Questões de Concursos Segurança da Informação

A organização deve manter e melhorar a eficiência e a eficácia do SGCN por meio de ações corretivas e preventivas, quando assim determinar a análise crítica da direção.

O Brasil conta com um Sistema Nacional de Certificação Digital que envolve o Instituto Nacional de Tecnologia da Informação. A Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil é uma cadeia hierárquica e de confiança que viabiliza, inclusive, a emissão de certificados digitais para identificação do cidadão quando transacionando no meio virtual, como a Internet. Nessa estrutura, e conforme a regulamentação atual, a pessoa física pode ter o seu certificado digital, denominado e-CPF. Esse tipo de certificado é oferecido em duas categorias, a saber A1 e A3. São características da categoria A3

Na criptografia de chave pública, os usuários usam um par de chaves, sendo que o que é realizado com uma chave só pode ser desfeito com a outra chave.

No que se refere à equipe de resposta e tratamento a incidentes (ETIR) e aos incidentes de segurança, julgue os itens que se seguem.

Incidente de segurança refere-se a qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores, incluindo aqueles decorrentes de conduta maliciosa, denominados ataques.

O procedimento de restore garante a eliminação de vírus e de arquivos temporários, o que proporciona economia do espaço em disco.

Para a NBR/ISO 27002:2005, convém que a análise crítica da política de segurança da informação leve em consideração os resultados da análise crítica pela direção. Convém ainda que as saídas da análise crítica pela direção incluam quaisquer decisões e ações relacionadas às melhorias:

I - do enfoque da organização para gerenciar a segurança da informação e seus processos.
II - dos controles e dos objetivos de controles.
III - na alocação de recursos e/ou de responsabilidades.

Pela norma, deve(m) ser considerada(s) a(s) melhoria(s)

De acordo com as recomendações da norma ABNT NBR ISO/IEC 27002:2005, o sistema em desenvolvimento deverá ser integrado à parte da gestão dos ativos da empresa, sendo conveniente que seja designada uma pessoa que detenha os direitos de propriedade sobre o ativo.

RSS (Really Simple Syndication), que consiste em um protocolo para troca de informações estruturadas em uma plataforma descentralizada e distribuída, baseia-se em outros protocolos da camada de aplicação para negociação e transmissão de mensagens.

A norma ISO/IEC 27005:2008 adota o modelo Plan-Do-Check-Act (PDCA), que é aplicado para estruturar os processos do ISMS (Information Security Management System). Na fase Do do ISMS é representado o processo de gerenciamento de risco:

A fim de proteger a integridade do hardware e da informação, devem ser implantados, em locais apropriados, controles de detecção, prevenção e recuperação para proteger contra códigos maliciosos, assim como procedimentos para a devida conscientização dos usuários.

A norma ABNT NBR ISO/IEC 27001:2006 cobre organizações do tipo

A respeito de segurança da informação e continuidade do negócio, julgue os itens seguintes.

O RTO (recovery time objective) representa o último ponto, na linha de tempo, anterior ao desastre e posterior ao último becape realizado que foi julgado como aceitável, em termos de custo, e considerando-se a avaliação de todas as circunstâncias do negócio em questão.

Caso sejam utilizadas, no novo sistema, assinaturas digitais para a autenticação das correspondências entre os usuários, as mensagens podem ser criptografadas duas vezes: uma com a utilização da chave privada do remetente e, em seguida, com a utilização da chave pública do receptor.

Considere que Haroldo e Júlio se comuniquem utilizando um sistema de criptografia de chave pública, sem assinatura digital. Nesse caso, se Rogério, passando-se por Haroldo, enviar uma mensagem criptografada para Júlio, este pode não ter como saber que a mensagem não foi enviada por Haroldo.

A respeito da situação hipotética apresentada e dos aspectos técnicos e legais a ela relacionados, julgue o item a seguir.

O browser do computador da vítima provavelmente estava infectado por software malicioso que realizava um envenenamento de cache.

O e-MAG é um modelo de acessibilidade em governo eletrônico que prevê acesso a computador a partir de diferentes situações vivenciadas por usuários com deficiência visual, com a adaptação de todos os componentes tag HTML para acesso por meio de braile.