18 Февраля, 2014

Тест на повышение осведомленности сотрудников в сфере ИБ

Игорь Агурьянов
Разрабатываем с коллегами курс для повышение осведомленности сотрудников в сфере информационной безопасности. Финальным этапом будут вопросы для теста - требования к этому делу у нас, чтобы было не скучно и чтобы вопросы не вызывали эффекта "логической бомбы". Ну и чтобы вопросы касались действительно тех областей ИБ, которые полезно/нужно знать всем работникам Компании. Набросал несколько вопросов с вариантами ответов:

1. Что из перечисленного не является инцидентом информационной безопасности:
- Отправка информации по новым разрабатываемым продуктам Компании на внешний ящик
- Загрузка клиентской базы на файлообменник
- Срабатывание антивируса
- Хранение пароля от компьютера на бумажке рядом с компьютером
- Поломка принтера
- Самостоятельная установка дополнительного программного обеспечения
(один ответ)

2. Чем опасно использование «анонимайзеров» (сервисов, позволяющих обходить политику блокировки доступа к запрещенным сайтам):
- Пароли передаются в незащищенном виде, поэтому его могут перехватить и использовать для доступа к тем ресурсам, которые посещались через анонимайзер
- Средства предотвращения утечек Компании не могут определить, какая информация была передана через «анонимайзер»
- Повышаются риски попасть на сайт, содержащий опасный контент
- Использование «анонимайзеров» значительно увеличивает нагрузку на каналы связи
(несколько ответов)

3. Какой пароль не возможно подобрать перебором?

- Пароль длиной более 13 символов
- Включающий символы кириллицы
- qwerty
- Полученный от Департамента ИБ
- Любой пароль можно подобрать
(один ответ, еще будет прикольно если после ответа появится табличка, что именно поэтому необходимо периодически менять пароль)

4. Что необходимо сделать, если по электронной почте от контрагента получен вирус?
- Сообщить о вирусе в правоохранительные органы
- Сообщить о вирусе в Департамент ИБ
- Отправить сообщение с вирусом обратно
- Переслать сообщение непосредственному руководителю
- Переслать сообщение системному администратору
(один ответ)

5. Какие из перечисленных сведений не относятся к персональным данным?
- Семейное положение
- Должность и доходы
- Модель автомобиля
- Скан-копия паспорта
- Политические взгляды
(один ответ)

6. Вы получили электронное письмо от совершенно незнакомого человека с просьбой зайти на его веб-сайт по присланной ссылке. Что разумно предпринять?
- Переслать письмо в Департамент ИБ
- Зайти по предложенной ссылке
- Отправить ответ с вежливым отказом
- В ответном письме предложить зайти на веб-сайт Carcade
- Отправить ответ с угрозой или оскорблением
- Пожаловаться интернет-провайдеру
- Проигнорировать сообщение
- Отключиться на несколько минут от интернета
(один ответ)

7. По каким признакам можно определить, что документ нельзя отправить себе на почту, чтобы поработать дома:
- На документе есть надпись Для внутреннего пользования, Конфиденциально или «Коммерческая тайна»
- В документе содержатся схемы или графики
- Документ зашифрован
- В документе есть информация, которая указана в Перечне сведеней, содержащих информацию ограниченного доступа ООО «Каркаде»
- Тот, кто направил Вам документ, каким-либо образом указал, что он «не для всех»
- Разработчик документа – Департамент информационной безопасности
- Документ в формате pdf или jpeg
- В документе есть информация, которая не размещена на сайте Компании или в Корпоративном журнале
(несколько вариантов)

8. Если Вам звонят из органов исполнительной власти и просят сообщить какую-то информацию о клиентах или работниках Компании – Ваши действия:
- Бросить трубку
- Найти в интернете, из каких стран нет экстрадиции в Россию
- Попросить сделать запрос на официальном бланке и направить на адрес Компании
- Сообщить, что не владеете такой информацией
- Попросить подъехать лично
(один вариант)

9. При работе с бумажными документами, содержащими сведения ограниченного доступа, требуется соблюдать следующие правила:
- Не выбрасывать такие документы в корзину, а сжигать или погружать в кислоту
- Измельчать документы, перед тем, как их выбросить
- Не оставлять документы на столе без присмотра, а убирать их в ящики стола и шкафы
- Не забывать документы в переговорных или в принтере, после отправки на печать
- Всегда делать ксерокопию документа и хранить ее в качестве резервной копии
- Прятать документы в труднодоступных местах
(несколько ответов)

Понимаю, что для ряда организаций "смешные варианты ответов" могут оказаться совсем не смешными (а кое-где не будет правильного ответа)... К слову, число вопросов нужно увеличить примерно в 5 раз - если у кого-то есть наработки, которых не жалко, буду рад если поделитесь. А может у кого-то начнется после прочтения поста бурный полет фантазии на тему вопросов - ю а велком ту :)