À luz da norma NBR ISO/IEC 27.002:2005, julgue os itens a seguir.
Podem ser utilizados fora do ambiente da empresa somente equipamentos portáteis de sua propriedade devidamente protegidos lógica e fisicamente, se autorizado pela administração.
Questões de Concursos
selecione os filtros para encontrar suas questões de concursos e clique no botão abaixo para filtrar e resolver.
Publicidade
No que se refere a segurança em recursos humanos, julgue o item subsequente, de acordo com a NBR ISO/IEC 27001:2013.
Segundo essa norma, funcionários e partes externas devem, somente após a sua contratação, entender suas responsabilidades e estar em conformidade com os papéis para os quais tenham sido selecionados.
ABIN•
Julgue os próximos itens, relativos à salvaguarda de dados,
informações, documentos e materiais sigilosos de interesse da
segurança da sociedade e do Estado no âmbito da administração
pública federal.
Os equipamentos e sistemas utilizados para a produção de documentos com grau de sigilo secreto, confidencial e reservado só podem integrar redes de computadores que possuam sistemas de criptografia e segurança adequados à proteção dos documentos e que sejam física e logicamente isoladas de qualquer outra.
Os principais serviços oferecidos por uma Infra-estrutura de Chaves Públicas (ICP) são: (i) privacidade, que permite manter o sigilo das informações; (ii) integridade, que permite verificar se as informações foram adulteradas; e (iii) autenticidade, que permite identificar quem produziu a informação. Se os serviços de ICP estiverem sendo utilizados, para verificar se a informação recebida de um emissor está íntegra e é autêntica, o receptor deve desencriptar a assinatura digital da informação recebida com
FCC•
Existem diversas precauções que podem ser tomadas para ajudar a proteger sistemas contra malwares. As melhores práticas incluem
Duas entidades, P e Q, desejam se comunicar por meio de um canal seguro e, para isso, decidem utilizar uma terceira entidade de confiança, X, para a criação deste canal. Ambas as entidades já possuem a chave pública de X e confiariam em uma assinatura dessa entidade.
Nesse contexto, considere os seguintes passos executados para a estabelecimento do canal:
1. P requisita a X a chave pública de Q.
2. X pega a chave pública verificada de Q, nos seus bancos de dados, e assina essa chave atestando sua legitimidade.
3. X envia para P a chave junto com a assinatura.
4. P verifica a assinatura de X, certifica-se de que tudo está correto e aceita essa chave de Q como autêntica.
5. P usa sua chave particular para encriptar a chave pública de Q e envia o resultado para Q.
6. Q usa sua chave particular para desencriptar a chave enviada por P.
7. P e Q passam a usar um algoritmo simétrico com a chave enviada por P para trocar as mensagens.
Considerando os objetivos de P e Q e analisando os passos por eles executados, conclui-se que, para atender às necessidades de P e Q
De acordo com a NBR/ISO 27002, Segurança da Informação é a proteção da informação de vários tipos de ameaças para
TCU•
Com base nessas informações e considerando a necessidade de as
organizações da administração pública federal adequarem suas
infra-estruturas de TI e suas práticas gerenciais aos requisitos
dessas normas, julgue o item subseqüente.
As ameaças e perturbações da ordem pública que podem, eventualmente, afetar o funcionamento de uma organização pública federal, mesmo que apenas indiretamente relacionadas aos sistemas de tecnologia da informação e comunicação (TIC) dessas organizações, devem ser consideradas nas diretrizes de implementação de controle de proteção do meio ambiente e contra ameaças externas, conforme previsto na norma 17799/2005.
Um backup full é realizado inicialmente e, nos backups subsequentes, são copiados apenas os dados alterados ou criados desde o último backup.
Disponível em: <http://www.aliancatecnologia.com> . Acesso em: 8 ago. 2019, com adaptações.
Acerca do tema do texto, existe um tipo de backup que faz a cópia de todos os dados que foram modificados desde o último backup de qualquer tipo. Qual é esse tipo de backup referido?
A NBR ISO/IEC 27002, ao tratar dos serviços de comércio eletrônico, no caso das informações publicamente disponíveis, estabelece diretrizes para implementação, entre as quais, Convém que aplicações, dados e informações adicionais que requeiram um alto nível de integridade e que sejam disponibilizados em sistemas publicamente acessíveis sejam protegidos por mecanismos apropriados, como, por exemplo, assinaturas digitais. Essa norma trata também da política para uso de controles criptográficos, além de orientar o uso de assinaturas digitais (como controle criptográfico) para alcançar - com os cuidados devidos - objetivos de segurança, dentre os quais, explicitamente, segundo a própria norma:
Analise as seguintes afirmações relativas à Privacidade:
I. Quando estiverem armazenados no servidor de e-mail, os e-mails não poderão ser lidos, mesmo por pessoas que tenham acesso a este servidor.
II. Cookies são muito utilizados para rastrear e manter as preferências de um usuário ao navegar pela Internet. Estas preferências podem ser compartilhadas entre diversos sites na Internet, afetando assim a privacidade de um usuário.
III. Quando o endereço de uma URL começar com https:// o s antes do sinal de dois-pontos indica que o endereço em questão é de um site com conexão segura e, portanto, os dados serão criptografados antes de serem enviados.
IV. Apesar dos problemas de segurança causados pelos Cookies, ao acessar uma página na Internet, o browser não poderá disponibilizar uma série de informações importantes, tais como o sistema operacional utilizado ou e-mail do usuário.
Estão corretos os itens:
Em relação aos conceitos de segurança da informação e
criptografia, julgue os itens subsequentes.
criptografia, julgue os itens subsequentes.
Na criptografia de chave simétrica, a mesma chave é usada tanto pelo emissor, para criptografar os dados, quanto pelo receptor, para decriptografá-los.
Acerca da situação descrita no texto acima e considerando o
disposto na norma ISO/IEC 27002, julgue os itens subsequentes.
Na situação descrita, houve violações de confidencialidade, integridade e disponibilidade nos ativos da empresa.
Em determinada organização, não existem vulnerabilidades de segurança conhecidas nos servidores e os sistemas estão atualizados e bem configurados. Considerando essa situação hipotética, julgue o item seguinte.
Eventual ocorrência de um ataque de phishing em que um usuário seja convencido a clicar um link malicioso específico recebido em uma mensagem de email poderá viabilizar um subsequente ataque de ransomware contra os computadores dessa organização.
Eventual ocorrência de um ataque de phishing em que um usuário seja convencido a clicar um link malicioso específico recebido em uma mensagem de email poderá viabilizar um subsequente ataque de ransomware contra os computadores dessa organização.
Texto 4A04-III
Determinado tribunal atende atualmente 325 estruturas judiciárias, entre as quais, 112 comarcas, promovendo acesso aos sistemas judiciários e salvaguarda dos processos digitais. Em razão da importância regional do tribunal, foi implantada uma gestão de risco institucional, com o objetivo de identificação, mensuração e tratamento do risco, com intuito de atender a população de forma ininterrupta. Alinhado com o processo de risco, foi disparado o processo de continuidade de negócio, tendo ficado a cargo do gestor da área de tecnologia da informação e comunicações (TIC) o plano de recuperação de negócio. O datacenter do tribunal conta com sala cofre, nobreaks, geradores, equipamentos de refrigeração e sistema de supressão de incêndio de alta disponibilidade. Estima-se em torno 15 dias a recuperação do ambiente a partir do zero, o que significa reconfigurar todos os servidores e posteriormente recuperar os becapes. A restauração dos serviços críticos para um ambiente secundário, no qual já estejam configurados os servidores, mas necessitam de sincronização dos dados, leva em torno de dois dias. O tempo total de recuperação de negócio dos serviços críticos de TIC do tribunal não pode exceder três dias. Outro ponto de interesse é o cenário de restrição econômica do país, refletido no tribunal.
A segurança da informação procura garantir a preservação da
confidencialidade, a integridade e a disponibilidade da informação.
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999, julgue os itens seguintes.
Entre os ativos associados a sistemas de informação em uma organização, incluem-se as bases de dados e arquivos, os aplicativos e os equipamentos de comunicação (roteadores, secretárias eletrônicas etc.).
Julgue os itens subsequentes, acerca de procedimentos de backup.
Com o uso de backups incrementais a recuperação de um determinado arquivo muitas vezes exige a busca em vários arquivos de backup.
Texto 4A04-II
Cerca de 51% das empresas brasileiras disseram ter sido vítimas de um ataque do tipo ransomware no ano passado. Ransomware é um tipo de software maligno que impede o acesso dos usuários aos sistemas da empresa vítima. O ataque costuma codificar os dados da vítima, que só poderá recuperar o acesso se obtiver uma chave de acesso. O principal meio de infecção continua sendo o email e as páginas web com uso de engenharia social, e a propagação na rede através de exploração de vulnerabilidades. Outro facilitador são as permissões administrativas atribuídas aos usuários comuns da rede.
Internet:
A gestão de ativos é um dos principais conceitos abordados na gestão de segurança da informação. São controles da gestão de ativos:
Julgue o item que se segue, relativo às cópias de segurança.
Tanto o becape incremental, quanto o diferencial copiam arquivos criados ou alterados desde o último becape normal, e o becape incremental não desmarca o atributo de arquivo.
Com base na NBR ISO/IEC 15999, julgue os itens de 97 a 104.
As apólices de seguro são estratégias eficazes e suficientes para o tratamento de risco, pois garantem recompensa financeira para as perdas mais significativas da organização.
Publicidade
Notificações
Suas atualizações recentes
Nenhuma notificação.