Baixe o app para aproveitar ainda mais
Prévia do material em texto
Parte superior do formulário Processando, aguarde ... Fechar Avaliação: CCT0185_AV_201402294085 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO Tipo de Avaliação: AV Aluno: 201402294085 - CAROLINA GOMES VEVIANI Professor: RENATO DOS PASSOS GUIMARAES Turma: 9001/AA Nota da Prova: 8,0 Nota de Partic.: 2 Av. Parcial 2 Data: 17/11/2015 14:09:40 1a Questão (Ref.: 201402463111) 1a sem.: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Pontos: 1,5 / 1,5 Cada empresa ao tratar a segurança da informação e independentemente de sua área de negócio e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios fundamentais da segurança da informação. Fale sobre cada um dos três princípios. Resposta: Disponibilidade: Garantia de que só os usuários autorizados obterão acesso às informações e ativos corresponentes sempre que necessário. Integridade: Salvaguardar a completeza e exatidão das informações e dos métodos de processamento. Confidencialidade: Garantia de que os usuários autorizados obterão acesso às informações e ativos correspondentes sempre que necessário. Gabarito: Disponibilidade: Garantia de que só usuários autorizados obtêm acesso à informação e aos ativos correspondentes sempre que necessário. Integridade: Salvaguardar a exatidão e completeza da informação e dos métodos de processamento. Confidencialidade: Garantia de que os usuários autorizados obtém acesso à informação e aos ativos correspondentes sempre que necessários 2a Questão (Ref.: 201402474732) 9a sem.: GESTÃO DA CONFORMIDADE CONFORME A NBR ISO/IEC 15999 Pontos: 1,5 / 1,5 O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto, explique o elemento "Testando e Mantendo" do GCN: Resposta: A organização precisa verificar se os planos e estratégias estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e identificadas as oportunidades de melhorias possíveis. Para que as partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de Continuidade do negócio deverá se tornar parte dos valores da empresa, através da sua inclusão na cultura da organização. Gabarito: Testando e mantendo: A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis. Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa. 3a Questão (Ref.: 201402385480) 1a sem.: Introdução à Segurança da Informação Pontos: 0,5 / 0,5 Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que possam impactar no estudo e implementação de um processo de gestão de segurança em uma organização? insegurança Ameaça. Vulnerabilidade. Risco. Impacto . 4a Questão (Ref.: 201402385617) 2a sem.: Princípios da Segurança e o Ciclo de Vida da Informação Pontos: 0,5 / 0,5 Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no ramo financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou à imagem da sua empresa, além de gerar vantagens aos concorrentes e também possíveis perda de clientes. Neste caso você classificaria estas informações em qual nível de segurança? Irrestrito. Confidencial. Interna. Secreta. Pública. 5a Questão (Ref.: 201402551990) sem. N/A: VULNERABILIDADES DE SEGURANÇA Pontos: 0,5 / 0,5 As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemplos de Vulnerabilidade Física: Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade de recursos quando necessários. Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. 6a Questão (Ref.: 201403029552) sem. N/A: Ameaças aos Sistemas de Informação Pontos: 0,5 / 0,5 Com relação as ameaças aos sistema de informação, assinale a opção correta: Backdoor é um programa que permite o acesso de uma máquina a um invasor de computador, pois assegura a acessibilidade a essa máquina em modo remoto, sem utilizar, novamente, os métodos de realização da invasão. Bot é um programa capaz de se propagar, automaticamente, por rede, pois envia cópias de si mesmo de computador para computador, por meio de execução direta ou por exploração automática das vulnerabilidades existentes em programas instalados em computadores. Vírus é um programa que monitora as atividades de um sistema e envia informações relativas a essas atividades para terceiros. Um exemplo é o vírus keylogger que é capaz de armazenar os caracteres digitados pelo usuário de um computador. Spyware é um programa que permite o controle remoto do agente invasor e é capaz de se propagar automaticamente, pois explora vulnerabilidades existentes em programas instalados em computadores. Worm é um programa ou parte de um programa de computador, usualmente malicioso, que se propaga ao criar cópias de si mesmo e, assim, se torna parte de outros programas e arquivos. 7a Questão (Ref.: 201402382429) 5a sem.: Ataques à Segurança Pontos: 0,5 / 0,5 Um hacker está planejando um ataque a uma importante empresa de E-commerce. Desta forma será necessário levantar quais os serviços de rede estão disponíveis na rede da empresa. Para alcançar o seu objetivo o invasor tentará levantar estas informações através da escuta das portas do protocolo TCP e UDP. Neste caso estamos nos referindo a um ataque do tipo: Port Scanning Fragmentação de Pacotes IP SYN Flooding Three-way-handshake Fraggle 8a Questão (Ref.: 201402382454) 6a sem.: Gestão de Riscos em Segurança da Informação Pontos: 0,5 / 0,5 Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de infra-estrutura, pretende instalar algumas câmeras de vídeo, além da colocação de avisos sobre a existência de alarmes. Neste caso que tipo de barreira você está implementando? Dificultar Discriminar Detectar Desencorajar Deter 9a Questão (Ref.: 201402470123) 8a sem.: GESTÃO DE SEGURANÇA DA INFORMAÇÃO SEGUNDO A NBR ISO/IEC 27001 Pontos: 1,0 / 1,0 Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares?Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. 10a Questão (Ref.: 201402892584) sem. N/A: Gestão da Conformidade do Negócio Segundo a NBR ISO/IEC 15999 Pontos: 1,0 / 1,0 Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente para manter ou restaurar as operações. No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento: Desenvolvendo e implementando uma resposta de GCN. Testando, mantendo e analisando criticamente os preparativos de GCN. Determinando a estratégia de continuidade de negócios. Entendendo a organização. Incluindo a GCN na cultura da organização. Período de não visualização da prova: desde 12/11/2015 até 24/11/2015. Parte inferior do formulário
Compartilhar