Анализ и управление рисками в информационных системах на базе операционных систем Microsoft



Авторы специализируются на тестах по любым дисциплинам! Средний балл по тестам 4,6.
 
Любые вопросы по дистанционному обучению. Тесты, письменные работы, сессия под ключ.
 
Известный интернет сайт, помощь по любым учебным вопросам - от теста до дипломной работы. Личный менеджер.
 
Крупная биржа студенческих работ. Закажи напрямую у преподавателя. Низкие цены, стена заказов.
 

Какие из перечисленных характеристик не входят в систему обеспечения безопасности Клементса: О — набор защищаемых объектов; Т — набор угроз; М — набор средств обеспечения безопасности; P- набор креативных функций; Z — набор виндикативных инструментов?

  • О — набор защищаемых объектов; Т — набор угроз; М — набор средств обеспечения безопасности; P- набор креативных функций; Z — набор виндикативных инструментов
  • (Правильный ответ) Р- набор креативных функций; Z — набор виндикативных инструментов
  • О — набор защищаемых объектов; Т — набор угроз; М — набор средств обеспечения безопасности; P- набор креативных функций

Какое из перечисленных требований доверия к безопасности не является справедливым?

  • (Правильный ответ) верификации контента
  • к анализу уязвимостей
  • к технологии разработки и тестированию

Содержит ли модель системы безопасности с полным перекрытием требования к составу подсистемы защиты ИС?

  • (Правильный ответ) да
  • да, но лишь в имплицитной форме
  • нет

Какой термин определяет характеристику функции безопасности объекта оценки, выражающую минимальные усилия, которых теоретически может быть достаточно для нарушения работоспособности при прямой атаке на информационную систему?

  • «потенциал падения»
  • (Правильный ответ) «стойкость функции безопасности (СФБ)»
  • «резистивность системы» (РС)

Может ли анализ угроз каким-то образом помочь при выборе контрмер для противостояния угрозам и уменьшения рисков до приемлемого уровня?

  • (Правильный ответ) нет
  • спорно
  • да

Что из перечисленного предписывается выполнить при проектировании системы с полным перекрытием?

  • согласовать порядок применения альтернативных инструментов защиты
  • выверить остаточную стоимость активов
  • (Правильный ответ) детально прописать пути потенциального проникновения

Что в сфере информационной безопасности принято считать риском?

  • характеристику, которая делает возможным возникновение угрозы
  • потенциально возможное происшествие неважно, преднамеренное или нет, которое может оказать нежелательное воздействие на компьютерную систему, а также информацию, хранящуюся и обрабатывающуюся в ней
  • (Правильный ответ) потенциальную возможность понести убытки из-за нарушения безопасности информационной системы

Что представляет собой система с полным перекрытием?

  • система, в которой ведется учет всех вторжений, блокируются только вредоносные проникновения
  • (Правильный ответ) система, в которой имеются средства защиты на каждый возможный путь проникновения
  • система, в которой обеспечивается селективная безопасность

Предписывает ли стандарт введение организацией своих мер по обеспечению информационной безопасности?

  • (Правильный ответ) да
  • только в отношении сугубо материально ассоциированных факторов
  • нет

Может организация в целях обеспечения безопасности разрабатывать свой специфический набор принципов, целей и требований, в отношении обработки информации?

  • (Правильный ответ) да, безусловно
  • да, но только по согласованию с местными органами власти
  • нет

Какой подход предлагает стандарт по работе с системами менеджмента информационной безопасности?

  • клиринговый подход
  • методика хеджирования рисков
  • (Правильный ответ) процессинговый подход

К какому состоянию зрелости управления рисками безопасности согласно методики фирмы Microsoft относится уровень, когда процесс управления рисками глубоко изучен сотрудниками и в значительной степени автоматизирован?

  • (Правильный ответ) оптимизированный
  • управляемый

На что нацелен уровень защиты внутренней сети?

  • на скрининг деятельности сотрудников по посещению ими web-узлов
  • (Правильный ответ) на обеспечение безопасности передаваемого внутри сети трафика и сетевой инфраструктуры
  • на защиту сети от спама, поступающего на почтовые ящики сотрудников

Поддерживает управляемое сетевое оборудование 3Com протокол SNMP?

  • нет
  • (Правильный ответ) да
  • не во всех версиях

Может организация разрабатывать и применять собственные (корпоративные) стандарты безопасности?

  • (Правильный ответ) да, это не запрещено
  • это требует множественных согласований, поэтому разработка своих стандартов не распространена
  • нет, это недопустимо

Что контролирует уровень защиты узлов?

  • безопасность передаваемого внутри сети трафика и сетевой инфраструктуры
  • защиту обрабатывающихся и хранящихся в системе данных от несанкционированного доступа и других угроз
  • (Правильный ответ) парирование атак на отдельный узел сети. Может учитываться функциональность узла и отдельно рассматриваться защита серверов и рабочих станций

Является ли возможным в процессе идентификации рисков определить цели потенциального нарушителя и уровни защиты, на которых можно ему противостоять?

  • нет, но такая попытка может дать некий эффект
  • нет
  • (Правильный ответ) да

За какие из перечисленных аспектов «отвечает» уровень защиты приложений?

  • (Правильный ответ) защита от атак, направленных на конкретные приложения — почтовые серверы, web-серверы, серверы баз данных
  • (Правильный ответ) защита от вирусных атак
  • (Правильный ответ) защита от атак, направленных на нарушение логики обработки данных базами данных

Относится ли модификация приложений компьютерными вирусами к разряду SQL-инъекций?

  • нет, но такая классификация модификаций возможна в принципе
  • (Правильный ответ) да
  • нет

Решению каких из перечисленных задач способствует разработка стратегического плана построения системы безопасности?

  • получение кредитов на развитие ИБ в кредитных учреждениях на льготных основаниях
  • (Правильный ответ) эффективный выбор продуктов и разработка стратегий их внедрения
  • (Правильный ответ) распределение бюджетов и ресурсов по приоритетам

Какие из перечисленных критериев оценки и управления рисками используются в методике RiskWatch?

  • влияние потерь на HR — аспект деятельности организации
  • угрозы, исходящие от человека-нарушителя, действующего через сеть передачи данных
  • (Правильный ответ) годовые потери (Annual Loss Expectancy, ALE) и оценка возврата инвестиций (Return on Investment, ROI)

Какая из перечисленных распространенных методик анализа рисков использует метод оценки риска на качественном уровне (например, по шкале «высокий», «средний», «низкий»)?

  • FRAP
  • (Правильный ответ) CRAMM
  • RiskWatch

По каким из перечисленых критериев осуществляется определение защищаемых активов в методике FRAP?

  • (Правильный ответ) по результатам изучения документации на систему
  • (Правильный ответ) по результатам заполнения опросных листов
  • (Правильный ответ) по результатам автоматизированного анализа (сканирования) сетей

Чем определяется ценность физических ресурсов в методике CRAMM?

  • временем, необходимым на восстановление в случае разрушения
  • (Правильный ответ) стоимостью их восстановления в случае разрушения
  • объемом финансовых активов организации

Какому значению по шкале оценки уязвимости CRAMM соответствует инцидент, происходящий в среднем один раз в три года?

  • средний
  • (Правильный ответ) низкий
  • высокий

Что определяет ценность физических ресурсов в методике CRAMM ?

  • объемом финансовых активов организации
  • (Правильный ответ) стоимость их восстановления в случае разрушения
  • время восстановления в случае разрушения

Какая из перечисленных распространенных методик анализа рисков не использует количественные методики оценки рисков?

  • (Правильный ответ) FRAP
  • RiskWatch
  • CRAMM

Что, как правило, составляет учетную запись пользователя?

  • (Правильный ответ) совокупность идентификатора, пароля и (иногда) дополнительной информации, служащей для описания пользователя
  • Ф.И.О., серия и номер паспорта пользователя
  • PC IP и/или e-mail

Каково предназначение протокола S/MIME

  • для защиты FTP-серверов
  • (Правильный ответ) для защиты данных, передаваемых электронной почтой
  • для контроля спама

Какой протокол аутентификации наряду с Kerbos v.5 (RFC 1510) используется в сетях Windows в настоящее время?

  • PEAP-MS-CHAP
  • PEAP-TLS
  • (Правильный ответ) NTLM

Что представляет собой PKI?

  • (Правильный ответ) набор средств, мер и правил, предназначенных для управления ключами, политикой безопасности и обменом защищенными сообщениями
  • набор средств, мер и правил, предназначенных для управления политикой безопасности и обменом защищенными сообщениями
  • набор средств, мер и правил, предназначенных для управления ключами

Что позволяет достичь использование методов асимметричной криптографии?

  • автоматизацию настройки соединений
  • (Правильный ответ) безопасный обмен криптографическими ключами между отправителем и получателем без использования центров распределения ключей
  • безопасный обмен пакетами между отправителем и получателем

В каких случаях не используется туннельный режим?

  • (Правильный ответ) когда все соединяющиеся узлы являются шлюзами безопасности
  • когда ни один из узлов не являются шлюзом безопасности
  • если хотя бы один из соединяющихся узлов является шлюзом безопасности

Используются ли цифровые сертификаты для распределения открытых ключей в протоколах защиты электронной почты S/MIME или PGP?

  • нет
  • нет, но работа по расширению возможностей цифровых сертификатов ведутся
  • (Правильный ответ) да

В каком случае может понадобиться создание корпоративного ЦС?

  • (Правильный ответ) если принято решение использовать защиту средствами EFS (EFS — Encrypted File System (шифрование данных на дисках с файловой системой NTFS)
  • (Правильный ответ) если принято решение о шифровании сетевого трафика с помощью протокола IPSec
  • (Правильный ответ) если принято решение использовать защиту электронной почты с помощью S/MIME

Где принято устанавливать межсетевой экран

  • за пределами внутренних сетей
  • на границе между внутренней (защищаемой) и внешней (потенциально опасной) сетями
  • (Правильный ответ) на стыке коллатеральных внутренних сетей

Как регламентируются правила доступа в сеть в случае использование межсетевого экрана с тремя сетевыми интерфейсами?

  • правила доступа во внутреннюю сеть достаточно строгие, однако открытый сегмент не контролируется
  • (Правильный ответ) правила доступа во внутреннюю сеть более строгие, чем в открытый сегмент. В то же время, и те, и другие соединения могут контролироваться
  • правила доступа во внутреннюю сеть менее строгие, чем в открытый сегмент

Каковы могут быть последствия атаки на сеть в которой установлены два независимо конфигурируемых межсетевые экрана?

  • успешная атака на первый межсетевой экран не может не сделать внутреннюю сеть беззащитной
  • (Правильный ответ) атака не достигнет своей цели: даже успешная атака на первый межсетевой экран не сделает внутреннюю сеть беззащитной
  • при успешной атаке на первый межсетевой экран может произойти нарушение безопасности всей сети межсетевых экранов

Каким способом в OS Windows можно получить сведения о сертификатах?

  • (Правильный ответ) при обращении к настройке консоли управления MMC «Сертификаты»
  • при обращении к журналу трассировки
  • при обращении к управляющему элементу MMI

Позволяет ли установленный на защищаемый компьютер межсетевой экран обеспечить защиту от угроз исходящих из внутренней сети?

  • (Правильный ответ) да
  • да, но с ограничениями
  • нет

Каковы могут быть последствия атаки на сеть, в которой в установлены два независимо конфигурируемых межсетевых экрана?

  • успешная атака на первый МЭ не сделает внутреннюю сеть беззащитной
  • успешная атака на первый МЭ приведет к коллапсу внутренней сети
  • (Правильный ответ) любая атака будет отражена

Какие критерии для оценки и управления рисками используются в методике RiskWatch?

  • используется влияние потерь на HR — аспект деятельности организации
  • используются угрозы, исходящие от человека-нарушителя, действующего через сеть передачи данных
  • (Правильный ответ) используются годовые потери (Annual Loss Expectancy, ALE) и оценка возврата инвестиций (Return on Investment, ROI)

Где в OS Windows можно включить или отключить межсетевой экран?

  • в панели управления (Control Panel) на вкладке «администрирование»
  • (Правильный ответ) в панели управления (Control Panel) на вкладке «Windows Firewall»(брэндмауэр) (
  • межсетевой экран в OS Windows не управляется, он всегда включен

В тех случаях, когда применяется принцип: «разрешено все, что явно не запрещено», какую проверку принято осуществлять?

  • избирательную проверку
  • (Правильный ответ) проверку на соответствие запрещающим правилам и, если таких не будет найдено, пакет будет пропущен
  • проверку на соответствие разрешающим правилам и, если соответствие не установлено, пакет не будет пропущен

Который из двух фильтров в схеме для защиты сети с DMZ, с двумя независимо конфигурируемыми межсетевыми экранами реализует более жесткий набор правил фильтрации?

  • (Правильный ответ) межсетевой экран2
  • наборы правил фильтрации идентичны
  • межсетевой экран1