Baixe o app para aproveitar ainda mais
Prévia do material em texto
Avaliação: CCT0185_AV2_201201170541 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO Tipo de Avaliação: AV2 Aluno: 201201170541 - MARCO ANTONIO SILVA JORGE Professor: SHEILA DE GOES MONTEIRO SERGIO RODRIGUES AFFONSO FRANCO Turma: 9003/AM Nota da Prova: 5,5 de 8,0 Nota do Trabalho: Nota de Participação: 1 Data: 10/06/2013 13:09:20 1a Questão (Cód.: 139617) Pontos: 1,5 / 1,5 No contexto da segurança da informação , defina os conceitos de Ativo, Vulnerabilidade e Ameaça. Resposta: Ativo: tudo que tem valor para a organização, Vulnerabilidade: alguma falha ou falta de dispositivo de segurança, ameça: algo que pode ocasionar um dano a algum ativo da organização causando um impacto. Gabarito: Ativo: qualquer coisa que tenha valor para a organização. Vulnerabilidade: A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente. Ameaça: Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas. 2a Questão (Cód.: 132981) Pontos: 0,0 / 1,0 Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar, antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o maior número de ataques de natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site mas para varias instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso no caso foi utilizado um Denial-of service.. O banco de dados IBGE não foi afetado, o portal é mais informativo, não comprometendo aos dados internos e criticos que não devem ser divulgados. Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade Mídias Vulnerabilidade Física Vulnerabilidade Software Vulnerabilidade Natural Vulnerabilidade Comunicação 3a Questão (Cód.: 61951) Pontos: 0,5 / 0,5 De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio e de segurança¿, podemos dizer que: A afirmação é falsa. A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. A afirmação é somente falsa para as empresas privadas. A afirmação é somente verdadeira para as empresas privadas. A afirmação é verdadeira. 4a Questão (Cód.: 139631) Pontos: 0,0 / 1,0 Analise a frase abaixo: ¿Capacidade de uma organização de resistir aos efeitos de um incidente.¿ Assinale qual das opções representa o conceito correto da frase acima: Recuperação Resiliência Restauração Resistência Rescaldo 5a Questão (Cód.: 139626) Pontos: 1,5 / 1,5 Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo SQL Injection e um ataque de Buffer Overflow? Resposta: O ataque do tipo SQL Injection, afeta os programas que interagem com base de dados em banco de dados SQL, e o ataque de Buffer Overflow é um ataque que envia dados ou informações inconsistentes para o programa, que espera por dados específicos. Gabarito: Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação. Já o ataque de Buffer overflow consiste em enviar para um programa que espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o padrão de entrada de dados. 6a Questão (Cód.: 59365) Pontos: 0,5 / 0,5 Ao analisarmos a afirmativa: ¿Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça¿. Podemos dizer que é: verdadeira falsa, pois não devemos considerar que diferentes ameaças existem . falsa, pois não depende do ativo afetado. falsa, pois os impactos são sempre iguais para ameaças diferentes. parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça. 7a Questão (Cód.: 58980) Pontos: 0,0 / 0,5 Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são utilizados termos com menções mais subjetivas, tais como alto, médio e baixo: Método Exploratório Método Subjetivo. Método Classificatório. Método Quantitativo Método Qualitativo 8a Questão (Cód.: 94144) Pontos: 0,5 / 0,5 A rede delimitadora que tem como objetivo principal segregar o ambiente interno (seguro) do ambiente externo (inseguro), é conhecida como: zona desmilitarizada (DMZ). tcp/ip. backbone. wi-fi. pki. 9a Questão (Cód.: 59360) Pontos: 0,5 / 0,5 Com relação à afirmação ¿São as vulnerabilidades que permitem que as ameaças se concretizem¿ podemos dizer que: A afirmativa é verdadeira somente para vulnerabilidades físicas. A afirmativa é verdadeira somente para vulnerabilidades lógicas. A afirmativa é falsa. A afirmativa é verdadeira. A afirmativa é verdadeira somente para ameaças identificadas. 10a Questão (Cód.: 58987) Pontos: 0,5 / 0,5 A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de Segurança? Gestão da Continuidade do Negócio Segurança Física e do Ambiente. Controle de Acesso Gestão de Incidentes de Segurança da Informação Gerenciamento das Operações e Comunicações
Compartilhar