Baixe o app para aproveitar ainda mais
Prévia do material em texto
27/11/12 Visualização de Prov a 1/3https://sia.estacio.br/portal/prt0010a.asp?p1=4456627&p2=13116&p3=1282468 Notas de Provas Avaliação On-Line Avaliação: AV2-2012.3EAD-GESTÃO DE SEGURANÇA DA INFORMAÇÃO-CCT0185 Disciplina: CCT0185 - GESTÃO DE SEGURANÇA DA INFORMAÇÃO Tipo de Avaliação: AV2 Aluno: 201107075785 - ANGELO DOS SANTOS ROCHA Nota da Prova: 4 Nota do Trabalho: Nota da Participação: 2 Total: 6 Prova On-Line Questão: AV22011CCT018505184 (137623) 1 - No âmbito da segurança da Informação, uma das etapas de implementação é a classificação da Informação. Em que consiste o processo de classificação da Informação? Pontos da Questão: 1,5 Resposta do Aluno: O processo de classificação,consiste em qualificar as informações existentes quanto ao valor, o conteúdo e importância para uma empresa, mantendo os padrões de SGSI que são confiabilidade e confidencialidade Gabarito: O processo de classificação da informação consiste em identificar quais são os níveis de proteção que as informações demandam e estabelecer classes e formas de identificá-las, além de determinar os controles de proteção a cada uma delas. Fundamentação do Professor: Resposta parcialmente correta Pontos do Aluno: 1 Questão: 2 (128188) Segundo a RFC 2828 os ataques podem ser definidos como “um ataque à segurança do sistema, derivado de uma ameaça inteligente, ou seja, um ato inteligente que é uma tentativa deliberada de burlar os serviços de segurança e violar a política de segurança de um sistema”. Os ataques ser classificados como: Pontos da Questão: 0,5 Passivo e Ativo Passivo e Vulnerável Forte e Fraco Secreto e Vulnerável Secreto e Ativo Questão: 3 (137584) Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Neste caso estamos nos referindo a que tipo de risco: Pontos da Questão: 1 Risco verdadeiro; Risco real; Risco residual; Risco percebido; Risco tratado; 27/11/12 2/3https://sia.estacio.br/portal/prt0010a.asp?p1=4456627&p2=13116&p3=1282468 Questão: 4 (137583) Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opções abaixo Não representa um destes tipos de ataques? Pontos da Questão: 0,5 Ataque de Configuração mal feita Ataque para Obtenção de Informações Ataque aos Sistemas Operacionais Ataque á Aplicação Ataques Genéricos Questão: AV22011CCT018505192 (137549) 5 - Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo SQL Injection e um ataque de Buffer Overflow? Pontos da Questão: 1,5 Resposta do Aluno: SQL injection - Intodução de dados ao servidor para obtenção de acesso Buffer Overflow - Sobrecarrega o buffer do sistema para acesso sem ser percebido Gabarito: Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação. Já o ataque de Buffer overflow consiste em enviar para um programa que espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o padrão de entrada de dados. Fundamentação do Professor: Resposta errada Pontos do Aluno: 0 Questão: 6 (137471) Quando devem ser executadas as ações corretivas? Pontos da Questão: 0,5 Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para garantir as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas somente para eliminar o resultado da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição Questão: 7 (127712) Qual das opções abaixo refere-se ao conceito definido pela RFC 2828 do Internet Security Glossary : “Potencial para violação da segurança quando há uma circunstância, capacidade, ação ou evento que pode quebrar a segurança e causar danos” . Pontos da Questão: 0,5 Ameaça. Confidencialidade. Incidente. 27/11/12 Visualização de Prov a https://sia.estacio.br/portal/prt0010a.asp?p1=4456627&p2=13116&p3=1282468 Vulnerabilidade. Impacto. Questão: 8 (127662) Você é um consultor de segurança e trabalha em projetos de segurança da informação, que tem como uma das suas etapas a atividade de classificação dos ativos da organização. Qual das opções abaixo não representa um exemplo de Ativo Intangível: Pontos da Questão: 1 Confiabilidade de um Banco. Qualidade do Serviço. Imagem da Empresa no Mercado. Sistema de Informação. Marca de um Produto. Questão: 9 (137527) A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança: Pontos da Questão: 0,5 Controle de Acesso. Gerenciamento das Operações e Comunicações. Segurança dos Ativos. Segurança Física e do Ambiente. Segurança em Recursos Humanos. Questão: 10 (137626) Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são utilizados termos numéricos para os componentes associados ao risco. Pontos da Questão: 0,5 Método Exploratório. Método Classificatório. Método Quantitativo. Método Numérico. Método Qualitativo. Fechar Server IP : 192.168.10.137 Client IP: 187.14.106.167 Tempo de execução da página : 0,953
Compartilhar