Questões de Ciência da Computação do ano 2012

O objetivo principal da Norma ABNT NBR ISO/IEC 17799:2005 é

• A.

  fornecer diretrizes com relação a técnicas e procedimentos de medição para avaliar a eficácia dos controles de Sistemas de Informação implementados, dos processos de Sistemas de Informação e do Sistema de Gestão da Segurança da Informação.

• B.

  estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a Gestão de Segurança da Informação em uma organização. Os objetivos definidos nessa Norma proveem diretrizes gerais sobre as metas geralmente aceitas para a Gestão da Segurança da Informação.

• C.

  fornecer diretrizes para o gerenciamento de riscos dos Sistemas de Informação. É constituída por indicações para implementação, monitoramento e melhoria contínua do sistema de controles.

• D.

  fornecer diretrizes referentes à recuperação e Continuidade de Negócio. O título original dessa Norma é "Guidelines for information and communications technology disaster recovery services".

• E.

  fornecer um guia de Gestão da Segurança da Informação específico para empresas de telecomunicação. Essa Norma especifica os requisitos para credenciamento de entidades de auditoria e para certificação de Sistemas de Gestão da Segurança da Informação.

Sobre segurança da informação, analise:

I. É obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.

II. A interconexão de redes públicas e privadas e o compartilhamento de recursos de informação aumentam a dificuldade de se controlar o acesso. A tendência da computação distribuída aumenta a eficácia da implementação de um controle de acesso centralizado.

III. Os controles de segurança precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.

IV. É importante para os negócios, tanto do setor público como do setor privado, e para proteger as infraestruturas críticas. Em ambos os setores, a função da segurança da informação é viabilizar os negócios como o governo eletrônico (e-gov) ou o comércio eletrônico (e-business), e evitar ou reduzir os riscos relevantes.

Está correto o que consta em

• A.

  I, II, III e IV.

• B.

  I, III e IV, apenas.

• C.

  I e IV, apenas.

• D.

  III e IV, apenas.

• E.

  I e II, apenas.

Segundo a norma ISO 27001, para se estabelecer o Sistema de Gestão de Segurança da Informação (SGSI), considere:

I. A organização deve definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia que esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer.

II. A organização deve definir a abordagem de análise/ avaliação de riscos da organização e desenvolver critérios para a aceitação de riscos e identificar os níveis aceitáveis de risco.

III. Identificar e avaliar as opções para o tratamento de riscos, sendo uma possível ação aceitar os riscos consciente e objetivamente, desde que satisfaçam claramente às políticas da organização e aos critérios de aceitação de riscos.

 Está correto o que se afirma em

• A.

  I e II, apenas.

• B.

  I e III, apenas.

• C.

  II, apenas.

• D.

  III, apenas.

• E.

  I, II e III.

Um plano de tratamento de riscos que identifique a ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança deve ser formulado, no Sistema de Gestão de Segurança da Informação (SGSI), nas fases

• A.

  Manter e melhorar o SGSI.

• B.

  Planejar e implantar o SGSI.

• C.

  Monitorar e analisar criticamente o SGSI.

• D.

  Estabelecer e gerenciar o SGSI.

• E.

  Implementar e operar o SGSI.

Segundo a Norma 27002, o objetivo de garantir a operação segura e correta dos recursos de processamento da informação é atendido, dentre outros, pelo controle

• A.

  Remoção de propriedade.

• B.

  Manutenção dos equipamentos.

• C.

  Entrega de serviços.

• D.

  Segregação de funções.

• E.

  Gestão de capacidade.

Sobre a prevenção de incidentes de segurança da informação e controle de acesso é correto afirmar:

• A.

  Para prevenir contra ataques de negação de serviço deve-se classificar as informações de forma a esclarecer a cada colaborador sobre o que pode ou não ser divulgado.

• B.

  A autorização de acesso para prestadores de serviço, contratados para consultorias ou quaisquer outros serviços não precisa ser formal ou antecipada, desde que essas pessoas sejam acompanhadas por um funcionário contratado.

• C.

  Os equipamentos de transmissão de dados devem ser mantidos em locais seguros, visando evitar o acesso não autorizado a informações por meio de interceptação (sniffer).

• D.

  O armazenamento de mídias de backup deve ser próximo de onde se efetua o processamento dos dados.

• E.

  A fiação elétrica para o CPD deve ser compartilhada com outras áreas e instalações para que não haja penetração de ruído.

Sobre ataques à segurança de sistemas computacionais é correto afirmar:

• A.

  Ataques de disfarce, repetição, modificação de mensagem e negação de serviço são difíceis de impedir absolutamente, devido à grande variedade de vulnerabilidades físicas, de software e de rede em potencial.

• B.

  A única forma de negação de serviço é a interrupção de uma rede inteira, seja desativando a rede ou sobrecarregando-a com mensagens, a fim de prejudicar o desempenho.

• C.

  Um disfarce ocorre quando alguma parte de uma mensagem legítima é alterada ou quando as mensagens são adiadas ou reordenadas para produzir um efeito não autorizado.

• D.

  Um ataque de análise de tráfego envolve a captura passiva de uma unidade de dados e sua subsequente retransmissão para produzir um efeito não autorizado.

• E.

  Ataques de análise de tráfego são fáceis de detectar e de impedir, assim como ataques de negação de serviço.

O armazenamento de cópias de segurança de grandes volumes de dados, de maior importância, que devem perdurar por longos períodos, são critérios determinantes para maiores cuidados, principalmente, com

• A.

  os dados escolhidos para gravação e guarda.

• B.

  a qualidade e a confiança nas mídias usadas.

• C.

  a restrição de acesso ao local de armazenamento.

• D.

  a guarda de cópias em locais diferentes.

• E.

  a criptografia dos dados gravados.

Dados os itens abaixo:

I. No endereço eletrônico https://www.uniuv.edu.br, o protocolo https indica que o site é seguro com envio de dados criptografados.

II. O protocolo https usa a porta TCP 80 para envio dos dados criptografados.

III. Um site seguro deve possuir uma figura com cadeado fechado, inserida no código HTML

Estão corretas as afirmações:

• A.

  I somente

• B.

  II somente

• C.

  III somente

• D.

  I e II somente

• E.

  II e III somente

A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. São características básicas da segurança da informação os atributos de confidencialidade, integridade, disponibilidade e autenticidade, não estando esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. Qual das opções abaixo, não pode ser considerado um mecanismo de segurança?

• A.

  Mecanismos de criptografia.

• B.

  Mecanismos de Armazenamentos.

• C.

  Mecanismos de controle de acesso.

• D.

  Mecanismos de certificação.