игра брюс 2048
Главная / Безопасность / Анализ и управление рисками в информационных системах на базе операционных систем Microsoft / Тест 4

Анализ и управление рисками в информационных системах на базе операционных систем Microsoft - тест 4

Упражнение 1:
Номер 1
Какая из перечисленных распространенных методик анализа рисков использует метод оценки риска на качественном уровне (например, по шкале "высокий", "средний", "низкий")?

Ответ:

 (1) FRAP 

 (2) RiskWatch 

 (3) CRAMM 


Номер 2
Какая из перечисленных распространенных методик анализа рисков использует количественные методики оценки рисков?

Ответ:

 (1) FRAP 

 (2) RiskWatch 

 (3) CRAMM 

 (4) Microsoft 


Номер 3
Какие из перечисленных распространенных методик анализа рисков используют смешанный метод оценки риска?

Ответ:

 (1) CRAMM 

 (2) Microsoft 

 (3) RiskWatch 

 (4) FRAP 


Упражнение 2:
Номер 1
 Сколько стадий исследование информационной безопасности системы имеется в методике СRAMM?

Ответ:

 (1) одна 

 (2) две 

 (3) три 

 (4) четыре 


Номер 2
Чем определяется ценность физических ресурсов в методике CRAMM?

Ответ:

 (1) временем, необходимым на восстановление в случае разрушения 

 (2) объемом финансовых активов организации 

 (3) стоимостью их восстановления в случае разрушения 


Номер 3
Какому значению по шкале оценки уязвимости CRAMM соответствует инцидент, происходящий в среднем один раз в четыре месяца?

Ответ:

 (1) очень низкий 

 (2) очень высокий 

 (3) высокий 


Упражнение 3:
Номер 1
Какому из перечисленных значений по шкале оценки уязвимости CRAMM соответствует инцидент, если вероятность развития событий по наихудшему сценарию составляет от 0, 33 до 0,66?

Ответ:

 (1) высокий 

 (2) низкий 

 (3) средний 


Номер 2
Как в методике FRAP осуществляется определение защищаемых активов?

Ответ:

 (1) по результатам заполнения опросных листов и автоматизированного анализа (сканирования) сетей 

 (2) по результатам изучения документации на систему 

 (3) по результатам заполнения опросных листов, изучения документации на систему, использования инструментов автоматизированного анализа (сканирования) сетей 


Номер 3
Что из перечисленного характерно для методики OCTAVE?

Ответ:

 (1) весь процесс анализа автоматизирован, производится на основании параметрических функций 

 (2) весь процесс анализа производится силами сотрудников организации, без привлечения внешних консультантов 

 (3) весь процесс анализа производится силами внешних консультантов, без привлечения сотрудников организации 


Упражнение 4:
Номер 1
Какие из перечисленных критериев оценки и управления рисками используются в методике RiskWatch?

Ответ:

 (1) годовые потери (Annual Loss Expectancy, ALE) и оценка возврата инвестиций (Return on Investment, ROI) 

 (2) угрозы, исходящие от человека-нарушителя, действующего через сеть передачи данных 

 (3) влияние потерь на HR - аспект деятельности организации 


Номер 2
Какие из перечисленных классов активов  не входят в систему оценки и управления рисками безопасности, предлагаемый корпорацией Майкрософт?

Ответ:

 (1) высокое влияние на бизнес (ВВБ) - влияние на конфиденциальность, целостность и доступность этих активов может причинить организации значительный или катастрофический ущерб 

 (2) среднее влияние на бизнес (СВБ) - влияние на конфиденциальность, целостность и доступность этих активов может причинить организации средний ущерб 

 (3) низкое влияние на бизнес (НВБ) - активы, не попадающие в классы ВВБ и СВБ, относятся к классу НВБ. К защите подобных активов не выдвигаются формальные требования, и она не требует дополнительного контроля, выходящего за рамки стандартных рекомендаций по защите инфраструктуры 


Номер 3
Что, согласно методике Microsoft, входит в понятие  "активы"?

Ответ:

 (1) физическая инфраструктура 

 (2) данные и другая ценная для организации информация, хранящаяся в цифровой форме 

 (3) ИТ-служба 


Упражнение 5:
Номер 1
Какую величину, согласно методике Microsoft, определяют произведением стоимости актива на фактор подверженности воздействию?

Ответ:

 (1) качественную оценку влияния 

 (2) Фактор подверженности воздействию 

 (3) количественную оценку влияния 


Номер 2
При вычислении вероятности влияния результирующий уровень вероятности определяется на основании двух значений. Первое значение определяет вероятность существования уязвимости в текущей среде. Что определяет второе значение?

Ответ:

 (1) изменения останова сервера по причине физического износа оборудования 

 (2) вероятность существования уязвимости исходя из эффективности текущих элементов контроля 

 (3) вероятность существования уязвимости при гипотетических параметрах систе 


Номер 3
Оценка вероятности взлома имеет субъективный характер.Что рекомендуется делать для достижения большей объективности?

Ответ:

 (1) задавать большую степень градации оценок 

 (2) ограничиться специфическим перечнем вопросов во избежание ошибок в оценке 

 (3) уточнять перечень вопросов исходя из конкретных условий 


Упражнение 6:
Номер 1
Позволяет проведение анализа рисков в сфере информационной безопасности определять уязвимость отдельных компонентов и недостатки политики системы? 

Ответ:

 (1) да, гарантированно позволяет 

 (2) несмотря на то, что в целом проблема определения уязвимости системы решается, определение уязвимости компонентов достичь нельзя 

 (3) нет, не позволяет 


Номер 2
 Что из перечисленного лежит за пределами методики OCTAVE?

Ответ:

 (1) разработка профиля угроз, связанных с активом  

 (2) идентификация инфраструктурных уязвимостей  

 (3) определение второстепенных направлений для внедрения новых СЗИ, мер и процедур обеспечения ИБ 


Номер 3
Что из перечисленного лежит за пределами сферы информационной безопасности? 

Ответ:

 (1) ранжирование рисков по приоритетам 

 (2) выявление проблем уязвимостей системы, недостатков политик безопасности 

 (3) разработка методик хеджирования экономических рисков 


Упражнение 7:
Номер 1
Какие из перечисленных распространенных методик анализа рисков не используют количественные методики оценки рисков?

Ответ:

 (1) FRAP 

 (2) RiskWatch 

 (3) CRAMM 


Номер 2
Какая из перечисленных распространенных методик анализа рисков использует смешанный метод оценки риска?

Ответ:

 (1) Microsoft 

 (2) FRAP 

 (3) RiskWatch 


Номер 3
Какая из перечисленных распространенных методик анализа рисков не использует количественные  методики оценки рисков?

Ответ:

 (1) FRAP 

 (2) RiskWatch 

 (3) CRAMM 


Упражнение 8:
Номер 1
Что обеспечивает ранжирование рисков по приоритетам?

Ответ:

 (1) возможность системного анализа рисков 

 (2) возможность выделить наиболее приоритетные направления для внедрения новых СЗИ, мер и процедур обеспечения ИБ 

 (3) возможность оценить выгоды от внедрения средств и механизмов защиты и принять участие в процессе определения требуемого уровня защищенности КС 


Номер 2
Позволяет ли проведение анализа рисков в сфере информационной безопасности  определять уязвимость отдельных компонентов и недостатки политики системы?

Ответ:

 (1) нет, не позволяет 

 (2) несмотря на то, что в целом проблема определения уязвимости системы решается, определение уязвимости компонентов достичь нельзя 

 (3) да, позволяет 


Номер 3
Позволяет проведение анализа рисков в сфере информационной безопасности выделить наиболее приоритетные направления для внедрения новых средств защиты информации?

Ответ:

 (1) да, но с ограничениями 

 (2) нет, не позволяет 

 (3) да, гарантированно позволяет 


Упражнение 9:
Номер 1
Какая величина, согласно методике Microsoft, определяется произведением стоимости актива на фактор подверженности воздействию?

Ответ:

 (1) фактор подверженности воздействию 

 (2) количественная оценка влияния 

 (3) качественная оценка влияния 


Номер 2
Какие из перечисленных классов активов входят в систему оценки и управления рисками безопасности, предлагаемый корпорацией Майкрософт?

Ответ:

 (1) активы, имеющие среднее влияние на бизнес (СВБ) 

 (2) активы, имеющие низкое влияние на бизнес (НВБ) 

 (3) активы, имеющие высокое влияние на бизнес(ВВБ) 

 (4) активы, имеющие приоритеное влияние на бизнес(ПВБ) 


Номер 3
Что можно считать главной особенностью методики OCTAVE?

Ответ:

 (1) весь процесс анализа автоматизирован, производится на основании параметрических функций 

 (2) весь процесс анализа производится силами внешних консультантов, без привлечения сотрудников организации 

 (3) весь процесс анализа производится силами сотрудников организации, без привлечения внешних консультантов 


Упражнение 10:
Номер 1
Какому значению по шкале оценки уязвимости CRAMM соответствует инцидент, если вероятность развития событий по наихудшему сценарию составляет от 0, 33 до 0,66?

Ответ:

 (1) высокий 

 (2) низкий 

 (3) средний 


Номер 2
По каким из перечисленных параметров в методике FRAP осуществляется определение защищаемых активов?

Ответ:

 (1) по результатам изучения документации на систему 

 (2) по результатам заполнения опросных листов, изучения документации на систему, использования инструментов автоматизированного анализа (сканирования) сетей 

 (3) по результатам заполнения опросных листов и автоматизированного анализа (сканирования) сетей 


Номер 3
Какие критерии для оценки и управления рисками используются в методике RiskWatch?

Ответ:

 (1) используются угрозы, исходящие от человека-нарушителя, действующего через сеть передачи данных 

 (2) используется влияние потерь на HR - аспект деятельности организации 

 (3) используются годовые потери (Annual Loss Expectancy, ALE) и оценка возврата инвестиций (Return on Investment, ROI) 


Упражнение 11:
Номер 1
Какому значению по шкале оценки уязвимости CRAMM соответствует инцидент, происходящий в среднем один раз в три года?

Ответ:

 (1) высокий 

 (2) низкий 

 (3) средний 


Номер 2
По каким из перечисленых критериев осуществляется определение защищаемых активов в методике FRAP?

Ответ:

 (1) по результатам изучения документации на систему 

 (2) по результатам автоматизированного анализа (сканирования) сетей 

 (3) по результатам заполнения опросных листов 


Номер 3
 В течение какого периода времени согласно методике FRAP реализуется угроза, имеющая статус средней (Medium Probability)?

Ответ:

 (1) в течении следующего месяца 

 (2) в течение следующего года  

 (3) в течение следующего десятилетия 


Упражнение 12:
Номер 1
 Сочетает методика CRAMM количественные и качественные методы анализа рисков?

Ответ:

 (1) да 

 (2) нет 

 (3) нет, но данная методика в настоящее время совершенствуется 


Номер 2
Какие из перечисленных распространенных методик анализа рисков не используют смешанный метод оценки риска?

Ответ:

 (1) RiskWatch 

 (2) FRAP 

 (3) CRAMM 

 (4) Microsoft 


Номер 3
Что определяет ценность физических ресурсов в методике CRAMM ?

Ответ:

 (1) объемом финансовых активов организации 

 (2) стоимость их восстановления в случае разрушения 

 (3) время восстановления в случае разрушения 




Главная / Безопасность / Анализ и управление рисками в информационных системах на базе операционных систем Microsoft / Тест 4