O RSA (Rivest-Shamir-Adleman) é um sistema de criptografa amplamente utilizado para transmissão segura de dados. Esse sistema de criptografa é definido tipicamente como tendo:
Questões de Concursos
selecione os filtros para encontrar suas questões de concursos e clique no botão abaixo para filtrar e resolver.
Publicidade
Um órgão público, visando identificar o atual nível de proteção
da rede de computadores das organizações públicas para as quais
presta serviços, desenvolveu um conjunto de processos de
avaliação de segurança da informação em redes de computadores.
Empregando métodos analíticos e práticos, os auditores coletaram
várias informações acerca da rede e produziram diversas
declarações, sendo algumas delas consistentes com o estado da
prática e outras incorretas. A esse respeito, julgue os itens de 101
a 105.
Se uma das organizações utiliza o protocolo https para estabelecer algumas comunicações seguras com seus usuários da extranet, então, sempre que uma sessão https for estabelecida com esse servidor, todos os fluxos de dados que transitam nessa sessão serão criptografados por meio de algoritmos de criptografia assimétrica, utilizando-se, para isso, um algoritmo de cifra de fluxo, como o AES.
ESAF•
Analise as seguintes afi rmações relacionadas à Segurança da Informação e os objetivos do controle de acesso:
I. A disponibilidade é uma forma de controle de acesso que permite identifi car os usuários legítimos da informação para que lhes possa ser liberado o acesso, quando solicitado.
II. A confi dencialidade é uma forma de controle de acesso que evita que pessoas não autorizadas tenham acesso à informação para criá-la, destruí-la ou alterá-la indevidamente.
III. O IDS (Intrusion Detection System) é um dispositivo complementar à proteção contra invasão de redes, que inspeciona uma rede de dentro para fora, identifi ca e avalia padrões suspeitos que podem identifi car um ataque à rede e emite um alarme quando existe a suspeita de uma invasão.
IV. A integridade é uma forma de controle de acesso que evita o acesso de pessoas não autorizadas a informações confi denciais, salvaguardando segredos de negócios e protegendo a privacidade de dados pessoais.
Indique a opção que contenha todas as afi rmações verdadeiras.
FCC•
Documento eletrônico assinado digitalmente, que cumpre a função de associar uma pessoa ou entidade a uma chave pública. As informações públicas contidas nele são o que possibilita colocá-lo em repositórios públicos. Tratase
FCC•
Em relação à backdoors é correto afirmar:
Um analista de segurança da informação está especialmente preocupado com ataques que afetem principalmente o sistema operacional dos equipamentos pelos quais é responsável. Nesse contexto, se encaixaria nessa categoria um ataque do tipo:
A técnica que é utilizada na engenharia reversa da criptografia é:
Acerca das características de ataques de negação de serviço distribuído (DDoS), julgue o item a seguir.
A mitigação de ataques DDoS é trivial se existir um web application firewall na frente da aplicação atacada.
A mitigação de ataques DDoS é trivial se existir um web application firewall na frente da aplicação atacada.
Das alternativas abaixo, que tipo de ataque NÃO está em consonância com sua definição?
A proteção de dados e privacidade de informações pessoais, de registros organizacionais e os direitos de propriedade intelectual muitas vezes são vistos erroneamente como controles essenciais para uma organização.
A NBR ISO/IEC 27002, quando trata dos controles de entrada física, estabelece algumas diretrizes para implementação, utilizando os seguintes termos: convém que sejam levadas em consideração as seguintes diretrizes. Em seguida, lista as diretrizes as quais pretende que sejam levadas em consideração. Dentre essas diretrizes, NÃO há uma especificando que
Tendo como referência a figura acima, que propõe uma classificação de controles de segurança, julgue os itens de 73 a 78.
A análise de vulnerabilidades, quando realizada no arcabouço de uma atividade de análise de riscos, é precedida, usualmente, da análise de ameaças, mas antecede a análise de controles, podendo cada controle inexistente ser traduzido em uma vulnerabilidade existente.
Pragas virtuais, que são programas executados sem a devida ordem
ou o devido conhecimento do usuário, podem causar danos e efeitos
adversos nos computadores. A respeito desse assunto, julgue os
itens que se seguem.
O funcionamento de um computador que tenha sofrido um ataque conhecido como phishing pode ser comprometido, sendo os dados gravados nesse computador armazenados em um disco corrompido.
MPU•
Com relação aos sistemas de criptografia e suas aplicações, julgue os itens subsecutivos.
Em sistemas de criptografia assimétrica existem duas chaves com funções complementares que devem ser mantidas em segredo.
Sobre um mandante R/3 são feitas as afirmativas a seguir.
I - Tem os seus próprios dados de clientes e programas, que não são acessíveis por outros mandantes de um mesmo sistema R/3.
II - Compartilha todos os objetos de Repositório e customizações independentes, de mandante, com todos os outros mandantes em um mesmo sistema R/3.
III - Compartilha dados de customização e aplicação com outros mandantes em um mesmo sistema R/3.
Está(ão) correta(s) a(s) afirmativa(s):
A norma NBR/ISO 27002 recomenda que os requisitos para controles de segurança para novos sistemas de informação ou melhorias em sistemas existentes sejam especificados
Texto 4A04-I
Um hacker invadiu o sistema computacional de determinada instituição e acessou indevidamente informações pessoais dos colaboradores e servidores. Durante a ação, foram alterados os registros de logs do sistema operacional e das aplicações, a fim de dificultar o trabalho de auditoria. Após o ocorrido, identificaram-se as seguintes ações do hacker.
I Exploração, a partir da Internet, de uma vulnerabilidade da página de notícias do portal da instituição localizada no servidor web, o que permitiu o acesso não autorizado à rede interna.
II Utilização de um script para alteração dos registros dos logs, com a troca dos endereços IP reais por fictícios.
III Quebra das credenciais administrativas do servidor de banco de dados dos sistemas internos, a partir do servidor web e utilização da técnica de ataques de dicionário.
IV Acesso de forma não autorizada ao servidor de banco de dados dos sistemas internos, para efetuar a extração das informações pessoais de colaboradores e servidores.
A equipe incumbida de analisar o caso concluiu que o risco era conhecido e considerado alto, já tendo sido comunicado à alta gestão da instituição; a vulnerabilidade explorada e sua correção eram conhecidas havia mais de seis meses, bem como a inexistência de dependências e da troca de dados entre os servidores de web e banco de dados; o incidente poderia ter sido evitado com o uso eficaz dos controles de segurança da informação.
Considerando-se as boas práticas de segurança da informação, é correto afirmar que, na situação descrita no texto 4A04-I, foram comprometidos a
FCC•
Um Auditor Fiscal da área de Tecnologia da Informação fez um backup completo de dados da organização, efetuado na noite de segunda-feira. Nas noites posteriores à segunda-feira foi efetuado um backup cumulativo (ou diferencial). Na terça-feira, o arquivo 4 foi acrescentado e nenhum dado foi modificado desde o backup completo. Na quarta-feira, o arquivo 5 foi acrescentado, e na quinta-feira, o arquivo 6 foi acrescentado. Na manhã de sexta-feira, houve a corrupção de dados, exigindo a restauração dos dados utilizando as cópias de backup. Nestas condições, o Auditor deverá restaurar
A assinatura digital permite comprovar a autenticidade e a integridade de uma informação, surgindo como solução em situações nas quais não existe confiança completa entre emissor e receptor. Assinale a opção que apresenta um requisito de assinatura digital.
Um órgão público responsável pelo controle externo do
Poder Executivo de uma unidade da Federação desenvolveu um
conjunto de processos de auditoria de conformidade na gestão da
segurança da informação. As organizações para as quais o órgão
presta serviço implementaram sistemas de gestão da segurança da
informação, por força de normas, em aderência aos modelos
desenvolvidos pela ABNT e ISO/IEC, especialmente os
prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez
que várias organizações a serem auditadas já passaram cerca de
dois anos implementando seus sistemas de gestão, um
questionário de avaliação preliminar foi aplicado pelo órgão de
controle externo nas organizações clientes. Diferentes controles
do sistema de segurança da informação foram avaliados pelos
respondentes, tanto os de natureza física e lógica quanto os
organizacionais. A partir do recebimento dos resultados do
questionário preliminar, os auditores efetuaram uma visita à
organizaçãoe produziram diversos julgamentos acerca da
possível adequação dos controles implementados aos modelos
das normas mencionadas.
Tendo como referência as informações contidas na situação
hipotética apresentada acima, julgue os itens a seguir, a respeito
do julgamento realizado pelos auditores.
Para que o plano de continuidade de negócios apresentado por uma das organizações avaliadas seja considerado conforme a Norma NBR ISO/IEC 15.999, ele deve ter referências implícitas ou explícitas a um dos seguintes documentos: plano de gerenciamento de incidentes; plano de recuperação de negócios; declaração de política de gestão de continuidade dos negócios (GCN); e relatório de análise de impactos sobre negócios BIA (business impact analysis).
Publicidade