Что относится к внешним рискам сдо
Тест с ответами на тему: «Управление рисками»
I вариант.
1. Что такое риск?
а) разновидность ситуации, объективно содержащая высокую вероятность невозможности осуществления цели
б)наличие факторов, при которых результаты действий не являются детерминированными, а степень возможного влияния этих факторов на результаты неизвестна
в) следствие действия либо бездействия, в результате которого существует реальная возможность получения неопределенных результатов различного характера+
2. Какие потери можно обозначить как трудовые?
а) потери рабочего времени+
б) уменьшение выручки вследствие снижения цен на реализуемую продукцию
в) уплата дополнительных налогов
г) невыполнение сроков сдачи объекта
д) потери материалов
е) ущерб здоровью
ж) потери сырья
з) ущерб репутации
и) выплата штрафа
3. Какие компании называют кэптивными?
а) универсальные страховые;
б) специализированные страховые;
в) ведомственные страховые.+
4.Какие потери можно считать финансовыми?
а) потери ценных бумаг+
б) потери сырья
в) невыполнение сроков сдачи объекта
г) выплата штрафа+
д) уплата дополнительных налогов+
е) уменьшение выручки вследствие снижения цен на реализуемую продукцию+
5.Факторы, которые влияют на уровень финансовых рисков подразделяются на:
а) объектные и субъектные;+
б) позитивные и негативные;
в) простые и сложные.
6. Какие потери можно отнести к потерям времени
а) невыполнение сроков сдачи объекта+
б) потери ценных бумаг
в) выплата штрафа
г) уменьшение выручки вследствие снижения цен на реализуемую продукцию
д) уплата дополнительных налогов
7. Как называется процесс использования механизмов уменьшения рисков?
а) диверсификация;
б) лимитирование;
в) хеджирование.+
8.Что такое анализ риска?
а) систематизация множества рисков на основании каких-либо признаков и критериев, позволяющих объединить подмножества рисков в более общие понятия
б) систематическое научное исследование степени риска, которому подвержены конкретные объекты, виды деятельности и проекты+
в) начальный этап системы мероприятий по управлению рисками, состоящий в систематическом выявлении рисков, характерных для определенного вида деятельности, и определении их характеристик
9. Что является принципом действия механизма диверсификации?
а) избежание рисков;
б) разделение рисков;+
в) снижение рисков.
10. Что такое идентификация риска?
а) систематизация множества рисков на основании каких-либо признаков и критериев, позволяющих объединить подмножества рисков в более общие понятия
б) начальный этап системы мероприятий по управлению рисками, состоящий в систематическом выявлении рисков, характерных для определенного вида деятельности, и определении их характеристик+
в) систематическое научное исследование степени риска, которому подвержены конкретные объекты, виды деятельности и проекты
11. Под максимальным объемом страховой защиты предприятия по конкретным видам страхуемых финансовых рисков понимается:
а) страховой тариф;
б) страховая сумма;+
в) страховая премия.
12. Как называются риски, которые могут нести в себе как потери, так и дополнительную прибыль?
а) чистыми
б) критическими
в) спекулятивными+
13. На какие виды подразделяются риски по уровню финансовых потерь?
а) допустимый, критический и катастрофический;+
б) недопустимый, допустимый и критический;
в) критический, катастрофический и недопустимый.
14. Что такое последствия риска?
а) скорее положительными
б) как положительными, так и отрицательными+
в) только отрицательными
15. Как называются риски, которые практически всегда несут в себе потери?
а) критическими
б) спекулятивными
в) чистыми+
16. В основе какой из ниже предложенных операции лежит обмен финансовыми активами или обязательствами для улучшения их структуры и снижения возможных потерь:
а) своп;+
б) хеджирование;
в) репо.
17. Как называются риски, которые обусловлены деятельностью самого предприятия и его контактной аудиторией?
а) внешними
б) внутренними+
в) чистыми
18. Как называются риски, в результате реализации которых предприятию грозит потеря прибыли?
а) катастрофическими
б) критическими
в) допустимыми+
19.Чем измеряется величина или степень риска?
а) средним ожидаемым значение
б) изменчивостью возможного результата
в) оба варианта верны+
20. В чем состоит социально-экономическая функция риска?
а) в том, что в процессе рыночной деятельности риск и конкуренция позволяет выделить социальные группы эффективных собственников в общественных классах, а в экономике – отрасли деятельности, в которых риск приемлем+
б) в том, что реализация риска может обеспечить дополнительную по сравнению с плановой прибыль в случае благоприятного исхода
в) оба варианта верны
II вариант.
1. Риск это:
а) разновидность ситуации, объективно содержащая высокую вероятность невозможности осуществления цели
б)наличие факторов, при которых результаты действий не являются детерминированными, а степень возможного влияния этих факторов на результаты неизвестна
в) следствие действия либо бездействия, в результате которого существует реальная возможность получения неопределенных результатов различного характера+
2. Выберите метод оценки риска, который реализуется путем введения поправки на риск или путем учета вероятности возникновения денежных потоков?
а) построение дерева решений
б) метод сценариев
в) учет рисков при расчете чистой приведенной стоимости+
г) анализ чувствительности
д) вероятностный метод
е) имитационное моделирование
3. Выберите метод оценки риска, который используется в ситуациях, когда принимаемые решения сильно зависят от принятых ранее и определяют сценарии дальнейшего развития событий?
а) имитационное моделирование
б) вероятностный метод
в) учет рисков при расчете чистой приведенной стоимости
г) построение дерева решений+
д) анализ чувствительности
е) метод сценариев
4. Выберите метод оценки риска, который представляет собой серию численных экспериментов, призванных получить эмпирические оценки степени влияния различных факторов на некоторые зависящие от них результаты?
а) учет рисков при расчете чистой приведенной стоимости
б) анализ чувствительности
в) построение дерева решений
г) вероятностный метод
д) метод сценариев
е) имитационное моделирование+
5. Каким образом можно учитывать риск при расчете чистой приведенной стоимости?
а) в знаменателе формулы NPV посредством корректировки ставки дисконта
б) комбинация формул NPV посредством корректировки чистых денежных потоков
в) все варианты верны+
г) в числителе формулы NPV посредством корректировки чистых денежных потоков
6. Субъект управления в риск-менеджменте:
а) специальная группа людей, которая посредством различных приемов и способов управленческого воздействия осуществляет управление рисками+
б) все варианты верны
в) риск, рисковые вложения капитала и экономические отношения между хозяйствующими субъектами
7. Объект управления в риск-менеджменте:
а) риск, рисковые вложения капитала и экономические отношения между хозяйствующими субъектами+
б) все варианты верны
в) специальная группа людей, которая посредством различных приемов и способов управленческого воздействия осуществляет управление рисками
8. «Деятельность любой организации всегда сопровождается рисками, присутствующими в ее внешней или внутренней среде» включает в себя смысл:
а) закона неизбежности риска+
б) закона сочетания потенциальных потерь и выгод
в) закона прямой зависимости между степенью риска и уровнем планируемых доходов
9. «Практически в любых ситуациях риска потенциальная возможность потерь или убытков сочетается с потенциальной возможностью получения дополнительных доходов» включает в себя смысл:
а) закона прямой зависимости между степенью риска и уровнем планируемых доходов
б) закона неизбежности риска
в) закона сочетания потенциальных потерь и выгод+
10. «Чем выше степень риска при осуществлении хозяйственной операции, тем выше уровень планируемых от этой операции доходов» включает в себя смысл:
а) закона прямой зависимости между степенью риска и уровнем планируемых доходов+
б) закона неизбежности риска
в) закона сочетания потенциальных потерь и выгод
11. Прогнозирование внешней обстановки относится к:
а) методы компенсации рисков+
б) методы уклонения от рисков
в) методы локализации рисков
г) методы диверсификации рисков
12. Страхование относится к:
а) методы уклонения от рисков
б) методы диверсификации рисков
в) методы локализации рисков
г) методы компенсации рисков
13. Распределение риска по этапам работы относится к:
а) методы локализации рисков
б) методы компенсации рисков
в) методы уклонения от рисков
г) методы диверсификации рисков+
14. Заключение договоров о совместной деятельности для реализации рискованных проектов относится к:
а) методы диверсификации рисков
б) методы уклонения от рисков
в) методы компенсации рисков
г) методы локализации рисков+
15. Обучение и инструктирование персонала относится к:
а) методы уклонения от рисков
б) методы компенсации рисков+
в) методы диверсификации рисков
г) методы локализации рисков
16. Распределение ответственности между участниками проекта относится к:
а) методы диверсификации рисков+
б) методы компенсации рисков
в) методы локализации рисков
г) методы уклонения от рисков
17. Увольнение некомпетентных сотрудников относится к:
а) методы локализации рисков
б) методы диверсификации рисков
в) методы уклонения от рисков+
г) методы компенсации рисков
18. Создание системы резервов относится к:
а) методы уклонения от рисков
б) методы диверсификации рисков
в) методы компенсации рисков+
г) методы локализации рисков
19. Создание специальных инновационных подразделений относится к:
а) методы локализации рисков+
б) методы диверсификации рисков
в) методы компенсации рисков
г) методы уклонения от рисков
20. Распределение инвестиций в разных отраслях и сферах деятельности относится к:
а) методы диверсификации рисков+
б) методы локализации рисков
в) методы компенсации рисков
г) методы уклонения от рисков
РИСКИ КИБЕРЗОПАСНОСТИ СИСТЕМ ДИСТАНЦИОННОГО ОБУЧЕНИЯ
РИСКИ КИБЕРЗОПАСНОСТИ СИСТЕМ ДИСТАНЦИОННОГО ОБУЧЕНИЯ
Оладько В.С. *
Финансовый университет при Правительстве Российской Федерации, Москва, Россия
* Корреспондирующий автор (oladko.vs[at]yandex.ru.ru)
Аннотация
В статье затрагивается проблема обеспечения кибербезопасности систем дистанционного обучения образовательных учреждений. Рассмотрены основные факторы риска безопасности, виды и источники угроз. Составлена модель нарушителя информационной безопасности в системе дистанционного обучения, описаны виды нарушителей и преследуемые цели. Предложен и математически описан алгоритм оценки рисков кибербезопасности. Для расчета рисков было предложено использовать трехфакторную модель учитывающую частоту реализации угрозы, ущерб и коэффициент результативности контрмер по противодействию угрозе.
Ключевые слова: социотехническая система, модель нарушителя, угроза, ущерб, меры защиты, образование.
RISKS OF CYBER SECURITY OF DISTANCE LEARNING SYSTEMS
Oladko V.S. *
Financial University under the Government of the Russian Federation, Moscow, Russia
* Corresponding author (oladko.vs[at]yandex.ru.ru)
Abstract
The article addresses the issue of providing cybersecurity of distance learning systems at educational institutions. The main safety risk factors, as well as types and sources of threats are considered. A model of the information security violator in the distance learning system is compiled; types of violators and goals pursued are described. A cybersecurity risk assessment algorithm is not only proposed but also mathematically described. To calculate risks, it was offered to use a three-factor model that takes into account the frequency of threat, damage and coefficient of effectiveness of the measures aimed at countering the threat.
Keywords: sociotechnical system, model of the violator, threat, damage, protective measures, education.
Введение
Сегодня образовательные учреждения широко используют в своей деятельности электронную информацию, средства вычислительной техники, информационные системы, интернет – ресурсы и системы дистанционного обучения (СДО). Данные системы тесто взаимодействуют друг с другом и участниками образовательного процесса, образуя виртуальную социотехническую систему [1], что позволяет обеспечить непрерывность обучения и интерактивность взаимодействия преподавателя и обучающегося вне времени и пространства. Дистанционные технологии позволяют расширить возможности очного образования увеличив взаимную доступность субъектов обучения, информационных массивов данных и виртуальных образовательных объектов. При этом точками доступа в СДО могут быть как автоматизированные рабочие места внутри образовательного учреждения, так и удаленные устройства что в свою очередь порождает ряд источников киберугроз и уязвимостей системы [2]. Как следствие, нарушение безопасности СДО в результате воздействия угроз различного характера, зачастую приводит и к нарушению информационной безопасности (ИБ) в сегменте или всей информационной системе образовательного учреждения.
Для предотвращения различных сценариев нарушения ИБ и минимизации ущерба для СДО и информационной системы образовательного учреждения, необходимо применять комплекс мер и средств защиты информации на различных уровнях функционирования системы, а также выявлять и контролировать потенциальные риски ИБ. Поскольку именно контроль рисков позволит выявить недопустимые нарушение и выработать адекватную стратегию управления.
Источники угроз кибербезопасности СДО
Анализ литературных источников показывает, существует большое количество классификаций угроз информационной безопасности. Однако, практически в каждой классификации присутствуют такие признаки как природа возникновения (антропогенные, техногенные, природные) и источник угрозы. Принимая данные признаки за основные, можно сделать вывод, что по природе возникновения для СДО актуальными будут являться антропогенные источники, обусловленные действиями администраторов, пользователей СДО, внутренних и внешних злоумышленников и техногенные источники, связанные со сбоями программного обеспечения сервисов СДО, надежностью аппаратуры и каналов связи информационной инфраструктуры. Подробное описание модели угроз безопасности типовой СДО представлена автором в работе [3]. С учетом модели угроз, была составлена описательная модель нарушителя ИБ в СДО, как наиболее опасного источника угроз кибербезопасности (см. таблицу 1).
Таблица 1 – Модель нарушителя безопасности в СДО
| Вид злоумышленника | Тип | Цели |
| Внешние субъекты (физические лица) | Внешний | 1) причинение финансового/репутационного ущерба 2) желание самореализации; 3) выявление уязвимостей СДО и ИС образовательного учреждения с целью их дальнейшей продажи и получения финансовой выгоды; 4) хищение интеллектуальной собственности (авторских учебных материалов, курсов); 5) получение НСД к ресурсам и сервисам СДО; 6) нарушение целостности и/или уничтожение учебных материалов и данных об учебном процессе; 7) нарушение доступности веб-сайта и сервера СДО; 8) нарушение доступности информации и материалов учебных курсов для пользователей СДО; 9) получение НСД к персональным данным студентов и сотрудников вуза. |
| Конкурирующие учебные заведения | Внешний | 1) получение конкурентных преимуществ |
| Преподаватели | Внутренний | 1) получение НСД к ресурсам и сервисам СДО; 2) превышение привилегий и получение контроля над СДО; 3) получение через скомпрометированную СДО НСД к внутренней ИС образовательного учреждения; 4) хищение научных материалов и интеллектуальной собственности: учебных материалов, оценочных материалов и материалов, создаваемых коллективно участниками учебного процесса; 5) получение НСД к персональным данным студентов и сотрудников; 6) получение НСД и внесение изменений в БД учебных ведомостей; 7) получение НСД к внутренней служебной и другой конфиденциальной информации, хранящейся и обрабатываемой в ИС; 8) нарушение целостности и/или уничтожение учебных материалов и данных об учебном процессе; 9) нарушение доступности веб-сайта и сервера СДО; 10) нарушение доступности информации и материалов учебных курсов для пользователей СДО; 11) причинение финансового/репутационного ущерба |
| Обучающиеся | Внутренний | |
| Методисты | Внутренний | |
| Администраторы, разработчики и служба технической поддержки СДО, специалисты по ИБ | Внутренний |
Результатами деятельности нарушителя являются риски безопасности информационного, операционного, финансового, репутационного характера [4], [5], часть из которых может лежать в области допустимых и приниматься образовательным учреждением, а часть являться недопустимыми. Принятие решений и выбор стратегии в отношении рисков должно реализовываться в рамках непрерывного цикла управления.
Алгоритм управления рисками кибербезопасности СДО
Идентифицированные киберугрозы СДО подлежат исследованию на предмет актуальности и необходимости применения защитных средств и механизмов, направленных на блокирование угрозы и снижение потенциальных рисков последствий. Для этого исследуются такие характеристики угроз как вероятность реализации и возможный ущерб. Оценка может производиться на основании обработанной статистической информации о событиях безопасности [6], моделирования [5] или экспертной оценки.
Как показывает [2] при формировании экспертной группы привлекаются несколько категорий специалистов от аналитиков, специалистов по защите информации, разработчиков, пользователей и руководителей, которые оценивают угрозы и их параметры (вероятность, ущерб) по количественной, качественной или смешанной шкале, а затем на основании их оценок формируется интегральная оценка каждого параметра угрозы. Соотношение между ущербом, вероятностью (частотой) реализации угрозы ИБ определяет уровень риска от реализации угрозы, который учитывается при ранжировании угроз по степени опасности. Чем опасней угроза, тем выше риск и ее актуальность для СДО. Оценку актуальности угроз рекомендуется проводить периодически на всех этапах жизненного цикла СДО, поскольку именно она указывает насколько необходимо использовать средства и механизмы, противодействующие угрозе.
В данной статье для оценки рисков кибербезопасности СДО предлагается алгоритм, основанный на количественных параметрах. Для каждой угрозы TRij из частного списков угроз, где j – порядковый номер угрозы в частном списке угроз для i –ой подсистемы СДО. Риск является вероятностной величиной, для расчета используется распространенная двухфакторная модель оценки на основе применения показателя ожидаемого ущерба – U и вероятности реализации угрозы – p, формула 1.
(1)
Вероятность реализации угрозы лежит в диапазоне [0;1], на значение величины напрямую оказывает влияние наличие/отсутствие мер защиты в данной подсистеме СДО и статистически данные о частоте реализации подобной угрозы – h. Для оценки влияния мер защиты на вероятность реализации угрозы в подсистеме СДО предлагается использовать 4 уровня защиты, каждому из которых ставится в соответствие коэффициент результативности:
C учетом формулы 1 и указанных выше правил, величина риска от каждой угрозы в i-ой подсистеме СДО будет рассчитываться по формуле 2.
(2)
Общий риск по каждой подсистеме СДО будет определяться как.
(3)
где i– подсистемы СДО, j –номер угрозы в каждой i-ой подсистеме, m – число угроз в i – подсистеме, – QSMlevelj значение коэффициента результативности мер защиты в каждой подсистеме.
Для определения актуальности угрозы по уровню риска необходимо сравнить полученные с уровнем допустимого риска, все значения меньше допустимого подлежат принятию остальные подлежат страхованию, переносу или уменьшению за счет применения мер и средств защиты.
Заключение
Для расчета рисков было предложено использовать трехфакторную модель учитывающую частоту реализации угрозы, ущерб и коэффициент результативности контрмер по противодействию угрозе. Предложенный подход может применяться на этапе проектирования и реализации СДО или в процессе внутреннего аудита безопасности.
