Baixe o app para aproveitar ainda mais
Prévia do material em texto
Avaliação On-Line Avaliação: AV2-2012.3EAD-GESTÃO DE SEGURANÇA DA INFORMAÇÃO-CCT0185 Disciplina: CCT0185 - GESTÃO DE SEGURANÇA DA INFORMAÇÃO Tipo de Avaliação: AV2 Aluno: 201107083061 - GERALDO LUCAS GOMES Nota da Prova: 6.5 Nota do Trabalho: Nota da Participação: Total: 6,5 Prova On-Line Questão: 1 (137584) Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Neste caso estamos nos referindo a que tipo de risco: Pontos da Questão: 1 Risco real; Risco verdadeiro; Risco residual; Risco percebido; Risco tratado; Questão: 2 (137624) Qual das opções abaixo não representa uma das etapas da Gestão de Risco: Pontos da Questão: 0,5 Manter e melhorar os riscos identificados nos ativos Identificar e avaliar os riscos. Verificar e analisar criticamente os riscos. Selecionar, implementar e operar controles para tratar os riscos. Manter e melhorar os controles Questão: 3 (126455) O valor da informação para as empresas é considerado, na atualidade, como algo imensurável. Nos últimos anos, a demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Neste contexto qual das opções abaixo poderá definir melhor o conceito de “Dado”? Pontos da Questão: 1 Elemento identificado em sua forma trabalhada que por si só não conduz a uma compreensão de determinado fato ou situação. Elemento não identificado e que por si só não conduz a uma compreensão de determinado fato ou situação. Elemento identificado em sua forma bruta e que por si só não conduz a uma compreensão de determinado fato ou situação. Elemento identificado em sua forma bruta e que por si só conduz a varias compreensões de fatos ou situações. Elemento identificado em sua forma trabalhada e que por si só conduz a várias compreensões de fatos e situações. Questão: 4 (137587) Página 1 de 4Visualização de Prova 19/12/2012https://sia.estacio.br/portal/prt0010a.asp?p1=4430860&p2=13116&p3=1284726 Qual das opções abaixo descreve um tipo de ataque onde é possível obter informações sobre um endereço específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão sendo executados em cada computador ? Pontos da Questão: 0,5 Ataques de códigos pré-fabricados Ataque de Configuração mal feita Ataque para Obtenção de Informações Ataque á Aplicação Ataque aos Sistemas Operacionais Questão: AV22011CCT018505185 (137628) 5 - Identificar as vulnerabilidades que podem contribuir para as ocorrências de incidentes de segurança é um aspecto importante na identificação de medidas adequadas de segurança. Qual a diferença entre análise de vulnerabilidade, teste de vulnerabilidade e pesquisa de vulnerabilidade? Pontos da Questão: 1,5 Resposta do Aluno: Análise de vulnerabilidade procura analisar as possíveis falhas que possam permitir o aparecemento de ameaças potenciais a organização. Ja no teste de vulnerabilidade é realizado simulações para testes a segurança. Na pesquisa de vulnerabilidade é realizado observando situações que possam expor a organização a possíveis ameaças. Gabarito: Análise vulnerabilidade: Verificar a existência de falhas de segurança no ambiente de TI das empresas. Teste de vulnerabilidade: Determinação de que falhas de segurança podem ser aplicadas à máquina ou rede alvo. Pesquisa de vulnerabilidade: Significa descobrir as falhas e deficiência em um produto ou aplicação que podem comprometer a segurança. Fundamentação do Professor: Pontos do Aluno: Análise vulnerabilidade: Verificar a existência de falhas de segurança no ambiente de TI das empresas. Teste de vulnerabilidade: Determinação de que falhas de segurança podem ser aplicadas à máquina ou rede alvo. Pesquisa de vulnerabilidade: Significa descobrir as falhas e deficiência em um produto ou aplicação que podem comprometer a segurança. 1 Questão: 6 (127718) As Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos e etc. poderão ser classificadas como: Pontos da Questão: 0,5 Globalizadas. Da natureza. Ocasionais. Naturais. Destrutivas. Questão: AV22011CCT018505191 (137539) 7 - Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo Fraggle e do tipo Smurf. Pontos da Questão: 1,5 Resposta do Aluno: Podemos definir os Smurfs como tipos de ataques passivos, enquanto que os ataque tipo Fraggle são aqueles que tem como objetivo alterar os dados do sistema. Gabarito: (pontuar 0,75 por cada resposta )Um ataque do tipo Fraggle consitem no envio de um excessivo número de pacotes PING para o domínio de broadcast da rede, tendo como endereço IP de origem, a vítima desejada. Dessa forma todos os hosts do domínio de Página 2 de 4Visualização de Prova 19/12/2012https://sia.estacio.br/portal/prt0010a.asp?p1=4430860&p2=13116&p3=1284726 broadcast irão responder para o endereço IP da vítima, que foi mascarado pelo atacante, ficando desabilitada de suas funções normais. Já um ataque do tipo smurf é idêntico ao atque Fraggle, alterando apenas o fato que utiliza-se de pacotes do protocolo UDP. Fundamentação do Professor: Pontos do Aluno: questão anulada 1,5 Questão: 8 (137453) Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Pontos da Questão: 0,5 Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Questão: 9 (137529) A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos de processamento de dados e aos processos de negócios com base nos requisitos de negócio e na segurança da informação levando em consideração as políticas para autorização e disseminação da informação. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança: Pontos da Questão: 0,5 Desenvolvimento e Manutenção de Sistemas. Controle de Acesso. Segurança Física e do Ambiente. Segurança em Recursos Humanos. Gerenciamento das Operações e Comunicações. Questão: 10 (132375) Os possíveis defeitos de fabricação ou configuração dos equipamentos das empresas que podem permitir o ataque ou a alteração dos mesmos são classificados como vulnerabilidades de: Pontos da Questão: 0,5 Hardware; Mídia; Software; Comunicação; Humana; Página 3 de 4Visualização de Prova 19/12/2012https://sia.estacio.br/portal/prt0010a.asp?p1=4430860&p2=13116&p3=1284726 Fechar Server IP : 192.168.10.137 Client IP: 164.85.68.12 Tempo de execução da página : 1,156 Página 4 de 4Visualização de Prova 19/12/2012https://sia.estacio.br/portal/prt0010a.asp?p1=4430860&p2=13116&p3=1284726
Compartilhar