Jelölje m eg azokat a feltételeket, m elyeket az OTP t itkosítás alkalm azásakor szigor úan be kell tartanunk!

El
m
A t itkosító kulcs nem tarta lmazhat hosszú nullákból ál ló so rozatot, mer a O-va l va ló XOR (kizáró
vagy) f uggvény nem változtatja meg a nyílt szoveget.

Tilos ugyanazt a kulcsot tobbszor is felhasználnunk.

m A kulcsnak ugyanolyan hosszúnak kell lennie, mint a nyílt szovegnek, melyet titkosítani szeretnénk.

~ Minden bitet azonnal, még a kovetkezö bit generálása előtt el kell kuldenunk.

~ Nem t itkosíthatjuk kétszer ugyanazt az uzenetet.

m A kulcsnak valódi véletlen bitsorozat nak kell lennie.

Párosít sa a következő hiba l ehetőségeket!

Tervezési hiba

~ konnyen feltorhetö a zár szerkezete

Megvalósítási hiba

Uzemeltetésí hiba

Csoportosít sa típusuk szerint a m egadott algoritmusokat!

Hash-fuggvények

. ,.,,
Titkos kulcsú titkosító algoritmusok

Nyilvános kulcsú algoritmusok

Mely típusú adatkezelések ellen lehet t ilt akozni?

m A népességnyilvántartó eladja reklám, uzletszerzés céljából a lakcím adatokat

i=!!!I A kozlekedési nyilvántartás számára továbbítja a biztosítóm a felelősségbiztosítási szerződésem

lii.il adatait
~ A szakorvosi rendelő nyilvántartja a vizsgálatok eredményét 30 évig

l!!!I Az Állambiztonsági Szolgálatok Torténeti Levéltára kutatási célból torténészeknek átadja a rám
111;1 vonatkozó iratokat (tegyuk fel, vannak ilyenek)
~ A gázművek nyilvántartja a lakcímemet

Jelölje m eg az alábbi listában a sérülékenységek szken nelésén ek (vulnerability scan ning) jel lem zőit!

m automatikus módszer, programok használatára épul

~ minden sérulékenységet nagy pontossággal azonosít

m csak a sérulékenységek osszegyűjtése a célja, nem a kihasználásuk

~ a legpontosabt> képet adja a rendszer biztonságáról

~ segítségével tesztelhető a szervezet támadásra adott reagálása is

m sok téves riasztást is adhat

Mely kat egóriái a szem élyes adat oknak tart oznak a különleges adat ok közé?

m Az érintett buntetett előéletéről szóló igazolás

~ Az érintett iskolai osztályzatai

m Az érintett rontgen felvétele a karjáról.

m Az érintett nemzetisége

~ Az érintett személyi jovedelemadó-bevallása

Melyik 0 51rét egekben d olgozunk, amikor tűzfalat konfigurálunk?

l!iil szállítási

liiil fizikai

l!iil hálózati

liiil adatkapcsolati

~ viszony

Jelölje m eg az alábbiak közül a helyes bizt onsági alapelveket! (Többet is m egjelölhet.)

i=!!!I
A homály nem teremt biztonsá~ot, ezért nyilvános, bárki által hozzáférhető t itkosítási algoritmust
- - kell alkalmaznunk még SZIGORUAN TITKOS adatok védelmére is.

==t Nincs 100%-os biztonság, biztonsági rések mindig is voltak és lesznek, ezért csak arra
laiil torekedhetunk, hogy rendszerunk legalább olyan biztos legyen, mint a konkurenciáé.

==t Minden láncszem csak annyit bír, amennyit a leggyengébb láncszeme képes megtartani, ezért a
laiil kulonboző védelmi kontrollok egymásba láncolását kerulnkunk kell.

i=!!!I
Maradj unk az egyszerűségnél, mert a biztonság és a bonyolultság egymás ellenségei. Nem attól lesz
- - valami biztonságos, hogy bonyolult.

Szem élyazonosító és hozzáférés-kezelő rend szerek esetében az AAA jelent ése:

~ Avai lability

liiil Autentication

liiil Audit

~ Address

liiil Authorization

~ Access

~ Account
 A jó vészhelyreálfüási és
üzlet folytonossági t erv alapja ...

a (nincs válasz)

B az uzleti hatáselemzés

a a leghat ékonyab b és leggyorsabb m egoldások m egt alálása

a a t eleph elyen található beren dezések ért éke

a minöségbizto sítási t anúsít ásnak való m egfelelés

a a kat aszt rófá k korábbi st at iszt ikái

Rende lje a biom et rikus azonosítás hibat ípusaihoz azok j ell em zőit!

FRR (False Reject Rate) FAR (False Accept Rate) CER (Crossover Error Rate)

~·~
L!.I
..,..
lr.!.I ill metszésponti hibaarány
jogosult felhasználó nem jogosult felhasználó
~·~
L!.I
visszautasítása engedélyezése
a másik két hibaarány
~;~ a biztonságot veszélyezteti megegyező értéke

l @,iii®i·MM·iiiiHl@@N ~·~
i.!.I
..,..
'l.!.I
~·~ az érzékenység nevelésével értéke a biometrikus azonosító
'l.!.I
az érzékenység csokkentésével csokkenthetö módszer megbízhatóságát
csokkenthetö jellemzi

Egy Social Engineering tám adás célja lehet

liiil jogosultság nélkuli fizikai belépés

liiiil érzékeny adatok megszerzése

liiil annak elérése, hogy az áldozat egy, a biztosnági szabályzatba utkozö tettet hajtson végre

liiil információgyűjtés a vállalatról

~ a jel szavak feltorése

~ a kockázatok csokkentése
Mire jó a DM Z?

a (nincs válasz)

a Ez a hálózat i eszközök fo rgalmát lebonyolít ó zóna.

a A rendszergazdák munkáját megkönnyítő szoftver .

a Id e kerü ln ek a szigorúan védett adatokat t artalmazó szerverek.

a Ide érdemes rakni a kívulről elérhető szolgáltatásokat nyújtó szervereket.

Milyen el őnyei vannak a statikus tesztelésn ek?

a (nincs válasz)

a Rendkívüli po nt ossággal jelzi a valós defekt usokat.

a Korán, akár m ár a követ elm ény-specifikáció dokument álása során haszn álhat ó.

~ Futtatás nélkul képes meghibásodásokat detektálni.

a Akár az összes ism ert sér ülékenység is f utt at hat ó, így nem m arad fel nem f ed ezett sérülékenység.

Párosít sa az alább i fogalmakat a rájuk vonatkozó ké-désekkel!

ldcntific.:ition /\uthcntic.:ition /\uthoriz.:ition /\c:ounting

i hbifi ~ Va lóban az vagy-e? ~ Van -e jogod hozzá? ~ Mi tortént?

Párosít sa a különbözö tám adókat a leírásokhoz!

Etikus hacker, biztonsági szakember.

~ white hat hacker

Számítógépes bünozö.

~ b lack hat hacker

Kíváncsiságból vagy tehetséguk elismeréséért, nem haszonszerzésért, de engedély nélkul hackelö.

~:~ gray hat hacker

A kulonbozö rendszereket még megjelenésuk elött etikusan tesztelö szakember.

~ b lue hat hacker

Csak mások eszkozeit használó, szaktudással nem rendelkezö támadó.

~ scri pt kiddie

A pszichológiai m an ipuláció lehet ...

(gii] (beavatatlan) kozvetítö által végrehajtott.

[iiil számítógépes eszkozzel segített.
lliil csak humán alapú.

Milyen jellem zöi van nak a feket ed oboz teszt elésnek?

a (nincs válasz)

l2JI Specifikáció alapján, a program szerkezetének ismerete nélkul műkodik.

a Korán, akár m ár a követ elmény-specifikáció dokument álása során használhat ó.

a Szint e csak a t eszt eló tapasztalatára támaszkod ik.

a Szükséges hozzá a forráskód, vagy a program valam ely reprezentációja.

Jelölje meg az alábbiak közül az igaz állításokat!

i=!!!I Az informatikai rendszerek funkcionlitása, kényelme és biztonsága egymástól fuggetlen

- - tulajdonságok.

l!!!I Egy informatikai rendszer kényelmének novelésével a funkciona litás és a biztonság általában
111;1 csekken.
l!!!I Egy informatikai rendszer funkcionalitásának nevelésével a rendszer kényelme és biztonsága
111;1 általában csekken .
l!!!!!I Bármely informatikai rendszer kényelme és funkcionalitása két egymással ellentétes tényező,
i=iiil melyek fuggetlenek a rendszer biztonságától.

l!!!I Egy informatikai rendszer biztonságának nevelésével a kényelem és a funkcionalitás általában

laiil csekken.

Mi okozhat adatszivárgást egy háló zatban?

[§ij] Titkosított fáj lrendszer használata.

liiiiil A biztonsági mentéseket ellopják.

liiiiil Gyenge kriptográfia használata.

[§ij] SSL/TLS protokollok használata.

liiiiil A nem titkosított kommu n ikáció.

Rendezze sor rendbe a Socia Engineering támadások lépéseit!

nincs válasz

m Felderítés (információszerzés nyilt forrásból)

~ Megfelelő célszemély(ek) kiválasztása

~ Megtévesztés • a bizalom megnyerése

m A megszerzett b izalom kihasználása

~ Esetenként a megszerzett információkka l további támadások véghezvitele

 Melyek az adatvédelmi perek tu lajd onságai?

liiiil Nem jogképes szervezet ellen is indítható.

~ A per illetékmentes.

~ A bíróság soron kívül jár el.

~ Perindításkor 6% illetéket kell befizetni.

liiil A felmerulö szakértői, ugyvédi koltségeket a vesztes fél fizeti.

Milyen elvre kell kü lönösen figyelni biztonsági teszt riportoknál?

a (nincs válasz)

a Be kell azonosít an i a Par et o-elv szerint (80-20-as sza bály) defect clust eringgel érintett elemeket.

B Fontos a felderített hibák minél korábbi riportálása.

a A riportban semmilyen b izalmas információ nem szerepelhet.

a A riport sa blon (megf elelö) használata megkönnyíti a riport f eldolgozását.

Miért volt szükség a Google St reet View m ű ködése érdekében módosítani az adatvéd elmi törvényt?

a (nincs válasz)

a Az USA és Magyarország között i egyezmény miatt volt rá szükség.

P,!I A korábbi adatvédelmi torvény szerint a GSV csak kotelezö torvényi elöírás vagy hozzájárulás mellett
llil fényképezhette volna az utcákat.
működését
1 A Google nem rendelkezi k európai székhellyel, ezért jogszabállyal kellett lehet övé t enni a
Magyarországon.

A privelege cr eep azért veszélyes mert ... (tö bb választ is megjelölh et)

~ a jogosultságok utkozése ellehetetleníti a hatékony munkát

~ foloslegesen fogyasztja a szervezet eröforrásait

liiil egy támadó kihasználhatja a túlzott jogosultságokat

~ a fel használók nem tudják helyesen használni a jogosultságaikat

liiil az alkalmazottak visszaélhetnek vele

 Az etikus hackelés, mivel ellenörzött körülm ények között zajlik, nem jelent kockázatot a t eszt elt rendszer
zavart alan m ű ködtetésére .

a (nincs válasz)

a Igen

B Nem

Jelölje m eg az alábbiak közül az ITIL-re j ellem zö igaz állít ásokat:

lliil Az uzletmenet támogatása számára elsödleges.

t=!!!I Elsösorban a kisválla latok számára aján lott, hogy biztonsági iránti elkotelezettséguket tanúsítani
~ tudják megrendelöik felé.

[figl Ál landó szolgáltatás-fejlesztés fontos része a szabványnak

(§El EAL szinteket re1del az értékeléshez.
(§El Szigorú műszaki leírás.
[iiil Bevezetése és gordulékeny alkalmazása hosszabb idöt vesz igénybe.

Mi a hozzájárulás?

a (nincs válasz)

a Az érintett akaratának ön kéntes és határozott kinyilván ítása.

a Az érintett akaratának onkéntes és határozott kinyilvánítása, amely megfelelö tájékoztatáson alapul.

a Az érintett akaratának ön kéntes, írásbeli nyilat kozata, amely m egfelelö t ájékoztatáson alapul.

a Az érintett akaratának kinyilvánítása, amely m egfelelö táj ékozt atáson alapul.

Rendezze a legenyhébbtöl (D) a legszigorúbbig (A) a TCSEC szabvány rend szer követelm ényeinek kat egóriáit:

D nincs válasz

~ minimal protection

~ discretionary protection

~:~ mandatory protection

~:~ verified protection

Csoportosít sa a kript ográfia primitíveket a b ennük szereplő ku lcsok száma szerint!

kulcsnélkuli egykulcsos kétkulcsos

~ hash függvények ~:~ nyilvános kulcsú t itkosítás ~ szimmetrikus titkosítás

Párosítsa az alábbiakat!

Olyan kártékony program, mely végrehajtásakor, sajat másolatait helyezi el más, végrehajtható
programokban vagy dokumentumokban.

Olyan kártékony program, mely a hálózaton onálló terjedésre képes.

~ féreg (worm)

Olyan kártékony program, amely hasznosnak tűnő programnak adja ki magát, de mást is tesz a háttérben,
mim amit a fe lhasználónak mutat

~ trójai program

A rendszerben folyamatok és fájlok elrejtésével megbújó, a támadónak emelt jogokat biztosító eszkoz.

Eii+ili
A támadónak az autentikáció megkerulésével titkos távoli elérést biztosító eszkoz.

l§fl@+ii
Kémprogram.

Váltságdijat kovetelő program .

~ ransomware

Agresszív reklámprogram.

Mi❖tii4
 gressz1v re amprogram.

PIFLiWiii

.•,.
Kifejezetten a billentyűzet leutéseket figyelő kémprogram .

A krátékony programok általános megnevezése.

'8-•::fiiWiii
Az informatikai rendszerek élet ciklusainak mely sza kaszá ban vagy szakasza iban kell bizt onsági kontrollokat
alkalmam unk?

m Tervezés (Design)

m Üzemeltetés (Operation)

m Megvalósítás (lmplementation)

Jelölje m eg az alábbiak közül a sza bványosítás feladatit! A sza bványosítás ...

[gii] leveszi a felelősségvállalás terhét a vezetőségről

[gii] monopol helyzetet teremt a kiválasztott gyártók számára
lehetővé teszi, hogy minden termék és szolgáltatás csak a számára minimálisan szukséges
El funkcionalitást implementálja

liiiiJ lehetővé teszi a termékek rendeltetésszerű használatát

liiiiJ elősegíti a technológiai egyuttműkodést

liiiiJ non-ius (nem j ogi) szabályozást teszt lehetővé

liiiiJ elhárítja a kereskedelem tech n ikai akadályait

hozzáférhető tájékoztatást nyújt a technológia aktuális fejlettségi

El mindenkinek kozvetlenul
szintjéről
Van-e f eltörhetetlen t it kosít ási algorit mus, azaz olyan m ódszer, amely helyes alkalm azása eset én b iztosítja,
hogy ha a t ámad ó le is hallgatja a t it kosít ott üzenet et, azt soha, semmiképpen nem tudja m egfejt en i a
t it kosít ó kulcs ism eret e n élkül.

a (nincs válasz)

P,!I Van, már 1918 óta ismerunk ilyen algoritmust, ez az OTP, one-time pad vagy egyszeri hozzáadásos
11i1 módszer, de szigorú feltételekhez kotott az alkalmazhatósága.
Nincs, m ert ha máshogy nem, az összes lehetséges kulcs kip róbálásával minden t it kosítás feltörhető,

1a legf eljebb csak nagyon sokáig t art.

Van, a mo dern mód szerek, mint p éldáu l az RSA is ilyen, azért is használják példáu l az SSL protokollban.

Jelenleg nincs, d e az NSA jelentős összegeket fekt etett a kvant um szá mítógép ek fejleszt ésébe, melyektől

1 a felt örh etet len t it kosítás m egvalósítását is rem élik.

Az 1509126 m elyik alapkategóriába sorolja a fault -tolerance követ elményeket ?

a (nincs válasz)

a EíÍiUen Ly

a Functionality

1211 Reliability
a usabil ity

Melyik teszt kapcsolód ik leginkáb b a Cl.A. lntegrity szempontjához?

a (nincs válasz)

a Performance testing

a Load t est ing

~ Scalability testing

a Recovery t est ing

 Melyek nem a lapvető hálózat i szolgáltat ások?

~ RSA

m DNS

mN
TP
liii) oHCP

Jelölje meg az alábbiak közül a helyes ál lítást vagy állításokat!

~ Előszor mindig a teljes, múkodőképes rendszer kialakítása a cél, majd annak részletes tesztelése,
i=ilii1il végul a kívánt biztonsági szint utólag védelmi intézkedésekkel egyszerűen kialakítható.
~ A biztonságon kívu l más szempontokat is figyelembe kell vennunk, ezért mindig kompromisszumot
mii kell kotnunk.

m Mindig az elérhető legmagasabb biztonsági szint elérésére kell törekedni.

1!91 A biztonsági szempontokat csak az egyéb funkcionális szempontok figyelembevétele után kell
i== vizsgálnunk.

m Nem létezik 1 00%-os biztonság.

Miért veszélyes, ha az oldalon el l enőrizetl en átirányítások vannak?

a (nincs válasz)

a Mert ezzel a támadó hozzáférhet a szerveren tárolt fájlokhoz.

a Mert így a támadó kárt ékony kódot tud bejuttat ni az adatbázisba.

a M ert reklámokat tartalmazó oldalakra irányít hat át.

1 M ert segítségével a támadó úgy irányíthatja át az áldozatot a b iztonságos w eboldalról egy támadó
oldalra, hogy az áldozat azt hiheti, még a biztonságos oldalon adja ki az adatait.

Hogyan nevezzü k (angol szóval) a Social Engineering támadáshoz el őzetesen

kidolgozott kitalált szit uációt, mely felkészü l az áld ozat várható reak ciójára, kérd éseire is?

p retexting
Az angol saf ety és secur ity fogalom

a (nincs válasz)

a elt ér, a security a vagyonvédelem, a saf ety az információbiztonság.

a ugyan az, mind a kettőt bi ztonságnak fordítjuk.

csak annyiban t ér el, hogy a security a safety (általános b iztonságn ál) erősebb, komolyabb véd elmet

1 igénylő fogalom.

[21 eltér, a safety az emberi élet védelmét jelenti a security az információ és vagyonvédelmet.

Párosít sa a BCP aláb bi követelményit az angol rövidítésükkel:

A helyreállítás maximális ideje.

Az. a korábbi időpont. amikori állapotora vissza kell tudni térni.

A visszaállás átlagos ideje.

A leállások kozotti átlagos időtartam.

Jelölje meg az alábbi listában a behatolást eszt (p enet rat ion t est ing) jellem zőit!

[§iiJ manuális technika nem alkalmaz automatikus eszkozoket

m a rosszindulatú támadó eszkozeit használja és gondolkodásmódját koveti

l!!!!!I a három módszer kozül a legpontosabb képet nyerhetjuk vele a renszer biztonságának tényleges
i=iiil állásáról
m az etikus hacker hozzáértésére épul

m aktív technika a sérulékenységek azonosításán túl azok kihasználhatóságát is bizonyítja

m elengedhetetlen része az általánosabb kockázatelemzési tervnek