Recuperação de erros, procedimentos de reinicialização e planos de contingência, apesar de serem bem específicos ao processo de aceitação de sistemas, devem ser considerados para minimizar os riscos de falhas de sistemas, no gerenciamento de operações e comunicações preconizado pela norma 27002.
Questões de Concursos
selecione os filtros para encontrar suas questões de concursos e clique no botão abaixo para filtrar e resolver.
Publicidade
UFAL•
Sobre as técnicas de segurança da informação, é correto afirmar:
ABIN•
No que se refere à salvaguarda de dados, informações, documentos
e materiais sigilosos de interesse da segurança da sociedade e do
Estado no âmbito da administração pública federal, julgue os itens
subsequentes.
A expedição, condução e entrega de documento ultrassecreto deve ser efetuada, pessoalmente, por agente público autorizado, sendo vedada a sua postagem, não se admitindo, em nenhuma hipótese, a comunicação de outra forma.
Qual das alternativas apresenta corretamente os três itens que compõem um dos princípios básicos da segurança da informação?
Julgue os próximos itens referentes à gestão de segurança da informação e à gestão de riscos e continuidade de negócio.
No contexto de continuidade de negócio, a análise de impacto de negócio visa melhorar proativamente a resiliência da organização contra possíveis impactos na organização bem como melhorar a capacidade da organização para atingir seus principais objetivos.
Um órgão público responsável pelo controle externo do
Poder Executivo de uma unidade da Federação desenvolveu um
conjunto de processos de auditoria de conformidade na gestão da
segurança da informação. As organizações para as quais o órgão
presta serviço implementaram sistemas de gestão da segurança da
informação, por força de normas, em aderência aos modelos
desenvolvidos pela ABNT e ISO/IEC, especialmente os
prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez
que várias organizações a serem auditadas já passaram cerca de
dois anos implementando seus sistemas de gestão, um
questionário de avaliação preliminar foi aplicado pelo órgão de
controle externo nas organizações clientes. Diferentes controles
do sistema de segurança da informação foram avaliados pelos
respondentes, tanto os de natureza física e lógica quanto os
organizacionais. A partir do recebimento dos resultados do
questionário preliminar, os auditores efetuaram uma visita à
organizaçãoe produziram diversos julgamentos acerca da
possível adequação dos controles implementados aos modelos
das normas mencionadas.
Tendo como referência as informações contidas na situação
hipotética apresentada acima, julgue os itens a seguir, a respeito
do julgamento realizado pelos auditores.
Considere que, em uma organização, os auditores observaram que algumas das atividades de identificação de riscos foram efetuadas parcialmente, na seguinte sequência: inventário dos ativos; identificação de ameaças; e identificação de vulnerabilidades. Nesse caso, a sequência de levantamento de dados realizada está coerente com o indicado na Norma 27.005.
Julgue o item quanto aos conceitos de criptografia e aos algoritmos de criptografia.
A criptografia não é capaz de criptografar um documento de texto. Ela somente consegue utilizar seus algoritmos para criptografar textos puros, transformando-os em textos cifrados.
TCU•
Acerca do processo ilustrado na figura acima, que apresenta as
principais atividades envolvidas na gestão de riscos, conforme a
ABNT NBR ISO/IEC 27005, publicada em 2008, julgue os
próximos itens.
Durante o início da adoção da gestão de riscos em uma organização, a aplicação de métodos quantitativos para cálculo do nível de risco ocorre principalmente durante a estimativa de riscos e tende a oferecer resultados mais confiáveis e eficazes comparativamente ao uso de métodos quantitativos, sobretudo quando os ativos no escopo apresentam elevada intangibilidade.
Com relação a vulnerabilidades e ataques a sistemas computacionais, considere as afirmativas I a IV, a seguir. Quantas delas estão corretas?
I. As vulnerabilidades do tipo buffer overflow são muito exploradas atualmente e podem dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente e burlar particularidades de cada sistema.
II. O principal objetivo de um ataque de negação de serviço (DDoS) é deixar um recurso computacional inacessível aos seus utilizadores legítimos. Isso é feito criando.
III.Uma vulnerabilidade de segurança permite que sistemas computacionais sejam protegidos contra grandes volumes de tráfego repentino os quais são chamados comumente de rajadas de tráfego.
IV.Ataques de DDoS por inundação se caracterizam por enviarem um grande volume de tráfego ao sistema da vítima primária de modo a congestionar a sua banda. O impacto deste ataque pode variar entre deixar o sistema lento, derrubá-lo ou sobrecarregar a banda da rede da vítima.
Em Segurança Web, é bastante comum confundir o ataque de XSS (Cross-site Scripting) com o ataque de CSRF (Cross-site Request Forgery).
A diferença entre esses ataques está na
FCC•
As duas técnicas criptográficas mais comuns de autenticação de mensagem são um código de autenticação de mensagens (MAC - Message Authentication Code) e uma função de hash segura. Sobre hash, é correto afirmar que
Com relação às normas NBR ISO/IEC 27001 e 27002, referentes à
gestão de segurança da informação, julgue os itens que se seguem.
Um dos controles da política de segurança da informação estabelece que ela deve ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.
Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos
itens.
itens.
O filtro de tráfego realizado por gateways no controle de conexões de uma rede deve ser feito por meio de restrições predefinidas em tabelas ou regras para aplicações, como, por exemplo, uso de correio eletrônico, acesso interativo e transferência de arquivos.
FCC•
Em relação à criptografia, considere:
I. O emissor e receptor utilizam a mesma chave tanto para a cifragem como para a decifragem, portanto devem conhecer antecipadamente a chave.
II. O emissor e receptor utilizam chaves diferentes para cifrar e decifrar os dados.
III. Mensagens cifradas com a chave pública só podem ser decifradas com a chave secreta e vice versa.
IV. O DES é um algoritmo de criptografia que realiza somente duas operações sobre sua entrada: deslocamento de bits e substituição de bits.
Os itens I, II, III e IV, associam-se, respectivamente, às criptografias
A respeito de segurança em redes de computadores e criptografia, julgue o item seguinte.
No que se refere à prevenção e ao tratamento de incidentes, um dos papéis do CSIRT (computer security incident response team) é investigar criminalmente os incidentes ocorridos e decidir sobre o acionamento da justiça em cada caso.
Em relação aos conceitos, processos e metodologias utilizadas na gestão de risco, é correto afirmar que, para o cálculo de risco de
FCC•
Convém que o documento da política de segurança da informação declare o comprometimento da direção e estabeleça o enfoque da organização para gerenciar a segurança da informação. É INCORRETO dizer que o documento da política deva conter
Com relação a backup em um sistema operacional Windows, julgue
os itens seguintes.
Um backup diário é uma operação que copia todos os arquivos selecionados que foram modificados no dia de execução desse backup. Nesse caso, os arquivos não são marcados como arquivos que passaram por backup (o atributo de arquivo não é desmarcado).
Na UML, a quantidade de objetos que podem ser conectados pela instância de uma associação é definida como
Julgue os itens seguintes, no que se refere a VPNs e certificação digital.
Os certificados digitais utilizam-se de criptografia assimétrica e das funções de resumo criptográfico (funções de hash).
Os certificados digitais utilizam-se de criptografia assimétrica e das funções de resumo criptográfico (funções de hash).
Publicidade