечения с нарушением авторских прав.
3523-1
456
281

По оценкам экспертов, латентность киберпреступлений в Германии составляет … %.

Расположите в правильной последовательности этапы разработки системы защиты информации:
1 Предпроектные работы
2 Проектирование
3 Внедрение
4 Аттестация

… информационной безопасности — совокупность условий и факторов, создающих опасность нарушения информационной безопасности.

…– это инструмент оценки эффективности внедрения бизнес-процессов в организации, позволяющий эффективно отслеживать прогресс.

Расположите в хронологической последовательности этапы аудита информационной безопасности:
1 инициирование (согласование полномочий аудитора и план проверки);
2 сбор информации;
3 анализ данных;
4 выработка рекомендаций, документов;
5 подготовка отчета;
6 презентация (по желанию заказчика).

… информация – информация, являющаяся конфиденциальной, то есть «доверительной, не подлежащей огласке, секретной»; это понятие равнозначно с понятиями тайны или секрета

Анализ … рисков – это комплекс мероприятий на выявление угроз информационной системе, оценку этих угроз с точки зрения вероятности их реализации и возможного ущерба.

Отличительные особенности «скрытых каналов»:…(два варианта ответа)
малая пропускная способность
небольшой наносимый ими ущерб
большой наносимый ими ущерб.
большая пропускная способность;

Расположите в хронологической последовательности этапы планирования системы обеспечения информационной безопасности (СОИБ):
1 Определить область и границы действия СОИБ
2 Определить политику СОИБ
3 Определить подход к оценке риска в организации
4 Идентифицировать риски
5 Проанализировать и оценить риски
6 Определить и оценить различные варианты обработки рисков
7 Выбрать цели и меры управления для обработки рисков
8 Получить подтверждения руководством предполагаемых остаточных рисков
9 Получить разрешение руководства на внедрение СОИБ
10 Подготовить Положение о применимости

… мошенничество – совершение противоправных действий в сфере денежного обращения путем обмана, злоупотребления доверием и других манипуляций с целью незаконного обогащения.

…информационной безопасности – это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам.

Количество членов группы может быть разным, но в зависимости от размеров банка рекомендуется не меньше ...
трех
пяти
десяти

«…» – это скрытая, недокументированная точка входа в программный модуль, который вставляется в программу обычно на этапе отладки для облегчения работы.

Основной метод анализа информационных рисков – … анализ.
количественный
качественный
смешанный

Суть концепции… – пересылаемые по линиям связи сообщения должным образом оформленные и переданные, служат основанием для выполнения одной или нескольких банковских операций.

По оценкам экспертов, латентность киберпреступлений в США составляет … %.
80
45
95

… платежи – это специальная форма обмена электронными данными, без которых практически ни один современный банк не может функционировать.

Анализ … в бизнесе – это основной процесс при принятии менеджером решений о направлении движения кредитной организации или ее конкретных действиях.

К технологиям дистанционного банковского обслуживания относят … (2 варианта ответа)
«Интернет Клиент-Банк»
пластиковые карты
сберегательные книжки
почтовые услуги

Расположите в правильной последовательности этапы анализа рисков с помощью методики CRAMM.
1 Решение задачи определения границ исследуемой системы.
2 Идентификация ресурсов.
3 Определение ценности ресурсов обязательно в полном варианте анализа рисков.
4 Оценка угроз и уязвимости оцениваются зависимости пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимости.
5 Проведение коррекции результатов или использование других методов оценки.
6 Генерируется несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням.

…– необходимость предотвращения разглашения, утечки какой-либо информации.

Переход от проверки конкретных операций к проверке внутренних систем банков становится стратегическим направлением контактного надзора в лице … Банка России.
инспекционных подразделений
технических подразделений
финансовых инспекционных подразделений

Установите соответствие между уровнями зрелости организации по модели Carnegie Mellon University и характеристиками:
A. Уровень «Стандарты»
B. Уровень «Измеряемый»
C. Уровень «Оптимизируемый»
D. наличие формализованного описания процессов не означает, что они работают; организация начинает адаптировать свой опыт к специфике бизнеса; производится анализ знаний и умений сотрудников с целью определения необходимого уровня компетенции
E. процессы измеряемы и стандартизованы
F. фокус на повторяемости, измерении эффективности, оптимизации; вся информация о функционировании процессов фиксируется

…– растянутый во времени процесс, который основан на знаниях как собственника, так и злоумышленника.

Установите соответствие между нормативными документами и их требованиями:
A. Закон РФ от 23.09.1992 № 3523-1 «О правовой охране программ для электронных вычислительных машин и баз данных»
B. ФЗ от 20.02.1995 № 24-ФЗ «Об информации, информатизации и защите информации»
C. Положение Банка России от 05.12.2002 № 205-П «О правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории РФ».
D. запрещает использование программного обеспечения с нарушением авторских прав.
E. определяет, что защите подлежит любая информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.
F. обязывает руководителя кредитной организации при применении технических средств обеспечить: ограничение доступа к совершению операций; конфиденциальность применяемых кодов и паролей;

Установите соответствие между видами атак и их характеристиками:
A. Салями
B. Скрытые каналы
C. Сборка мусора
D. Характерна для систем, которые обрабатывают денежные счета
E. Представляет из себя путь передачи информации между процессами системы, которые нарушают политику информационной безопасности
F. Характерно, что после окончания работы обрабатываемая информация не всегда полностью удаляется из памяти, а часть данных может оставаться на разных носителях

…– сочетание вероятности и последствий наступления неблагоприятных событий.

Расположите в хронологической последовательности этапы реализации системы обеспечения информационной безопасности (СОИБ):
1 Разработать план обработки рисков
2 Реализовать план обработки рисков
3 Внедрить выбранные меры управления
4 Определить способ измерения результативности
5 Реализовать программы по обучению и повышению квалификации сотрудников
6 Управлять работой СОИБ
7 Управлять ресурсами СОИБ
8 Внедрить процедуры, обеспечивающие возможность быстрого реагирования на инциденты

Установите соответствие между названием и сущностью характеристик информационной безопасности (ИБ):
A. организационные
B. нормативно-правовые
C. технические
D. характеристики службы обеспечения ИБ, иерархия обеспечения ИБ, разграничение полномочий по обеспечению ИБ
E. наличие нормативных документов, политика ИБ, порядок пересмотра нормативных документов
F. порядок доступа в помещения и физической защиты средств вычислительной техники, порядок разработки, установки и сопровождения ПО и аппаратных средств.

Установите соответствие между уровнями зрелости организации по модели Carnegie Mellon University и характеристиками:
A. Уровень «Анархия»
B. Уровень «Фольклор»
C. Уровень «Стандарты»
D. сотрудники сами определяют, что хорошо, а что плохо; затраты и качество не прогнозируются; отсутствует контроль изменений; высшее руководство плохо представляет реальное положение дел
E. выявлена определенная повторяемость организационных процессов; опыт организации представлен в виде «преданий корпоративной мифологии»; знания накапливаются в виде личного опыта сотрудников и пропадают при их увольнении
F. «корпоративная мифология» записана на бумаге; процессы повторяемы и не зависят от личных качеств исполнителей; информация о процессах для измерения эффективности не собирается

Технология «…» – вид интернет-мошенничества, цель которого — получить идентификационные данные пользователей.

Стратегия информационной безопасности кредитных организаций сильно отличается от аналогичных стратегий других компаний, и это обусловлено двумя обстоятельствами….
специфическим характером угроз
публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов
увеличением количества клиентов банка
стандартным характером угроз

Установите соответствие между программами и их характеристиками:
A. Троянский конь
B. Вирус
C. Сетевой червь
D. программа, которая выполняет в дополнение к основным не описанные в документации действия.
E. программа, которая может заражать другие программы путем включения в них своей, возможно модифицированной, копии.
F. программа, которая распространяется через сеть, в том числе Интернет и не оставляет своей копии на магнитном носителе.

Установите соответствие между программами и их характеристиками:
A. Захватчик ресурсов
B. Перехватчик паролей
C. Вирус
D. программа, которая при своем выполнении стремится монополизировать какой-либо ресурс системы.
E. программа, которая может заражать другие программы путем включения в них своей, возможно модифицированной, копии.
F. программа специально предназначена для воровства паролей.

…– член какой-либо группы людей, имеющей доступ к информации, недоступной широкой публике.

По оценкам экспертов, латентность киберпреступлений в Великобритании составляет … %.
30
85
60

Российской компанией InfoWatch в 2004г. проведено исследование в области корпоративной защиты ИБ. Соотнесите результаты исследований и процент мнения респондентов:
A. 99,4%
B. 87%
C. 76%
D. допускают возможность наличия незарегистрированных инцидентов внутренней ИБ
E. считают технические средства эффективным способом защиты
F. планируют внедрение систем защиты от нарушения конфиденциальности информации в ближайшие 2 года

Российской компанией InfoWatch в 2004г. проведено исследование в области корпоративной защиты ИБ. Соотнесите результаты исследований и процент мнения респондентов:
A. 62%
B. 98%
C. 89%
D. респондентов считают, что действия инсайдеров являются самой большой угрозой для российских организаций
E. респондентов считает, что нарушение конфиденциальности информации - самая большая внутренняя угроза
F. респондентов считают электронную почту самым распространенным путем утечки конфиденциальной информации

Защита персональных данных клиентов и сотрудников должна соответствовать нормам № …-ФЗ «О персональных данных».

Установите последовательность этапов управления рисками:
1 выявление риска и оценка вероятности его реализации и масштаба последствий, определение максимально возможного убытка;
2 выбор методов и инструментов управления выявленным риском;
3 разработка риск-стратегии с целью снижения вероятности реализации риска и минимизации возможных негативных последствий;
4 реализация риск-стратегии;
5 оценка достигнутых результатов и корректировка риск-стратегии.

Система… – совокупность алгоритмов шифрования и методов распространения ключей.

Установите хронологическую последовательность этапов развития организации:
1 стартап, или внедрение
2 рост
3 зрелость
4 спад
5 возрождение

Принципами информационной безопасности являются…(два варианта ответа)
конфиденциальность
достоверность
гибкость
простота

Установите хронологическую последовательность этапов развития информационной безопасности:
1 Этап характеризуется использованием естественно возникавших средств информационных коммуникаций.
2 Этап связан с началом использования искусственно создаваемых технических средств электро- и радиосвязи
3 Этап связан с появлением радиолокационных и гидроакустических средств.
4 Этап связан с изобретением и внедрением в практическую деятельность электронно-вычислительных машин (компьютеров).
5 Этап связан с использованием сверхмобильных коммуникационных устройств с широким спектром задач.
6 Этап связан с созданием и развитием глобальных информационно-коммуникационных сетей с использованием космических средств обеспечения.

Атака «…» характерна для систем, которые обрабатывают денежные счета.

Цель … анализа рисков – охарактеризовать возможные риски в количественном эквиваленте.
количественного
качественного
смешанного

Установите хронологическую последовательность этапов проверки системы обеспечения информационной безопасности:
1 Выполнять процедуры мониторинга и анализа
2 Проводить регулярный анализ результативности СОИБ
3 Измерять результативность мер управления для проверки соответствия требованиям ИБ
4 Пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков
5 Проводить внутренние аудиты системы менеджмента информационной безопасности (СМИБ) через установленные периоды времени
6 Регулярно проводить руководством организации анализ СМИБ
7 Обновлять планы ИБ с учетом результатов анализа и мониторинга
8 Регистрировать действия и события, способные повлиять на результативность или функционирование СОИБ

Атака «…» представляет из себя путь передачи информации между процессами системы, которые нарушают политику информационной безопасности.

Установите правильную последовательность этапов совершенствования системы обеспечения информационной безопасности:
1 Выявлять возможности улучшения СОИБ
2 Предпринимать необходимые корректирующие и предупреждающие действия
3 Передавать подробную информацию о действиях по улучшению СМИБ всем заинтересованным сторонам
4 Обеспечивать внедрение улучшений СМИБ для достижения запланированных целей

…– это розничная продажа товаров поштучно или в небольшом количестве непосредственно конечным потребителям.

Атака «...» – выполнение каких-либо действий злоумышленником от имени легального пользователя системы «Клиент-Банк» или «Интернет Клиент-Банк».
маскарад
салями
скрытие каналы

Установите хронологическую последовательность этапы проведения качественного анализа рисков в банке:
1 Формирование экспертной группы.
2 Определение границ информационной системы, риски в которой оцениваются.
3 Классификация обрабатываемой информации с точки зрения конфиденциальности, доступности и целостности.
4 Инвентаризация технических и программных ресурсов.
5 Формирование требований к обеспечению информационной безопасности.
6 Перечисление для каждой подсистемы функциональных задач.
7 Проведение анализа существующих мер защиты в информационной системе (ИС) и во всех подсистемах ИС.
8 Формирование характеристик угроз информационной системы.
9 Оценка угроз.
10 Оценка рисков.
11 Выработка предложений по управлению рисками.

… организация – юридическое лицо, которое для извлечения прибыли как основной цели своей деятельности на основании специального разрешения (лицензии) Центрального банка Российской Федерации (Банка России) имеет право осуществлять банковские операции.

…– это общее название технологий дистанционного банковского обслуживания, а также доступ к счетам и операциям (по ним), предоставляющийся в любое время и с любого устройства, имеющего доступ в Интернет.

Атака «…», ей характерно, что после окончания работы обрабатываемая информация не всегда полностью удаляется из памяти, а часть данных может оставаться на разных носителях.

Защищенная система содержит два вида средств…
средства, которые используются в чрезвычайных ситуациях;
средства, которые способны функционировать с нарушением существующей политики информационной безопасности.
средства, направленные на контроль процессов
профилактические средства

… – ненужные адресату электронные послания, рекламные письма и т. п., рассылаемые отдельными фирмами по Интернету или электронной почте.

…– процесс принятия и выполнения управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь проекта, вызванных его реализацией.

…банковское обслуживание – обмен финансовыми документами между клиентами и банками, который позволяет клиентам получить доступ к банковским и информационным услугам не выходя из дома или офиса.

В августе 1995 года в Великобритании был арестован 24-летний российский математик Владимир Левин, который при помощи своего домашнего компьютера в Петербурге он сумел проникнуть в банковскую систему американского банка …
Citibank
Bank of America
JPMorgan Chase

Исследование проблемы внутренних угроз показало, что… .(соотнесите результаты исследования и процент мнения респондентов):
A. 62%
B. 7%
C. 6%
D. искажение информации
E. утрата информации
F. кража оборудования

По оценкам экспертов, латентность киберпреступлений в России составляет … %.

Расположите в правильной последовательности действия инспектора:
1 провести анализ процессов выявления угроз и управления рисками, связанными с использованием информационных технологий;
2 оценить политику ИБ;
3 удостовериться в правильности и полноте реализации кредитной организацией комплекса мер и процедур по обеспечению ИБ и непрерывности электронной обработки данных;
4 убедиться в действенности проводимого службой ИБ и/или службой внутреннего контроля мониторинга применения информационных технологий и обеспечения ИБ;
5 выборочно (в плане контроля) или полностью проверить и оценить конкретные направления обеспечения ИБ.
6 Оценить уровень риска.

Принцип атаки «…» – при обработке счетов используются целые единицы, а при исчислении процентов нередко получаются дробные суммы.

… – это некоторая последовательность битов, которая записывается на место, освобождаемое файлом.

... безопасность – практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации.

В соответствии с п. … инструкции Банка России от 25.08.2003 № 105-И «О порядке проведения проверок кредитных организаций уполномоченными представителями Центрального банка Российской Федерации» мотивированное суждение должно основываться на полученных от кредитной организации документах.
7.5.1
10.5
5.7.1

Пропажа данных о работе с секретными счетами Bank of England в январе … года заставила банк поменять коды всех корреспондентских счетов. В этой связи в Великобритании были подняты по тревоге все имеющиеся силы разведки и контрразведки. Это было сделано, чтобы не допустить невероятной утечки информации, способной нанести огромный ущерб.
1999
1986
2005

… – это профессиональная оценка объективных экономических фактов, которая должна присутствовать в работе регулирующего органа, оценивающего деятельность кредитных организаций

Вероятность …– вероятность того, что в результате принятия решения произойдут потери для предпринимательской фирмы, т. е. вероятность нежелательного исхода.

Основной фактор, который определяет отношение организаций к вопросам информационной безопасности, –...
степень мотивации сотрудников
степень зрелости
процент текучки кадров

… – это ресурсы, контролируемые компанией в результате прошлых событий, от которых компания ожидает экономической выгоды в будущем (данная трактовка ...

…– это составление списка серверов, автоматизированных рабочих мест, телекоммуникационного оборудования, программного обеспечения.

Закон Российской Федерации от 23.09.1992 № … «О правовой охране программ для электронных вычислительных машин и баз данных» запрещает использование программного обеспечения с нарушением авторских прав.
3523-1
456
281

По оценкам экспертов, латентность киберпреступлений в Германии составляет … %.

Расположите в правильной последовательности этапы разработки системы защиты информации:
1 Предпроектные работы
2 Проектирование
3 Внедрение
4 Аттестация

… информационной безопасности — совокупность условий и факторов, создающих опасность нарушения информационной безопасности.

…– это инструмент оценки эффективности внедрения бизнес-процессов в организации, позволяющий эффективно отслеживать прогресс.

Расположите в хронологической последовательности этапы аудита информационной безопасности:
1 инициирование (согласование полномочий аудитора и план проверки);
2 сбор информации;
3 анализ данных;
4 выработка рекомендаций, документов;
5 подготовка отчета;
6 презентация (по желанию заказчика).

… информация – информация, являющаяся конфиденциальной, то есть «доверительной, не подлежащей огласке, секретной»; это понятие равнозначно с понятиями тайны или секрета

Анализ … рисков – это комплекс мероприятий на выявление угроз информационной системе, оценку этих угроз с точки зрения вероятности их реализации и возможного ущерба.

Отличительные особенности «скрытых каналов»:…(два варианта ответа)
малая пропускная способность
небольшой наносимый ими ущерб
большой наносимый ими ущерб.
большая пропускная способность;

Расположите в хронологической последовательности этапы планирования системы обеспечения информационной безопасности (СОИБ):
1 Определить область и границы действия СОИБ
2 Определить политику СОИБ
3 Определить подход к оценке риска в организации
4 Идентифицировать риски
5 Проанализировать и оценить риски
6 Определить и оценить различные варианты обработки рисков
7 Выбрать цели и меры управления для обработки рисков
8 Получить подтверждения руководством предполагаемых остаточных рисков
9 Получить разрешение руководства на внедрение СОИБ
10 Подготовить Положение о применимости

… мошенничество – совершение противоправных действий в сфере денежного обращения путем обмана, злоупотребления доверием и других манипуляций с целью незаконного обогащения.

…информационной безопасности – это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам.

Количество членов группы может быть разным, но в зависимости от размеров банка рекомендуется не меньше ...
трех
пяти
десяти

«…» – это скрытая, недокументированная точка входа в программный модуль, который вставляется в программу обычно на этапе отладки для облегчения работы.

Основной метод анализа информационных рисков – … анализ.
количественный
качественный
смешанный

Суть концепции… – пересылаемые по линиям связи сообщения должным образом оформленные и переданные, служат основанием для выполнения одной или нескольких банковских операций.

По оценкам экспертов, латентность киберпреступлений в США составляет … %.
80
45
95

… платежи – это специальная форма обмена электронными данными, без которых практически ни один современный банк не может функционировать.

Анализ … в бизнесе – это основной процесс при принятии менеджером решений о направлении движения кредитной организации или ее конкретных действиях.

К технологиям дистанционного банковского обслуживания относят … (2 варианта ответа)
«Интернет Клиент-Банк»
пластиковые карты
сберегательные книжки
почтовые услуги

Расположите в правильной последовательности этапы анализа рисков с помощью методики CRAMM.
1 Решение задачи определения границ исследуемой системы.
2 Идентификация ресурсов.
3 Определение ценности ресурсов обязательно в полном варианте анализа рисков.
4 Оценка угроз и уязвимости оцениваются зависимости пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимости.
5 Проведение коррекции результатов или использование других методов оценки.
6 Генерируется несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням.

…– необходимость предотвращения разглашения, утечки какой-либо информации.

Переход от проверки конкретных операций к проверке внутренних систем банков становится стратегическим направлением контактного надзора в лице … Банка России.
инспекционных подразделений
технических подразделений
финансовых инспекционных подразделений

Установите соответствие между уровнями зрелости организации по модели Carnegie Mellon University и характеристиками:
A. Уровень «Стандарты»
B. Уровень «Измеряемый»
C. Уровень «Оптимизируемый»
D. наличие формализованного описания процессов не означает, что они работают; организация начинает адаптировать свой опыт к специфике бизнеса; производится анализ знаний и умений сотрудников с целью определения необходимого уровня компетенции
E. процессы измеряемы и стандартизованы
F. фокус на повторяемости, измерении эффективности, оптимизации; вся информация о функционировании процессов фиксируется

…– растянутый во времени процесс, который основан на знаниях как собственника, так и злоумышленника.

Установите соответствие между нормативными документами и их требованиями:
A. Закон РФ от 23.09.1992 № 3523-1 «О правовой охране программ для электронных вычислительных машин и баз данных»
B. ФЗ от 20.02.1995 № 24-ФЗ «Об информации, информатизации и защите информации»
C. Положение Банка России от 05.12.2002 № 205-П «О правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории РФ».
D. запрещает использование программного обеспечения с нарушением авторских прав.
E. определяет, что защите подлежит любая информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.
F. обязывает руководителя кредитной организации при применении технических средств обеспечить: ограничение доступа к совершению операций; конфиденциальность применяемых кодов и паролей;

Установите соответствие между видами атак и их характеристиками:
A. Салями
B. Скрытые каналы
C. Сборка мусора
D. Характерна для систем, которые обрабатывают денежные счета
E. Представляет из себя путь передачи информации между процессами системы, которые нарушают политику информационной безопасности
F. Характерно, что после окончания работы обрабатываемая информация не всегда полностью удаляется из памяти, а часть данных может оставаться на разных носителях

…– сочетание вероятности и последствий наступления неблагоприятных событий.

Расположите в хронологической последовательности этапы реализации системы обеспечения информационной безопасности (СОИБ):
1 Разработать план обработки рисков
2 Реализовать план обработки рисков
3 Внедрить выбранные меры управления
4 Определить способ измерения результативности
5 Реализовать программы по обучению и повышению квалификации сотрудников
6 Управлять работой СОИБ
7 Управлять ресурсами СОИБ
8 Внедрить процедуры, обеспечивающие возможность быстрого реагирования на инциденты

Установите соответствие между названием и сущностью характеристик информационной безопасности (ИБ):
A. организационные
B. нормативно-правовые
C. технические
D. характеристики службы обеспечения ИБ, иерархия обеспечения ИБ, разграничение полномочий по обеспечению ИБ
E. наличие нормативных документов, политика ИБ, порядок пересмотра нормативных документов
F. порядок доступа в помещения и физической защиты средств вычислительной техники, порядок разработки, установки и сопровождения ПО и аппаратных средств.

Установите соответствие между уровнями зрелости организации по модели Carnegie Mellon University и характеристиками:
A. Уровень «Анархия»
B. Уровень «Фольклор»
C. Уровень «Стандарты»
D. сотрудники сами определяют, что хорошо, а что плохо; затраты и качество не прогнозируются; отсутствует контроль изменений; высшее руководство плохо представляет реальное положение дел
E. выявлена определенная повторяемость организационных процессов; опыт организации представлен в виде «преданий корпоративной мифологии»; знания накапливаются в виде личного опыта сотрудников и пропадают при их увольнении
F. «корпоративная мифология» записана на бумаге; процессы повторяемы и не зависят от личных качеств исполнителей; информация о процессах для измерения эффективности не собирается

Технология «…» – вид интернет-мошенничества, цель которого — получить идентификационные данные пользователей.

Стратегия информационной безопасности кредитных организаций сильно отличается от аналогичных стратегий других компаний, и это обусловлено двумя обстоятельствами….
специфическим характером угроз
публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов
увеличением количества клиентов банка
стандартным характером угроз

Установите соответствие между программами и их характеристиками:
A. Троянский конь
B. Вирус
C. Сетевой червь
D. программа, которая выполняет в дополнение к основным не описанные в документации действия.
E. программа, которая может заражать другие программы путем включения в них своей, возможно модифицированной, копии.
F. программа, которая распространяется через сеть, в том числе Интернет и не оставляет своей копии на магнитном носителе.

Установите соответствие между программами и их характеристиками:
A. Захватчик ресурсов
B. Перехватчик паролей
C. Вирус
D. программа, которая при своем выполнении стремится монополизировать какой-либо ресурс системы.
E. программа, которая может заражать другие программы путем включения в них своей, возможно модифицированной, копии.
F. программа специально предназначена для воровства паролей.

…– член какой-либо группы людей, имеющей доступ к информации, недоступной широкой публике.

По оценкам экспертов, латентность киберпреступлений в Великобритании составляет … %.
30
85
60

Российской компанией InfoWatch в 2004г. проведено исследование в области корпоративной защиты ИБ. Соотнесите результаты исследований и процент мнения респондентов:
A. 99,4%
B. 87%
C. 76%
D. допускают возможность наличия незарегистрированных инцидентов внутренней ИБ
E. считают технические средства эффективным способом защиты
F. планируют внедрение систем защиты от нарушения конфиденциальности информации в ближайшие 2 года

Российской компанией InfoWatch в 2004г. проведено исследование в области корпоративной защиты ИБ. Соотнесите результаты исследований и процент мнения респондентов:
A. 62%
B. 98%
C. 89%
D. респондентов считают, что действия инсайдеров являются самой большой угрозой для российских организаций
E. респондентов считает, что нарушение конфиденциальности информации - самая большая внутренняя угроза
F. респондентов считают электронную почту самым распространенным путем утечки конфиденциальной информации

Защита персональных данных клиентов и сотрудников должна соответствовать нормам № …-ФЗ «О персональных данных».

Установите последовательность этапов управления рисками:
1 выявление риска и оценка вероятности его реализации и масштаба последствий, определение максимально возможного убытка;
2 выбор методов и инструментов управления выявленным риском;
3 разработка риск-стратегии с целью снижения вероятности реализации риска и минимизации возможных негативных последствий;
4 реализация риск-стратегии;
5 оценка достигнутых результатов и корректировка риск-стратегии.

Система… – совокупность алгоритмов шифрования и методов распространения ключей.

Установите хронологическую последовательность этапов развития организации:
1 стартап, или внедрение
2 рост
3 зрелость
4 спад
5 возрождение

Принципами информационной безопасности являются…(два варианта ответа)
конфиденциальность
достоверность
гибкость
простота

Установите хронологическую последовательность этапов развития информационной безопасности:
1 Этап характеризуется использованием естественно возникавших средств информационных коммуникаций.
2 Этап связан с началом использования искусственно создаваемых технических средств электро- и радиосвязи
3 Этап связан с появлением радиолокационных и гидроакустических средств.
4 Этап связан с изобретением и внедрением в практическую деятельность электронно-вычислительных машин (компьютеров).
5 Этап связан с использованием сверхмобильных коммуникационных устройств с широким спектром задач.
6 Этап связан с созданием и развитием глобальных информационно-коммуникационных сетей с использованием космических средств обеспечения.

Атака «…» характерна для систем, которые обрабатывают денежные счета.

Цель … анализа рисков – охарактеризовать возможные риски в количественном эквиваленте.
количественного
качественного
смешанного

Установите хронологическую последовательность этапов проверки системы обеспечения информационной безопасности:
1 Выполнять процедуры мониторинга и анализа
2 Проводить регулярный анализ результативности СОИБ
3 Измерять результативность мер управления для проверки соответствия требованиям ИБ
4 Пересматривать оценки рисков через установленные периоды времени, анализировать остаточные риски и установленные приемлемые уровни рисков
5 Проводить внутренние аудиты системы менеджмента информационной безопасности (СМИБ) через установленные периоды времени
6 Регулярно проводить руководством организации анализ СМИБ
7 Обновлять планы ИБ с учетом результатов анализа и мониторинга
8 Регистрировать действия и события, способные повлиять на результативность или функционирование СОИБ

Атака «…» представляет из себя путь передачи информации между процессами системы, которые нарушают политику информационной безопасности.

Установите правильную последовательность этапов совершенствования системы обеспечения информационной безопасности:
1 Выявлять возможности улучшения СОИБ
2 Предпринимать необходимые корректирующие и предупреждающие действия
3 Передавать подробную информацию о действиях по улучшению СМИБ всем заинтересованным сторонам
4 Обеспечивать внедрение улучшений СМИБ для достижения запланированных целей

…– это розничная продажа товаров поштучно или в небольшом количестве непосредственно конечным потребителям.