Анализ и управление рисками в информационных системах на базе операционных систем Microsoft
700,00 руб.
В течение часа!
Экзамен "Анализ и управление рисками в информационных системах на базе операционных систем Microsoft" для пользователей и системных администраторов.
Форма сдачи теста: Экстерн
Количество вопросов: 30
Проходной балл: 90% и выше
Срок действия сертификата: неограничен
Сертификат появляется в профиле ресурса INTUIT, и Вы можете заказать его бумажную версию на сайте INTUIT.
Количество вопросов: 30
Проходной балл: 90% и выше
Срок действия сертификата: неограничен
Сертификат появляется в профиле ресурса INTUIT, и Вы можете заказать его бумажную версию на сайте INTUIT.
10427 шт.
Внимание !
Вопросы к тесту выложены исключительно в ознакомительных целях: количество вопросов может не совпадать с действительным, актуальность не поддерживается,- за решением теста Welcome to the cashier!
Что принято считать ресурсом или активом информационной системы?
модель информационной системы
все элементы, имеющие материальную ценность независимо от того подлежат они защите или нет
именованный элемент информационной системы, имеющий (материальную) ценность и подлежащий защите
На какие ресуры может быть направлена угроза?
только на информационные ресурсы
только на аппаратные ресурсы
на любые виды ресурсов (информационный, аппаратный, программный и т.д.)
Каким параметром принято определять степень разрушительности?
коэффициентом разрушительности
стоимостью ресурса
коэффициентом риска
Какие из перечисленных вариантов решений в отношении рисков являются неуместными:
принят, устранен
принят, дезавуирован
дезавуирован, отклонен
На основании каких из перечисленных документов разрабатываются задания по безопасности?
каталог сертифицированных профилей защиты и продуктов
технический регламент
профиль защиты
Что из перечисленного характеризует потенциал нападения?
показатели компетентности
ресурсы
мотивация
Каковы цели анализа и тестирования прикладных систем в аспектах информационной безопасности?
оперативное внесение изменений в операционные системы
обеспечение целостности программного обеспечения
обеспечение более эффективного использования готовых пакетов программ
Какие из перечисленных рекомендаций уместны в случае, когда для проведения работ по разработке программного обеспечения привлекается сторонняя организация?
необходимо предусмотреть антиифильтрационные меры
необходимо предусмотреть меры по контролю правильности выполненных работ
необходимо предусмотреть меры по контролю качества выполненных работ
Чем характеризуются угрозы?
нежелательностью их появления
невероятностью их появления
вероятностью их появления
Что из перечисленного предписывается выполнить при проектировании системы с полным перекрытием?
выверить остаточную стоимость активов
детально прописать пути потенциального проникновения
согласовать порядок применения альтернативных инструментов защиты
С какой целью предпринимаются контрмеры в аспектах защиты активов от угроз?
в целях уменьшения уязвимостей
в целях политики безопасности владельцев активов
в целях получения дополнительной прибыли
Что обеспечивает базовая стойкость?
защиту от тщательно спланированного и организованного нарушения безопасности объекта оценки нарушителем с высоким потенциалом нападения
защиту от целенаправленного нарушения безопасности объекта оценки нарушителем с умеренным потенциалом нападения
адекватную защиту от случайного нарушения безопасности объекта оценки нарушителем с низким потенциалом нападения
Идентифицируется ли риск уязвимостью, через которую может быть реализована некая угроза в отношении определенного ресурса?
да
нет
да, но только в случае отсутствия угрозы
Что происходит с размером ожидаемых потерь при увеличении затрат на защиту?
падает
находится в зависимости от других факторов
не изменяется
Какое из перечисленных требований доверия к безопасности не является справедливым?
к технологии разработки и тестированию
к анализу уязвимостей
верификации контента
Какой из перечисленных классов функциональных требований включает требования кодирования информации?
класс приватности (конфиденциальности)"
класс защиты функций безопасности объекта
класс криптографической поддержки (криптографической защиты)
Что представляет собой событие - триггер?
событие, повлекшее реализацию или дальнейшее развитие рисков и являющееся идентификатором риска
событие, увеличивающее время отклика web - сервера
это одна из разновидностей атак на сервер
Какие из перечисленных мер способствуют предотвращению утечки?
использование программного обеспечения, полученного от доверенных поставщиков
применение аморфных схем контроля
контроль целостности системы
Что в аспектах информационной безопасности связывается с каждым объектом, требующим защиты?
множество действий, к которым может прибегнуть нарушитель для получения несанкционированного доступа к объекту
множество вариантов развития ситуации, при которых санкционированный доступ ведет к нарушению целостности системы объекту
множество вариантов действий, к которым может прибегнуть нарушитель для валидации ID пользователя
Способствуют контрмеры в аспектах достижения информационной безопасности эффективному снижению уязвимостей?
да
нет
лишь отчасти
Что отличает риск от угрозы?
объем вероятных потерь
наличие количественной оценки возможных потерь и (возможно) оценки вероятности реализации угрозы
угроза и риск - понятия идентичные
Какой из перечисленных вариантов последовательности действий предписан стандартом ГОСТ Р ИСО/МЭК 17799:2005 "Информационная технология. Практические правила управления информационной безопасностью" в аспектах управления непрерывностью бизнеса?
идентифицировать события, которые могут быть причиной прерывания бизнес-процессов, провести оценку последствий, после чего разработать планы восстановления
произвести экспертную оценку контента информации на сервере на предмет возможных схем утечки критически важной информации, после чего разработать планы восстановления системы
произвести контроль плана восстановления и его тестирование на предмет реализуемости, затем идентифицировать события, которые могут быть причиной прерывания бизнес-процессов (отказ оборудования, пожар и т.п.)
Содержит ли модель системы безопасности с полным перекрытием требования к составу подсистемы защиты ИС?
да
нет
да, но лишь в имплицитной форме
Что обеспечивает средняя стойкость системы?
защиту от целенаправленного нарушения безопасности объекта оценки нарушителем с умеренным потенциалом нападения
защиту от тщательно спланированного и организованного нарушения безопасности объекта оценки нарушителем с высоким потенциалом нападения
адекватную защиту от случайного нарушения безопасности объекта оценки нарушителем с низким потенциалом нападения
В каком году в России принят последней стандарт "Информационная технология. Практические правила управления информационной безопасностью"?
2008
1999
2005
Может организация в целях обеспечения безопасности разрабатывать свой специфический набор принципов, целей и требований, в отношении обработки информации?
да, безусловно
нет
да, но только по согласованию с местными органами власти
Какие требования выдвигаются к формализации политики безопасности?
дожна быть разработана и утверждена руководством организации
должна быть издана и доведена до сведения всех сотрудников
должна определять порядок работы с информационными ресурсами организации, обязанности и ответственность сотрудников
Какие формальности предполагает порядок доступа специалистов сторонних организаций к информационным системам?
в договоры со специалистами сторонних организаций и организациями должны быть включены требования, касающиеся соблюдения политики безопасности
достаточно инструктажа о соблюдении мер информационной безопасности
в договорах со специалистами сторонних организаций и организациями Формально ответственность за несоблюдение требований безопасности по отношению к специалистам сторонних организаций вменить нельзя
Входит в перечень рекомендаций по обеспечению физической защиты и защиты от воздействия окружающей среды организация зон безопасности?
да
нет
нет, но имеется ссылка на требования законодательства
Какие из перечисленных требований обеспечения аутентификации справедливы?
требуется, чтобы правила контроля доступа и права каждого пользователя или группы пользователей однозначно определялись политикой безопасности
требуется, чтобы при использовании парольной аутентификации пользователи подписывали документ о необходимости соблюдения полной конфиденциальности паролей
требуется обеспечить безопасность процесса получения пароля пользователем
Системы управления паролем должны предусматривать:
эффективные интерактивные возможности
использование системных утилит должно быть ограничено и тщательным образом контролироваться
обеспечение установленных технических условий эксплуатации локальных сетей
Что из перечисленного должны предусматривать системы управления паролем?
эффективные интерактивные возможности
использование системных утилит должно быть ограничено и тщательным образом контролироваться
обеспечение установленных технических условий эксплуатации локальных сетей
Что надлежит предпринимать при использовании переносных устройств, например, ноутбуков?
специальные меры противодействия компрометации служебной информации
формализованную политику, учитывающую риски, связанные с работой с переносными устройствами, в особенности в незащищенной среде
необходимо обеспечить жесткий контроль за использованием ноутбуков
Какой подход предлагает стандарт по работе с системами менеджмента информационной безопасности?
процессинговый подход
клиринговый подход
методика хеджирования рисков
Что из перечисленного входит в требования стандарта к документации?
положения политики системы менеджмента информационной безопасности и описание области функционирования, описание методики и отчет об оценке рисков
план обработки рисков, документирование связанных процедур
положение, предписывающее определять процесс управления документами системы менеджмента информационной безопасности, включающий актуализацию, использование, хранение и уничтожение
Какие из перечисленных работ по улучшению системы менеджмента информационной безопасности входят в стандарт?
работы по улучшению системы менеджмента информационной безопасности
работы по обеспечению уровня соответствия текущего состояния системы, предъявляемым к ней требованиям
работы по обеспечению надлежащей HR политики в организации
Является ли информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура существенными активами организации?
частично
нет
да
Какова степень модальности создания управляющих советов с участием руководящего состава организации в отношении политики информационной безопасности?
стандарт рекомендует создавать управляющие советы
стандарт предписывает безоговорочное создание управляющих советов
стандарт не предполагает введения управляющих советов
Какие типы обработки информации подлежат классификации в аспектах оценки приоритетности ее защиты?
только копирование, хранение и передача информации
только передача голосом, включая мобильный телефон, голосовую почту, автоответчики
Каковы рекомендации стандарта по обучению пользователей процедурам безопасности?
всех пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации
всех пользователей не реже одного раза в год предписано обучать и экзаменовать на предмет знаний процедур безопасности
требования по процедурам безопасности доводятся единожды при приеме на работу под роспись, в дальнейшем контроля за знанием работником процедур безопасности не требуется
Какие из перечисленных рекомендаций по обеспечению безопасности при осуществлении обмена информацией между организациями содержатся в стандарте ГОСТ Р ИСО/МЭК 17799-2005?
должна обеспечиваться безопасность носителей информации при пересылке, определена политика использования электронной почты и электронных офисных систем
следует уделять внимание защите целостности информации, опубликованной электронным способом, например информации на Web-сайте
рекомендуется организация авторизованного доступа на сайт организации
Какие действия надлежит выполнять с результатами мониторинга?
их следует вносить в генеральный всемирный реестр результатов мониторинга
их следует регулярно анализировать
никаких действий по результатам мониторинга выполнять не надо
Какие из перечисленных аспектов, по Вашему, не могут быть включены в стандарт?
вопросы соблюдения авторского права (в том числе, на программное обеспечение)
вопросы защиты персональной информации (сотрудников, клиентов)
вопросы физической защиты сотрудников, клиентов
Какие из перечисленных мер предлагается выполнять на этапе "поддержка"?
выявлять возможности улучшения системы менеджмента информационной безопасности; предпринимать необходимые корректирующие и предупреждающие действия, использовать на практике опыт по обеспечению информационной безопасности, полученный как в собственной организации, так и в других организациях;
передавать подробную информацию о действиях по улучшению системы менеджмента информационной безопасности всем заинтересованным сторонам, при этом степень ее детализации должна соответствовать обстоятельствам и, при необходимости, согласовывать дальнейшие действия;
обеспечивать внедрение улучшений системы менеджмента информационной безопасности для достижения запланированных целей
Как стандарт определяет ответственность руководства организации за обеспечение и управление ресурсами?
руководство организации ограниченно ответственно за обеспечение и управление ресурсами, необходимыми для создания системы менеджмента информационной безопасности
руководство организации ответственно за обеспечение и управление ресурсами, необходимыми для создания системы менеджмента информационной безопасности, включая аспекты управления персоналом
руководство организации ответственно за обеспечение и управление ресурсами, необходимыми для создания системы менеджмента информационной безопасности, однако аспекты управления персоналом в стандарт не включены
Предписано учреждению передавать подробную информацию о действиях по улучшению системы менеджмента информационной безопасности всем заинтересованным сторонам?
да
нет
только по запросу вышестоящей организации
Рассматривает ли стандарт ГОСТ Р ИСО/МЭК 17799:2005 вопросы информационной безопасности в аспектах экономического эффекта?
да
нет
нет, но экономическая сторона вопроса не отрицается
Какой из этапов предполагает выполнение следующих пунктов системы менеджмента информационной безопасности:
• определить способ измерения результативности выбранных мер управления;
• реализовать программы по обучению и повышению квалификации сотрудников;
этап "внедрение и функционирование системы менеджмента информационной безопасности"
этап "проведение мониторинга и анализа системы менеджмента информационной безопасности" требует
этап разработки системы менеджмента информационной безопасности
Какие из перечисленных мероприятий рекомендуется выполнять на этапе "Поддержка и улучшение системы менеджмента информационной безопасности"?
передавать подробную информацию о действиях по улучшению системы менеджмента информационной безопасности всем заинтересованным сторонам, при этом степень ее детализации должна соответствовать обстоятельствам и, при необходимости, согласовывать дальнейшие действия; обеспечивать внедрение улучшений системы менеджмента информационной безопасности для достижения запланированных целей
обновлять планы информационной безопасности с учетом результатов анализа и мониторинга; регистрировать действия и события, способные повлиять на результативность или функционирование системы менеджмента информационной безопасности
обеспечивать внедрение улучшений системы менеджмента информационной безопасности для достижения запланированных целей
Какие из перечисленных факторов, предписано учитывать в ГОСТ Р ИСО/МЭК 17799:2005 при формировании требований безопасности?
оценку рисков организации
юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг
специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации
Предписывает ли стандарт введение организацией своих мер по обеспечению информационной безопасности?
да
нет
только в отношении сугубо материально ассоциированных факторов
Влияют ли сбои электропитания на степень защиты кабельной сети?
да
нет
только гипотетически
Для чего необходимо проводить мониторинг системы безопасности?
в целях формирования требований политики контроля доступа
в целях обеспечения релевантности действий сотрудников учреждения
в целях обеспечения доказательства на случай выявления инцидентов нарушения информационной безопасности
С какой целью при разработке и реализации политики безопасности используются метрики?
для определения рамок, в которых осуществляются мероприятия по обеспечению безопасности информации, и задаются критерии оценки полученных результатов
для замеров уровней безопасности
с целю определения параметров защищенности системы, что позволяет соотнести сделанные затраты и полученный эффект
В каких целях разрабатываются методы реагирования в случае инцидентов?
в целях обеспечения эффективных мер защиты
в целях обеспечения расширения функционала сотрудников учреждения
в целях обеспечения скорейшего восстановления работоспособности системы в случае инцидентов
Какие из перечисленных средств применяются для защиты сети в "точках входа"?
средства антивирусной защиты для шлюзов безопасности
межсетевые экраны (firewall)
системы обнаружения вторжений
Является ли шифрование данных при их хранении и передаче адекватной мерой защиты?
нет
да
лишь частично
К какому состоянию зрелости управления рисками безопасности, согласно методики фирмы Microsoft, относится уровень, когда процесс документирован не полностью, но управление рисками является всеобъемлющим и руководство вовлечено в управление рисками?
оптимизированный
повторяемый
узкоспециализированный
К какому состоянию зрелости управления рисками безопасности согласно методики фирмы Microsoft относится уровень, когда принято формальное решение об интенсивном внедрении управления рисками, разработан базовый процесс и внедряется управление рисками?
наличие определенного процесса
повторяемый
оптимизированный
Что такое SQL-инъекции?
меры по защите беспроводных сетевых технологий и виртуальных частных сетей (VPN)
атаки на сайт учреждения, с применением деструктивных запросов к базам данных
атаки на сервер баз данных, заключающиеся в том, что во входную текстовую строку включаются операторы языка SQL
Может ли защита серверов осуществляться отдельно от защиты рабочих станций?
да, это возможно
нет, это не практикуется
если сеть надежно защищена извне, отдельной защиты для станций организовывать необходимости нет
Какие из перечисленных контрмер можно назвать в качестве примера, характерного для уровня защиты данных?
разграничение доступа к данным средствами файловой системы
шифрование данных при хранении и передаче
кодификация информации
Как можно проверить информацию о соответствии имен компьютеров IP-адресам в OS Windows?
при обращении к утилите командной строки nslookup/1
при обращении к административной оснастке "DNS" /1
при обращении к функции autolookup
Поддерживает управляемое сетевое оборудование 3Com протокол SNMP?
да
нет
не во всех версиях
Применительно к программе Microsoft Base Line Security Analyzer: о чем свидетельствует извещение "You do not have sufficient permissions to perform this command. Make sure that you are running as the local administrator…"?
о том, что программа выполняется не от имени учетной записи с правами локального администратора
о том, что программа выполняется без ограничений
о том, что имеет место нарушение авторских прав
Может организация разрабатывать и применять собственные (корпоративные) стандарты безопасности?
нет, это недопустимо
да, это не запрещено
это требует множественных согласований, поэтому разработка своих стандартов не распространена
На что нацелен уровень защиты внутренней сети?
на защиту сети от спама, поступающего на почтовые ящики сотрудников
на скрининг деятельности сотрудников по посещению ими web-узлов
на обеспечение безопасности передаваемого внутри сети трафика и сетевой инфраструктуры
Вопросы к тесту выложены исключительно в ознакомительных целях: количество вопросов может не совпадать с действительным, актуальность не поддерживается,- за решением теста Welcome to the cashier!
Что принято считать ресурсом или активом информационной системы?
модель информационной системы
все элементы, имеющие материальную ценность независимо от того подлежат они защите или нет
именованный элемент информационной системы, имеющий (материальную) ценность и подлежащий защите
На какие ресуры может быть направлена угроза?
только на информационные ресурсы
только на аппаратные ресурсы
на любые виды ресурсов (информационный, аппаратный, программный и т.д.)
Каким параметром принято определять степень разрушительности?
коэффициентом разрушительности
стоимостью ресурса
коэффициентом риска
Какие из перечисленных вариантов решений в отношении рисков являются неуместными:
принят, устранен
принят, дезавуирован
дезавуирован, отклонен
На основании каких из перечисленных документов разрабатываются задания по безопасности?
каталог сертифицированных профилей защиты и продуктов
технический регламент
профиль защиты
Что из перечисленного характеризует потенциал нападения?
показатели компетентности
ресурсы
мотивация
Каковы цели анализа и тестирования прикладных систем в аспектах информационной безопасности?
оперативное внесение изменений в операционные системы
обеспечение целостности программного обеспечения
обеспечение более эффективного использования готовых пакетов программ
Какие из перечисленных рекомендаций уместны в случае, когда для проведения работ по разработке программного обеспечения привлекается сторонняя организация?
необходимо предусмотреть антиифильтрационные меры
необходимо предусмотреть меры по контролю правильности выполненных работ
необходимо предусмотреть меры по контролю качества выполненных работ
Чем характеризуются угрозы?
нежелательностью их появления
невероятностью их появления
вероятностью их появления
Что из перечисленного предписывается выполнить при проектировании системы с полным перекрытием?
выверить остаточную стоимость активов
детально прописать пути потенциального проникновения
согласовать порядок применения альтернативных инструментов защиты
С какой целью предпринимаются контрмеры в аспектах защиты активов от угроз?
в целях уменьшения уязвимостей
в целях политики безопасности владельцев активов
в целях получения дополнительной прибыли
Что обеспечивает базовая стойкость?
защиту от тщательно спланированного и организованного нарушения безопасности объекта оценки нарушителем с высоким потенциалом нападения
защиту от целенаправленного нарушения безопасности объекта оценки нарушителем с умеренным потенциалом нападения
адекватную защиту от случайного нарушения безопасности объекта оценки нарушителем с низким потенциалом нападения
Идентифицируется ли риск уязвимостью, через которую может быть реализована некая угроза в отношении определенного ресурса?
да
нет
да, но только в случае отсутствия угрозы
Что происходит с размером ожидаемых потерь при увеличении затрат на защиту?
падает
находится в зависимости от других факторов
не изменяется
Какое из перечисленных требований доверия к безопасности не является справедливым?
к технологии разработки и тестированию
к анализу уязвимостей
верификации контента
Какой из перечисленных классов функциональных требований включает требования кодирования информации?
класс приватности (конфиденциальности)"
класс защиты функций безопасности объекта
класс криптографической поддержки (криптографической защиты)
Что представляет собой событие - триггер?
событие, повлекшее реализацию или дальнейшее развитие рисков и являющееся идентификатором риска
событие, увеличивающее время отклика web - сервера
это одна из разновидностей атак на сервер
Какие из перечисленных мер способствуют предотвращению утечки?
использование программного обеспечения, полученного от доверенных поставщиков
применение аморфных схем контроля
контроль целостности системы
Что в аспектах информационной безопасности связывается с каждым объектом, требующим защиты?
множество действий, к которым может прибегнуть нарушитель для получения несанкционированного доступа к объекту
множество вариантов развития ситуации, при которых санкционированный доступ ведет к нарушению целостности системы объекту
множество вариантов действий, к которым может прибегнуть нарушитель для валидации ID пользователя
Способствуют контрмеры в аспектах достижения информационной безопасности эффективному снижению уязвимостей?
да
нет
лишь отчасти
Что отличает риск от угрозы?
объем вероятных потерь
наличие количественной оценки возможных потерь и (возможно) оценки вероятности реализации угрозы
угроза и риск - понятия идентичные
Какой из перечисленных вариантов последовательности действий предписан стандартом ГОСТ Р ИСО/МЭК 17799:2005 "Информационная технология. Практические правила управления информационной безопасностью" в аспектах управления непрерывностью бизнеса?
идентифицировать события, которые могут быть причиной прерывания бизнес-процессов, провести оценку последствий, после чего разработать планы восстановления
произвести экспертную оценку контента информации на сервере на предмет возможных схем утечки критически важной информации, после чего разработать планы восстановления системы
произвести контроль плана восстановления и его тестирование на предмет реализуемости, затем идентифицировать события, которые могут быть причиной прерывания бизнес-процессов (отказ оборудования, пожар и т.п.)
Содержит ли модель системы безопасности с полным перекрытием требования к составу подсистемы защиты ИС?
да
нет
да, но лишь в имплицитной форме
Что обеспечивает средняя стойкость системы?
защиту от целенаправленного нарушения безопасности объекта оценки нарушителем с умеренным потенциалом нападения
защиту от тщательно спланированного и организованного нарушения безопасности объекта оценки нарушителем с высоким потенциалом нападения
адекватную защиту от случайного нарушения безопасности объекта оценки нарушителем с низким потенциалом нападения
В каком году в России принят последней стандарт "Информационная технология. Практические правила управления информационной безопасностью"?
2008
1999
2005
Может организация в целях обеспечения безопасности разрабатывать свой специфический набор принципов, целей и требований, в отношении обработки информации?
да, безусловно
нет
да, но только по согласованию с местными органами власти
Какие требования выдвигаются к формализации политики безопасности?
дожна быть разработана и утверждена руководством организации
должна быть издана и доведена до сведения всех сотрудников
должна определять порядок работы с информационными ресурсами организации, обязанности и ответственность сотрудников
Какие формальности предполагает порядок доступа специалистов сторонних организаций к информационным системам?
в договоры со специалистами сторонних организаций и организациями должны быть включены требования, касающиеся соблюдения политики безопасности
достаточно инструктажа о соблюдении мер информационной безопасности
в договорах со специалистами сторонних организаций и организациями Формально ответственность за несоблюдение требований безопасности по отношению к специалистам сторонних организаций вменить нельзя
Входит в перечень рекомендаций по обеспечению физической защиты и защиты от воздействия окружающей среды организация зон безопасности?
да
нет
нет, но имеется ссылка на требования законодательства
Какие из перечисленных требований обеспечения аутентификации справедливы?
требуется, чтобы правила контроля доступа и права каждого пользователя или группы пользователей однозначно определялись политикой безопасности
требуется, чтобы при использовании парольной аутентификации пользователи подписывали документ о необходимости соблюдения полной конфиденциальности паролей
требуется обеспечить безопасность процесса получения пароля пользователем
Системы управления паролем должны предусматривать:
эффективные интерактивные возможности
использование системных утилит должно быть ограничено и тщательным образом контролироваться
обеспечение установленных технических условий эксплуатации локальных сетей
Что из перечисленного должны предусматривать системы управления паролем?
эффективные интерактивные возможности
использование системных утилит должно быть ограничено и тщательным образом контролироваться
обеспечение установленных технических условий эксплуатации локальных сетей
Что надлежит предпринимать при использовании переносных устройств, например, ноутбуков?
специальные меры противодействия компрометации служебной информации
формализованную политику, учитывающую риски, связанные с работой с переносными устройствами, в особенности в незащищенной среде
необходимо обеспечить жесткий контроль за использованием ноутбуков
Какой подход предлагает стандарт по работе с системами менеджмента информационной безопасности?
процессинговый подход
клиринговый подход
методика хеджирования рисков
Что из перечисленного входит в требования стандарта к документации?
положения политики системы менеджмента информационной безопасности и описание области функционирования, описание методики и отчет об оценке рисков
план обработки рисков, документирование связанных процедур
положение, предписывающее определять процесс управления документами системы менеджмента информационной безопасности, включающий актуализацию, использование, хранение и уничтожение
Какие из перечисленных работ по улучшению системы менеджмента информационной безопасности входят в стандарт?
работы по улучшению системы менеджмента информационной безопасности
работы по обеспечению уровня соответствия текущего состояния системы, предъявляемым к ней требованиям
работы по обеспечению надлежащей HR политики в организации
Является ли информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура существенными активами организации?
частично
нет
да
Какова степень модальности создания управляющих советов с участием руководящего состава организации в отношении политики информационной безопасности?
стандарт рекомендует создавать управляющие советы
стандарт предписывает безоговорочное создание управляющих советов
стандарт не предполагает введения управляющих советов
Какие типы обработки информации подлежат классификации в аспектах оценки приоритетности ее защиты?
только копирование, хранение и передача информации
только передача голосом, включая мобильный телефон, голосовую почту, автоответчики
Каковы рекомендации стандарта по обучению пользователей процедурам безопасности?
всех пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации
всех пользователей не реже одного раза в год предписано обучать и экзаменовать на предмет знаний процедур безопасности
требования по процедурам безопасности доводятся единожды при приеме на работу под роспись, в дальнейшем контроля за знанием работником процедур безопасности не требуется
Какие из перечисленных рекомендаций по обеспечению безопасности при осуществлении обмена информацией между организациями содержатся в стандарте ГОСТ Р ИСО/МЭК 17799-2005?
должна обеспечиваться безопасность носителей информации при пересылке, определена политика использования электронной почты и электронных офисных систем
следует уделять внимание защите целостности информации, опубликованной электронным способом, например информации на Web-сайте
рекомендуется организация авторизованного доступа на сайт организации
Какие действия надлежит выполнять с результатами мониторинга?
их следует вносить в генеральный всемирный реестр результатов мониторинга
их следует регулярно анализировать
никаких действий по результатам мониторинга выполнять не надо
Какие из перечисленных аспектов, по Вашему, не могут быть включены в стандарт?
вопросы соблюдения авторского права (в том числе, на программное обеспечение)
вопросы защиты персональной информации (сотрудников, клиентов)
вопросы физической защиты сотрудников, клиентов
Какие из перечисленных мер предлагается выполнять на этапе "поддержка"?
выявлять возможности улучшения системы менеджмента информационной безопасности; предпринимать необходимые корректирующие и предупреждающие действия, использовать на практике опыт по обеспечению информационной безопасности, полученный как в собственной организации, так и в других организациях;
передавать подробную информацию о действиях по улучшению системы менеджмента информационной безопасности всем заинтересованным сторонам, при этом степень ее детализации должна соответствовать обстоятельствам и, при необходимости, согласовывать дальнейшие действия;
обеспечивать внедрение улучшений системы менеджмента информационной безопасности для достижения запланированных целей
Как стандарт определяет ответственность руководства организации за обеспечение и управление ресурсами?
руководство организации ограниченно ответственно за обеспечение и управление ресурсами, необходимыми для создания системы менеджмента информационной безопасности
руководство организации ответственно за обеспечение и управление ресурсами, необходимыми для создания системы менеджмента информационной безопасности, включая аспекты управления персоналом
руководство организации ответственно за обеспечение и управление ресурсами, необходимыми для создания системы менеджмента информационной безопасности, однако аспекты управления персоналом в стандарт не включены
Предписано учреждению передавать подробную информацию о действиях по улучшению системы менеджмента информационной безопасности всем заинтересованным сторонам?
да
нет
только по запросу вышестоящей организации
Рассматривает ли стандарт ГОСТ Р ИСО/МЭК 17799:2005 вопросы информационной безопасности в аспектах экономического эффекта?
да
нет
нет, но экономическая сторона вопроса не отрицается
Какой из этапов предполагает выполнение следующих пунктов системы менеджмента информационной безопасности:
• определить способ измерения результативности выбранных мер управления;
• реализовать программы по обучению и повышению квалификации сотрудников;
этап "внедрение и функционирование системы менеджмента информационной безопасности"
этап "проведение мониторинга и анализа системы менеджмента информационной безопасности" требует
этап разработки системы менеджмента информационной безопасности
Какие из перечисленных мероприятий рекомендуется выполнять на этапе "Поддержка и улучшение системы менеджмента информационной безопасности"?
передавать подробную информацию о действиях по улучшению системы менеджмента информационной безопасности всем заинтересованным сторонам, при этом степень ее детализации должна соответствовать обстоятельствам и, при необходимости, согласовывать дальнейшие действия; обеспечивать внедрение улучшений системы менеджмента информационной безопасности для достижения запланированных целей
обновлять планы информационной безопасности с учетом результатов анализа и мониторинга; регистрировать действия и события, способные повлиять на результативность или функционирование системы менеджмента информационной безопасности
обеспечивать внедрение улучшений системы менеджмента информационной безопасности для достижения запланированных целей
Какие из перечисленных факторов, предписано учитывать в ГОСТ Р ИСО/МЭК 17799:2005 при формировании требований безопасности?
оценку рисков организации
юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг
специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации
Предписывает ли стандарт введение организацией своих мер по обеспечению информационной безопасности?
да
нет
только в отношении сугубо материально ассоциированных факторов
Влияют ли сбои электропитания на степень защиты кабельной сети?
да
нет
только гипотетически
Для чего необходимо проводить мониторинг системы безопасности?
в целях формирования требований политики контроля доступа
в целях обеспечения релевантности действий сотрудников учреждения
в целях обеспечения доказательства на случай выявления инцидентов нарушения информационной безопасности
С какой целью при разработке и реализации политики безопасности используются метрики?
для определения рамок, в которых осуществляются мероприятия по обеспечению безопасности информации, и задаются критерии оценки полученных результатов
для замеров уровней безопасности
с целю определения параметров защищенности системы, что позволяет соотнести сделанные затраты и полученный эффект
В каких целях разрабатываются методы реагирования в случае инцидентов?
в целях обеспечения эффективных мер защиты
в целях обеспечения расширения функционала сотрудников учреждения
в целях обеспечения скорейшего восстановления работоспособности системы в случае инцидентов
Какие из перечисленных средств применяются для защиты сети в "точках входа"?
средства антивирусной защиты для шлюзов безопасности
межсетевые экраны (firewall)
системы обнаружения вторжений
Является ли шифрование данных при их хранении и передаче адекватной мерой защиты?
нет
да
лишь частично
К какому состоянию зрелости управления рисками безопасности, согласно методики фирмы Microsoft, относится уровень, когда процесс документирован не полностью, но управление рисками является всеобъемлющим и руководство вовлечено в управление рисками?
оптимизированный
повторяемый
узкоспециализированный
К какому состоянию зрелости управления рисками безопасности согласно методики фирмы Microsoft относится уровень, когда принято формальное решение об интенсивном внедрении управления рисками, разработан базовый процесс и внедряется управление рисками?
наличие определенного процесса
повторяемый
оптимизированный
Что такое SQL-инъекции?
меры по защите беспроводных сетевых технологий и виртуальных частных сетей (VPN)
атаки на сайт учреждения, с применением деструктивных запросов к базам данных
атаки на сервер баз данных, заключающиеся в том, что во входную текстовую строку включаются операторы языка SQL
Может ли защита серверов осуществляться отдельно от защиты рабочих станций?
да, это возможно
нет, это не практикуется
если сеть надежно защищена извне, отдельной защиты для станций организовывать необходимости нет
Какие из перечисленных контрмер можно назвать в качестве примера, характерного для уровня защиты данных?
разграничение доступа к данным средствами файловой системы
шифрование данных при хранении и передаче
кодификация информации
Как можно проверить информацию о соответствии имен компьютеров IP-адресам в OS Windows?
при обращении к утилите командной строки nslookup/1
при обращении к административной оснастке "DNS" /1
при обращении к функции autolookup
Поддерживает управляемое сетевое оборудование 3Com протокол SNMP?
да
нет
не во всех версиях
Применительно к программе Microsoft Base Line Security Analyzer: о чем свидетельствует извещение "You do not have sufficient permissions to perform this command. Make sure that you are running as the local administrator…"?
о том, что программа выполняется не от имени учетной записи с правами локального администратора
о том, что программа выполняется без ограничений
о том, что имеет место нарушение авторских прав
Может организация разрабатывать и применять собственные (корпоративные) стандарты безопасности?
нет, это недопустимо
да, это не запрещено
это требует множественных согласований, поэтому разработка своих стандартов не распространена
На что нацелен уровень защиты внутренней сети?
на защиту сети от спама, поступающего на почтовые ящики сотрудников
на скрининг деятельности сотрудников по посещению ими web-узлов
на обеспечение безопасности передаваемого внутри сети трафика и сетевой инфраструктуры
Внимание !
Вопросы к тесту выложены исключительно в ознакомительных целях: количество вопросов может не совпадать с действительным, актуальность не поддерживается,- за решением теста Welcome to the cashier!
Являются ли термины управление рисками и оценка рисков взаимозаменяемыми?
нет
да
лишь частично
К какому состоянию зрелости управления рисками безопасности согласно методики фирмы Microsoft относится уровень, когда политики и процессы в организации не документированы, процессы не являются полностью повторяемыми?
оптимизированный
повторяемый
узкоспециализированный
Что контролирует уровень защиты узлов?
парирование атак на отдельный узел сети. Может учитываться функциональность узла и отдельно рассматриваться защита серверов и рабочих станций
защиту обрабатывающихся и хранящихся в системе данных от несанкционированного доступа и других угроз
безопасность передаваемого внутри сети трафика и сетевой инфраструктуры
Характерно использование внутри сети средств, применимых для защиты периметра?
да, например, межсетевые экраны, в том числе и персональные (устанавливаемые на защищаемый компьютер)
нет, внутри сети средства, характерные для защиты периметра, такие как межсетевые экраны, не применяются
нет, внутри сети нет необходимости применения каких либо барьерных механизмов
Является ли возможным в процессе идентификации рисков определить цели потенциального нарушителя и уровни защиты, на которых можно ему противостоять?
нет
да
нет, но такая попытки не могут дать некий эффект
Какова процедура запуска утилиты mbsacli.exe если соединение с Интернет отсутствует?
утилиту надо запускать или с ключом /nd или с ключом /n
утилита без ключей не запустится
процедура запуска утилиты не зависит от подключения к Интернет
В каких целях осуществляется анализ рисков?
в целях соблюдения требований об обязательной отчетности учреждения, его проведение формально необходимо
в целях установления и поддержания эффективного управления системой защиты
в целях укрепления имиджевой политики учреждения
Решению каких из перечисленных задач способствует разработка стратегического плана построения системы безопасности?
распределение бюджетов и ресурсов по приоритетам
эффективный выбор продуктов и разработка стратегий их внедрения
получение кредитов на развитие ИБ в кредитных учреждениях на льготных основаниях
Каким аспектам рекомендуется уделять первоочередное внимание при защите узлов?
функциональности узлов
защите на уровне операционной системы
защите серверов и рабочих станций
Как можно получить перечень папок, предоставляемых в общий доступ в OS Windows?
с помощью оснастки "Управление компьютером"
при обращении к папке Windows\Config
данные сведения пользователю недоступны
Какие сведения содержит оснастка "Active Directory Users and Computers"?
о сетевой идентификации
о членстве пользователя в доменных группах
реестр сведений о членстве пользователей в сетевых профессиональных союзах и группах
Какова связь анализа рисков с другими компонентами модели информационной безопасности?
на базе полученных результатов по оценке рисков осуществляется анализ состояния системы и разрабатывается план построения системы защиты сети
анализ рисков увязан с процедурами анализа рисков
анализ не увязывается с другими компонентами системы
Перечислите компоненты, за которые "отвечает" уровень защиты приложений:
почтовые серверы
web-серверы
серверы баз данных
Способствует ли организация защиты от угрозы на нескольких уровнях снижению уровня риска?
да
нет
спорно
Какие средства можно использовать для получения данных о системе, если в информационной системе используются домены Windows?
средства синхронизации данных, реализованные в виде консоли администрирования
средства администрирования, реализованные в виде оснасток консоли администрирования (Microsoft management console - mmc)
средства администрирования, реализованные в виде консоли журналы и оповещения производительности (Microsoft management console - mmc)
Что позволяет осуществить утилита 3Com Network Supervisor?
сбор данных о топологии сети
сбор данных о сотрудниках учреждения
сбор данных о продуктах Microsoft, установленных на компьютерах, входящих в состав локальной сети
Какие из перечисленных распространенных методик анализа рисков используют смешанный метод оценки риска?
CRAMM
Microsoft
RiskWatch
FRAP
Какому значению по шкале оценки уязвимости CRAMM соответствует инцидент, происходящий в среднем один раз в четыре месяца?
очень низкий
очень высокий
высокий
Что из перечисленного характерно для методики OCTAVE?
весь процесс анализа автоматизирован, производится на основании параметрических функций
весь процесс анализа производится силами сотрудников организации, без привлечения внешних консультантов
весь процесс анализа производится силами внешних консультантов, без привлечения сотрудников организации
Что, согласно методике Microsoft, входит в понятие "активы"?
физическая инфраструктура
данные и другая ценная для организации информация, хранящаяся в цифровой форме
ИТ-служба
При вычислении вероятности влияния результирующий уровень вероятности определяется на основании двух значений. Первое значение определяет вероятность существования уязвимости в текущей среде. Что определяет второе значение?
изменения останова сервера по причине физического износа оборудования
вероятность существования уязвимости исходя из эффективности текущих элементов контроля
вероятность существования уязвимости при гипотетических параметрах систе
Что из перечисленного лежит за пределами методики OCTAVE?
разработка профиля угроз, связанных с активом
идентификация инфраструктурных уязвимостей
определение второстепенных направлений для внедрения новых СЗИ, мер и процедур обеспечения ИБ
Какие из перечисленных распространенных методик анализа рисков не используют количественные методики оценки рисков?
FRAP
RiskWatch
CRAMM
Позволяет ли проведение анализа рисков в сфере информационной безопасности определять уязвимость отдельных компонентов и недостатки политики системы?
нет, не позволяет
несмотря на то, что в целом проблема определения уязвимости системы решается, определение уязвимости компонентов достичь нельзя
да, позволяет
Какие из перечисленных классов активов входят в систему оценки и управления рисками безопасности, предлагаемый корпорацией Майкрософт?
активы, имеющие среднее влияние на бизнес (СВБ)
активы, имеющие низкое влияние на бизнес (НВБ)
активы, имеющие высокое влияние на бизнес(ВВБ)
активы, имеющие приоритеное влияние на бизнес(ПВБ)
Какому значению по шкале оценки уязвимости CRAMM соответствует инцидент, если вероятность развития событий по наихудшему сценарию составляет от 0, 33 до 0,66?
высокий
низкий
средний
В течение какого периода времени согласно методике FRAP реализуется угроза, имеющая статус средней (Medium Probability)?
в течении следующего месяца
в течение следующего года
в течение следующего десятилетия
Сочетает методика CRAMM количественные и качественные методы анализа рисков?
да
нет
нет, но данная методика в настоящее время совершенствуется
Какая из перечисленных распространенных методик анализа рисков использует метод оценки риска на качественном уровне (например, по шкале "высокий", "средний", "низкий")?
FRAP
RiskWatch
CRAMM
Что обеспечивает ранжирование рисков по приоритетам?
возможность системного анализа рисков
возможность выделить наиболее приоритетные направления для внедрения новых СЗИ, мер и процедур обеспечения ИБ
возможность оценить выгоды от внедрения средств и механизмов защиты и принять участие в процессе определения требуемого уровня защищенности КС
Что можно считать главной особенностью методики OCTAVE?
весь процесс анализа автоматизирован, производится на основании параметрических функций
весь процесс анализа производится силами внешних консультантов, без привлечения сотрудников организации
весь процесс анализа производится силами сотрудников организации, без привлечения внешних консультантов
По каким из перечисленых критериев осуществляется определение защищаемых активов в методике FRAP?
по результатам изучения документации на систему
по результатам автоматизированного анализа (сканирования) сетей
по результатам заполнения опросных листов
Какая из перечисленных распространенных методик анализа рисков использует количественные методики оценки рисков?
FRAP
RiskWatch
CRAMM
Microsoft
Оценка вероятности взлома имеет субъективный характер.Что рекомендуется делать для достижения большей объективности?
задавать большую степень градации оценок
ограничиться специфическим перечнем вопросов во избежание ошибок в оценке
уточнять перечень вопросов исходя из конкретных условий
Что из перечисленного лежит за пределами сферы информационной безопасности?
ранжирование рисков по приоритетам
выявление проблем уязвимостей системы, недостатков политик безопасности
разработка методик хеджирования экономических рисков
Какая из перечисленных распространенных методик анализа рисков использует смешанный метод оценки риска?
Microsoft
FRAP
RiskWatch
По каким из перечисленных параметров в методике FRAP осуществляется определение защищаемых активов?
по результатам изучения документации на систему
по результатам заполнения опросных листов, изучения документации на систему, использования инструментов автоматизированного анализа (сканирования) сетей
по результатам заполнения опросных листов и автоматизированного анализа (сканирования) сетей
Что определяет ценность физических ресурсов в методике CRAMM ?
объемом финансовых активов организации
стоимость их восстановления в случае разрушения
время восстановления в случае разрушения
Чем определяется ценность физических ресурсов в методике CRAMM?
временем, необходимым на восстановление в случае разрушения
объемом финансовых активов организации
стоимостью их восстановления в случае разрушения
Какие из перечисленных критериев оценки и управления рисками используются в методике RiskWatch?
годовые потери (Annual Loss Expectancy, ALE) и оценка возврата инвестиций (Return on Investment, ROI)
угрозы, исходящие от человека-нарушителя, действующего через сеть передачи данных
влияние потерь на HR - аспект деятельности организации
Какую величину, согласно методике Microsoft, определяют произведением стоимости актива на фактор подверженности воздействию?
качественную оценку влияния
Фактор подверженности воздействию
количественную оценку влияния
Какому значению по шкале оценки уязвимости CRAMM соответствует инцидент, происходящий в среднем один раз в три года?
высокий
низкий
средний
Сколько стадий исследование информационной безопасности системы имеется в методике СRAMM?
одна
две
три
четыре
Какая величина, согласно методике Microsoft, определяется произведением стоимости актива на фактор подверженности воздействию?
фактор подверженности воздействию
количественная оценка влияния
качественная оценка влияния
Какие из перечисленных распространенных методик анализа рисков не используют смешанный метод оценки риска?
RiskWatch
FRAP
CRAMM
Microsoft
Какому из перечисленных значений по шкале оценки уязвимости CRAMM соответствует инцидент, если вероятность развития событий по наихудшему сценарию составляет от 0, 33 до 0,66?
высокий
низкий
средний
Позволяет проведение анализа рисков в сфере информационной безопасности выделить наиболее приоритетные направления для внедрения новых средств защиты информации?
да, но с ограничениями
нет, не позволяет
да, гарантированно позволяет
Какие критерии для оценки и управления рисками используются в методике RiskWatch?
используются угрозы, исходящие от человека-нарушителя, действующего через сеть передачи данных
используется влияние потерь на HR - аспект деятельности организации
используются годовые потери (Annual Loss Expectancy, ALE) и оценка возврата инвестиций (Return on Investment, ROI)
В каком формате принято определять имя центра сертификации, выдавшего сертификат?
General Distinguished Name (выделенное имя общего уровня)
Relative Distinguished Name (относительное выделенное имя)
Digital Distinguished Name (цифровое выделенное имя)
Где в OS XPрасполагается сертификат Microsoft Windows Hardware Compatibility
в хранилище сертификатов Windows'XP
в папке MOI
system32
На каком уровне реализуется аутентификация по протоколу Kerberos v.5 (RFC 1510)?
на уровне доменов
на уровне ЛВС
на уровне PC
Какими средствами осуществляется аутентификация ключа?
ключ заверяется физическим контролером
ключ заверяется с помощью цифрового сертификата
ключ заверяется с помощью цифрового мандата
Что представляет собой открытый ключ?
это - составное поле, содержащее идентификатор алгоритма, для которого предназначается данный открытый ключ, и собственно сам открытый ключ в виде набора битов
это - составное поле из таблиц серверных БД
дополнительный атрибут, связанный с субъектом и изготовителем, и предназначенный для управления процессами сертификации
Позволяет ли S/MIME использовать различные криптоалгоритмы?
нет
да
S/MIME позволяет использовать только два набора криптоалгоитмов
На каком уровн
Вопросы к тесту выложены исключительно в ознакомительных целях: количество вопросов может не совпадать с действительным, актуальность не поддерживается,- за решением теста Welcome to the cashier!
Являются ли термины управление рисками и оценка рисков взаимозаменяемыми?
нет
да
лишь частично
К какому состоянию зрелости управления рисками безопасности согласно методики фирмы Microsoft относится уровень, когда политики и процессы в организации не документированы, процессы не являются полностью повторяемыми?
оптимизированный
повторяемый
узкоспециализированный
Что контролирует уровень защиты узлов?
парирование атак на отдельный узел сети. Может учитываться функциональность узла и отдельно рассматриваться защита серверов и рабочих станций
защиту обрабатывающихся и хранящихся в системе данных от несанкционированного доступа и других угроз
безопасность передаваемого внутри сети трафика и сетевой инфраструктуры
Характерно использование внутри сети средств, применимых для защиты периметра?
да, например, межсетевые экраны, в том числе и персональные (устанавливаемые на защищаемый компьютер)
нет, внутри сети средства, характерные для защиты периметра, такие как межсетевые экраны, не применяются
нет, внутри сети нет необходимости применения каких либо барьерных механизмов
Является ли возможным в процессе идентификации рисков определить цели потенциального нарушителя и уровни защиты, на которых можно ему противостоять?
нет
да
нет, но такая попытки не могут дать некий эффект
Какова процедура запуска утилиты mbsacli.exe если соединение с Интернет отсутствует?
утилиту надо запускать или с ключом /nd или с ключом /n
утилита без ключей не запустится
процедура запуска утилиты не зависит от подключения к Интернет
В каких целях осуществляется анализ рисков?
в целях соблюдения требований об обязательной отчетности учреждения, его проведение формально необходимо
в целях установления и поддержания эффективного управления системой защиты
в целях укрепления имиджевой политики учреждения
Решению каких из перечисленных задач способствует разработка стратегического плана построения системы безопасности?
распределение бюджетов и ресурсов по приоритетам
эффективный выбор продуктов и разработка стратегий их внедрения
получение кредитов на развитие ИБ в кредитных учреждениях на льготных основаниях
Каким аспектам рекомендуется уделять первоочередное внимание при защите узлов?
функциональности узлов
защите на уровне операционной системы
защите серверов и рабочих станций
Как можно получить перечень папок, предоставляемых в общий доступ в OS Windows?
с помощью оснастки "Управление компьютером"
при обращении к папке Windows\Config
данные сведения пользователю недоступны
Какие сведения содержит оснастка "Active Directory Users and Computers"?
о сетевой идентификации
о членстве пользователя в доменных группах
реестр сведений о членстве пользователей в сетевых профессиональных союзах и группах
Какова связь анализа рисков с другими компонентами модели информационной безопасности?
на базе полученных результатов по оценке рисков осуществляется анализ состояния системы и разрабатывается план построения системы защиты сети
анализ рисков увязан с процедурами анализа рисков
анализ не увязывается с другими компонентами системы
Перечислите компоненты, за которые "отвечает" уровень защиты приложений:
почтовые серверы
web-серверы
серверы баз данных
Способствует ли организация защиты от угрозы на нескольких уровнях снижению уровня риска?
да
нет
спорно
Какие средства можно использовать для получения данных о системе, если в информационной системе используются домены Windows?
средства синхронизации данных, реализованные в виде консоли администрирования
средства администрирования, реализованные в виде оснасток консоли администрирования (Microsoft management console - mmc)
средства администрирования, реализованные в виде консоли журналы и оповещения производительности (Microsoft management console - mmc)
Что позволяет осуществить утилита 3Com Network Supervisor?
сбор данных о топологии сети
сбор данных о сотрудниках учреждения
сбор данных о продуктах Microsoft, установленных на компьютерах, входящих в состав локальной сети
Какие из перечисленных распространенных методик анализа рисков используют смешанный метод оценки риска?
CRAMM
Microsoft
RiskWatch
FRAP
Какому значению по шкале оценки уязвимости CRAMM соответствует инцидент, происходящий в среднем один раз в четыре месяца?
очень низкий
очень высокий
высокий
Что из перечисленного характерно для методики OCTAVE?
весь процесс анализа автоматизирован, производится на основании параметрических функций
весь процесс анализа производится силами сотрудников организации, без привлечения внешних консультантов
весь процесс анализа производится силами внешних консультантов, без привлечения сотрудников организации
Что, согласно методике Microsoft, входит в понятие "активы"?
физическая инфраструктура
данные и другая ценная для организации информация, хранящаяся в цифровой форме
ИТ-служба
При вычислении вероятности влияния результирующий уровень вероятности определяется на основании двух значений. Первое значение определяет вероятность существования уязвимости в текущей среде. Что определяет второе значение?
изменения останова сервера по причине физического износа оборудования
вероятность существования уязвимости исходя из эффективности текущих элементов контроля
вероятность существования уязвимости при гипотетических параметрах систе
Что из перечисленного лежит за пределами методики OCTAVE?
разработка профиля угроз, связанных с активом
идентификация инфраструктурных уязвимостей
определение второстепенных направлений для внедрения новых СЗИ, мер и процедур обеспечения ИБ
Какие из перечисленных распространенных методик анализа рисков не используют количественные методики оценки рисков?
FRAP
RiskWatch
CRAMM
Позволяет ли проведение анализа рисков в сфере информационной безопасности определять уязвимость отдельных компонентов и недостатки политики системы?
нет, не позволяет
несмотря на то, что в целом проблема определения уязвимости системы решается, определение уязвимости компонентов достичь нельзя
да, позволяет
Какие из перечисленных классов активов входят в систему оценки и управления рисками безопасности, предлагаемый корпорацией Майкрософт?
активы, имеющие среднее влияние на бизнес (СВБ)
активы, имеющие низкое влияние на бизнес (НВБ)
активы, имеющие высокое влияние на бизнес(ВВБ)
активы, имеющие приоритеное влияние на бизнес(ПВБ)
Какому значению по шкале оценки уязвимости CRAMM соответствует инцидент, если вероятность развития событий по наихудшему сценарию составляет от 0, 33 до 0,66?
высокий
низкий
средний
В течение какого периода времени согласно методике FRAP реализуется угроза, имеющая статус средней (Medium Probability)?
в течении следующего месяца
в течение следующего года
в течение следующего десятилетия
Сочетает методика CRAMM количественные и качественные методы анализа рисков?
да
нет
нет, но данная методика в настоящее время совершенствуется
Какая из перечисленных распространенных методик анализа рисков использует метод оценки риска на качественном уровне (например, по шкале "высокий", "средний", "низкий")?
FRAP
RiskWatch
CRAMM
Что обеспечивает ранжирование рисков по приоритетам?
возможность системного анализа рисков
возможность выделить наиболее приоритетные направления для внедрения новых СЗИ, мер и процедур обеспечения ИБ
возможность оценить выгоды от внедрения средств и механизмов защиты и принять участие в процессе определения требуемого уровня защищенности КС
Что можно считать главной особенностью методики OCTAVE?
весь процесс анализа автоматизирован, производится на основании параметрических функций
весь процесс анализа производится силами внешних консультантов, без привлечения сотрудников организации
весь процесс анализа производится силами сотрудников организации, без привлечения внешних консультантов
По каким из перечисленых критериев осуществляется определение защищаемых активов в методике FRAP?
по результатам изучения документации на систему
по результатам автоматизированного анализа (сканирования) сетей
по результатам заполнения опросных листов
Какая из перечисленных распространенных методик анализа рисков использует количественные методики оценки рисков?
FRAP
RiskWatch
CRAMM
Microsoft
Оценка вероятности взлома имеет субъективный характер.Что рекомендуется делать для достижения большей объективности?
задавать большую степень градации оценок
ограничиться специфическим перечнем вопросов во избежание ошибок в оценке
уточнять перечень вопросов исходя из конкретных условий
Что из перечисленного лежит за пределами сферы информационной безопасности?
ранжирование рисков по приоритетам
выявление проблем уязвимостей системы, недостатков политик безопасности
разработка методик хеджирования экономических рисков
Какая из перечисленных распространенных методик анализа рисков использует смешанный метод оценки риска?
Microsoft
FRAP
RiskWatch
По каким из перечисленных параметров в методике FRAP осуществляется определение защищаемых активов?
по результатам изучения документации на систему
по результатам заполнения опросных листов, изучения документации на систему, использования инструментов автоматизированного анализа (сканирования) сетей
по результатам заполнения опросных листов и автоматизированного анализа (сканирования) сетей
Что определяет ценность физических ресурсов в методике CRAMM ?
объемом финансовых активов организации
стоимость их восстановления в случае разрушения
время восстановления в случае разрушения
Чем определяется ценность физических ресурсов в методике CRAMM?
временем, необходимым на восстановление в случае разрушения
объемом финансовых активов организации
стоимостью их восстановления в случае разрушения
Какие из перечисленных критериев оценки и управления рисками используются в методике RiskWatch?
годовые потери (Annual Loss Expectancy, ALE) и оценка возврата инвестиций (Return on Investment, ROI)
угрозы, исходящие от человека-нарушителя, действующего через сеть передачи данных
влияние потерь на HR - аспект деятельности организации
Какую величину, согласно методике Microsoft, определяют произведением стоимости актива на фактор подверженности воздействию?
качественную оценку влияния
Фактор подверженности воздействию
количественную оценку влияния
Какому значению по шкале оценки уязвимости CRAMM соответствует инцидент, происходящий в среднем один раз в три года?
высокий
низкий
средний
Сколько стадий исследование информационной безопасности системы имеется в методике СRAMM?
одна
две
три
четыре
Какая величина, согласно методике Microsoft, определяется произведением стоимости актива на фактор подверженности воздействию?
фактор подверженности воздействию
количественная оценка влияния
качественная оценка влияния
Какие из перечисленных распространенных методик анализа рисков не используют смешанный метод оценки риска?
RiskWatch
FRAP
CRAMM
Microsoft
Какому из перечисленных значений по шкале оценки уязвимости CRAMM соответствует инцидент, если вероятность развития событий по наихудшему сценарию составляет от 0, 33 до 0,66?
высокий
низкий
средний
Позволяет проведение анализа рисков в сфере информационной безопасности выделить наиболее приоритетные направления для внедрения новых средств защиты информации?
да, но с ограничениями
нет, не позволяет
да, гарантированно позволяет
Какие критерии для оценки и управления рисками используются в методике RiskWatch?
используются угрозы, исходящие от человека-нарушителя, действующего через сеть передачи данных
используется влияние потерь на HR - аспект деятельности организации
используются годовые потери (Annual Loss Expectancy, ALE) и оценка возврата инвестиций (Return on Investment, ROI)
В каком формате принято определять имя центра сертификации, выдавшего сертификат?
General Distinguished Name (выделенное имя общего уровня)
Relative Distinguished Name (относительное выделенное имя)
Digital Distinguished Name (цифровое выделенное имя)
Где в OS XPрасполагается сертификат Microsoft Windows Hardware Compatibility
в хранилище сертификатов Windows'XP
в папке MOI
system32
На каком уровне реализуется аутентификация по протоколу Kerberos v.5 (RFC 1510)?
на уровне доменов
на уровне ЛВС
на уровне PC
Какими средствами осуществляется аутентификация ключа?
ключ заверяется физическим контролером
ключ заверяется с помощью цифрового сертификата
ключ заверяется с помощью цифрового мандата
Что представляет собой открытый ключ?
это - составное поле, содержащее идентификатор алгоритма, для которого предназначается данный открытый ключ, и собственно сам открытый ключ в виде набора битов
это - составное поле из таблиц серверных БД
дополнительный атрибут, связанный с субъектом и изготовителем, и предназначенный для управления процессами сертификации
Позволяет ли S/MIME использовать различные криптоалгоритмы?
нет
да
S/MIME позволяет использовать только два набора криптоалгоитмов
На каком уровн
Вы можете обратится к нам напрямую, через:
По Skype: molodoyberkut
По Telegram: @MolodoyBerkut
По ICQ: 657089516
Или через форму обратной связи на нашем сайте
По Skype: molodoyberkut По Telegram: @MolodoyBerkut По ICQ: 657089516Или через форму обратной связи на нашем сайте
Пока сочиняется...
Экзамен "Анализ и управление рисками в информационных системах на базе операционных систем Microsoft" для пользователей и системных администраторов.
