Экзаменационная работа по дисциплине: Управление информационной безопасностью в телекоммуникационных системах. Билет №54

2. Как классифицируют в CRAMM уровни угроз?

а) в диапазоне 2-10
б) цветовой индикацией «красный-желтый-зеленый»
в) шкала «низкий - средний – высокий»
г) вероятностное значение в диапазоне [0;1]

5. Какие из представленных стандартов содержат руководство по управлению рисками информационной безопасности?

а) ГОСТ Р ИСО/МЭК 27011-2012
б) BS 7799-3:2017
в) ГОСТ Р ИСО/МЭК 27005-2010
г) ISO/IEC 17799-2005

8. Выберите из предложенных вариантов недостающий фрагмент во фразе: «Если выявленные риски информационной безопасности считаются слишком высокими или затраты на осуществление других действий по обработке рисков ИБ превышают выгоды, может быть принято решение полностью ___ путем отказа от запланированной или осуществляемой деятельности»

а) снизить риск информационной безопасности
б) сохранить риск информационной безопасности
в) избежание риска информационной безопасности
г) передать риск информационной безопасности

11. Выберите из предложенных вариантов причины проведения аудита на соответствие стандарту

а) сертификация, вызванная «внешними» объективными причинами
б) обязательная аттестация объектов информатизации
в) добровольная сертификация
г) требования закона «О техническом регулировании»

13. Что из предложенного может быть включено в отчет по проведенному аудиту на соответствии требованиям стандартов информационной безопасности?

а) количество и категории полученных несоответствий и замечаний
б) степень соответствия собственным внутренним требованиям компании в области информационной безопасности
в) список уязвимостей и угроз, актуальных для проверяемой организации.
г) рекомендации по построению или модификации системы обеспечения информационной безопасности, позволяющие привести её в соответствие с рассматриваемым стандартом

14. Какие из ниже перечисленных утверждений верны?

а) системный подход – методологическое направление исследования объекта как системы с разных сторон, комплексно, в совокупности отношений и связей между его элементами
б) процесс- это совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующая входы в выходы и требующая для этого определенных ресурсов и управляющих воздействий (управления)
в) одним из условий системы является поведение каждого элемента не влияющего на поведение целого. (организм)
г) поведение элементов и их воздействия на целое не взаимосвязаны

16. Какие из ниже перечисленных утверждений верны?

а) менеджмент включает основные функции управления (прогнозирование, планирование, организация деятельности, мотивирование персонала, лидерство, контроль, учет и анализ, корректировка деятельности и т. д.) и определяет эффективное достижение целей организации при оптимальном использовании ресурсов
б) состояние всей управленческой инфраструктуры в различных масштабах не как не относится к понятию менеджмент
в) менеджмент определяется как особый вид профессионально осуществляемой деятельности, направленной на достижение определенных целен путем рационального использования материальных и трудовых ресурсов с применением определенных научных подходов, принципов, функций и методов
г) нескоординированная деятельность по руководству и управлению организацией это менеджмент

17. Какие из следующих областей являются основным предметом управления ИБ в организации:

а) планирование работ по ОИБ, включая разработку и продвижение соответствующей документации
б) улучшение защитных мер
в) осуществление контроля за ОИБ и уровнем ИБ
г) улучшение практик

18. Какие из ниже перечисленных утверждений верны?

а) СУИБ- часть общей системы управления организации, основанную на подходе оценки и анализа бизнес-рисков, предназначенную для разработки, внедрения, эксплуатации, постоянного контроля, анализа, поддержания и улучшения ИБ, и включающую организационную структуру, политику, планирование действий, обязанности, установившийся порядок, процедуры, процессы и ресурсы в области ИБ.
б) одной из функций СУИБ является проведение процесс а выполнения ПолИБ и позволяет находить и устранять слабые места в ОИБ
в) главной функцией СУИБ является нахождение методики и методов управления ИБ
г) отслеживание за ответственностью всех участвующих в процессе управления ИБ, и тех, кто попадает в область действия СУИБ относят к функциям СУИБ.

19. Основной результат деятельности по определению области действия СУИБ - это документ, включающий:

а) взаимоотношения существующих систем управления, регулирующих и надзорных органов, и целей организации
б) список дел управления ИБ
в) сводка поручений по управлению ИБ, установленных руководством организации, и обязательства, налагаемые на внешние организации
г) взаимодействия частей области с другими системами

20. Какие ключевые процессы СУИБ должна охватывать Политика СУИБ (выберите верный вариант ответа):

а) управление рисками ИБ
б) управление аудитами ИБ
в) пересмотр и совершенствование СУИБ
г) все ответы верны

21. Какие из ниже перечисленных утверждений верны?

а) второй этап реализации СУИБ называется организационным
б) второй этап реализации СУИБ называется управленческим
в) главные задачи 3 этапа реализации СУИБ провести анализ СУИБ
определить перечень работ по доработке СУИБ
г) проводить регулярный анализ результативности СУИБ не является проверкой

22. К этапам реализации СУИБ относятся:

а) управленческий:
б) определение Политики СУИБ и целей СУИБ по каждому процессу
в) сравнительный
г) официальный

23. Важным фактором успешного внедрения СУИБ является создание рабочей группы, ответственной за внедрение СУИБ. В ее состав должны войти (выберите верные варианты ответа):

а) представители высшего руководства организации
б) специалисты подразделений, обеспечивающих ИБ в организации, имеющие соответствующее образование или подготовку, знающие основные принципы и лучшие практики в области ИБ
в) представители любых организаций
г) представители любого руководства организации

24. Качественный подход к количественной оценке рисков ИБ может применяться: (выберите верный вариант ответа)

а) все варианты верны
б) как начальная при идентификации рисков ИБ, которые позже будут проанализированы более детально
в) когда этого типа анализа достаточно для принятия решений
г) когда имеющихся числовых данных или ресурсов недостаточно количественной оценки

26. Какие из ниже перечисленных утверждений верны?

а) целью обработки рисков ИБ является их уменьшение до приемлемого уровня путем снижения вероятности реализации сценариев инцидентов ИБ или минимизации возможного ущерба (последствий).
б) процесс обработки рисков ИБ не включает подготовку, выбор и принятие решений по вариантам обработки рисков ИБ, которые должны быть реализуемы и экономически оправданы.
в) комбинированного вида анализа рисков ИБ не существует
г) входными данными для оценивания рисков являются список оцененных рисков ИБ с приписанными им уровнями и критериями (шкалой) оценивания рисков ИБ

28. Какие из ниже перечисленных утверждений верны?

а) результатом мониторинга управления рисками ИБ может стать модификация или дополнение подхода, методологии или используемых инструментальных средств.
б) одним из факторов влияющих на оценку инцидентов является мотивация и возможности, которые меняются со временем, а также ресурсы, доступные потенциальным злоумышленникам
в) суть процесса идентификации активов не сводится к выявлению (инвентаризации) всех активов.
г) субъективный выбор экспертами уровней рисков не является особенностью оценки рисков ИБ

29. Какие из ниже перечисленных примеров относятся к операционному уровню обеспечения управления рисками ИБ?

а) план обеспечения непрерывности бизнеса
б) политикой управления рисками ИБ
в) определение ценности активов
г) методологией оценки рисков ИБ

30. Какие фазы анализа представляет собой метод OCTAVE?

а) разработка профиля угроз, связанных с активом;
б) идентификация инфраструктурных уязвимостей
в) разработка стратегии и планов безопасности.
г) все ответы верны

36. Выберите компоненты, входящие в анализ рисков ИБ схемы управления рисками ИБ

а) оценивание рисков ИБ
б) количественная оценка рисков ИБ
в) установление контекста
г) идентификация рисков ИБ

40. Вспомогательная деятельность по ОИБ влияет на бизнес организации через: (выберите верные варианты ответа)

а) заказы на приобретение, поставку и регламентацию использования сервисов и систем ОИБ на объекты и системы в организации, которые далее могут эксплуатироваться другими вспомогательными и основными подразделениями
б) контроль за ОИБ, в том числе на основе информации об инцидентах ИБ, данных мониторинга и аудита ИБ
в) проверка персонала
г) информация о среде ведения бизнеса организации

44. К инструментальным средствам управления рисками ИБ относятся:

а) оценки ценности активов
б) выбора защитных мер и анализа их эффективности
в) построения модели ИС с позиции ИБ
г) все варианты верны

45. Выберите методы, используемые для идентификации рисков ИБ:

а) аналитический метод
б) исторический анализ
в) оценочный метод
г) практический метод

46. Какие из ниже перечисленных утверждений верны?

а) количественный подход к количественной оценке рисков ИБ не использует шкалу с числовыми значениями как для последствий, так и для вероятностей, основываясь на данных, полученных из различных источников.
б) примерами базы уязвимостей не являются: CVE, «Банк данных угроз безопасности информации».
в) входными данными процесса идентификация последствий являются списки активов, бизнес- процессов, угроз ИБ и уязвимостей (при возможности с указанием активов) и их значимость.
г) вычисление величины уровня рисков ИБ производиться путем комбинирования стоимости активов, выражающей вероятные последствия нарушения конфиденциальности, целостности и/или доступности, с оценочной вероятностью связанных с ними угроз ИБ и величиной уязвимостей, которые при объединении становятся причиной инцидента ИБ.

49. Ценность данных и программного обеспечения определяется в следующих ситуациях: (выберите верные варианты ответа)

а) недоступность ресурса в течение определенного периода времени
б) модификация рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок
в) при определение финансовых потерь от разглашения информации
г) при ущербе для здоровья персонала

51. По типу источника, угрозы в OCTAVE делятся на: (выберите верный варианты ответа)

а) угрозы, исходящие от человека-нарушителя, использующего физический доступ
б) угрозы, связанные со сбоями в работе системы
в) оба ответа верны
г) оба ответа не верны

52. Выберите недостающий фрагмент: «вариант обработки риска в виде … выбирается в случае, если величина оцененных рисков ИБ удовлетворяет критериям принятия рисков, нет необходимости внедрения дополнительных средств управления рисками ИБ:

а) снижение риска ИБ
б) сохранение риска ИБ
в) избежание риска ИБ
г) передача риска ИБ

54. Из представленного списка выберите процесс, для которого входными данными является: список рисков ИБ с приоритетами, присвоенными им в соответствии с критериями оценивания рисков ИБ по отношению к сценариям инцидентов ИБ, ведущим к выделенным рискам.

а) обработка рисков ИБ
б) принятие рисков ИБ
в) коммуникация рисков ИБ
г) мониторинг и пересмотр рисков ИБ

57. Из представленного списка выберите процесс, для которого входными данными является: план обработки рисков ИБ и оценка рисков ИБ, на основе которых руководство организации делает свое заключение.

а) обработка рисков ИБ
б) принятие рисков ИБ
в) коммуникация рисков ИБ
г) мониторинг и пересмотр рисков ИБ

58. Выберите подходящий по смыслу термин из предложенных для: «потенциальная возможность использования уязвимостей актива или группы активов конкретной угрозой ИБ для причинения ущерба организации».

а) инцидент ИБ
б) событие ИБ
в) риск ИБ
г) процесс

Вами допущена одна ошибка.
Оценка "4"