Questões sobre Segurança da Informação

De acordo com a NBR ISO/IEC n.º 27.005/2011, as quatro possíveis ações para o tratamento do risco de segurança da informação correspondem a

• A.

  planejamento, identificação, mitigação e eliminação do risco.

• B.

  redução, retenção, prevenção e transferência do risco.

• C.

  identificação, redução, mitigação e eliminação do risco.

• D.

  retenção, redução, mitigação e transferência do risco.

• E.

  prevenção, identificação, redução e eliminação do risco.

Acerca das recomendações da E-ping v.2013, assinale a opção correta.

• A.

  Quanto às áreas de integração para governo eletrônico e à diretriz técnica para essa integração, recomenda-se a gradual adoção da arquitetura cliente-servidor ou monolítica.

• B.

  Quanto à interconexão, os sistemas de email devem utilizar SMTP/MIME para o transporte de mensagens e POP3 e(ou) IMAP para acesso às mensagens. Por questão de segurança, deve-se evitar, quando possível, o acesso web ao correio eletrônico, e, quando inevitável, o acesso deve ser sempre por meio de HTTPS.

• C.

  Quanto aos meios de acesso, somente os sistemas de informação do governo federal considerados críticos e quando forneçam serviços eletrônicos devem ser capazes de utilizar a Internet como meio de comunicação, seja diretamente ou por meio de serviços de terceiros.

• D.

  Quanto à organização e ao intercâmbio de informações, recomenda-se o uso de XML ou JSON para intercâmbio de dados, de XML DTD e DHTML para a definição dos dados para intercâmbio e de XSL para transformação de dados.

• E.

  Quanto à segurança, os dados e informações devem ser mantidos com o mesmo nível de proteção, independentemente do meio em que estejam trafegando ou sendo processados e armazenados.

Julgue os itens a seguir, a respeito de segurança da informação.

A auditoria de segurança da informação é uma atividade corretiva do ambiente informatizado que pode ser feita de forma independente, sem o apoio de uma política de segurança da informação.

• C. Certo
• E. Errado

Com referência à responsabilidade por ativos de informação, a norma ABNT NBR ISO/IEC 27.001 estabelece que a identificação, a documentação e a implementação de regras para que seja autorizado o uso de informações associadas a recursos de processamento de informação devem ser orientadas pelo controle denominado

• A.

  recomendações para classificação.

• B.

  contato com grupos especiais.

• C.

  uso aceitável de ativos.

• D.

  proprietário dos ativos.

• E.

  inventário dos ativos.

Julgue os itens a seguir, a respeito de segurança da informação.

Os filtros de pacotes são firewall que atuam na camada de rede e filtram pacotes do protocolo IP.

• C. Certo
• E. Errado

Para proteger uma área que abriga recursos de processamento da informação, um órgão público, com base na norma ABNT NBR ISO/IEC 27001, instalou uma porta com controle de acesso por cartão, de modo a que somente os colaboradores previamente autorizados possam acessar esse ambiente.

Nessa situação hipotética, de acordo com a referida norma da ABNT, a medida adotada pelo órgão público associa-se

• A.

  à validação de dados de saída.

• B.

  ao controle de vulnerabilidades.

• C.

  ao controle contra códigos móveis.

• D.

  ao controle de perímetro de segurança física.

• E.

  à coordenação de segurança da informação.

Julgue os itens a seguir, a respeito de segurança da informação.

O bloqueio seguro a uma rede restrita de uma empresa poderá ser efetuado por meio de uma DMZ. Para a criação de uma DMZ dessa natureza, é suficiente utilizar um firewall do tipo Proxy.

• C. Certo
• E. Errado

Para prover evidências de conformidade aos requisitos do sistema de gestão de segurança da informação (SGSI), de acordo com a norma ABNT NBR ISO/IEC 27.001, deve-se

• A.

  monitorar o SGSI.

• B.

  estabelecer o SGSI.

• C.

  instituir programa de treinamento e conscientização dos analistas de sistemas.

• D.

  melhorar o SGSI.

• E.

  controlar os registros.

Na gestão de incidentes de segurança da informação, de acordo com a norma ABNT NBR ISO/IEC 27.002, deve-se considerar que alguns procedimentos sejam estabelecidos de acordo com o evento ocorrido. Segundo essa norma, os eventos que demandam a criação de procedimentos para o seu tratamento incluem a

• A.

  permissão para que pessoas não autorizadas trafeguem em perímetro físico.

• B.

  negação de serviço.

• C.

  análise de logs de auditoria.

• D.

  identificação de nova vulnerabilidade no ambiente de tecnologia da informação.

• E.

  ocorrência de defeito em um dos discos de uma estação de trabalho que contenha dois discos rígidos redundantes.

Em relação à segurança da informação, considere:

I. Capacidade do sistema de permitir que alguns usuários acessem determinadas informações, enquanto impede que outros, não autorizados, sequer as consultem.

II. Informação exposta, sob risco de manuseio (alterações não aprovadas e fora do controle do proprietário da informação) por pessoa não autorizada.

III. O sistema deve ter condições de verificar a identidade dos usuários, e este ter condições de analisar a identidade do sistema.

Os itens I, II e III, associam-se, direta e respectivamente, aos princípios de

• A.

  confidencialidade, integridade e autenticidade.

• B.

  autenticidade, confidencialidade e irretratabilidade.

• C.

  confidencialidade, confidencialidade e irretratabilidade.

• D.

  autenticidade, confidencialidade e autenticidade.

• E.

  integridade, confidencialidade e integridade.