Экзамен¶
Информация слушателям¶
Экзаменационный лист состоит из трех частей. На экзамен отводится 2 часа. Требуется попробовать ответить на все вопросы каждой части в отведенное время. Дополнительное время на ознакомление с экзаменационным листом не предоставляется.
В процессе решения экзаменационных вопросов возможно набрать суммарно максимально 150 баллов. Для успешной сдачи экзамена требуется набрать по крайнем мере 90 баллов (60%), а также корректно ответить не мнее чем на 50% вопросов каждой части. Максимальное количество балов, которое можно получить за каждый правильный ответ, или часть ответа на вопрос, показано в квадратных скобках.
Ответ должен быть записан на отведенном для этого месте экзаменационного листа. Просим избегать ответов на полях, они отведены для заметок проверяющих. Допускается писать на обратной стороне листа (если применимо) или расширять поля электронной формы. Дополнительные листы вне отведенной формы не будут приняты. При ответах допустимо использовать только ссылки на актуальные/действующие положения стандартов, включая ISO/IEC 27001.
Рекомендации¶
При прохождении экзамена очень важно управлять своим временем. Рекомендуемое время, затрачиваемое для ответа на каждую часть:
- Ознакомление с экзаменационным листом – 5 минут;
- Часть 1 – 35 минут;
- Часть 2 – 20 минут;
- Часть 3 – 60 минут;
Суммарное доступное время – 120 минут (2 часа).
ЧАСТЬ 1¶
Цель данной части экзамена заключается в оценке понимания базовых терминов, функций и особенностей Системы менеджмента информационной безопасности, основанных на стандарте ISO/IEC 27001:2022. Объем каждого ответа не должен превышать 6-7 строк текста. За каждый ответ можно получить максимум 5 баллов. Ответы не должны быть дословным изложением полученных знаний, материалов курса и различных вспомогательных материалов и стандартов. Максимальный балл будет выставлен за любой ответ, который корректно покрывает суть вопроса.
ЗаданиеЗадание
- [5 баллов] Перечислите ПЯТЬ дополнительных обязанностей ведущего аудитора в сравнении с обязанностями аудитора.
- [5 баллов] Перечислите шаги, которые должна предпринять проверяемая организация при выполнении корректирующих действий по выявленным несоответствиям в ходе проведения Сертификационного аудита.
- [5 баллов] Приведите ПЯТЬ примеров лучших практик при генерации качественных паролей.
- [5 баллов] Что Вы как аудитор ожидаете увидеть при проверке процесса измерения рисков (risk assessment)?
ЧАСТЬ 2¶
Цель данной части экзамена заключается в оценке понимания базовых функций аудитора, требуемых для проведения аудитов третьей стороны. Каждый вопрос имеет только один правильный ответ, который требуется выбрать из представленных. Каждый правильный ответ оценивается в 5 баллов.
ЗаданиеЗадание
1. [5 баллов] В соответствии с требованиями ISO 27001 Положение о применимости разрабатывается:
A)☐ органом по сертификации
B)☐ ведущим аудитором
C)☐ организацией, проходящей аудит
D)☐ органом по аккредитации
2. [5 баллов] Что должен включать в себя тренинг по вопросам информационной безопасности для персонала?
A)☐ политики информационной безопасности
B)☐ инциденты безопасности
C)☐ классификация и маркировка информации
D)☐ уязвимости, угрозы и риски информационной безопасности
E)☐ все вышеперечисленное
3. [5 баллов] В соответствии с требованиями ISO 27001 необходимо наличие документированной процедуры по:
A)☐ анализу со стороны руководства
B)☐ приверженности руководства
C)☐ совершенствованию СУИБ
D)☐ корректирующим действиям
E)☐ ничего из вышеперечисленного
4. [5 баллов] Какое из перечисленных ниже действий обычно не рассматривается в рисках информационной безопасности:
A)☐ кража
B)☐ шантаж
C)☐ нарушение периметра организации
D)☐ коррупция
E)☐ отказ в обслуживании
5. [5 баллов] Если команда аудита не обнаружит несоответствий ведущий аудитор должен:
A)☐ объяснить руководству проверяемой организации, что аудит основан на репрезентативной выборке и возможны несоответствия, не попавшие в объем выборки
B)☐ сделать заключение об отсутствии несоответствий в системе управления
C)☐ отменить заключительное совещание
D)☐ все вышеперечисленное
E)☐ ничего из вышеперечисленного
6. [5 баллов] Обработка рисков – это:
A)☐ управление риском путем внедрения контрмер и вычисления остаточного риска
B)☐ идентификация информационных активов и вычисление значений риска
C)☐ внедрение существующих мер обеспечения информационной безопасности
D)☐ определение уязвимостей и угроз для информационных активов
E)☐ игнорирование риска
7. [5 баллов] Что из нижеперечисленного является обязанностью сопровождающего во время аудита?
A)☐ проводить аудитора к месту проведения интервью
B)☐ выступать в роли свидетеля выявленных несоответствий
C)☐ следить за признаками стресса/конфликта
D)☐ предлагать соответствующие альтернативные источники информации в случае, если область вопросов не соответствует проверяемому
E)☐ все вышеперечисленное
8. [5 баллов] Какие из нижеперечисленных областей возможно исключить из программы аудита?
A)☐ мониторинг состояния информационной безопасности
B)☐ осведомленность и обучение по информационной безопасности
C)☐ анализ остаточного риска с учетом изменений в бизнес-целях
D)☐ все вышеперечисленное
E)☐ ничего из вышеперечисленного
9. [5 баллов] Достоверная информация, основанная на фактах, полученных в ходе аудита, называется:
A)☐ объективное свидетельство
B)☐ несоответствие
C)☐ несоблюдение
D)☐ запись
E)☐ наблюдение
10. [5 баллов] Какие из нижеперечисленных положений ISO 27001 рассматриваются с законодательной точки зрения?
A)☐ авторские права
B)☐ сохранность важных записей организации
C)☐ защита персональных данных
D)☐ все из вышеперечисленной
E)☐ ничего из вышеперечисленного
ЧАСТЬ 3¶
Цель данной части экзамена заключается в оценке опыта, которым должен обладать слушатель курса и понимания процессов стандарта ISO/IEC 27001:2022 которым должен следовать аудитор. За каждый ответ можно получить максимум 15 баллов. Не существует уникального корректного ответа на поставленные вопросы, скорее правильный подход к ситуации, который выберет аудитор ISO/ISO 27001:2022 при проведении аудита третьей стороны. Ожидается, что в каждом ответе будет адекватное обоснование с отсылкой к требованиям стандарта
ЗаданиеЗадание
1.
[10 баллов] Сбалансированная система мер обеспечения информационной безопасности включает в себя элементы:
- физической безопасности
- безопасности персонала
- организационной безопасности
- технической безопасности
Объясните это заключение и приведите примеры по каждому элементу.
2. [10 баллов] Перечислите и объясните вопросы, которые Ведущий аудитор должен осветить на заключительном совещании по окончании Стадии 2 Сертификационного аудита.
3.
[10 баллов] Во время второй стадии Сертификационного аудита аудитор спросил у оператора данных, существует ли у нее документированная процедура по ее работе. Она ответила, что сейчас у нее такой под рукой нет, но она помнит, что на вводном курсе она с ней знакомилась. Она добавила, что процесс практически не изменился с того времени, когда она изучала эту процедуру.
Внимательно проанализируйте ситуацию и предпримите одно из следующих действий:
- Если Вы думаете, что были представлены достаточные объективные свидетельства несоответствия, тогда заполните бланк и категорируйте выявление как Значительное или Незначительное несоответствие.
- Если Вы не думаете, что были представлены достаточные объективные свидетельства несоответствия, тогда укажите причины, почему Вы так думаете в поле под бланком. Вы также должны указать, что в таком случае аудитору следует сделать далее.
4.
[15 баллов] Аудитор спросил у работника о его роли и узнал, что имеет дело с инженером техподдержки. После этого он поинтересовался, чем тот занят и получил ответ, что он пытается устранить программную ошибку, появившуюся после обновления приложения. Когда его спросили, проводилось ли предварительное тестирование обновления, он ответил отрицательно, объяснив, что для этого нет соответствующего оборудования. Поэтому он обязан проводить обновление в среде эксплуатации, наблюдая за тем, чтобы это не вызывало проблем.
Внимательно проанализируйте ситуацию и предпримите одно из следующих действий:
- Если Вы думаете, что были представлены достаточные объективные свидетельства несоответствия, тогда заполните бланк и категорируйте выявление как Значительное или Незначительное несоответствие.
- Если Вы не думаете, что были представлены достаточные объективные свидетельства несоответствия, тогда укажите причины, почему Вы так думаете в поле под бланком. Вы также должны указать, что в таком случае аудитору следует сделать далее.
5.
[15 баллов] Во время аудита финансового отдела аудитор обнаружил, что один из работников непреднамеренно нарушил политику безопасности в отношении информации, предоставляемой клиентам организации. Об этом было сообщено менеджеру по ИБ, и был зарегистрирован инцидент ИБ. Менеджер по ИБ осуществил почтовую рассылку с информацией о необходимости проведения анализа Политики ИБ с последующим переизданием Политики ИБ и связанных с нею процедур. С этого момента в организации не было зарегистрировано повторных нарушений, однако ни одна из процедур не была перевыпущена.
Внимательно проанализируйте ситуацию и предпримите одно из следующих действий:
- Если Вы думаете, что были представлены достаточные объективные свидетельства несоответствия, тогда заполните бланк и категорируйте выявление как Значительное или Незначительное несоответствие.
- Если Вы не думаете, что были представлены достаточные объективные свидетельства несоответствия, тогда укажите причины, почему Вы так думаете в поле под бланком. Вы также должны указать, что в таком случае аудитору следует сделать далее.