Анализ и управление рисками в информационных системах на базе операционных систем Microsoft - ответы
Количество вопросов - 212
Какие из перечисленных мер способствуют предотвращению утечки?
Какие из перечисленных факторов, предписано учитывать в ГОСТ Р ИСО/МЭК 17799:2005 при формировании требований безопасности?
Какова степень модальности создания управляющих советов с участием руководящего состава организации в отношении политики информационной безопасности?
Какова основная задача IPSec?
Какие из перечисленных дополнительных функций имеет шлюз прикладного уровня по сравнению со шлюзами сеансового уровня и экранирующим маршрутизатором?
Оценка вероятности взлома имеет субъективный характер.Что рекомендуется делать для достижения большей объективности?
Сколько стадий исследование информационной безопасности системы имеется в методике СRAMM?
Перечислите классы по которым принято производить классификацию межсетевого экрана по принципу уровней фильтрации.
Какие методы аутентификации принято называть биометрическими?
Какая из перечисленных распространенных методик анализа рисков использует смешанный метод оценки риска?
Чем определяется высокая стойкость системы?
Позволяет ли проведение анализа рисков в сфере информационной безопасности определять уязвимость отдельных компонентов и недостатки политики системы?
Что в аспектах информационной безопасности связывается с каждым объектом, требующим защиты?
Как определяется стандартом организация информационной безопасности с точки зрения управления персоналом?
Что из перечисленного характерно для методики OCTAVE?
На основании каких из перечисленных документов разрабатываются задания по безопасности?
Как регламентируются правила доступа в сеть в случае использование межсетевого экрана с тремя сетевыми интерфейсами?
Используются цифровые сертификаты для распределения открытых ключей в протоколах защиты электронной почты S/MIME или PGP?
Что представляет собой событие - триггер?
Каков состав и предназначение PKI?
Какой из этапов предполагает выполнение следующих пунктов системы менеджмента информационной безопасности: определить способ измерения результативности выбранных мер управления; реализовать программы по обучению и повышению квалификации сотрудников;
В каких из перечисленных случаях практикуется использование механизм трансляции сетевых адресов - NAT (Network Address Translation)?
Протокол ESPобеспечивает:
Где расположен сертификат Microsoft Windows Hardware Compatibility?
Как стандарт определяет ответственность руководства организации за обеспечение и управление ресурсами?
Где в OS XPрасполагается сертификат Microsoft Windows Hardware Compatibility
Что представляет собой открытый ключ?
Который из двух фильтров в схеме для защиты сети с DMZ с двумя независимо конфигурируемыми межсетевыми экранами реализует менее жесткий набор правил фильтрации?
К какому состоянию зрелости управления рисками безопасности, согласно методики фирмы Microsoft, относится уровень, когда процесс документирован не полностью, но управление рисками является всеобъемлющим и руководство вовлечено в управление рисками?
Какая величина, согласно методике Microsoft, определяется произведением стоимости актива на фактор подверженности воздействию?
Что в сфере информационной безопасности принято считать риском?
Идентифицируется ли риск уязвимостью, через которую может быть реализована некая угроза в отношении определенного ресурса?
Каким параметром принято определять степень разрушительности?
Какие из перечисленных характеристик не входят в систему обеспечения безопасности Клементса: О - набор защищаемых объектов; Т - набор угроз; М - набор средств обеспечения безопасности; P- набор креативных функций; Z - набор виндикативных инструментов?
Какой термин определяет характеристику функции безопасности объекта оценки, выражающую минимальные усилия, которых теоретически может быть достаточно для нарушения работоспособности при прямой атаке на информационную систему?
Каким образом мотивация связана с нарушителем и активами, которые его интересуют?
Что определяет ресурсы или активы ИС?
Какой из перечисленных вариантов последовательности действий предписан стандартом ГОСТ Р ИСО/МЭК 17799:2005 "Информационная технология. Практические правила управления информационной безопасностью" в аспектах управления непрерывностью бизнеса?
Что формируют потенциальные злоумышленные действия по отношению к объектам?
Содержит ли модель системы безопасности с полным перекрытием требования к составу подсистемы защиты ИС?
Может ли анализ угроз каким-то образом помочь при выборе контрмер для противостояния угрозам и уменьшения рисков до приемлемого уровня?
Что обеспечивает средняя стойкость системы?
Рассматривает ли стандарт ГОСТ Р ИСО/МЭК 17799:2005 вопросы информационной безопасности в аспектах экономического эффекта?
Может организация в целях обеспечения безопасности разрабатывать свой специфический набор принципов, целей и требований, в отношении обработки информации?
Предписывает ли стандарт введение организацией своих мер по обеспечению информационной безопасности?
Какие типы обработки информации подлежат классификации в аспектах оценки приоритетности ее защиты?
Влияют ли сбои электропитания на степень защиты кабельной сети?
Какие из перечисленных мер рекомендуется выполнять для обеспечения непрерывности бизнес-процессов?
Какие действия надлежит выполнять с результатами мониторинга?
Для чего необходимо проводить мониторинг системы безопасности?
Какие из перечисленных аспектов, по Вашему, не могут быть включены в стандарт?
Какие из перечисленных мер предлагается выполнять на этапе "поддержка"?
Какие из перечисленных мероприятий рекомендуется выполнять на этапе "Поддержка и улучшение системы менеджмента информационной безопасности"?
С какой целью при разработке и реализации политики безопасности используются метрики?
Решению каких из перечисленных задач способствует разработка стратегического плана построения системы безопасности?
Что из перечисленного не входит в систему мер по ограничению физического доступа?
Каким аспектам рекомендуется уделять первоочередное внимание при защите узлов?
К какому состоянию зрелости управления рисками безопасности согласно методики фирмы Microsoft относится уровень, когда принято формальное решение об интенсивном внедрении управления рисками, разработан базовый процесс и внедряется управление рисками?
Относится ли модификация приложений компьютерными вирусами к разряду SQL-инъекций?
Характерно использование внутри сети средств, применимых для защиты периметра?
Является ли возможным в процессе идентификации рисков определить цели потенциального нарушителя и уровни защиты, на которых можно ему противостоять?
Как можно получить перечень папок, предоставляемых в общий доступ в OS Windows?
Что позволяет осуществить утилита 3Com Network Supervisor?
Какова процедура запуска утилиты mbsacli.exe если соединение с Интернет отсутствует?
Какая из перечисленных распространенных методик анализа рисков использует количественные методики оценки рисков?
Как в методике FRAP осуществляется определение защищаемых активов?
Какие из перечисленных критериев оценки и управления рисками используются в методике RiskWatch?
Какую величину, согласно методике Microsoft, определяют произведением стоимости актива на фактор подверженности воздействию?
Что из перечисленного лежит за пределами методики OCTAVE?
Какие из перечисленных распространенных методик анализа рисков не используют количественные методики оценки рисков?
Какому значению по шкале оценки уязвимости CRAMM соответствует инцидент, если вероятность развития событий по наихудшему сценарию составляет от 0, 33 до 0,66?
По каким из перечисленых критериев осуществляется определение защищаемых активов в методике FRAP?
Что определяет ценность физических ресурсов в методике CRAMM ?
В каком формате принято определять имя центра сертификации, выдавшего сертификат?
На каком уровне реализуется аутентификация по протоколу Kerberos v.5 (RFC 1510)?
Какими средствами осуществляется аутентификация ключа?
Используются ли цифровые сертификаты для распределения открытых ключей в протоколах защиты электронной почты S/MIME или PGP?
Каково предназначение протокола S/MIME
Должно ли поддерживаться использование хэш-функций во всех реализациях протокола AH?
Какой протокол аутентификации наряду с Kerbos v.5 (RFC 1510) используется в сетях Windows в настоящее время?
Что представляет собой PKI?
В каком случае может понадобиться создание корпоративного ЦС?
Перечислите криптографические услуги безопасности (криптографические сервисы) протокола Multipurpose Internet Mail Extensions (S/MIME)
Предоставляет ли фирма Microsoft возможность бесплатно получить сертификат для электронной почты
В тех случаях, когда применяется принцип: "разрешено все, что явно не запрещено", какую проверку принято осуществлять?
По каким из перечисленных параметров может производиться фильтрация при применении экранирующего маршрутизатора?
Может ли шлюз сеансового уровня проводить проверку проходящих пакетов на принадлежность разрешенным соединениям?
Где в OS Windows можно включить или отключить межсетевой экран?
Который из двух фильтров в схеме для защиты сети с DMZ, с двумя независимо конфигурируемыми межсетевыми экранами реализует более жесткий набор правил фильтрации?
Что представляет собой служба WSUS?
Как распределяются роли в схеме для защиты сети с DMZ, с двумя независимо конфигурируемых межсетевыми экранами?
Может шлюз сеансового уровня контролировать процесс установки соединения и проводить проверку проходящих пакетов на принадлежность разрешенным соединениям?
Какие оснастки или утилиты рекомендуется использовать для выявления причины неправильной работы IPSec?
Позволяет ли установленный на защищаемый компьютер межсетевой экран обеспечить защиту от угроз исходящих из внутренней сети?
Каковы могут быть последствия атаки на сеть в которой установлены два независимо конфигурируемых межсетевых экрана?
В каких из перечисленных ОС программа Microsoft Baseline Security analyzer позволяет проверить уровень безопасности установленной конфигурации операционной системы?
Чем определяется ценность физических ресурсов в методике CRAMM?
Рассматривается ли в системе с полным перекрытием вопрос соотношения затрат на защиту и получаемого эффекта?
При вычислении вероятности влияния результирующий уровень вероятности определяется на основании двух значений. Первое значение определяет вероятность существования уязвимости в текущей среде. Что определяет второе значение?
Для чего используются методы асимметричной криптографии?
Что принято считать ресурсом или активом информационной системы?
В каких случаях не принято устанавливать межсетевой экран после маршрутизатора?
Относится ли подключение межсетевого экрана с двумя сетевыми интерфейсами при выделении открытого сегмента внутренней сети к разряду типовых схем?
В каких целях осуществляется анализ рисков?
Каковы требования к идентификаторам, используемым для идентификации и аутентификации?
Какому из перечисленных значений по шкале оценки уязвимости CRAMM соответствует инцидент, если вероятность развития событий по наихудшему сценарию составляет от 0, 33 до 0,66?
Может ли шлюз сеансового уровня контролировать процесс установки соединения и проводить проверку проходящих пакетов на принадлежность разрешенным соединениям?
Какому значению по шкале оценки уязвимости CRAMM соответствует инцидент, происходящий в среднем один раз в три года?
Где принято устанавливать межсетевой экран
Какие из перечисленных средств применяются для защиты сети в "точках входа"?
Позволяет проведение анализа рисков в сфере информационной безопасности выделить наиболее приоритетные направления для внедрения новых средств защиты информации?
Что такое SQL-инъекции?
Порядок форматирования каких из данных описывает MIME?
Является ли протокол Kerbos v.5 (RFC 1510) в сетях Windows в настоящее время единственным протоколом аутентификации?
Что отличает риск от угрозы?
Какой из перечисленных типов атак вероятен в случае обмена криптографическими ключами между отправителем и получателем без использования центров распределения ключей ?
В каких случаях не используется туннельный режим?
Поддерживает управляемое сетевое оборудование 3Com протокол SNMP?
Как осуществляется аутентификация ключа?
Позволяет проведение анализа рисков в сфере информационной безопасности определять уязвимость отдельных компонентов и недостатки политики системы?
Почему аналитический метод определения минимальных затрат при расчетах защиты информационной системы неприменим?
Какие из перечисленных вариантов решений в отношении рисков являются неуместными:
Что из перечисленного характеризует потенциал нападения?
Что из перечисленного предписывается выполнить при проектировании системы с полным перекрытием?
Способствуют контрмеры в аспектах достижения информационной безопасности эффективному снижению уязвимостей?
Входит в перечень рекомендаций по обеспечению физической защиты и защиты от воздействия окружающей среды организация зон безопасности?
Какие из перечисленных рекомендаций по обеспечению безопасности при осуществлении обмена информацией между организациями содержатся в стандарте ГОСТ Р ИСО/МЭК 17799-2005?
Что из перечисленного должны предусматривать системы управления паролем?
На каком этапе разработки информационных систем необходимо обеспечить учет требований безопасности?
Может организация разрабатывать и применять собственные (корпоративные) стандарты безопасности?
В каких целях разрабатываются методы реагирования в случае инцидентов?
За какие из перечисленных аспектов "отвечает" уровень защиты приложений?
Являются ли термины управление рисками и оценка рисков взаимозаменяемыми?
Перечислите компоненты, за которые "отвечает" уровень защиты приложений:
Какие сведения содержит оснастка "Active Directory Users and Computers"?
Какие из перечисленных распространенных методик анализа рисков используют смешанный метод оценки риска?
Какому значению по шкале оценки уязвимости CRAMM соответствует инцидент, происходящий в среднем один раз в четыре месяца?
Какая из перечисленных распространенных методик анализа рисков не использует количественные методики оценки рисков?
Что можно считать главной особенностью методики OCTAVE?
Сочетает методика CRAMM количественные и качественные методы анализа рисков?
Что позволяет выявлять утилита Microsoft Baseline Security Analyzer?
Что позволяет достичь использование методов асимметричной криптографии?
На каком уровне обеспечивает защиту протокол IPSec
Каким способом в OS Windows можно получить сведения о сертификатах?
Какой из перечисленных подходов при формировании правил для межсетевого экрана считается наиболее безопасным?
Какая оснастка служит для работы с политиками IPSec?
Перечислите параметры, по которым может производиться фильтрация при применении экранирующего маршрутизатора:
В случае, если межсетевой экран устанавливается после маршрутизатора, какую часть сети он защищает?
Какой основной недостаток схемы, когда перед межсетевым экраном создается открытый сегмент сети предприятия, а межсетевой экран защищает остальную внутреннюю сеть?
Во всех реализациях AH обязательно должно поддерживаться использование хэш-функций с ключом HMAC-MD5-96
Предписано учреждению передавать подробную информацию о действиях по улучшению системы менеджмента информационной безопасности всем заинтересованным сторонам?
Каковы рекомендации стандарта по обучению пользователей процедурам безопасности?
Какая из перечисленных распространенных методик анализа рисков использует метод оценки риска на качественном уровне (например, по шкале "высокий", "средний", "низкий")?
Что обеспечивает ранжирование рисков по приоритетам?
Какие средства можно использовать для получения данных о системе, если в информационной системе используются домены Windows?
Как можно проверить информацию о соответствии имен компьютеров IP-адресам в OS Windows?
Какова связь анализа рисков с другими компонентами модели информационной безопасности?
К чему приводит установка флажка "Notify me when Windows Firewall blocks a new program" в панели управления?
По каким из перечисленных параметров в методике FRAP осуществляется определение защищаемых активов?
Каковы цели анализа и тестирования прикладных систем в аспектах информационной безопасности?
Позволяет ли S/MIME использовать различные криптоалгоритмы?
На какие ресуры может быть направлена угроза?
К какому состоянию зрелости управления рисками безопасности согласно методики фирмы Microsoft относится уровень, когда процесс управления рисками глубоко изучен сотрудниками и в значительной степени автоматизирован?
В каких случаях принято устанавливать межсетевой экран после маршрутизатора?
Каково предназначение набора протоколов IPSec IETF?
В каком отечественном документе впервые в России выделено понятие риска в отношении ИБ?
Какие из перечисленных контрмер можно назвать в качестве примера, характерного для уровня защиты данных?
Что происходит с размером ожидаемых потерь при увеличении затрат на защиту?
Какое из перечисленных требований доверия к безопасности не является справедливым?
Какой из перечисленных классов функциональных требований включает требования кодирования информации?
Чем характеризуются угрозы?
В каком году в России принят последний стандарт "Информационная технология. Практические правила управления информационной безопасностью"?
Какие требования выдвигаются к формализации политики безопасности?
Системы управления паролем должны предусматривать:
Что из перечисленного входит в требования стандарта к документации?
Какие из перечисленных работ по улучшению системы менеджмента информационной безопасности входят в стандарт?
На что нацелен уровень защиты внутренней сети?
Что контролирует уровень защиты узлов?
Что, согласно методике Microsoft, входит в понятие "активы"?
Какие критерии для оценки и управления рисками используются в методике RiskWatch?
В течение какого периода времени согласно методике FRAP реализуется угроза, имеющая статус средней (Medium Probability)?
Что обозначает аббревиатура CRL
Может ли экранирующий маршрутизатор контролировать атаки, связанные с подменой участников соединений
Может ли шлюз прикладного уровня анализировать пакеты модели OSI на сетевом уровне?
Каковы могут быть последствия атаки на сеть в которой установлены два независимо конфигурируемых межсетевые экрана?
Какие из перечисленных требований обеспечения аутентификации справедливы?
К какому состоянию зрелости управления рисками безопасности согласно методики фирмы Microsoft относится уровень, когда политики и процессы в организации не документированы, процессы не являются полностью повторяемыми?
Что, как правило, составляет учетную запись пользователя?
Какой из вариантов правильно описывает состав PKI?
Что из перечисленного лежит за пределами сферы информационной безопасности?
Что обеспечивает базовая стойкость?
Что надлежит предпринимать при использовании переносных устройств, например, ноутбуков?
Способствует ли организация защиты от угрозы на нескольких уровнях снижению уровня риска?
Какие из перечисленных классов активов не входят в систему оценки и управления рисками безопасности, предлагаемый корпорацией Майкрософт?
Какие из перечисленных классов активов входят в систему оценки и управления рисками безопасности, предлагаемый корпорацией Майкрософт?
Что из перечисленного как правило не включают в состав учетной записи пользователя?
Позволяет ли установленный на защищаемый компьютер межсетевой экран защититься от угроз исходящих из внутренней сети?
Может ли защита серверов осуществляться отдельно от защиты рабочих станций?
Применительно к программе Microsoft Base Line Security Analyzer: о чем свидетельствует извещение "You do not have sufficient permissions to perform this command. Make sure that you are running as the local administrator…"?
С какой целью предпринимаются контрмеры в аспектах защиты активов от угроз?
Является ли шифрование данных при их хранении и передаче адекватной мерой защиты?
Является ли информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура существенными активами организации?
Какие формальности предполагает порядок доступа специалистов сторонних организаций к информационным системам?
Какую схему установки межсетевого экрана логично применить если требования в области защиты от несанкционированного межсетевого доступа примерно одинаковы для всех узлов внутренней сети?
Какие из перечисленных рекомендаций уместны в случае, когда для проведения работ по разработке программного обеспечения привлекается сторонняя организация?
Что достигается посредством оценки рисков организации?
Предписывается руководству организации осуществлять внутренний аудит в аспектах информационной безопасности?
Какие из перечисленных распространенных методик анализа рисков не используют смешанный метод оценки риска?
Какой подход предлагает стандарт по работе с системами менеджмента информационной безопасности?
Какой из указанных протоколов аутентификации используется в сетях Windows наряду с Kerbos v.5 (RFC 1510) в настоящее время?
Каковы могут быть последствия атаки на сеть, в которой в установлены два независимо конфигурируемых межсетевых экрана?
Что представляет собой система с полным перекрытием?