Главная / Безопасность /
Анализ и управление рисками в информационных системах на базе операционных систем Microsoft / Тест 3
Анализ и управление рисками в информационных системах на базе операционных систем Microsoft - тест 3
Упражнение 1:
Номер 1
С какой целью при разработке и реализации политики безопасности используются метрики?
Ответ:
 (1) для определения рамок, в которых осуществляются мероприятия по обеспечению безопасности информации, и задаются критерии оценки полученных результатов 
 (2) для замеров уровней безопасности 
 (3) с целю определения параметров защищенности системы, что позволяет соотнести сделанные затраты и полученный эффект 
Номер 2
Может организация разрабатывать и применять собственные (корпоративные) стандарты безопасности?
Ответ:
 (1) нет, это недопустимо 
 (2) да, это не запрещено 
 (3) это требует множественных согласований, поэтому разработка своих стандартов не распространена 
Номер 3
В каких целях осуществляется анализ рисков?
Ответ:
 (1) в целях соблюдения требований об обязательной отчетности учреждения, его проведение формально необходимо 
 (2) в целях установления и поддержания эффективного управления системой защиты 
 (3) в целях укрепления имиджевой политики учреждения 
Упражнение 2:
Номер 1
В каких целях разрабатываются методы реагирования в случае инцидентов?
Ответ:
 (1) в целях обеспечения эффективных мер защиты 
 (2) в целях обеспечения расширения функционала сотрудников учреждения 
 (3) в целях обеспечения скорейшего восстановления работоспособности системы в случае инцидентов 
Номер 2
Решению каких из перечисленных задач способствует разработка стратегического плана построения системы безопасности?
Ответ:
 (1) распределение бюджетов и ресурсов по приоритетам 
 (2) эффективный выбор продуктов и разработка стратегий их внедрения 
 (3) получение кредитов на развитие ИБ в кредитных учреждениях на льготных основаниях 
Номер 3
Какова связь анализа рисков с другими компонентами модели информационной безопасности?
Ответ:
 (1) на базе полученных результатов по оценке рисков осуществляется анализ состояния системы и разрабатывается план построения системы защиты сети 
 (2) анализ рисков увязан с процедурами анализа рисков 
 (3) анализ не увязывается с другими компонентами системы 
Упражнение 3:
Номер 1
Что из перечисленного не входит в систему мер по ограничению физического доступа?
Ответ:
 (1) защита помещений, контроль доступа, видеонаблюдение 
 (2) защита коллатеральных сетей, используемых сотрудниками 
 (3) защита мобильных устройств, используемых сотрудниками в служебных целях 
Номер 2
Какие из перечисленных средств применяются для защиты сети в "точках входа"?
Ответ:
 (1) средства антивирусной защиты для шлюзов безопасности 
 (2) межсетевые экраны (firewall) 
 (3) системы обнаружения вторжений 
Номер 3
На что нацелен уровень защиты внутренней сети?
Ответ:
 (1) на защиту сети от спама, поступающего на почтовые ящики сотрудников 
 (2) на скрининг деятельности сотрудников по посещению ими web-узлов 
 (3) на обеспечение безопасности передаваемого внутри сети трафика и сетевой инфраструктуры 
Упражнение 4:
Номер 1
Каким аспектам рекомендуется уделять первоочередное внимание при защите узлов?
Ответ:
 (1) функциональности узлов 
 (2) защите на уровне операционной системы 
 (3) защите серверов и рабочих станций 
Номер 2
За какие из перечисленных аспектов "отвечает" уровень защиты приложений?
Ответ:
 (1) защита от атак, направленных на нарушение логики обработки данных базами данных 
 (2) защита от атак, направленных на конкретные приложения - почтовые серверы, web-серверы, серверы баз данных 
 (3) защита от вирусных атак 
Номер 3
Является ли шифрование данных при их хранении и передаче адекватной мерой защиты?
Ответ:
 (1) нет 
 (2) да 
 (3) лишь частично 
Упражнение 5:
Номер 1
Являются ли термины управление рисками и оценка рисков взаимозаменяемыми?
Ответ:
 (1) нет 
 (2) да 
 (3) лишь частично 
Номер 2
К какому состоянию зрелости управления рисками безопасности согласно методики фирмы Microsoft относится уровень, когда процесс управления рисками глубоко изучен сотрудниками и в значительной степени автоматизирован?
Ответ:
 (1) управляемый 
 (2) оптимизированный  
Номер 3
К какому состоянию зрелости управления рисками безопасности, согласно методики фирмы Microsoft, относится уровень, когда процесс документирован не полностью, но управление рисками является всеобъемлющим и руководство вовлечено в управление рисками?
Ответ:
 (1) оптимизированный 
 (2) повторяемый 
 (3) узкоспециализированный 
Упражнение 6:
Номер 1
К какому состоянию зрелости управления рисками безопасности согласно методики фирмы Microsoft относится уровень, когда политики и процессы в организации не документированы, процессы не являются полностью повторяемыми?
Ответ:
 (1) оптимизированный 
 (2) повторяемый 
 (3) узкоспециализированный 
Номер 2
К какому состоянию зрелости управления рисками безопасности согласно методики фирмы Microsoft относится уровень, когда принято формальное решение об интенсивном внедрении управления рисками, разработан базовый процесс и внедряется управление рисками?
Ответ:
 (1) наличие определенного процесса 
 (2) повторяемый 
 (3) оптимизированный 
Упражнение 7:
Номер 1
Что контролирует уровень защиты узлов?
Ответ:
 (1) парирование атак на отдельный узел сети. Может учитываться функциональность узла и отдельно рассматриваться защита серверов и рабочих станций 
 (2) защиту обрабатывающихся и хранящихся в системе данных от несанкционированного доступа и других угроз 
 (3) безопасность передаваемого внутри сети трафика и сетевой инфраструктуры 
Номер 2
Что такое SQL-инъекции?
Ответ:
 (1) меры по защите беспроводных сетевых технологий и виртуальных частных сетей (VPN) 
 (2) атаки на сайт учреждения, с применением деструктивных запросов к базам данных 
 (3) атаки на сервер баз данных, заключающиеся в том, что во входную текстовую строку включаются операторы языка SQL 
Номер 3
Относится ли модификация приложений компьютерными вирусами к разряду SQL-инъекций?
Ответ:
 (1) да 
 (2) нет 
 (3) нет, но такая классификация модификаций возможна в принципе 
Упражнение 8:
Номер 1
Характерно использование внутри сети средств, применимых для защиты периметра?
Ответ:
 (1) да, например, межсетевые экраны, в том числе и персональные (устанавливаемые на защищаемый компьютер) 
 (2) нет, внутри сети средства, характерные для защиты периметра, такие как межсетевые экраны, не применяются 
 (3) нет, внутри сети нет необходимости применения каких либо барьерных механизмов 
Номер 2
Может ли защита серверов осуществляться отдельно от защиты рабочих станций?
Ответ:
 (1) да, это возможно 
 (2) нет, это не практикуется 
 (3) если сеть надежно защищена извне, отдельной защиты для станций организовывать необходимости нет 
Номер 3
Перечислите компоненты, за которые "отвечает" уровень защиты приложений:
Ответ:
 (1) почтовые серверы 
 (2) web-серверы 
 (3) серверы баз данных 
Упражнение 9:
Номер 1
Какие из перечисленных контрмер можно назвать в качестве примера, характерного для уровня защиты данных?
Ответ:
 (1) разграничение доступа к данным средствами файловой системы 
 (2) шифрование данных при хранении и передаче 
 (3) кодификация информации 
Номер 2
Является ли возможным в процессе идентификации рисков определить цели потенциального нарушителя и уровни защиты, на которых можно ему противостоять?
Ответ:
 (1) нет 
 (2) да 
 (3) нет, но такая попытка может дать некий эффект 
Номер 3
Способствует ли организация защиты от угрозы на нескольких уровнях снижению уровня риска?
Ответ:
 (1) да 
 (2) нет 
 (3) спорно 
Упражнение 10:
Номер 1
Как можно проверить информацию о соответствии имен компьютеров IP-адресам в OS Windows?
Ответ:
 (1) при обращении к утилите командной строки nslookup 
 (2) при обращении к административной оснастке "DNS" 
 (3) при обращении к функции autoexec 
Номер 2
Как можно получить перечень папок, предоставляемых в общий доступ в OS Windows?
Ответ:
 (1) с помощью оснастки "Управление компьютером" 
 (2) при обращении к папке Windows\Config 
 (3) данные сведения пользователю недоступны 
Номер 3
Какие средства можно использовать для получения данных о системе, если в информационной системе используются домены Windows?
Ответ:
 (1) средства синхронизации данных, реализованные в виде консоли администрирования 
 (2) средства администрирования, реализованные в виде оснасток консоли администрирования (Microsoft management console - mmc) 
 (3) средства администрирования, реализованные в виде консоли журналы и оповещения производительности (Microsoft management console - mmc) 
Упражнение 11:
Номер 1
Что позволяет осуществить утилита 3Com Network Supervisor?
Ответ:
 (1) сбор данных о топологии сети 
 (2) сбор данных о сотрудниках учреждения 
 (3) сбор данных о продуктах Microsoft, установленных на компьютерах, входящих в состав локальной сети 
Номер 2
Какие сведения содержит оснастка "Active Directory Users and Computers"?
Ответ:
 (1) о сетевой идентификации 
 (2) о членстве пользователя в доменных группах 
 (3) реестр сведений о членстве пользователей в сетевых профессиональных союзах и группах 
Номер 3
Поддерживает управляемое сетевое оборудование 3Com протокол SNMP?
Ответ:
 (1) да 
 (2) нет 
 (3) не во всех версиях 
Упражнение 12:
Номер 1
В каких из перечисленных ОС программа Microsoft Baseline Security analyzer позволяет проверить уровень безопасности установленной конфигурации операционной системы?
Ответ:
 (1) Windows 2000 
 (2) Server 2003 
 (3) Server 2008 
Номер 2
Применительно к программе Microsoft Base Line Security Analyzer: о чем свидетельствует извещение "You do not have sufficient permissions to perform this command. Make sure that you are running as the local administrator…"?
Ответ:
 (1) о том, что программа выполняется не от имени учетной записи с правами локального администратора 
 (2) о том, что программа выполняется без ограничений 
 (3) о том, что имеет место нарушение авторских прав 
Номер 3
Какова процедура запуска утилиты mbsacli.exe
если соединение с Интернет отсутствует?
Ответ:
 (1) утилиту надо запускать или с ключом /nd или с ключом /n 
 (2) утилита без ключей не запустится 
 (3) процедура запуска утилиты не зависит от подключения к Интернет