Управление информационной безопасностью в телекоммуникационных системах. Экзамен. Билет №40. 2020 год

3.Укажите основные цели методики CRAMM

а) оптимизация расходов на средства контроля и защиты
б) комплексное планирование и управление рисками
в) автоматизация процедур управления рисками
г) нет правильного ответа

4. Выберите какие из предложенных стандартов содержат правила управления информационной безопасностью?

а) ГОСТ Р ИСО/МЭК 27002-2012
б) ГОСТ Р ИСО/МЭК 27003-2012
в) ISO/IEC 17799-2005
г) ГОСТ Р ИСО/МЭК 27005-2010

5. Какие из представленных стандартов содержат руководство по управлению рисками информационной безопасности?

а) ГОСТ Р ИСО/МЭК 27011-2012
б) BS 7799-3:2017
в) ГОСТ Р ИСО/МЭК 27005-2010
г) ISO/IEC 17799-2005

7. Какие из предложенных вариантов ответа можно встретить на этапе обработки рисков?

а) перенос риска
б) сохранение риска
в) добавление риска
г) удаление риска

9. Что происходит на этапе аудита системы управления ИБ

а) проверяется соответствие выбранных контрмер по защите информации целям и задачам бизнеса, декларированным в политике безопасности компании, проводится оценка остаточных рисков и, в случае необходимости, оптимизация рисков
б) выбирается комплекс различных контрмер по защите информации, структурированных по нормативно-правовому, организационно-управленческому, технологическому и аппаратно-программному уровням обеспечения информационной безопасности
в) проводится оценка по нормативно-правовому, организационно-управленческому, технологическому и аппаратно-программному уровням обеспечения информационной безопасности
г) выбирается комплекс различных контрмер по защите информации, структурированных по технологическому и аппаратно-программному уровням обеспечения информационной безопасности

12. Выберите из предложенных вариантов этапы экспертного аудита (возможно несколько вариантов):

а) контроль защищенности информации ограниченного доступа с последующим формированием требований информационной безопасности
б) анализ организационно-распорядительных документов, таких как политика безопасности, план защиты и различного рода инструкции. Организационно-распорядительные документы оцениваются на предмет достаточности и непротиворечивости декларируемым целям и мерам информационной безопасности
в) анализ существующих руководящих документов Гостехкомиссии
г) анализ проекта информационной системы, топологии сети и технологии обработки информации, в ходе которого выявляются, например, такие недостатки существующей топологии сети, которые снижают уровень защищенности информационной системы

13. Что из предложенного может быть включено в отчет по проведенному аудиту на соответствии требованиям стандартов информационной безопасности?

а) количество и категории полученных несоответствий и замечаний
б) степень соответствия собственным внутренним требованиям компании в области информационной безопасности
в) список уязвимостей и угроз, актуальных для проверяемой организации.
г) рекомендации по построению или модификации системы обеспечения информационной безопасности, позволяющие привести её в соответствие с рассматриваемым стандартом

15. Какие из ниже перечисленных утверждений верны?

а) метод управления - это совокупность сознательно и последователь-но применяемых способов и приемов воздействия субъекта управления на объект управления посредством своей деятельности для достижения поставленной цели.
б) одной из черт всех современных СУ является проактивное управление параметрами процесса
в) СУ - называют систему, в которой не реализуются функции управления.
г) субъект управления является не основным элементом элемент управляющей системы

21. Какие из ниже перечисленных утверждений верны?

а) второй этап реализации СУИБ называется организационным
б) второй этап реализации СУИБ называется управленческим
в) главные задачи 3 этапа реализации СУИБ провести анализ СУИБ
определить перечень работ по доработке СУИБ
г) проводить регулярный анализ результативности СУИБ не является проверкой

22. К этапам реализации СУИБ относятся:

а) управленческий:
б) определение Политики СУИБ и целей СУИБ по каждому процессу
в) сравнительный
г) официальный

25. Выберите факторы, влияющие на оценку инцидента:

а) частота реализации угрозы ИБ и простота использования уязвимости, рассматривая опыт и соответствующие статистические данные по вероятностям реализации угроз ИБ
б) частота реализации угрозы ИБ и простота использования уязвимости, рассматривая опыт и соответствующие статистические данные по вероятностям реализации угроз ИБ
в) угрозы ИБ, рассматриваемые отдельно и совместно, что может многократно увеличить потери организации
г) вероятность реализации некоторой комбинации угроз ИБ и уязвимостей
д) все ответы верны

31. Выберите варианты ответа, относящиеся к управленческому этапу реализации СУИБ:

а) осознать цели и выгоды внедрения СУИБ
б) определить область действия СУИБ
в) распределить ответственность по СУИБ
г) определить перечень работ СУИБ

33. Выберите пункт/ы, не относящиеся к процессам в СУИБ организации:

а) управление непрерывностью бизнеса
б) управление контрольными мероприятиями
в) управление документами
г) управление проверками

34. Выберите стандарты, в которых описывается руководство по управлению рисками:

а) ISO/IEC 27005
б) BS 9977-3
в) BS 7799-3
г) ISO/IEC 27003

35. Выберите среди вариантов то, что можно относите к активам организации:

а) бизнес-процессы
б) телекоммуникационные средства
в) персонал
г) предоставляемые продукты и услуги

36. Выберите компоненты, входящие в анализ рисков ИБ схемы управления рисками ИБ

а) оценивание рисков ИБ
б) количественная оценка рисков ИБ
в) установление контекста
г) идентификация рисков ИБ

38. Выберите верные утверждения:

а) истинное измерение обязано быть абсолютно точным, чтобы считаться таковым
б) измерение – это совокупность снижающих неопределенность наблюдений, результат которых выражается некой величиной
в) отсутствие информации о погрешности может служить признаком того, что эмпирические методы не использовались, а значит и результат сомнителен
г) измерение – это только полное устранение и частичное сокращение неопределенности

39. Какие из ниже перечисленных вариантов ответа относятся к выходные данные для процесса ОИБ:

а) среда ведения бизнеса
б) описание бизнес-процессов и их реализаций
в) обучение персонала и работа с ним по вопросам ИБ
г) информация, используемая для контроля успешности деятельности по ОИБ

40. Вспомогательная деятельность по ОИБ влияет на бизнес организации через: (выберите верные варианты ответа)

а) заказы на приобретение, поставку и регламентацию использования сервисов и систем ОИБ на объекты и системы в организации, которые далее могут эксплуатироваться другими вспомогательными и основными подразделениями
б) контроль за ОИБ, в том числе на основе информации об инцидентах ИБ, данных мониторинга и аудита ИБ
в) проверка персонала
г) информация о среде ведения бизнеса организации

41. Выходом (результатом) деятельности по ОИБ в организации являются:
(выберите верные варианты ответа)

а) документы по ИБ (отчеты, предложения, в том числе по обучению персонала, внутренние нормативные документы)
б) заказы на приобретение, поставку и регламентацию использования механизмов ИБ на объекты и системы в организации, которые далее могут эксплуатироваться другими вспомогательными или основными подразделениями, и порядок их использования
в) сигнал безопасности для основной деятельности (бизнеса) организации
г) информация о среде


44. К инструментальным средствам управления рисками ИБ относятся:

а) оценки ценности активов
б) выбора защитных мер и анализа их эффективности
в) построения модели ИС с позиции ИБ
г) все варианты верны

45. Выберите методы, используемые для идентификации рисков ИБ:

а) аналитический метод
б) исторический анализ
в) оценочный метод
г) практический метод

46. Какие из ниже перечисленных утверждений верны?

а) количественный подход к количественной оценке рисков ИБ не использует шкалу с числовыми значениями как для последствий, так и для вероятностей, основываясь на данных, полученных из различных источников.
б) примерами базы уязвимостей не являются: CVE, «Банк данных угроз безопасности информации».
в) входными данными процесса идентификация последствий являются списки активов, бизнес- процессов, угроз ИБ и уязвимостей (при возможности с указанием активов) и их значимость.
г) вычисление величины уровня рисков ИБ производиться путем комбинирования стоимости активов, выражающей вероятные последствия нарушения конфиденциальности, целостности и/или доступности, с оценочной вероятностью связанных с ними угроз ИБ и величиной уязвимостей, которые при объединении становятся причиной инцидента ИБ.

47. Деятельность по мониторингу и пересмотру (переоценке) процесса управления рисками ИБ затрагивает следующее (но не ограничивается лишь этим):

а) законодательный контекст и окружающая среда
б) конкурентоспособность
в) оба ответа верны
г) оба ответа неверны

50. Какие фазы анализа представляет собой метод OCTAVE:

а) разработка профиля угроз, связанных с активом
б) идентификация инфраструктурных уязвимостей
в) разработка стратегии и планов безопасности
г) все ответы верны

52. Выберите недостающий фрагмент: «вариант обработки риска в виде … выбирается в случае, если величина оцененных рисков ИБ удовлетворяет критериям принятия рисков, нет необходимости внедрения дополнительных средств управления рисками ИБ:

а) снижение риска ИБ
б) сохранение риска ИБ
в) избежание риска ИБ
г) передача риска ИБ

54. Из представленного списка выберите процесс, для которого входными данными является: список рисков ИБ с приоритетами, присвоенными им в соответствии с критериями оценивания рисков ИБ по отношению к сценариям инцидентов ИБ, ведущим к выделенным рискам.

а) обработка рисков ИБ
б) принятие рисков ИБ
в) коммуникация рисков ИБ
г) мониторинг и пересмотр рисков ИБ

56. Из представленного списка выберите процесс, для которого входными данными является: информация по рискам ИБ, полученная во время осуществления всей деятельности по управлению рисками ИБ.

а) обработка рисков ИБ
б) принятие рисков ИБ
в) коммуникация рисков ИБ
г) мониторинг и пересмотр рисков ИБ

57. Из представленного списка выберите процесс, для которого входными данными является: план обработки рисков ИБ и оценка рисков ИБ, на основе которых руководство организации делает свое заключение.

а) обработка рисков ИБ
б) принятие рисков ИБ
в) коммуникация рисков ИБ
г) мониторинг и пересмотр рисков ИБ

59. Выберите подходящий по смыслу термин из предложенных для: «совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения свойств ИБ».

а) уязвимость
б) угроза ИБ
в) инцидент ИБ
г) событие ИБ

Уважаемый студент дистанционного обучения,
Оценена Ваша работа по предмету: Управление информационной безопасностью в телекоммуникационных системах
Вид работы: Экзамен
Оценка: Отлично
Дата оценки: 18.06.2020
Рецензия: .............................................,

Киселев Антон Анатольевич