A estruturação da arquitetura de segurança de informações de uma organização necessita da definição e da aplicação de uma política de segurança que englobe aspectos tecnológicos e humanos. Acerca da definição e da aplicação de uma política de segurança, julgue os itens a seguir.
A definição e a implantação de uma política de segurança da informação, no que diz respeito aos indivíduos, limita-se à especificação e à aplicação de perfis de acesso aos usuários ou grupos de usuários.
Acerca de segurança da informação, julgue os próximos itens.
A norma ISO/IEC 17799 estabelece a criação de um sistema de gestão da segurança da informação.
A salvaguarda da exatidão e a completeza da informação e dos métodos de processamento são critérios de segurança da informação denominados
Uma infra-estrutura de chaves públicas (ICP) é um conjunto de instrumentos de segurança que permite usuários de uma rede, em princípio insegura, executarem transações de forma segura, por meio do uso de um par de chaves criptográficas (pública e privada) fornecido por uma autoridade confiável. A ICP também provê certificados digitais que podem identificar indivíduos, máquinas e processos. Acerca desse assunto, julgue os itens a seguir.
O protocolo SSL (secure sockets layer), desenvolvido pela Netscape, e o protocolo TLS (transport layer security), baseado no SSL e padronizado pelo IETF, são largamente empregados por aplicações cliente/servidor na Internet para o gerenciamento de comunicações seguras utilizando certificados digitais padrão X.509. Esses protocolos oferecem diversos serviços para aplicações em rede, incluindo o de assinatura digital de mensagens.
Com relação à segurança da informação nos ambientes computacionais, está correto afirmar:
A pessoa que quebra ilegalmente a segurança dos sistemas de computador ou o esquema de registro de um software comercial é denominado
Conforme o <cert.br> , analise as seguintes afirmativas sobre os programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador.
I. O vírus pode enviar cópia de si próprio automaticamente pelo e-mail do usuário.
II. Spyware é um programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas para terceiros.
III. Trojan é um programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas, sem o conhecimento do usuário.
Estão corretas as afirmativas
Tipo de Programa malicioso que, uma vez instalado em um microcomputador, permite a abertura de portas, possibilitando a obtenção de informações não autorizadas, é o:
Um programa capaz de se auto-propagar automaticamente através de redes, enviando cópias de si mesmo, de computador para computador, denomina-se
Uma infra-estrutura de chaves públicas (ICP) é um conjunto de instrumentos de segurança que permite usuários de uma rede, em princípio insegura, executarem transações de forma segura, por meio do uso de um par de chaves criptográficas (pública e privada) fornecido por uma autoridade confiável. A ICP também provê certificados digitais que podem identificar indivíduos, máquinas e processos. Acerca desse assunto, julgue os itens a seguir.
Um dos problemas gerenciais de uma autoridade certificadora (AC) é o da emissão de uma lista de certificados revogados (LCR). Essa lista deve conter a identificação de todos os certificados que tenham sido revogados por qualquer motivo e deve estar disponível em tempo hábil para consulta por um cliente, sob o risco de um usuário malicioso poder fraudar uma operação. Para reduzir ao mínimo esse risco, foi criado o protocolo LDAP (lightweigth directory access protocol), que permite um acesso rápido à base de dados do LCR.Em relação à política de segurança da informação, julgue os itens subsecutivos.
Convém que, em intervalos planejados, tendências relacionadas a ameaças e a vulnerabilidades de segurança da informação façam parte do processo de análise crítica da política de segurança da informação.
Os geradores de transação (GTs) aguardam silenciosamente no computador até que o usuário se autentique, por exemplo, em um home banking ou loja virtual. Uma vez autenticado, o sítio geralmente cria um cookie de sessão, usado para autenticar mensagens subsequentes a partir do navegador. Esses cookies de sessão residem no navegador e se mostram acessíveis por um malware. Um GT pode, com o usuário autenticado no sítio, usar o cookie de sessão para gerar transações em nome do usuário, transferindo fundos de sua conta ou comprando itens a serem enviados como presente. Para o sítio, uma transação gerada por um GT se mostra idêntica a uma transação legítima realizada pelo usuário, pois se origina do mesmo IP usado pelo usuário na mesma hora do dia, tornando-a difícil de ser percebida por ferramentas.
Tendo o texto acima como referência inicial, julgue os próximos itens referentes ao GT.
Uma das vulnerabilidades que habilitam o uso do GT é o cross site script request forgery (CSRF).
Há várias formas de ataques aos sistemas de informação. Os ataques DoS (Negação de Serviço) consistem em tentativas de impedir que usuários legítimos utilizem determinados serviços de computadores. Nesse contexto, são classificados como ataques DoS:
Julgue os itens seguintes relativos a informática.
A assinatura digital consiste na criação de um código de modo que a pessoa ou entidade que receber uma mensagem contendo este código possa verificar se o remetente é mesmo quem diz ser e identificar qualquer mensagem que possa ter sido modificada.
Suas atualizações recentes
Nenhuma notificação.