Questões de Ciência da Computação do ano 2012

Com relação à norma ISO/IEC 27001:2006 e ao sistema de gestão de segurança da informação (SGSI), julgue os itens que se seguem.

Para um SGSI, a organização deve analisar criticamente as avaliações de riscos em intervalos planejados, os riscos residuais e os níveis de riscos aceitáveis identificados, levando em consideração, entre outros itens, as mudanças relativas a eventos externos.

• C. Certo
• E. Errado

Com relação à norma ISO/IEC 27001:2006 e ao sistema de gestão de segurança da informação (SGSI), julgue os itens que se seguem.

O modelo conhecido como PDCA (plan-do-check-act) é utilizado e aplicado na estruturação de processos do SGSI.

• C. Certo
• E. Errado

Considerando a segurança de ambientes físicos e lógicos bem como controles de acesso, julgue os itens subsecutivos.

Adota-se, para o controle de acesso em ambientes protegidos, a estrutura do tipo que se denomina camadas de cebola, por meio da qual se delimitam várias camadas de proteção, entre as quais a camada central é a mais protegida, procurando-se, ainda, manter em locais com acesso restrito a poucas pessoas as máquinas que não precisem de operador para funcionar.

• C. Certo
• E. Errado

Considerando a segurança de ambientes físicos e lógicos bem como controles de acesso, julgue os itens subsecutivos.

Ao se identificar quais seriam as informações que, caso percam a confiabilidade, a integridade e a disponibilidade, trariam prejuízos à organização, e, ao se localizar onde tais informações são processadas e armazenadas, as áreas críticas de informação e os locais que precisam ser protegidos serão determinados.

• C. Certo
• E. Errado

Considerando a segurança de ambientes físicos e lógicos bem como controles de acesso, julgue os itens subsecutivos.

Um perímetro de segurança bem definido e protegido é suficiente para garantir a segurança da informação nas organizações.

• C. Certo
• E. Errado

A eficácia dos controles para verificar se os requisitos de segurança da informação foram atendidos deve ser medida, no Sistema de Gestão de Segurança da Informação (SGSI), nas fases

• A.

  estabelecer e gerenciar o SGSI.

• B.

  monitorar e analisar criticamente o SGSI.

• C.

  planejar e implantar o SGSI.

• D.

  implementar e operar o SGSI.

• E.

  manter e melhorar o SGSI.

A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização. Sobre os ativos, segundo a Norma ABNT NBR ISO/IEC 27002:2005, é correto afirmar:

• A.

  Alguns ativos de informação, como documentos em forma eletrônica, não podem ser fisicamente rotulados, sendo necessário usar um rótulo eletrônico.

• B.

  O inventário do ativo deve incluir apenas seu tipo, formato e localização, pois essas são as únicas informações relevantes para o caso da recuperação de um desastre.

• C.

  A implementação de controles específicos não pode ser delegada pelo proprietário do ativo, mesmo sendo ele o único responsável pelos controles e pela proteção adequada de seus ativos.

• D.

  Todos os ativos devem ter um alto nível de proteção pois, independentemente da sua importância, possuem valor para o negócio.

• E.

  O processo de compilação de um inventário de ativos é importante, mas não é pré-requisito no gerenciamento de riscos.

Com relação aos controles e à política de segurança da informação de uma organização, analise:

I. A distribuição de diretrizes e normas sobre a política de segurança da informação para todos os gerentes, funcionários e outras partes envolvidas é um fator crítico para o sucesso da implementação da segurança da informação em uma organização.

II. A segurança da informação é obtida a partir da implementação de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.

III. Uma política de segurança da informação que reflita os objetivos do negócio, apesar de importante, não representa um fator crítico para o sucesso da implementação da segurança da informação dentro de uma organização.

IV. Um controle é uma forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal.

Está correto o que consta em

• A.

  I, II, III e IV.

• B.

  I, II e IV, apenas.

• C.

  II e III, apenas.

• D.

  II, apenas.

• E.

  I e III, apenas.

O conceito “tudo que não é permitido, é proibido” está relacionado ao filtro do:

• A.

  pharming.

• B.

  sniffer

• C.

  firewall.

• D.

  flood.

• E.

  phishing.

Sobre classes e níveis de segurança definidos no “Orange Book” (DoD 5200.28 STD), afirma-se:

I. Os sistemas classificados como Classe D representam o maior nível de segurança dentre os descritos pelo padrão, com especificação formal do projeto de segurança do software e consistência do modelo de segurança formalmente verificável.

II. Se classificado no Nível C1 de segurança, o sistema identifica os usuários por login e senha, com permissões de acesso a recursos e dados.

III. O Nível C2 de segurança tem como uma de suas características propriedades a autenticação com granularidade a nível de objeto, por módulo protegido, com suas operações rastreáveis via log.

Quais estão corretas?

• A.

  Apenas I.

• B.

  Apenas II.

• C.

  Apenas III.

• D.

  Apenas I e II.

• E.

  Apenas II e III.