double arrow

Что является определением воздействия (exposure) на безопасность?

2

A. Нечто, приводящее к ущербу от угрозы

B. Любая потенциальная опасность для информации или систем

C. Любой недостаток или отсутствие информационной безопасности

D. Потенциальные потери от угрозы

14. Эффективная программа безопасности требует сбалансированного применения:

A. Технических и нетехнических методов

B. Контрмер и защитных механизмов

C. Физической безопасности и технических средств защиты

D. Процедур безопасности и шифрования

15. Функциональность безопасности определяет ожидаемую работу механизмов безопасности, а гарантии определяют:

A. Внедрение управления механизмами безопасности

B. Классификацию данных после внедрения механизмов безопасности

C. Уровень доверия, обеспечиваемый механизмом безопасности

D. Соотношение затрат / выгод

Какое утверждение является правильным, если взглянуть на разницу в целях безопасности для коммерческой и военной организации?

A. Только военные имеют настоящую безопасность

B. Коммерческая компания обычно больше заботится о целостности и доступности данных, а военные – о конфиденциальности

C. Военным требуется больший уровень безопасности, т.к. их риски существенно выше

D. Коммерческая компания обычно больше заботится о доступности и конфиденциальности данных, а военные – о целостности

Как рассчитать остаточный риск?

A. Угрозы х Риски х Ценность актива

B. (Угрозы х Ценность актива х Уязвимости) х Риски

C. SLE x Частоту = ALE

D. (Угрозы х Уязвимости х Ценность актива) x Недостаток контроля

Что из перечисленного не является целью проведения анализа рисков?

A. Делегирование полномочий

B. Количественная оценка воздействия потенциальных угроз

C. Выявление рисков

D. Определение баланса между воздействием риска и стоимостью необходимых контрмер

Что из перечисленного не является задачей руководства в процессе внедрения и сопровождения безопасности?

A. Поддержка

B. Выполнение анализа рисков

C. Определение цели и границ

D. Делегирование полномочий

Почему при проведении анализа информационных рисков следует привлекать к этому специалистов из различных подразделений компании?

A. Чтобы убедиться, что проводится справедливая оценка.

B. Это не требуется. Для анализа рисков следует привлекать небольшую группу специалистов, не являющихся сотрудниками компании, что позволит обеспечить беспристрастный и качественный анализ.

C. Поскольку люди в различных подразделениях лучше понимают риски в своих подразделениях и смогут предоставить максимально полную и достоверную информацию для анализа.

D. Поскольку люди в различных подразделениях сами являются одной из причин рисков, они должны быть ответственны за их оценку.

 

Что является наилучшим описанием количественного анализа рисков?

A. Анализ, основанный на сценариях, предназначенный для выявления различных угроз безопасности

B. Метод, используемый для точной оценки потенциальных потерь, вероятности потерь и рисков

C. Метод, сопоставляющий денежное значение с каждым компонентом оценки рисков

D. Метод, основанный на суждениях и интуиции

Почему количественный анализ рисков в чистом виде не достижим?

A. Он достижим и используется

B. Он присваивает уровни критичности. Их сложно перевести в денежный вид.

C. Это связано с точностью количественных элементов.

D. Количественные измерения должны применяться к качественным элементам.

 


Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  


2

Сейчас читают про: