Uma das classificações mais adotadas, no que diz respeito aos tipos de ameaças a sistemas de informação, refere-se à intenção pretendida com a ameaça. Dessa forma, considerando tal objetivo, as ameaças classificam-se em
Questões de Concursos
selecione os filtros para encontrar suas questões de concursos e clique no botão abaixo para filtrar e resolver.
Publicidade
Acerca de auditoria e conformidade, julgue os itens subsequentes, a respeito de segurança da informação.
Conformidade é um conceito relacionado à adesão dos sistemas de informação às políticas e às normas organizacionais de segurança da informação.
As saídas da Análise de Domínio de Software são as seguintes:
Julgue os itens seguintes no que se refere aos conceitos de segurança no desenvolvimento de sistemas.
RSS (Really Simple Syndication), que consiste em um protocolo para troca de informações estruturadas em uma plataforma descentralizada e distribuída, baseia-se em outros protocolos da camada de aplicação para negociação e transmissão de mensagens.
STJ•
Com relação aos sistemas criptográficos, julgue os itens
subseqüentes.
O esquema OAEP apresenta segurança demonstrável no caso em que utiliza o RSA, devido às propriedades deste último.
Julgue os itens a seguir, relativos à gestão de continuidade de
negócio (GCN).
Na documentação relativa à GCN, devem estar incluídos, entre outros, documentos relativos à política de GCN, à análise de impacto nos negócios e à avaliação de riscos e ameaças.
Considere o fragmento de texto abaixo.
São mecanismos destinados a reagir a falhas na rede, oferecendo soluções de backup para recuperar as conexões afetadas pela falha. Oferecem proteção contra as falhas isoladas e se distinguem em termos de quão rápido a recuperação é feita e na quantidade de capacidade de backup necessária para a proteção, para suportar completamente esse evento de falha isolada.
O texto conceitua mecanismos de
São mecanismos destinados a reagir a falhas na rede, oferecendo soluções de backup para recuperar as conexões afetadas pela falha. Oferecem proteção contra as falhas isoladas e se distinguem em termos de quão rápido a recuperação é feita e na quantidade de capacidade de backup necessária para a proteção, para suportar completamente esse evento de falha isolada.
O texto conceitua mecanismos de
Com relação às políticas de segurança da informação e à gerência de riscos, julgue os itens a seguir.
Os riscos devem ser avaliados antes, durante e após implantações e revisões de políticas de segurança da informação.
Os riscos devem ser avaliados antes, durante e após implantações e revisões de políticas de segurança da informação.
A norma ISO/IEC 27005:2008 adota o modelo Plan-Do-Check-Act (PDCA), que é aplicado para estruturar os processos do ISMS (Information Security Management System). Na fase Do do ISMS é representado o processo de gerenciamento de risco:
Em relação a documentos eletrônicos e assinatura digital, é correto afirmar:
ITIL•
Com relação à segurança da informação e ao ITIL (information
technology infrastructure library), que define um modelo de
gerenciamento de segurança da informação, julgue os itens
seguintes.
Sob o ponto de vista do ITIL, os controles pertinentes são
descentralizados e independem dos processos de
gerenciamento relacionados a requisitos de segurança da
informação.
Com relação à situação apresentada no texto acima, no que se refere
a gerenciamento de segurança da informação e considerando o
disposto na norma ISO/IEC 27002, julgue os próximos itens.
Na situação descrita, foram violados os controles associados à segurança física.
Texto 4A04-I
Um hacker invadiu o sistema computacional de determinada instituição e acessou indevidamente informações pessoais dos colaboradores e servidores. Durante a ação, foram alterados os registros de logs do sistema operacional e das aplicações, a fim de dificultar o trabalho de auditoria. Após o ocorrido, identificaram-se as seguintes ações do hacker.
I Exploração, a partir da Internet, de uma vulnerabilidade da página de notícias do portal da instituição localizada no servidor web, o que permitiu o acesso não autorizado à rede interna.
II Utilização de um script para alteração dos registros dos logs, com a troca dos endereços IP reais por fictícios.
III Quebra das credenciais administrativas do servidor de banco de dados dos sistemas internos, a partir do servidor web e utilização da técnica de ataques de dicionário.
IV Acesso de forma não autorizada ao servidor de banco de dados dos sistemas internos, para efetuar a extração das informações pessoais de colaboradores e servidores.
Com base na NBR ISO/IEC n.º 27002, é correto afirmar que, no cenário apresentado no texto 4A04-I, foram explorados os controles de
O Brasil conta com um Sistema Nacional de Certificação Digital que envolve o Instituto Nacional de Tecnologia da Informação. A Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil é uma cadeia hierárquica e de confiança que viabiliza, inclusive, a emissão de certificados digitais para identificação do cidadão quando transacionando no meio virtual, como a Internet. Nessa estrutura, e conforme a regulamentação atual, a pessoa física pode ter o seu certificado digital, denominado e-CPF. Esse tipo de certificado é oferecido em duas categorias, a saber A1 e A3. São características da categoria A3
No que se refere à equipe de resposta e tratamento a incidentes (ETIR) e aos incidentes de segurança, julgue os itens que se seguem.
Incidente de segurança refere-se a qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores, incluindo aqueles decorrentes de conduta maliciosa, denominados ataques.
Considerando o que dispõe a NBR ISO/IEC 27001, julgue os próximos itens.
A exclusão de controles considerados necessários deve ser justificada por meio do fornecimento de evidências a respeito da aceitação dos riscos pelas pessoas responsáveis.
Considerando os conceitos de segurança em redes de
comunicações, julgue os itens seguintes.
Uma das vantagens da detecção de intrusão baseada em anomalias é a eficiência na detecção, comparativamente à detecção baseada em assinaturas, uma vez que não gera grande número de alarmes falsos.
Ao redigir um ofício destinado a uma provedora de Internet, um delegado colocou as seguintes informações a respeito de uma possível captura de dados não autorizada pelo usuário de um sistema.
URL correta de acesso ao sistema https://suaconta.com.br/suaconta.html
URL apresentada ao acessar o sistema https://crazyserver.com.uk/suaconta.html
Porta 191.125.13.1
O usuário digitava a URL correta de acesso ao sistema no browser, e a página da Web apresentada solicitava o preenchimento dos dados e a inserção de senha do usuário para acesso ao sistema.
A respeito da situação hipotética apresentada e dos aspectos técnicos e legais a ela relacionados, julgue o item a seguir.
O browser do computador da vítima provavelmente estava infectado por software malicioso que realizava um envenenamento de cache.
No que se refere a segurança em recursos humanos, julgue o item subsequente, de acordo com a NBR ISO/IEC 27001:2013.
Segundo essa norma, funcionários e partes externas devem, somente após a sua contratação, entender suas responsabilidades e estar em conformidade com os papéis para os quais tenham sido selecionados.
A respeito de ataques a redes de computadores, prevenção e
tratamento de incidentes, julgue os itens subsecutivos.
A fim de proteger a integridade do hardware e da informação, devem ser implantados, em locais apropriados, controles de detecção, prevenção e recuperação para proteger contra códigos maliciosos, assim como procedimentos para a devida conscientização dos usuários.
Publicidade