Questões de Concursos Segurança da Informação

Durante um treinamento sobre a NBR/ISO 27002:2005, um palestrante fez as afirmativas, a respeito das orientações descritas na norma, apresentadas a seguir.

I - A Norma define uma série de indicadores chaves de desempenho, relacionados à segurança, que devem ser avaliados e utilizados para melhoria dos processos.

II - Convém que, adicionalmente à notificação de eventos de segurança da informação e fragilidades, o monitoramento de sistemas, alertas e vulnerabilidades seja utilizado para a detecção de incidentes de segurança da informação.

III - Convém que os usuários sejam alertados para usar diferentes senhas de qualidade para cada um dos serviços, caso necessitem acessar múltiplos serviços, sistemas ou plataformas, e sejam requeridos para manter separadamente múltiplas senhas, já que o usuário estará assegurado de que um razoável nível de proteção foi estabelecido para o armazenamento da senha em cada serviço, sistema ou plataforma.

Está(ão) correta(s) a(s) afirmativas(s)

Um algoritmo de cifra de bloco é um elemento básico para fornecer segurança aos dados que devem ser criptografados. O NIST publicou na Special Publications 800-38A, uma lista com modos de operação de cifra de bloco que são usados com qualquer cifra de bloco simétrica, incluindo DES triplo e AES.
Os modos de operação publicados são:

Uma condição necessária para a segurança de uma função de hash e seu respectivo uso em assinaturas digitais é a inexistência de colisões.

Associe, da melhor forma, o conceito à funcionalidade que ele implementa.
I. Criptografa ( ) Distribuição segura de
II. Função hash ( ) Identificação.
III. Biometria ( ) Lista de certificados revogados.
IV. Chaves Assimétricas ( ) Sigilo.
V. Autoridade certificadora ( ) Integridade.
Está CORRETA a seguinte sequência de respostas, na ordem de cima para baixo:

É crescente o número de incidentes de segurança causados por vírus de computador e suas variações. Com isso, as organizações estão enfrentando o problema com o rigor e cuidados merecidos. Nesse contexto, é correto afirmar que

A respeito da criptografia com uso de chave pública assimétrica e com uso de chaves simétricas, assinale a opção correta.

Acerca da criptografia de chave simétrica, assinale a opção correta.

A elaboração de uma política de segurança institucional deve refletir, sobretudo, o know-how de segurança dos profissionais envolvidos com a sua elaboração e não a cultura da organização.

Os firewalls e os sistemas de prevenção de intrusão agem de forma complementar. Os firewalls atuam sobre os dados carregados nos datagramas; os sistemas de prevenção de intrusão operam sobre os cabeçalhos dos protocolos.

Um certificado digital consiste na cifração do resumo criptográfico de uma chave privada com a chave pública de uma autoridade certificadora.

No que se refere a segurança em recursos humanos, julgue o item subsequente, de acordo com a NBR ISO/IEC 27001:2013.

Segundo essa norma, funcionários e partes externas devem, somente após a sua contratação, entender suas responsabilidades e estar em conformidade com os papéis para os quais tenham sido selecionados.

O OSSEC, um hibrid IDS (HIDS) open source, executa a análise de logs, verifica integridade, monitora o registro (no caso do Windows) e detecta rootkit, além de prover resposta ativa e alerta em tempo real.

Os equipamentos e sistemas utilizados para a produção de documentos com grau de sigilo secreto, confidencial e reservado só podem integrar redes de computadores que possuam sistemas de criptografia e segurança adequados à proteção dos documentos e que sejam física e logicamente isoladas de qualquer outra.

A ICP-Brasil oferece duas categorias de certificados: uma para fins de identificação e autenticação e outra para atividades sigilosas. Essas categorias são:

Duas entidades, P e Q, desejam se comunicar por meio de um canal seguro e, para isso, decidem utilizar uma terceira entidade de confiança, X, para a criação deste canal. Ambas as entidades já possuem a chave pública de X e confiariam em uma assinatura dessa entidade.
Nesse contexto, considere os seguintes passos executados para a estabelecimento do canal:

1. P requisita a X a chave pública de Q.
2. X pega a chave pública verificada de Q, nos seus bancos de dados, e assina essa chave atestando sua legitimidade.
3. X envia para P a chave junto com a assinatura.
4. P verifica a assinatura de X, certifica-se de que tudo está correto e aceita essa chave de Q como autêntica.
5. P usa sua chave particular para encriptar a chave pública de Q e envia o resultado para Q.
6. Q usa sua chave particular para desencriptar a chave enviada por P.
7. P e Q passam a usar um algoritmo simétrico com a chave enviada por P para trocar as mensagens.

Considerando os objetivos de P e Q e analisando os passos por eles executados, conclui-se que, para atender às necessidades de P e Q

De acordo com a NBR/ISO 27002, Segurança da Informação é a proteção da informação de vários tipos de ameaças para