Preguntas y respuestas para pentester

Nomenclatura O Estructura De Las Reglas Firewall En Windows

Me encuentro desarrollando y no he podido encontrar un lugar donde se me explique bien la estructura o nomenclatura que posee una regla firewall en windows.

dejo aqui varios ejemplos, agradeceria una pronta ayuda.

 "UDP Query User{DDB426CD-D83C-47D3-941A-68DCCE5CBE68}C:\\users\\andresfelipe\\desktop\\juegos\\gta v\\grand theft auto v\\gta5.exe": "v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\\users\\andresfelipe\\desktop\\juegos\\gta v\\grand theft auto v\\gta5.exe|Name=gta5.exe|Desc=gta5.exe|Defer=User|"

 "TCP Query User{039FACDC-28DD-4022-A57C-4902CAF80C2B}C:\\program files (x86)\\skype\\phone\\skype.exe": "v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Public|App=C:\\program files (x86)\\skype\\phone\\skype.exe|Name=Skype|Desc=Skype|Defer=User|"

  "{FA6811D3-27CA-4D46-ACFC-3F81D280628B}": "v2.22|Action=Allow|Active=TRUE|Dir=Out|Profile=Domain|Profile=Private|Profile=Public|Name=PowerDVD for Lenovo Idea|Desc=@{CyberLinkCorp.id.PowerDVDforLenovoIdea_1.1.2618.24808_x86__hgg5mn3xps74a?ms-resource://CyberLinkCorp.id.PowerDVDforLenovoIdea/resources/appname_description}|LUOwn=S-1-5-21-2313688996-1412334025-2074630868-1006|AppPkgId=S-1-15-2-1899398013-1943671510-1280159110-508353781-1081571046-2929705774-3037414948|EmbedCtxt=PowerDVD for Lenovo Idea|Platform=2:6:2|Platform2=GTEQ|"

¿Contenido de la Política de Seguridad de la Información?

En 03.- Ciclo PDCA de un SGSI. Mencionaste que la política solo debe de tener 2 o 4 párrafos. ¿Que pasa con los detalles de las polítcas especificas de controles, procesos , procedimientos , estas se manejan en documentos separados? Osea que debo tener un documento de política corto con solo compromiso de la alta dirección con el SGSI, la importancia o relevancia de lo que es la información para la organización y de poder implementar, evaluar, mejorar etc el SGSI, y otros documentos con cada política específica?

¿Esta permitido utilizar otro proceso de gestión de riesgos que no sea el de ISO 27005 en un SGSI Basado en la 27001 ?

¿Esta permitido utilizar otro proceso de gestión de riesgos que no sea el de ISO 27005 en un SGSI Basado en la 27001 ?, Esto para la certificación de la 27001, esta permitido utilizar otro método de análisis de riesgo?

¿El documento de aplicabilidad es obligatorio?

El documento de aplicabilidad es obligatorio para las auditorías de certificación (por ejemplo para la BSI) ?