ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 26.10.2023
Просмотров: 498
Скачиваний: 24
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Раздел №1:
#
Вопрос
Анализ информационных рисков предназначен для:
Аудит информационной безопасности в том числе должен включать в себя (выберите наиболее полный ответ из перечисленных):
2 1
Управление рисками безопасности информационных систем организаций.
Вс
Какими категориями удобней пользоваться при качественном анализе информационного риска?
В случае анализа рисков базового уровня необходимо:
В случае полного анализа рисков обычно на практике используется следующий подход:
Выберите наиболее оптимальную стратегию управления рисками в следующем случае: Веб- сервер компании находится внутри корпоративной сети и его программное обеспечение, возможно, содержит уязвимости
2 4
3 6
5
Выберите наиболее полное описание методов, которые применяются при оценке ущерба в случае нарушения конфиденциальности информации
Выберите, невыполнение какого из следующих требований политики безопасности, на Ваш взгляд, может наибольшим образом повысить вероятность возникновения инцидентов в информационной системе:
Для оценки ущерба по угрозе <целостность> необходимо:
Для проведения анализа информационных рисков прежде всего необходимо:
Какой из перечисленных способов управления рисками является альтернативой для трёх остальных (исключает их)?
7 10 9
11 8
Какой метод обычно используется профессиональными взломщиками при информационной атаке?
Международный стандарт управления информационной безопасностью ISO 27001 предъявляет:
Одной из рекомендаций ISO 27005 является:
Основной задачей теста на проникновение, прежде всего, является :
Политика информационной безопасности в общем случае является:
Политика информационной безопасности прежде всего необходима для:
12 14 13 16 15 17
Пользователь осуществляет удаленный доступ к информации на сервере. Пусть условный уровень защищенности информации на сервере - 24 единицы; условный уровень защищенности рабочего места пользователя -
10 единиц. Оцените условный уровень защищенности удаленного доступа пользователя к информации на сервере:
Предположим, информационная система компании надежно защищена комплексом средств информационной защиты
(межсетевые экраны, антивирусы, системы защиты от НСД, системы обнаружения атак и т.д.). Выберите, как на существующий уровень рисков влияет реализация требований политики безопасности:
Тест на проникновение позволяет (выберите наиболее полное и точное на ваш взгляд определение):
19 20 18
Укажите в общем случае возможные типовые пути воздействия при получении удаленного доступа пользователя к информации на сервере
Укажите основную причину распространения практических методик качественной оценки рисков, связанных с использованием информационных технологий?
Раздел №1:
Анализ информационных рисков предназначен для:
Аудит информационной безопасности в том числе должен включать в себя (выберите наиболее полный ответ из перечисленных):
1 22 21 2
Вс
Какими категориями удобней пользоваться при качественном анализе информационного риска?
В случае анализа рисков базового уровня необходимо:
В случае полного анализа рисков обычно на практике используется следующий подход:
Выберите наиболее оптимальную стратегию управления рисками в следующем случае: Веб- сервер компании находится внутри корпоративной сети и его программное обеспечение, возможно, содержит уязвимости
2 4
3 6
5
Выберите наиболее полное описание методов, которые применяются при оценке ущерба в случае нарушения конфиденциальности информации
Выберите, невыполнение какого из следующих требований политики безопасности, на Ваш взгляд, может наибольшим образом повысить вероятность возникновения инцидентов в информационной системе:
Для оценки ущерба по угрозе <целостность> необходимо:
Для проведения анализа информационных рисков прежде всего необходимо:
Какой из перечисленных способов управления рисками является альтернативой для трёх остальных (исключает их)?
8 7
10 9
11
Какой метод обычно используется профессиональными взломщиками при информационной атаке?
Международный стандарт управления информационной безопасностью ISO 27001 предъявляет:
Одной из рекомендаций ISO 27005 является:
Основной задачей теста на проникновение, прежде всего, является :
Политика информационной безопасности в общем случае является:
Политика информационной безопасности прежде всего необходима для:
12 14 13 16 15 17
Пользователь осуществляет удаленный доступ к информации на сервере. Пусть условный уровень защищенности информации на сервере - 24 единицы; условный уровень защищенности рабочего места пользователя -
10 единиц. Оцените условный уровень защищенности удаленного доступа пользователя к информации на сервере:
Предположим, информационная система компании надежно защищена комплексом средств информационной защиты
(межсетевые экраны, антивирусы, системы защиты от НСД, системы обнаружения атак и т.д.). Выберите, как на существующий уровень рисков влияет реализация требований политики безопасности:
Тест на проникновение позволяет (выберите наиболее полное и точное на ваш взгляд определение):
18 20 19
Укажите в общем случае возможные типовые пути воздействия при получении удаленного доступа пользователя к информации на сервере
Укажите основную причину распространения практических методик качественной оценки рисков, связанных с использованием информационных технологий?
22 21
Правильный ответ анализ информационных рисков для оценки вероятного ущерба и инструментальную проверку защищенности для определения возможности реализации угроз получения стоимостной оценки вероятного финансового ущерба от реализации угроз, направленных на информационную систему компании и для оценки возможности реализации угроз
Управление рисками безопасности информационных систем организаций.
анализ информационных рисков для оценки вероятного ущерба и инструментальную проверку защищенности для определения возможности реализации угроз построить полную модель информационной системы с точки зрения информационной безопасности уровнями уменьшение риска и уклонение от риска построение комплексной модели информационной системы с точки зрения ИБ
(включая анализ технологических, организационных, физических и др. аспектов
ИБ) с целью получения оценок защищенности информации и существующих в системе информационных рисков
(включая анализ технологических, организационных, физических и др. аспектов
ИБ) с целью получения оценок защищенности информации и существующих в системе информационных рисков
классификация ресурсов по степени важности с точки зрения ИБ
оценка прямого ущерба от нарушения конфиденциальности информации построение полной модели информационной системы с точки зрения информационной безопасности оценить какой ущерб понесет компания в случае изменения информации уклонение от риска
оценка прямого ущерба от нарушения конфиденциальности информации построение полной модели информационной системы с точки зрения информационной безопасности оценить какой ущерб понесет компания в случае изменения информации уклонение от риска
атака на наименее защищенную цель проведение анализа рисков и регулярных тестов на проникновение сторонней компанией базовые требования по обеспечению ИБ
руководящим документом для всех сотрудников компании оценка возможности осуществления атаки из
Интернет на информационную систему компании обеспечения реального уровня защищенности информационной системы компании
руководящим документом для всех сотрудников компании оценка возможности осуществления атаки из
Интернет на информационную систему компании обеспечения реального уровня защищенности информационной системы компании
убедить руководство компании в реальной опасности вторжения из Интернет и обосновать необходимость инвестиций в ИБ
реализация требований политики безопасности существенно влияет на уровень рисков, так как <технологический> фактор защищенности информационной системы является лишь необходимым, но не достаточным условием обеспечения безопасности
10 единиц
реализация требований политики безопасности существенно влияет на уровень рисков, так как <технологический> фактор защищенности информационной системы является лишь необходимым, но не достаточным условием обеспечения безопасности
10 единиц
получения стоимостной оценки вероятного финансового ущерба от реализации угроз, направленных на информационную систему компании и для оценки возможности реализации угроз сложность набора статистики и оценки влияния принимаемых защитных контрмер на вероятности реализации конкретных угроз и размер наносимого ими ущерба атака на канал передачи, атака на сервер, атака на пользовательскую группу анализ информационных рисков для оценки вероятного ущерба и инструментальную проверку защищенности для определения возможности реализации угроз
анализ информационных рисков для оценки вероятного ущерба и инструментальную проверку защищенности для определения возможности реализации угроз построить полную модель информационной системы с точки зрения информационной безопасности уровнями уменьшение риска и уклонение от риска построение комплексной модели информационной системы с точки зрения ИБ
(включая анализ технологических, организационных, физических и др. аспектов
ИБ) с целью получения оценок защищенности информации и существующих в системе информационных рисков
(включая анализ технологических, организационных, физических и др. аспектов
ИБ) с целью получения оценок защищенности информации и существующих в системе информационных рисков
классификация ресурсов по степени важности с точки зрения ИБ
оценка прямого ущерба от нарушения конфиденциальности информации построение полной модели информационной системы с точки зрения информационной безопасности оценить какой ущерб понесет компания в случае изменения информации уклонение от риска
оценка прямого ущерба от нарушения конфиденциальности информации построение полной модели информационной системы с точки зрения информационной безопасности оценить какой ущерб понесет компания в случае изменения информации уклонение от риска
атака на наименее защищенную цель проведение анализа рисков и регулярных тестов на проникновение сторонней компанией базовые требования по обеспечению ИБ
руководящим документом для всех сотрудников компании оценка возможности осуществления атаки из
Интернет на информационную систему компании обеспечения реального уровня защищенности информационной системы компании
руководящим документом для всех сотрудников компании оценка возможности осуществления атаки из
Интернет на информационную систему компании обеспечения реального уровня защищенности информационной системы компании
10 единиц убедить руководство компании в реальной опасности вторжения из Интернет и обосновать необходимость инвестиций в ИБ
реализация требований политики безопасности существенно влияет на уровень рисков, так как <технологический> фактор защищенности информационной системы является лишь необходимым, но не достаточным условием обеспечения безопасности
сложность набора статистики и оценки влияния принимаемых защитных контрмер на вероятности реализации конкретных угроз и размер наносимого ими ущерба атака на канал передачи, атака на сервер, атака на пользовательскую группу
Варианты ответов оценки существующего уровня защищенности информационной системы и формирования оптимального бюджета на информационную безопасность;
оценки технического уровня защищенности информационной системы;
получения стоимостной оценки вероятного финансового ущерба от реализации угроз, направленных на информационную систему компании и для оценки возможности реализации угроз;
убеждения руководства компании в необходимости вложений в систему обеспечения информационной безопасности и для инструментальной проверки защищенности информационной системы анализ информационных рисков для оценки вероятного ущерба и инструментальную проверку защищенности для определения возможности реализации угроз;
Управление рисками безопасности информационных систем организаций.
оценку зависимости компании от внешних связей и тесты на проникновение;
оценку стоимости ресурсов и информации;
анализ и классификацию угроз безопасности согласно модели нарушителя процентами;
во временном выражении;
уровнями;
в стоимостном выражении провести тесты на проникновение;
проверить выполнение требований соответствующего стандарта, например ISO 27001;
провести полный аудит информационной безопасности, включая тесты на проникновение;
построить полную модель информационной системы с точки зрения информационной безопасности накопление статистических данных о реально случившихся происшествиях, анализ и классификация их причин; на выходе метода: вероятностная оценка рисков на основе статистических данных;
анализ технологических особенностей информационных систем (например, на основе немецкого стандарта BSI);
построение комплексной модели информационной системы с точки зрения ИБ (включая анализ технологических, организационных, физических и др. аспектов ИБ) с целью получения оценок защищенности информации и существующих в системе информационных рисков;
проводится полный внутренний аудит безопасности информационной системы без определения стоимостных оценок возможных потерь от реализации обнаруженных угроз уменьшение риска и уклонение от риска;
принятие риска;
изменение характера риска и уклонение от риска;
изменение характера риска и уменьшение риска
оценку стоимости ресурсов и информации;
анализ и классификацию угроз безопасности согласно модели нарушителя процентами;
во временном выражении;
уровнями;
в стоимостном выражении провести тесты на проникновение;
проверить выполнение требований соответствующего стандарта, например ISO 27001;
провести полный аудит информационной безопасности, включая тесты на проникновение;
построить полную модель информационной системы с точки зрения информационной безопасности накопление статистических данных о реально случившихся происшествиях, анализ и классификация их причин; на выходе метода: вероятностная оценка рисков на основе статистических данных;
анализ технологических особенностей информационных систем (например, на основе немецкого стандарта BSI);
построение комплексной модели информационной системы с точки зрения ИБ (включая анализ технологических, организационных, физических и др. аспектов ИБ) с целью получения оценок защищенности информации и существующих в системе информационных рисков;
проводится полный внутренний аудит безопасности информационной системы без определения стоимостных оценок возможных потерь от реализации обнаруженных угроз уменьшение риска и уклонение от риска;
принятие риска;
изменение характера риска и уклонение от риска;
изменение характера риска и уменьшение риска
оценка стоимости затрат на реабилитацию подмоченной репутации, престижа, имени компании;
стоимость упущенной выгоды (потерянный контракт);
стоимость затрат на поиск новых клиентов, взамен более не доверяющих компании;
оценка прямого ущерба от нарушения конфиденциальности информации регулярное обновление антивирусных баз;
создание и поддержание форума по информационной безопасности для всех специалистов, вовлеченных в процесс обеспечения ИБ;
классификация ресурсов по степени важности с точки зрения ИБ;
завершение активной сессии пользователя по окончании работы оценить полную стоимость информации;
оценить какой ущерб понесет компания в случае изменения информации;
оценить какой ущерб понесет компания в случае модификации информации;
оценить возможность осуществления атаки на ресурс, на котором хранится информация градация информационных рисков;
построение полной модели информационной системы с точки зрения информационной безопасности;
модель нарушителя;
вероятностные оценки угроз безопасности принятие риска;
уклонение от риска;
передача риска;
снижение риска
стоимость упущенной выгоды (потерянный контракт);
стоимость затрат на поиск новых клиентов, взамен более не доверяющих компании;
оценка прямого ущерба от нарушения конфиденциальности информации регулярное обновление антивирусных баз;
создание и поддержание форума по информационной безопасности для всех специалистов, вовлеченных в процесс обеспечения ИБ;
классификация ресурсов по степени важности с точки зрения ИБ;
завершение активной сессии пользователя по окончании работы оценить полную стоимость информации;
оценить какой ущерб понесет компания в случае изменения информации;
оценить какой ущерб понесет компания в случае модификации информации;
оценить возможность осуществления атаки на ресурс, на котором хранится информация градация информационных рисков;
построение полной модели информационной системы с точки зрения информационной безопасности;
модель нарушителя;
вероятностные оценки угроз безопасности принятие риска;
уклонение от риска;
передача риска;
снижение риска