Questões de Concursos Segurança da Informação

SQL Injection é uma técnica usada para executar um código no espaço de outro programa, o que, normalmente, força o programa a carregar a DLL (dynamic-link library), que assume o espaço de memória do programa em execução.

A assinatura digital pretende resolver dois problemas não garantidos apenas com uso da criptografia para codificar as informações, que são a

Define-se a análise de impacto nos negócios do inglês business impact analysis (BIA) como o processo de análise das funções de negócio e dos possíveis efeitos causados nessas funções por uma interrupção.

Incidente de segurança da informação é uma ocorrência identificada de um sistema, serviço ou rede que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.

A norma ISO/IEC 17799 está voltada à criação de um Sistema de Gestão da Segurança da Informação mas seu conteúdo não é mais válido, pois foi substituída recentemente pela nova norma 27002.

Considere que o plano de classificação de ativos de uma das organizações auditadas valore os ativos usando uma metodologia mista, isto é, empregando ora a valoração qualitativa, ora a valoração quantitativa. Nesse caso, tal abordagem produz desconformidades com o prescrito em modelos da ABNT e da ISO/IEC, uma vez que se deve adotar um ou outro modelo, mas não ambos simultaneamente.

Considerando o que dispõe a NBR ISO/IEC 27005, julgue os itens subsecutivos.

Requisitos legais e regulatórios a serem necessariamente atendidos pela organização devem fazer parte do escopo da gestão de riscos de segurança da informação.

A GCN não tem relação com o gerenciamento de riscos.

Julgue os próximos itens, relativos ao uso de soluções criptográficas.

As soluções criptográficas, ainda que possam ser quebráveis, são empregadas para tornar o ataque custoso, em termos econômicos e procedimentais, e, consequentemente, inviabilizar o objetivo malicioso.

Criptografia de chave simétrica: também chamada de criptografia de chave secreta ou única, utiliza uma mesma chave tanto para codificar como para decodificar informações, sendo usada principalmente para garantir a confidencialidade dos dados. Casos nos quais a informação é codificada e decodificada por uma mesma pessoa não há necessidade de compartilhamento da chave secreta. Entretanto, quando estas operações envolvem pessoas ou equipamentos diferentes, é necessário que a chave secreta seja previamente combinada por meio de um canal de comunicação seguro (para não comprometer a confidencialidade da chave).

Com base no texto acima, identifique os métodos criptográficos que usam chaves simétricas:

I. ECC
II. AES
III. DSA
IV. 3DES
V. RSA
VI. RC4

A seção da norma em questão que trata de compliance prevê aspectos para assegurar a conformidade com políticas de segurança da informação, normas, leis e regulamentos.

Em um ambiente bancário, integridade e auditabilidade tem prioridade sobre a confidencialidade.

A Norma Complementar GSI/PR n. º 3 estabelece as diretrizes para a elaboração de políticas de segurança da informação e comunicações nos órgãos e entidades da administração pública federal.

Considere que

foi realizado um backup total de uma pasta do servidor de uma empresa em um dia de domingo;
dois backups diferenciais foram realizados nessa mesma semana: um na 3ª feira e o outro na 5ª feira;
os backups aqui mencionados foram os únicos realizados de domingo até 5ª feira, inclusive.

Se uma restauração deve ser feita após a realização do backup de 5ª feira e antes de qualquer outro backup, o conjunto de arquivos de backup necessários corresponde ao(s)

Com relação à criptografia num ambiente de rede com Windows Server 2003 e Windows XP, é correto afirmar:

O uso de mídias como pendrives e disquetes não é recomendado para fazer cópia de dados críticos, pois esses dispositivos não são resistentes a falhas.