Главная / Безопасность /
Анализ и управление рисками в информационных системах на базе операционных систем Microsoft / Тест 4
Номер 3
Ответ:
Анализ и управление рисками в информационных системах на базе операционных систем Microsoft - тест 4
Упражнение 1:
Номер 1
Ответ:
Номер 1
Какая из перечисленных распространенных методик анализа рисков использует метод оценки риска на качественном уровне (например, по шкале "высокий", "средний", "низкий")?
Ответ:
(1) FRAP
(2) RiskWatch
(3) CRAMM
Номер 2
Ответ:
Какая из перечисленных распространенных методик анализа рисков использует количественные методики оценки рисков?
Ответ:
(1) FRAP
(2) RiskWatch
(3) CRAMM
(4) Microsoft
Какие из перечисленных распространенных методик анализа рисков используют смешанный метод оценки риска?
Ответ:
(1) CRAMM
(2) Microsoft
(3) RiskWatch
(4) FRAP
Упражнение 2:
Номер 1
Ответ:
Номер 1
Сколько стадий исследование информационной безопасности системы имеется в методике СRAMM?
Ответ:
(1) одна
(2) две
(3) три
(4) четыре
Номер 2
Ответ:
Чем определяется ценность физических ресурсов в методике CRAMM?
Ответ:
(1) временем, необходимым на восстановление в случае разрушения
(2) объемом финансовых активов организации
(3) стоимостью их восстановления в случае разрушения
Номер 3
Ответ:
Какому значению по шкале оценки уязвимости CRAMM соответствует инцидент, происходящий в среднем один раз в четыре месяца?
Ответ:
(1) очень низкий
(2) очень высокий
(3) высокий
Упражнение 3:
Номер 1
Ответ:
Номер 1
Какому из перечисленных значений по шкале оценки уязвимости CRAMM соответствует инцидент, если вероятность развития событий по наихудшему сценарию составляет от 0, 33 до 0,66?
Ответ:
(1) высокий
(2) низкий
(3) средний
Номер 2
Ответ:
Как в методике FRAP осуществляется определение защищаемых активов?
Ответ:
(1) по результатам заполнения опросных листов и автоматизированного анализа (сканирования) сетей
(2) по результатам изучения документации на систему
(3) по результатам заполнения опросных листов, изучения документации на систему, использования инструментов автоматизированного анализа (сканирования) сетей
Номер 3
Ответ:
Что из перечисленного характерно для методики OCTAVE?
Ответ:
(1) весь процесс анализа автоматизирован, производится на основании параметрических функций
(2) весь процесс анализа производится силами сотрудников организации, без привлечения внешних консультантов
(3) весь процесс анализа производится силами внешних консультантов, без привлечения сотрудников организации
Упражнение 4:
Номер 1
Ответ:
Номер 1
Какие из перечисленных критериев оценки и управления рисками используются в методике RiskWatch?
Ответ:
(1) годовые потери (Annual Loss Expectancy, ALE) и оценка возврата инвестиций (Return on Investment, ROI)
(2) угрозы, исходящие от человека-нарушителя, действующего через сеть передачи данных
(3) влияние потерь на HR - аспект деятельности организации
Номер 2
Ответ:
Какие из перечисленных классов активов не входят в систему оценки и управления рисками безопасности, предлагаемый корпорацией Майкрософт?
Ответ:
(1) высокое влияние на бизнес (ВВБ) - влияние на конфиденциальность, целостность и доступность этих активов может причинить организации значительный или катастрофический ущерб
(2) среднее влияние на бизнес (СВБ) - влияние на конфиденциальность, целостность и доступность этих активов может причинить организации средний ущерб
(3) низкое влияние на бизнес (НВБ) - активы, не попадающие в классы ВВБ и СВБ, относятся к классу НВБ. К защите подобных активов не выдвигаются формальные требования, и она не требует дополнительного контроля, выходящего за рамки стандартных рекомендаций по защите инфраструктуры
Номер 3
Ответ:
Что, согласно методике Microsoft, входит в понятие "активы"?
Ответ:
(1) физическая инфраструктура
(2) данные и другая ценная для организации информация, хранящаяся в цифровой форме
(3) ИТ-служба
Упражнение 5:
Номер 1
Ответ:
Номер 1
Какую величину, согласно методике Microsoft, определяют произведением стоимости актива на фактор подверженности воздействию?
Ответ:
(1) качественную оценку влияния
(2) Фактор подверженности воздействию
(3) количественную оценку влияния
Номер 2
Ответ:
При вычислении вероятности влияния результирующий уровень вероятности определяется на основании двух значений. Первое значение определяет вероятность существования уязвимости в текущей среде. Что определяет второе значение?
Ответ:
(1) изменения останова сервера по причине физического износа оборудования
(2) вероятность существования уязвимости исходя из эффективности текущих элементов контроля
(3) вероятность существования уязвимости при гипотетических параметрах систе
Номер 3
Ответ:
Оценка вероятности взлома имеет субъективный характер.Что рекомендуется делать для достижения большей объективности?
Ответ:
(1) задавать большую степень градации оценок
(2) ограничиться специфическим перечнем вопросов во избежание ошибок в оценке
(3) уточнять перечень вопросов исходя из конкретных условий
Упражнение 6:
Номер 1
Ответ:
Номер 1
Позволяет проведение анализа рисков в сфере информационной безопасности определять уязвимость отдельных компонентов и недостатки политики системы?
Ответ:
(1) да, гарантированно позволяет
(2) несмотря на то, что в целом проблема определения уязвимости системы решается, определение уязвимости компонентов достичь нельзя
(3) нет, не позволяет
Номер 2
Ответ:
Что из перечисленного лежит за пределами методики OCTAVE?
Ответ:
(1) разработка профиля угроз, связанных с активом
(2) идентификация инфраструктурных уязвимостей
(3) определение второстепенных направлений для внедрения новых СЗИ, мер и процедур обеспечения ИБ
Номер 3
Ответ:
Что из перечисленного лежит за пределами сферы информационной безопасности?
Ответ:
(1) ранжирование рисков по приоритетам
(2) выявление проблем уязвимостей системы, недостатков политик безопасности
(3) разработка методик хеджирования экономических рисков
Упражнение 7:
Номер 1
Ответ:
Номер 1
Какие из перечисленных распространенных методик анализа рисков не используют количественные методики оценки рисков?
Ответ:
(1) FRAP
(2) RiskWatch
(3) CRAMM
Номер 2
Ответ:
Какая из перечисленных распространенных методик анализа рисков использует смешанный метод оценки риска?
Ответ:
(1) Microsoft
(2) FRAP
(3) RiskWatch
Номер 3
Ответ:
Какая из перечисленных распространенных методик анализа рисков не использует количественные методики оценки рисков?
Ответ:
(1) FRAP
(2) RiskWatch
(3) CRAMM
Упражнение 8:
Номер 1
Ответ:
Номер 1
Что обеспечивает ранжирование рисков по приоритетам?
Ответ:
(1) возможность системного анализа рисков
(2) возможность выделить наиболее приоритетные направления для внедрения новых СЗИ, мер и процедур обеспечения ИБ
(3) возможность оценить выгоды от внедрения средств и механизмов защиты и принять участие в процессе определения требуемого уровня защищенности КС
Номер 2
Ответ:
Позволяет ли проведение анализа рисков в сфере информационной безопасности определять уязвимость отдельных компонентов и недостатки политики системы?
Ответ:
(1) нет, не позволяет
(2) несмотря на то, что в целом проблема определения уязвимости системы решается, определение уязвимости компонентов достичь нельзя
(3) да, позволяет
Номер 3
Ответ:
Позволяет проведение анализа рисков в сфере информационной безопасности выделить наиболее приоритетные направления для внедрения новых средств защиты информации?
Ответ:
(1) да, но с ограничениями
(2) нет, не позволяет
(3) да, гарантированно позволяет
Упражнение 9:
Номер 1
Ответ:
Номер 1
Какая величина, согласно методике Microsoft, определяется произведением стоимости актива на фактор подверженности воздействию?
Ответ:
(1) фактор подверженности воздействию
(2) количественная оценка влияния
(3) качественная оценка влияния
Номер 2
Ответ:
Какие из перечисленных классов активов входят в систему оценки и управления рисками безопасности, предлагаемый корпорацией Майкрософт?
Ответ:
(1) активы, имеющие среднее влияние на бизнес (СВБ)
(2) активы, имеющие низкое влияние на бизнес (НВБ)
(3) активы, имеющие высокое влияние на бизнес(ВВБ)
(4) активы, имеющие приоритеное влияние на бизнес(ПВБ)
Номер 3
Ответ:
Что можно считать главной особенностью методики OCTAVE?
Ответ:
(1) весь процесс анализа автоматизирован, производится на основании параметрических функций
(2) весь процесс анализа производится силами внешних консультантов, без привлечения сотрудников организации
(3) весь процесс анализа производится силами сотрудников организации, без привлечения внешних консультантов
Упражнение 10:
Номер 1
Ответ:
Номер 1
Какому значению по шкале оценки уязвимости CRAMM соответствует инцидент, если вероятность развития событий по наихудшему сценарию составляет от 0, 33 до 0,66?
Ответ:
(1) высокий
(2) низкий
(3) средний
Номер 2
Ответ:
По каким из перечисленных параметров в методике FRAP осуществляется определение защищаемых активов?
Ответ:
(1) по результатам изучения документации на систему
(2) по результатам заполнения опросных листов, изучения документации на систему, использования инструментов автоматизированного анализа (сканирования) сетей
(3) по результатам заполнения опросных листов и автоматизированного анализа (сканирования) сетей
Номер 3
Ответ:
Какие критерии для оценки и управления рисками используются в методике RiskWatch?
Ответ:
(1) используются угрозы, исходящие от человека-нарушителя, действующего через сеть передачи данных
(2) используется влияние потерь на HR - аспект деятельности организации
(3) используются годовые потери (Annual Loss Expectancy, ALE) и оценка возврата инвестиций (Return on Investment, ROI)
Упражнение 11:
Номер 1
Ответ:
Номер 1
Какому значению по шкале оценки уязвимости CRAMM соответствует инцидент, происходящий в среднем один раз в три года?
Ответ:
(1) высокий
(2) низкий
(3) средний
Номер 2
Ответ:
По каким из перечисленых критериев осуществляется определение защищаемых активов в методике FRAP?
Ответ:
(1) по результатам изучения документации на систему
(2) по результатам автоматизированного анализа (сканирования) сетей
(3) по результатам заполнения опросных листов
Номер 3
Ответ:
В течение какого периода времени согласно методике FRAP реализуется угроза, имеющая статус средней (Medium Probability)?
Ответ:
(1) в течении следующего месяца
(2) в течение следующего года
(3) в течение следующего десятилетия
Упражнение 12:
Номер 1
Ответ:
Номер 1
Сочетает методика CRAMM количественные и качественные методы анализа рисков?
Ответ:
(1) да
(2) нет
(3) нет, но данная методика в настоящее время совершенствуется
Номер 2
Ответ:
Какие из перечисленных распространенных методик анализа рисков не используют смешанный метод оценки риска?
Ответ:
(1) RiskWatch
(2) FRAP
(3) CRAMM
(4) Microsoft
Номер 3
Ответ:
Что определяет ценность физических ресурсов в методике CRAMM ?
Ответ:
(1) объемом финансовых активов организации
(2) стоимость их восстановления в случае разрушения
(3) время восстановления в случае разрушения