Az, hogy a biztonság relatív fogalom azt jelenti, hogy ...

Helyes válasz:
nem lehet önmagában kijelenteni, hogy egy rendszer biztonságos-e vagy sem, az mindig attól függ,
hogy milyen értéket, mennyi ideig, milyen fenyegetések ellen kell védeni.

Jelölje meg az alábbiak közül a helyes biztonsági alapelveket! (Többet is megjelölhet.)

Helyes válaszok:
A feladatkörök szétválasztása azt jelenti, hogy a fontos dolgokért ne egyetlen ember legyen a felelős.
Az implicit tiltás eleve azt jelenti, hogy amire nem vonatkoznak szabályok, az legyen automatikusan
tilos.

Mi az informatikai biztonág három nagy területe?

Helyes válaszok:
Rendelkezésre állás
Sértetlenség
Bizalmasság

Az informatikai rendszerek életciklusainak mely szakaszában vagy szakaszaiban kell

biztonsági kontrollokat alkalmaznunk?
Helyes válaszok:
Tervezés (Design)
Megvalósítás (Implementation)
Üzemeltetés (Operation)

Letagadhatatlanság (non-repudiation) megvalósulása esetén

A: akire a letagadhatatlanság vonatkozik, az nem tagadhatja le korábbi
kötelezettségvállalását vagy cselekedetét (mint például egy üzenet elküldését), MERT
B: az ilyen vitákat egy megbízható harmadik fél helyesen el tudja dönteni.
Helyes válasz:
Mindkét állítás igaz és összefüggés van köztük.

Az etikus hackernek, amennyiben nem saját üzemeltetésű rendszert vizsgál, az

üzemeltetőtl mindig előzetes engedélyre van szüksége.
Helyes válasz:
Igen

Párosítsa a különböző támadókat a leírásokhoz!

Jelölje meg az alábbi listában egy vállalat esetében a sérülékenység keresés eszközeit!
Helyes válaszok:
vulnerability assesment (a sérülékenységek felmérése)
vulnerability scanning (a sérülékenységek szkennelése)
penetration testing (behatolás tesztelés)

Jelölje meg a sérülékenységek felmérésének (vulnerability assesment) jellemzőit!

Helyes válaszok:
alapja a tervek, dokumentációk, folyamatok áttekintése
általában belső vizsgálat
nagyrészt manuális tevékenység

Személyazonosító és hozzáférés-kezelő rendszerek esetében az AAA jelentése:

Helyes válaszok:
Authorization
Audit
Autentication

Az alábbiak közül melyek nem alkalmasak erős jelszónak

Helyes válaszok:
nevek
egy ötbetűs, számot, kis- és nagybetűt tartalmazó sorozat
a "qwertz" jelsorozat
bármely szótárban megtalálható szó

Ha egy jelszó elegendően hosszú, akkor biztonságosan használható érzékeny adatok

védelmére is.
Helyes válasz:
Nem

A tiszta asztal szabályzat (Clean Desk Policy) általában többek között a következőket írja
elő
Helyes válaszok:
Az iróasztalon nem maradhat éjszakára kint a dolgozó naptára, ha az személyes bejegyzéseket, - mint
például események, határidők- tartalmaz.
A papír alapú információt, amint nincs rá szükség iratmegsemmisítőben le kell darálni vagy el kell
zárni.
A nyomatóban nem maradhat érzékeny dokumentum.
Még rövid idejű eltávozáskor is a munkaállomásokat zárolni kell (pl. csak jelszóval feloldható
képernyővédővel.)
Hogyan nevezzük (angol szóval) a Social Engineering támadáshoz előzetesen
kidolgozott kitalált szituációt, mely felkészül az áldozat várható reakciójára, kérdéseire is?
Megoldókulcsok:pretext, Pretext, pretexting, Pretexting

Egy Social Engineering támadás célja lehet

Helyes válaszok:
érzékeny adatok megszerzése
annak elérése, hogy az áldozat egy, a biztosnági szabályzatba ütköző tettet hajtson végre
jogosultság nélküli fizikai belépés
információgyűjtés a vállalatról

Rendezze sorrendbe a Socia Engineering támadások lépéseit!

Helyes megoldás:
Felderítés (információszerzés nyílt forrásból), Megfelelő célszemély(ek) kiválasztása, Megtévesztés - a
bizalom megnyerése, A megszerzett bizalom kihasználása, Esetenként a megszerzett információkkal
további támadások véghezvitele

A pszichológiai manipuláció lehet ...

Helyes válaszok:
csak humán alapú.
számítógépes eszközzel segített.

Jelölje meg, hogy a három fő informatikai biztonsági cél közül melyet, vagy melyeket
támogat közvetlenül a kriptográfia!
Helyes válaszok:
sértetlenség (integrity)
bizalmasság (confidentiality)

Csoportosítsa a kriptográfia primitíveket a bennük szereplő kulcsok száma szerint!

Hogyan hívják az adatrejtés (data hiding) tudományát?

Megoldókulcsok:
Szteganográfia, Steganography, szteganográfia, steganography

Csoportosítsa a titkos kulcsú és a nyilvános kulcsú kriptográfiára jellemző fogalmakat!

Vigyázat! Van olyan fogalom, amely egyik kategóriába sem tartozik.

Hogyan védekezhetünk CSRF ellen?

Helyes válasz:
Fejlesztőként adjunk egy generált security token-t a tranzakcióhoz.
Hogyan előzhetjük meg a közvetlen objektumhivatkozást?
Helyes válaszok:
Temporális letöltési URL-eket generálunk minden védett tartalomra.

Hiányzó funkció szintű hozzáférés ellenőrzés esetén a támadó saját lekérdezéseket rakhat
össze (forge), mely futását a szerver engedélyezheti, így a megfelelő jogosultság nélkül
adminisztrátori funkciókat érhet el.
Helyes válasz:
Igen

Mely webes támadási módot jelenti, ha ezt látjuk az adatbázisban?

<script>...</script>
Helyes válasz:
XSS

Mit kezdhet a támadó XSS sérülékenységgel?

Helyes válaszok:
Átírhatja a weboldal tartalmát.
Ellophatja a felhasználók munkamenet azonosítóját.

Milyen előnyei vannak a Felülvizsgálatoknak?

Helyes válasz:
Futtatás nélkül képes defektusokat detektálni.

Milyen jellemzői vannak a feketedoboz tesztelésnek?

Helyes válasz:
Specifikáció alapján, a program szerkezetének ismerete nélkül működik.

Biztonsági teszteket melyik tesztelési szintre kell leginkább betervezni?

Helyes válasz:
Mindegyik szintre, mert biztonsági szempontok bármelyik szinten megjelenhetnek.

Az ISO9126 melyik alapkategóriába sorolja a fault-tolerance követelményeket?

Helyes válasz:
Reliability

Milyen elvre kell különösen figyelni biztonsági teszt riportoknál?

Helyes válasz:
Fontos a felderített hibák minél korábbi riportálása.
Mely kategóriái a személyes adatoknak tartoznak a különleges adatok közé?
Helyes válaszok:
Az érintett mely párt tagja
Az érintett kiváltott orvosi vényei

Az alábbiak közül melyik a jogi személy?

Helyes válaszok:
Az OTP Bank Nyrt.
A Szegedi Tudományegyetem

Mely adatokra nem terjed ki a magyar adatvédelmi törvény hatálya?

Helyes válaszok:
A családi fotóalbumra
A London Times előfizetőinek listája

Miért volt szükség a Google Street View működése érdekében módosítani az adatvédelmi
törvényt?
Helyes válasz:
A korábbi adatvédelmi törvény szerint a GSV csak kötelező törvényi előírás vagy hozzájárulás mellett
fényképezhette volna az utcákat.

Mely típusú adatkezelések ellen lehet tiltakozni?

Helyes válaszok:
Az Állambiztonsági Szolgálatok Történeti Levéltára kutatási célból történészeknek átadja a rám
vonatkozó iratokat (tegyük fel, vannak ilyenek)
A népességnyilvántartó eladja reklám, üzletszerzés céljából a lakcím adatokat

Jelölje meg az alábbiak közül a szabványosítás feladatit! A szabványosítás ...

Helyes válaszok:
non-ius (nem jogi) szabályozást teszt lehetővé
elhárítja a kereskedelem technikai akadályait
elősegíti a technológiai együttműködést
lehetővé teszi a termékek rendeltetésszerű használatát

Jelölje meg az alábbiak közül az ITIL-re jellemző igaz állításokat:

Helyes válaszok:
Az üzletmenet támogatása számára elsődleges.
Állandó szolgáltatás-fejlesztés fontos része a szabványnak
Bevezetése és gördülékeny alkalmazása hosszabb időt vesz igénybe.
Jelölje meg az alábbiak közül az ITIL-re jellemző igaz állításokat:
Helyes válaszok:
Nem kifejezetten biztonsági szabvány.
A folyamatok szabályozására koncentrál.
Alapfogalma a szolgáltatás.

A jó vészhelyreállítási és üzlet folytonossági terv alapja ...

Helyes válasz:
az üzleti hatáselemzés

Párosítsa a BCP alábbi követelményit az angol rövidítésükkel:

Jelölje meg az alábbi listában az informatikai biztonság három alapvető célját?

Helyes válaszok:
Rendelkezésre állás
Sértetlenség
Bizalmasság