Файл: Система тестирования для проведения аудита информационной безопасности на предприятии на основе.pdf

73
ПРИЛОЖЕНИЕ Б
Примеры разработанных вопросов по разделам банка вопросов
Таблица Б.1 — Примеры разработанных вопросов по разделам банка вопросов
Название раздела
Формулировка вопроса
Варианты ответа
Политика без- опасности
1.
Разработана ли в организации политика информационной безопасности, положения которой внедрены в существующую инфор- мационную систему?
•
Да (верно)
•
Нет
2.
Включены ли в состав разработанной поли- тики информационной безопасности компо- ненты: определение информационной без- опасности, основные цели и область примене- ния информационной безопасности, а также учтено ли значение политики при коллектив- ном использовании информации?
•
Да (верно)
•
Нет
3.
Отражает ли разработанная политика ин- формационной безопасности позицию руко- водства организации по реализации целей и принципов информационной безопасности?
•
Да (верно)
•
Нет
Организация ин- формационной безопасности
1.
Принято ли в организации проводить регу- лярные совещания руководителей организа- ции по вопросам информационной безопасно- сти?
•
Да (верно)
•
Нет
2.
Приняты ли в организации четкие обязан- ности и ответственность по защите отдельных ресурсов к выполнению конкретных действий по обеспечению информационной безопасно- сти?
•
Да (верно)
•
Нет
3.
Заключается ли договор со сторонними компаниями при их доступе к ресурсам орга- низации, в котором согласованы и зафиксиро- ваны процедуры проверки?
•
Да (верно)
•
Нет
Управление ре- сурсами
1.
Определены ли все основные информаци- онные ресурсы и сервисы?
•
Да (верно)
•
Нет
2.
Идентифицированы ли все основные ре- сурсы и сервисы?
•
Да (верно)
•
Нет
3.
Есть ли определенные обязанности между владельцами информационных ресурсов, направленные на поддержание соответству- ющего уровня информационной безопасности организации?
•
Да (верно)
•
Нет

74
Продолжение таблицы Б.1
Безопасность персонала
1.
Включена ли задача обеспечения информа- ционной безопасности в служебные обязанно- сти всех сотрудников на стадии приема на ра- боту?
•
Да (верно)
•
Нет
2.
Проводятся ли периодические проверки того, что каждый сотрудник выполняет свои служебные обязанности?
•
Да, сотрудником,
занимающим более
высокую должность
(верно)
•
Нет
3.
Проводится ли проверка репутации со- трудников, работающих по контракту, и вре- менных служащих?
•
Да (верно)
•
Нет
Физическая без- опасность и без- опасность окру- жения
1.
Какие правила физической безопасности соблюдаются для критичных информацион- ных ресурсов?
•
Располагаются в безопасном месте
•
Физически защи-
щены от неавторизи-
рованного доступа и
повреждений (верно)
2.
Доступны ли случайным лицам каталоги и внутренние телефонные книги, которые могут дать информацию о нахождении критичных ресурсов?
•
Да
•
Нет (верно)
3.
Расположены ли ключевые информацион- ные системы так, чтобы исключить случай- ный доступ к ним неавторизированным лиц?
•
Да (верно)
•
Нет
Управление коммуникациями и операциями
1.
Осуществляется ли распределение обязан- ностей как средство снижения риска от слу- чайных и преднамеренных угроз?
•
Да, если критич-
ные операции вы-
полняются, как ми-
нимум, двумя со-
трудниками или су-
ществует
возмож-
ность сговора со-
трудников с целью
нанесения
ущерба
организации (верно)
•
Нет
2.
Осуществляется ли оценка возможного риска и ущерба и занесение в контракт мер защиты, согласованных с подрядчиком, при привлечении сторонних организаций к управ- лению информационной системой?
•
Да (верно)
•
Нет
3.
Закреплен ли документально процесс вы- полнения операций, определенных политикой безопасности?
•
Да (верно)
•
Нет

75
Окончание таблицы Б.1
Управление до- ступом
1.
Отражаются ли в политике контроля до- ступа правила и права каждой группы пользо- вателей?
•
Да
•
Нет (верно)
2.
Учитывает ли политика контроля доступа требования по безопасности отдельных биз- нес-приложений и идентификацию всей ин- формации, связанной с ними?
•
Да (верно)
•
Нет
3.
Соблюдается ли соответствие между поли- тикой управления доступом и классификаци- ей информации различных систем и сетей?
•
Да (верно)
•
Нет
Приобретение, разработка и поддержка си- стем
1.
Определена ли ответственность для всего персонала, вовлеченного в процесс обработки и ввода исходных данных?
•
Да (верно)
•
Нет
2.
Проводится ли проверка того, что про- граммы запускаются в соответствующем ре- жиме и останавливаются в случае неисправ- ностей, а также, что связанные процессы останавливаются до устранения всех про- блем?
•
Да (верно)
•
Нет
3.
Проводится ли периодическая проверка це- лостности и правильности содержимого клю- чевых полей или файлов данных?
•
Да (верно)
•
Нет
Управление бес- перебойной ра- ботой организа- ции
1.
Сформулирована и задокументирована ли стратегия непрерывности ведения бизнеса, согласующая с установленными целями и приоритетами бизнеса?
•
Да (верно)
•
Нет
2.
Определен ли четкий порядок внедрения контраварийных процедур для восстановле- ния бизнес-процессов за требуемый промежу- ток времени?
•
Да (верно)
•
Нет
3.
Является ли частью процесса обеспечения непрерывности ведения бизнеса соответству- ющая уровню рисков форма страхования?
•
Да (верно)
•
Нет
Соответствие нормативным требованиям
1.
Возможно ли превышение максимального числа пользователей в лицензии при исполь- зовании программного обеспечения?
•
Да
•
Нет (верно)
2.
Соответствует ли законодательству поря- док обращения с информацией о персональ- ных данных сотрудников и клиентов?
•
Да (верно)
•
Нет
3.
Разработаны ли в компании типовые про- цедуры приобретения программного обеспе- чения?
•
Да (верно)
•
Нет