Questões de Ciência da Computação do ano 2012

Com referência à responsabilidade por ativos de informação, a norma ABNT NBR ISO/IEC 27.001 estabelece que a identificação, a documentação e a implementação de regras para que seja autorizado o uso de informações associadas a recursos de processamento de informação devem ser orientadas pelo controle denominado

• A.

  recomendações para classificação.

• B.

  contato com grupos especiais.

• C.

  uso aceitável de ativos.

• D.

  proprietário dos ativos.

• E.

  inventário dos ativos.

Para proteger uma área que abriga recursos de processamento da informação, um órgão público, com base na norma ABNT NBR ISO/IEC 27001, instalou uma porta com controle de acesso por cartão, de modo a que somente os colaboradores previamente autorizados possam acessar esse ambiente.

Nessa situação hipotética, de acordo com a referida norma da ABNT, a medida adotada pelo órgão público associa-se

• A.

  à validação de dados de saída.

• B.

  ao controle de vulnerabilidades.

• C.

  ao controle contra códigos móveis.

• D.

  ao controle de perímetro de segurança física.

• E.

  à coordenação de segurança da informação.

Para prover evidências de conformidade aos requisitos do sistema de gestão de segurança da informação (SGSI), de acordo com a norma ABNT NBR ISO/IEC 27.001, deve-se

• A.

  monitorar o SGSI.

• B.

  estabelecer o SGSI.

• C.

  instituir programa de treinamento e conscientização dos analistas de sistemas.

• D.

  melhorar o SGSI.

• E.

  controlar os registros.

Na gestão de incidentes de segurança da informação, de acordo com a norma ABNT NBR ISO/IEC 27.002, deve-se considerar que alguns procedimentos sejam estabelecidos de acordo com o evento ocorrido. Segundo essa norma, os eventos que demandam a criação de procedimentos para o seu tratamento incluem a

• A.

  permissão para que pessoas não autorizadas trafeguem em perímetro físico.

• B.

  negação de serviço.

• C.

  análise de logs de auditoria.

• D.

  identificação de nova vulnerabilidade no ambiente de tecnologia da informação.

• E.

  ocorrência de defeito em um dos discos de uma estação de trabalho que contenha dois discos rígidos redundantes.

Em relação à segurança da informação, considere:

I. Capacidade do sistema de permitir que alguns usuários acessem determinadas informações, enquanto impede que outros, não autorizados, sequer as consultem.

II. Informação exposta, sob risco de manuseio (alterações não aprovadas e fora do controle do proprietário da informação) por pessoa não autorizada.

III. O sistema deve ter condições de verificar a identidade dos usuários, e este ter condições de analisar a identidade do sistema.

Os itens I, II e III, associam-se, direta e respectivamente, aos princípios de

• A.

  confidencialidade, integridade e autenticidade.

• B.

  autenticidade, confidencialidade e irretratabilidade.

• C.

  confidencialidade, confidencialidade e irretratabilidade.

• D.

  autenticidade, confidencialidade e autenticidade.

• E.

  integridade, confidencialidade e integridade.

Ao elaborar e comunicar uma Política de Segurança da Informação − PSI é necessário usar uma linguagem conhecida e meios adequados aos tipos de mensagens e usuários; adotar estilo simples e claro; respeitar o interlocutor sem superestimá-lo nem subestimá-lo; respeitar a cultura organizacional e a do país a que se destina. Nesse sentido, é correto concluir que tal afirmação

• A.

  adere parcialmente às expectativas de uma PSI, pois a política deve ser única, e não deve levar em conta características humanas e legais do país no qual ela é aplicada.

• B.

  adere parcialmente às expectativas de uma PSI, tendo em vista que ela deve ser construída considerando uma linguagem tecnológica desvinculada de adoção de estilos.

• C.

  adere integralmente a formulação de uma PSI, pois ao elaborar uma política é necessário que ela seja ajustada a cada instituição e deve ser comunicada de maneira que todos entendam.

• D.

  adere parcialmente às expectativas de uma PSI, porque os atributos do interlocutor não devem constituir relevância, já que todos os usuários, presumivelmente, foram selecionados pela empresa para entenderem a tecnologia usada.

• E.

  não atende aos propósitos de uma PSI, pois linguagem, estilo e interlocutor não podem sobrepor-se à linguagem tecnológica e é preciso levar em conta a cultura do país no qual ela é aplicada, a linguagem tecnológica utilizada e os níveis de sensibilidade de cada tipo de interlocutor.

Em relação à vulnerabilidades e ataques a sistemas computacionais, é correto afirmar:

• A.

  Medidas de segurança podem ser definidas como ações que visam eliminar riscos para evitar a concretização de uma vulnerabilidade.

• B.

  O vazamento de informação e falha de segurança em um software constituem vulnerabilidades.

• C.

  Roubo de informações e perda de negócios constitui ameaças.

• D.

  Medidas de segurança podem ser definidas como ações que visam eliminar vulnerabilidades para evitar a concretização de uma ameaça.

• E.

  Área de armazenamento sem proteção e travamento automático da estação após período de tempo sem uso constituem ameaça.

Em relação à norma ISO/IEC 27002, considere:

I. Para definição de uma estratégia de continuidade de negócios deve-se ter como meta o tempo esperado de recuperação, que, por sua vez, é derivado dos períodos máximos toleráveis de interrupção.

II. Os requisitos para controles de segurança de novos sistemas de informação ou melhorias em sistemas existentes devem constar nas especificações de requisitos de negócios dos sistemas.

III. Convém que os registros (log) de auditoria incluam, quando relevantes, os registros das tentativas de acesso ao sistema aceitas e rejeitadas.

IV. Entre os objetivos de controle de manuseio de mídias inclui-se o controle de descarte de mídias, sendo previstas, nessas normas, diretrizes de implementação para o descarte de forma segura e protegida.

Está correto o que se afirma em:

• A.

  I, II e III, apenas.

• B.

  I, II e IV, apenas.

• C.

  I, III e IV, apenas.

• D.

  II, III e IV, apenas.

• E.

  I, II, III e IV.

Em relação à Medida Provisória no 2.200-2, de 24 de agosto de 2001, que Institui a Infra-Estrutura de Chaves Públicas Brasileira − ICP-Brasil, é INCORRETO afirmar:

• A.

  Compete ao Comitê Gestor da ICP-Brasil homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de serviço.

• B.

  Compete à Autoridade Certificadora Raiz − AC Raiz e, sob sua delegação, às Autoridades Certificadoras − AC, emitirem certificados para o usuário final.

• C.

  Compete à Autoridade Certificadora Raiz − AC Raiz e, sob sua delegação, às Autoridades Certificadoras − AC, emitirem certificados para o usuário final.

• D.

  Observados os critérios a serem estabelecidos pelo Comitê Gestor da ICP-Brasil, poderão ser credenciados como AC e AR os órgãos e as entidades públicos e as pessoas jurídicas de direito privado.

• E.

  Compete ao Comitê Gestor da ICP-Brasil estabelecer a política de certificação e as regras operacionais da AC Raiz.

Sobre os Sistemas de Prevenção de Intrusão (IPS) é correto afirmar:

• A.

  Permitem alertar uma tentativa de ataque, mas não realizar o seu bloqueio.

• B.

  Os IPS realizam um nível de inspeção no pacote muito superficial, que vai apenas até a camada de rede (camada 3) do modelo OSI.

• C.

  Os equipamentos do IPS normalmente trabalham na camada de transporte do modelo OSI (camada 5), e necessitam de reconfiguração da rede para serem instalados.

• D.

  Os equipamentos do IPS normalmente estão conectados nos segmentos críticos da rede, em linha, ou seja, todo o tráfego a ser inspecionado precisa passar por eles.

• E.

  Permitem detectar vírus, worms, spywares e spams. Não detectam ataques direcionados a sistemas operacionais ou a aplicações Web, como cross site script, PHP Injection e SQL Injection.