Ответы к тесту: Анализ информационных рисков

Тестовый вопрос: Что лучше всего описывает цель расчета ALE?

Выберите правильный ответ:

[неверно] Количественно оценить уровень безопасности среды

[неверно] Оценить возможные потери для каждой контрмеры

[неверно] Количественно оценить затраты / выгоды

[верно] Оценить потенциальные потери от угрозы в год

Тестовый вопрос: Тактическое планирование – это:

Выберите правильный ответ:

[верно] Среднесрочное планирование

[неверно] Долгосрочное планирование

[неверно] Ежедневное планирование

[неверно] Планирование на 6 месяцев

Тестовый вопрос: Что является определением воздействия (exposure) на безопасность?

Выберите правильный ответ:

[верно] Нечто, приводящее к ущербу от угрозы

[неверно] Любая потенциальная опасность для информации или систем

[неверно] Любой недостаток или отсутствие информационной безопасности

[неверно] Потенциальные потери от угрозы

Тестовый вопрос: Эффективная программа безопасности требует сбалансированного применения:

Выберите правильный ответ:

[верно] Технических и нетехнических методов

[неверно] Контрмер и защитных механизмов

[неверно] Физической безопасности и технических средств защиты

[неверно] Процедур безопасности и шифрования

Тестовый вопрос: Функциональность безопасности определяет ожидаемую работу механизмов безопасности, а гарантии определяют:

Выберите правильный ответ:

[неверно] Внедрение управления механизмами безопасности

[неверно] Классификацию данных после внедрения механизмов безопасности

[верно] Уровень доверия, обеспечиваемый механизмом безопасности

[неверно] Соотношение затрат / выгод

Тестовый вопрос: Какое утверждение является правильным, если взглянуть на разницу в целях безопасности для коммерческой и военной организации?

Выберите правильный ответ:

[неверно] Только военные имеют настоящую безопасность

[верно] Коммерческая компания обычно больше заботится о целостности и доступности данных, а военные – о конфиденциальности

[неверно] Военным требуется больший уровень безопасности, т.к. их риски существенно выше

[неверно] Коммерческая компания обычно больше заботится о доступности и конфиденциальности данных, а военные – о целостности

Тестовый вопрос: Как рассчитать остаточный риск?

Выберите правильный ответ:

[неверно] Угрозы х Риски х Ценность актива

[неверно] (Угрозы х Ценность актива х Уязвимости) х Риски

[неверно] SLE x Частоту = ALE

[верно] (Угрозы х Уязвимости х Ценность актива) x Недостаток контроля

Тестовый вопрос: Что из перечисленного не является целью проведения анализа рисков?

Выберите правильный ответ:

[верно] Делегирование полномочий

[неверно] Количественная оценка воздействия потенциальных угроз

[неверно] Выявление рисков

[неверно] Определение баланса между воздействием риска и стоимостью необходимых контрмер

Тестовый вопрос: Что из перечисленного не является задачей руководства в процессе внедрения и сопровождения безопасности?

Выберите правильный ответ:

[неверно] Поддержка

[верно] Выполнение анализа рисков

[неверно] Определение цели и границ

[неверно] Делегирование полномочий

Тестовый вопрос: Почему при проведении анализа информационных рисков следует привлекать к этому специалистов из различных подразделений компании?

Выберите правильный ответ:

[неверно] Чтобы убедиться, что проводится справедливая оценка

[неверно] Это не требуется. Для анализа рисков следует привлекать небольшую группу специалистов, не являющихся сотрудниками компании, что позволит обеспечить беспристрастный и качественный анализ

[верно] Поскольку люди в различных подразделениях лучше понимают риски в своих подразделениях и смогут предоставить максимально полную и достоверную информацию для анализа

[неверно] Поскольку люди в различных подразделениях сами являются одной из причин рисков, они должны быть ответственны за их оценку

Тестовый вопрос: Что является наилучшим описанием количественного анализа рисков?

Выберите правильный ответ:

[неверно] Анализ, основанный на сценариях, предназначенный для выявления различных угроз безопасности

[неверно] Метод, используемый для точной оценки потенциальных потерь, вероятности потерь и рисков

[верно] Метод, сопоставляющий денежное значение с каждым компонентом оценки рисков

[неверно] Метод, основанный на суждениях и интуиции

Тестовый вопрос: Почему количественный анализ рисков в чистом виде не достижим?

Выберите правильный ответ:

[неверно] Он достижим и используется

[неверно] Он присваивает уровни критичности. Их сложно перевести в денежный вид.

[неверно] Это связано с точностью количественных элементов

[верно] Количественные измерения должны применяться к качественным элементам

Тестовый вопрос: Если используются автоматизированные инструменты для анализа рисков, почему все равно требуется так много времени для проведения анализа?

Выберите правильный ответ:

[верно] Много информации нужно собрать и ввести в программу

[неверно] Руководство должно одобрить создание группы

[неверно] Анализ рисков не может быть автоматизирован, что связано с самой природой оценки

[неверно] Множество людей должно одобрить данные

Тестовый вопрос: Какой из следующих законодательных терминов относится к компании или человеку, выполняющему необходимые действия, и используется для определения обязательств?

Выберите правильный ответ:

[неверно] Стандарты

[неверно] Должный процесс (Due process)

[верно] Должная забота (Due care)

[неверно] Снижение обязательств

Тестовый вопрос: Что такое CobiT и как он относится к разработке систем информационной безопасности и программ безопасности?

Выберите правильный ответ:

[неверно] Список стандартов, процедур и политик для разработки программы безопасности

[неверно] Текущая версия ISO 17799

[неверно] Структура, которая была разработана для снижения внутреннего мошенничества в компаниях

[верно] Открытый стандарт, определяющий цели контроля

Тестовый вопрос: Из каких четырех доменов состоит CobiT?

Выберите правильный ответ:

[верно] Планирование и Организация, Приобретение и Внедрение, Эксплуатация и Сопровождение, Мониторинг и Оценка

[неверно] Планирование и Организация, Поддержка и Внедрение, Эксплуатация и Сопровождение, Мониторинг и Оценка

[неверно] Планирование и Организация, Приобретение и Внедрение, Сопровождение и Покупка, Мониторинг и Оценка

[неверно] Приобретение и Внедрение, Эксплуатация и Сопровождение, Мониторинг и Оценка

Тестовый вопрос: Что представляет собой стандарт ISO/IEC 27799?

Выберите правильный ответ:

[верно] Стандарт по защите персональных данных о здоровье

[неверно] Новая версия BS 17799

[неверно] Определения для новой серии ISO 27000

[неверно] Новая версия NIST 800-60

Тестовый вопрос: CobiT был разработан на основе структуры COSO. Что является основными целями и задачами COSO?

Выберите правильный ответ:

[неверно] COSO – это подход к управлению рисками, который относится к контрольным объектам и бизнес-процессам

[верно] COSO относится к стратегическому уровню, тогда как CobiT больше направлен на операционный уровень

[неверно] COSO учитывает корпоративную культуру и разработку политик

[неверно] COSO – это система отказоустойчивости