Uma ferramenta de gestão da segurança da informação utilizada para análise de impactos, é:

De acordo com as normas da Secretaria Executiva do Conselho de Defesa Nacional, para o uso e a comercialização de recursos criptográficos pelas entidades e órgãos da administração pública federal, deve-se dar preferência, em princípio, no emprego de tais recursos, a produtos de origem nacional.

É crescente o número de incidentes de segurança causados por vírus de computador e suas variações. Com isso, as organizações estão enfrentando o problema com o rigor e cuidados merecidos. Nesse contexto, é correto afirmar que

Analise as seguintes afirmativas sobre política de segurança da informação e classificação da informação.

I. Todas as informações e ativos associados com os recursos de processamento da informação devem ter um proprietário designado por uma parte definida da organização. O termo proprietário não significa que a pessoa realmente tenha direito de propriedade pelo ativo.

II. Um documento da política de segurança da informação deve ser aprovado pela direção, mas deve ser mantido em sigilo em relação aos funcionários e partes externas relevantes.

III. A informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização. A classificação da informação deve ser instituída por uma política.

Marque a alternativa CORRETA:

Convém que o documento da política de segurança da informação declare o comprometimento da direção e estabeleça o enfoque da organização para gerenciar a segurança da informação. É INCORRETO dizer que o documento da política deva conter

Entre os objetivos da PSI, insere-se o estímulo à participação competitiva do setor produtivo no mercado de bens e de serviços relacionados com a segurança da informação, incluindo-se a fabricação de produtos que incorporem recursos criptográficos.

É tarefa da administração de segurança, e não dos usuários, a implantação de controles para reduzir a introdução de códigos maliciosos em uma rede, ou seja, é resultado exclusivo de procedimentos definidos para filtragem de pacotes e o gerenciamento de software antivírus.

Os membros do Comitê Gestor da Segurança da Informação só podem participar de processos, no âmbito da segurança da informação, de iniciativa do setor privado, caso essa participação seja julgada imprescindível para atender aos interesses da defesa nacional, a critério do Comitê Gestor e após aprovação do Gabinete de Segurança Institucional da Presidência da República.

Em relação a implementação de segurança em redes de computadores, considere:

I. No contexto empresarial, a segurança de redes é obtida através da utilização do uso apropriado de equipamentos e políticas de segurança que administrem o uso desses recursos. Em relação à segurança de redes e controle de acesso que assegurem a integridade dos serviços executados nos sistemas operacionais.

II. O entendimento apropriado sobre o risco permite aos administradores a habilidade de avaliar a relação custo-benefício e decidir sobre implementar controles para a correção de vulnerabilidades ou arcar com as consequências de uma ameaça potencial de invasão.

III. Em ambientes de rede de computadores o gerenciamento de riscos deve ocorrer através de auditorias periódicas nos principais equipamentos de conectividade e sistemas de proteção de rede existentes. O processo de análise de riscos deve cobrir o maior número possível de ativos de tecnologia, tais como, roteadores de borda, roteadores de acesso remoto, access points, sistemas de proxy, sistemas antivírus e firewalls.

IV. O custo para implementar controles que evitem vulnerabilidades, tais como, servidores de e-mails inadequadamente configurados, implementações de segurança específicas para alguns ativos de TI e substituição de servidores open relay é relativamente maior que suas consequências, invalidando, dessa forma, a política de segurança.

É correto o que se afirma APENAS em

Acerca da Política de Segurança da Informação (PSI) nos órgãos e entidades da administração pública federal, instituída pelo Decreto n.º 3.505/2000, julgue o  seguinte  item.

Analise as seguintes afirmações relacionadas a definição, implantação e gestão de políticas de segurança:

I. Uma das medidas que pode ser tomada para prevenir ser o intermediário de ataques do tipo Smurf é configurar o roteador de modo a receber e deixar passar pacotes para endereços de broadcast por meio de suas interfaces de rede.

II. O War dialer é uma ferramenta utilizada pelos hackers para fazer a varredura visando à identificação de modems, que também pode ser utilizada por auditores para fazer auditoria de segurança de uma organização. Como ferramenta de auditoria, algumas dessas ferramentas são capazes de detectar fax, identifi car conexões PPP e detectar modems não-autorizados em uso nas máquinas da organização.

III. A possibilidade de automatização de escolha de rota, isto é, roteamento dinâmico, pode ser utilizada para permitir que os dados sejam transmitidos em rotas fi sicamente variáveis, garantindo que informações que necessitam de segurança extra sejam transportadas em rotas cujos canais de comunicação forneçam os níveis apropriados de proteção.

IV. Na sua instalação e utilização padrão, o SNMP (Simple Network Management Protocol), utilizado para gerenciamento de equipamentos de rede, permite falhas de segurança relacionadas ao vazamento de informações sobre o sistema, tabelas de rotas, tabelas ARP e conexões UDP e TCP.

Indique a opção que contenha todas as afirmações verdadeiras.

A violação da política de segurança da informação deve ser apurada por meio da aplicação de processo disciplinar formal: é o que estabelece o controle de processo disciplinar contido no grupo de controle de segurança em recursos humanos.

Uma política de segurança da informação possui como objetivo prover orientação e apoio da direção para a segurança da informação de acordo com os requisitos de negócio e com as leis e regulamentações pertinentes. Não pode ser considerada uma diretriz para a implementação do documento da política de segurança da informação:

Entre as principais ameaças ao ambiente de TI podem ser citadas a falta de política de segurança e a ausência de procedimentos de restauração do ambiente computacional em caso de indisponibilidade de serviços, além da falta de atualização do parque tecnológico de hardware e software.

Acerca da Política de Segurança da Informação (PSI) nos órgãos e entidades da administração pública federal, instituída pelo Decreto n.º 3.505/2000, julgue o  seguinte  item.

Uma política de segurança da informação, preconizada pelas normas, é composta por critérios sugeridos para a gestão da segurança, configuração de ativos, etc., o que vai atribuir aos gestores a liberdade de escolher a forma mais inteligente, setorizada, de se adotar segurança.