Questões sobre Segurança da Informação

A Autoridade Certificadora (AC) é um componente da maioria das Infraestruturas de Chave Pública.

PORQUE

A chave privada é gerada pelo próprio signatário, garantindo seu sigilo em relação aos outros usuários do sistema quando utilizar algoritmos simétricos.

Analisando as afirmações acima, conclui-se que

• A.

  as duas afirmações são verdadeiras, e a segunda justifica a primeira.

• B.

  as duas afirmações são verdadeiras, e a segunda não justifica a primeira.

• C.

  a primeira afirmação é verdadeira, e a segunda é falsa.

• D.

  a primeira afirmação é falsa, e a segunda é verdadeira.

• E.

  as duas afirmações são falsas.

Há várias formas de ataques aos sistemas de informação. Os ataques DoS (Negação de Serviço) consistem em tentativas de impedir que usuários legítimos utilizem determinados serviços de computadores. Nesse contexto, são classificados como ataques DoS:

• A.

  buffer overflow; phishing; syn flooding

• B.

  buffer overflow; smurf; syn flooding

• C.

  buffer overflow; phishing; spoofing

• D.

  smurf; sniffing; syn flooding

• E.

  smurf; syn flooding; phishing

Paulo autorizou uma despesa em seu cartão de crédito mediante a utilização de senha pessoal. Ao receber a cobrança, procurou a administradora do cartão e negou a despesa. A administradora manteve a cobrança, provando a irretratabilidade da ação realizada. Esse procedimento só foi possível porque, no contexto da segurança da informação e, em relação à transação, a administradora provou pelo menos sua

• A.

  disponibilidade e confiabilidade

• B.

  disponibilidade e integridade

• C.

  portabilidade e autenticidade

• D.

  autenticidade e integridade

• E.

  privacidade e confiabilidade

A política de segurança da informação, segundo a Norma ISO 27002/2005, tem por objetivo prover uma orientação e apoio à direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.

PORQUE

As diretrizes para implementação da política de segurança da informação devem conter declaração dos gerentes de nível intermediário, apoiando as metas e os princípios da segurança da informação, alinhada com os objetivos e estratégias da tecnologia da informação.

Analisando as afirmações acima, conclui-se que

• A.

  as duas afirmações são verdadeiras, e a segunda justifica a primeira.

• B.

  as duas afirmações são verdadeiras, e a segunda não justifica a primeira.

• C.

  a primeira afirmação é verdadeira, e a segunda é falsa.

• D.

  a primeira afirmação é falsa, e a segunda é verdadeira.

• E.

  as duas afirmações são falsas.

Segundo a Norma ISO 27002:2005, convém que a proteção contra códigos maliciosos seja baseada em softwares de detecção de códigos maliciosos e reparo, na conscientização da segurança da informação, no controle de acesso adequado e nos controles de gerenciamento de mudanças. Para isso, essa norma prescreve que várias diretrizes sejam consideradas, sendo uma delas

• A.

  estabelecer uma política formal para proteção contra os riscos associados com a importação de arquivos e softwares, sejam de redes externas, ou de qualquer outro meio, indicando quais medidas preventivas devem ser adotadas.

• B.

  estabelecer uma política formal de busca e apreensão do software utilizado sem a licença apropriada.

• C.

  conduzir análises críticas regulares dos softwares e dados dos sistemas que suportam processos críticos de negócio; convém que quaisquer arquivos não aprovados ou com atualização não autorizada sejam formalmente descartados.

• D.

  auditar, inopinadamente, a existência de códigos maliciosos nos arquivos em mídias eletrônicas, bem como nos arquivos transmitidos através de redes.

• E.

  verificar, in loco, nos computadores pessoais e nos servidores de correio eletrônico, logo depois da sua instalação, a existência de software malicioso em qualquer arquivo recebido através de correio eletrônico ou importado (download).

Assinale a melhor definição de Evento:

• A.

  Qualquer ocorrência que tem significado para o gerenciamento de infraestrutura de TI ou entrega de serviço de TI e avaliação de impacto que um desvio pode causar aos serviços.

• B.

  Uma interrupção não planejada em um serviço de TI.

• C.

  A causa desconhecida de um ou mais incidentes.

• D.

  Algo que pode estar reduzindo a qualidade de um serviço ou provocando a interrupção de um serviço.

• E.

  Previnir incidentes recorrentes.

De acordo com a NBR/ISO 27002, Segurança da Informação é a proteção da informação de vários tipos de ameaças para

• A.

  garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.

• B.

  garantir a continuidade do negócio, minimizar as vulnerabilidades dos ativos de segurança, maximizar o retorno sobre os investimentos e as oportunidades de negócio.

• C.

  garantir a continuidade do negócio, facilitar o controle de acesso, maximizar o retorno sobre os investimentos e maximizar a disponibilidade dos sistemas de segurança.

• D.

  facilitar o controle de acesso, minimizar o risco ao negócio, maximizar a disponibilidade dos sistemas de segurança e as oportunidades de negócio.

• E.

  minimizar as vulnerabilidades dos ativos de segurança, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e a disponibilidade dos sistemas de segurança.

Segundo a NBR/ISO 27002, o objetivo da proteção contra códigos maliciosos e códigos móveis é proteger a

• A.

  irretratabilidade da informação.

• B.

  integridade do software e da informação.

• C.

  disponibilidade da informação.

• D.

  confidencialidade do software e da informação.

• E.

  autenticidade da informação.

Segundo a NBR/ISO 27002, adotar certo número de controles pode ser considerado um bom ponto de partida para a implementação da segurança da informação. Esses controles se baseiam tanto em requisitos legais como nas melhores práticas de segurança da informação normalmente usadas.

Relacione a lista de controles às respectivas categorias.

Estão corretas as associações

• A.

  I com P, R e S - II com Q, T e U

• B.

  I com Q, S e U - II com P, R e T

• C.

  I com P, S e U - II com Q, R e T

• D.

  I com Q, T e U - II com P, R e S

• E.

  I com P, R e T - II com Q, S e U

A empresa Consultores Financeiros, em conformidade com o prescrito na NBR/ISO 27002, realiza, periodicamente, a análise crítica da Política de Segurança da Informação da empresa. A Norma sugere que as entradas para a análise crítica pela direção incluam diversas informações, entre elas,

• A.

  tendências relacionadas com as ameaças e vulnerabilidades.

• B.

  declaração do comprometimento da direção com o processo.

• C.

  estrutura existente para as atividades de Segurança da Informação.

• D.

  ações relacionadas à melhoria dos controles.

• E.

  decisões sobre a alocação de recursos para as atividades de Segurança da Informação.