Questões de Concursos Segurança da Informação

Entre os documentos e registros cujo controle é demandado pela norma ABNT NBR ISO/IEC 27001, destacam-se como documentos a declaração da política de segurança, o relatório de análise/avaliação de risco e a declaração de aplicabilidade; além disso, destacam-se como registros os livros de visitantes, os relatórios de auditoria, as ocorrências de incidentes de segurança e outros registros, inclusive de não conformidade.

O certificado em que a geração das chaves criptográficas é feita por software e seu armazenamento pode ser feito em hardware ou repositório protegido por senha, cifrado por software, é do tipo

Um plano de gerenciamento de incidentes cria condições para que a organização gerencie todas as fases de um incidente.

Mesmo que Haroldo e Júlio coloquem normalmente os seus nomes no corpo das mensagens trocadas entre eles, esse procedimento não facilita o deciframento não autorizado das mensagens, já que os dados são criptografados.

Acerca de ataques do dia zero (zero day attacks), julgue o item que se seguem.

Exploits zero-day atacam brechas que ainda são desconhecidas pelos fabricantes de software e pelos fornecedores de antivírus; não existem nem assinaturas de antivírus para detectar tal exploit nem atualizações disponíveis para reparar as brechas.

Julgue os próximos itens no que se refere a rootkits em user-level e kernel-level.

Um rootkit em user-level sem grandes privilégios deve utilizar APIs para tentar fazer uso de recursos do sistema operacional. Uma das formas de implementar essa operação em ambientes Windows é por meio da DLL de sistema

Com relação aos princípios gerais de controle de acesso, julgue os itens subsecutivos.

O controle de acesso RBAC (role-based access control) indica, com base em uma engenharia de papéis, o método de acesso, de modo que o nível de acesso de um colaborador, por exemplo, possa ser determinado a partir do tipo de atividade que este exerce.

A respeito de aspectos gerais da norma ABNT NBR ISO/IEC 27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre que empregada, refere-se a sistema de gestão da segurança da informação


De acordo com a referida norma, a exclusão de qualquer critério de aceitação dos riscos deve ser feita mediante justificativa e evidências de que os riscos serão aceitos pelas pessoas responsáveis por eles.

Como a norma mencionada estabelece um guia das melhores práticas para a gestão de segurança da informação, cabe ao gestor de cada organização avaliar os riscos do ambiente organizacional, determinar os requisitos específicos e então selecionar os controles apropriados à situação organizacional em questão. Verifica-se, então, que a avaliação de risco é fundamental no processo de estabelecimento dos controles de gestão de segurança, sendo recomendado que esse procedimento seja voltado aos aspectos subjetivos do gestor.

Com base na NBR ISO/IEC 27004, julgue os itens que se seguem.

Um programa de medição de segurança da informação deve contemplar análise e avaliação dos riscos.

No que se refere à equipe de resposta e tratamento a incidentes (ETIR) e aos incidentes de segurança, julgue os itens que se seguem.

As diretrizes do trabalho da ETIR e o planejamento da estratégia de resposta a incidentes devem ser traçados pelo agente responsável e pelos membros da equipe, sem o envolvimento do gestor de segurança da informação, que tem a função de atuar como analista de conformidade do processo.

Na segurança da informação, o que se caracteriza como incidente de segurança da informação?

Nos casos em que uma ação de acompanhamento contra uma pessoa ou organização, após um incidente de segurança da informação, envolver uma ação legal (civil ou criminal), evidências devem ser coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidências da jurisdição ou jurisdições pertinentes.

A respeito de segurança da informação, julgue os itens subsequentes.

Ferramentas de auditoria de sistemas de informação devem ser armazenadas separadas dos dados e das ferramentas de sistemas em desenvolvimento ou em operação

No que se refere à equipe de resposta e tratamento a incidentes (ETIR) e aos incidentes de segurança, julgue os itens que se seguem.

Entre os modelos de formação do time de resposta a incidentes previstos pela ISACA, Central, Distributed, Coordinating e Outsourced, apenas o último não foi incorporado ao regramento do DSIC (NC 05/IN01/DSIC/GSIPR) para a administração pública, haja vista que, no âmbito dessa administração, a escolha preferencial, na formação da equipe, deve recair sobre servidor público ocupante de cargo efetivo ou militares de carreira