Avaliação AV GESTÃO DE SEGURANÇA DA INFORMAÇÃO 2013

Prévia do material em texto

Avaliação: CCT0185_AV_201201677521 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
	Tipo de Avaliação: AV 
	Aluno: 201201677521 - ELIZETE TERESINHA CANOFER VON MUHLEN 
	Professor:
	RENATO DOS PASSOS GUIMARAES
	Turma: 9001/AA
	Nota da Prova: 5,6        Nota de Partic.: 2        Data: 19/11/2013 10:31:20 
	 1a Questão (Ref.: 201201884905)
	9a sem.: GESTÃO DA CONFORMIDADE NBR ISO/IEC 15999
	Pontos: 0,8  / 0,8 
	Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. Qual das opções abaixo não está em conformidade com as orientações da norma citada? 
		
	
	Confirmar a natureza e extensão do incidente
	
	Tomar controle da situação
	
	Comunicar-se com as partes interessadas
	
	Controlar o incidente
	
	Afastar o incidente do cliente
	
	 2a Questão (Ref.: 201201884890)
	2a sem.: PRINCIPIOS DA SEGURANÇA E O CICLO DE VIDA DA INFORMAÇÃO
	Pontos: 0,8  / 0,8 
	No contexto da segurança da informação , defina os conceitos de Ativo, Vulnerabilidade e Ameaça. 
		
	
Resposta: Ativo qualquer coisa que tenha valor para a organização. Vulnerabilidade ausencia de um mecanismo de manutenção ou falha no mecanismo de manutenção. Ameaça evento que tem potencial em si proprio para comprometer os objetivos da organização, ou seja trazendo danos diretos aos ativos ou prejuizos decorrentes de situações inesperadas.
	
Gabarito: Ativo: qualquer coisa que tenha valor para a organização. Vulnerabilidade: A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente. Ameaça: Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas. 
	
	 3a Questão (Ref.: 201201884898)
	5a sem.: ATAQUES A SEGURANÇA
	Pontos: 0,8  / 0,8 
	Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo Fraggle e do tipo Smurf.
		
	
Resposta: Fraggle é um ataque que consiste em envio de excessivos numeros de pacotes Ping ao broadcast da rede, tendo como endereço de origem o ip da maquina alvo, assim todos os host do dominio de broadcast irão responder. Smurf é semelhante ao fraggle, a unica diferença é que utiliza o envio de pacotes dos protocolos UDP;
	
Gabarito: Um ataque do tipo Fraggle consitem no envio de um excessivo número de pacotes PING para o domínio de broadcast da rede, tendo como endereço IP de origem, a vítima desejada. Dessa forma todos os hosts do domínio de broadcast irão responder para o endereço IP da vítima, que foi mascarado pelo atacante, ficando desabilitada de suas funções normais. Já um ataque do tipo smurf é idêntico ao atque Fraggle, alterando apenas o fato que utiliza-se de pacotes do protocolo UDP.
	
	 4a Questão (Ref.: 201201804258)
	7a sem.: Segurança da Informação Segundo a NBR ISO/IEC 27002 (antiga ISO 17799)
	Pontos: 0,8  / 0,8 
	Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ?
		
	
	ISO/IEC 27005
	
	ISO/IEC 27002
	
	ISO/IEC 27003
	
	ISO/IEC 27001
	
	ISO/IEC 27004
	
	 5a Questão (Ref.: 201201804633)
	1a sem.: Introdução à Segurança da Informação
	Pontos: 0,8  / 0,8 
	Com relação à afirmação ¿São as vulnerabilidades que permitem que as ameaças se concretizem¿ podemos dizer que:
		
	
	A afirmativa é verdadeira.
	
	A afirmativa é falsa.
	
	A afirmativa é verdadeira somente para vulnerabilidades lógicas.
	
	A afirmativa é verdadeira somente para vulnerabilidades físicas.
	
	A afirmativa é verdadeira somente para ameaças identificadas.
	
	 6a Questão (Ref.: 201201804237)
	6a sem.: Gestão de Riscos em Segurança da Informação
	Pontos: 0,0  / 0,8 
	Você trabalha na área de gestão de risco da sua organização. Após a fase de análise de risco, você irá realizar a etapa de tratamento de risco através da implementação de controles que irão reduzir a probabilidade de ameaças se concretizarem , assim como a diminuição do grau de vulnerabilidade do ambiente de produção. Neste caso a medida de proteção implementada foi:
		
	
	Medidas de controles
	
	Métodos detectivos
	
	Medidas preventivas
	
	Medidas corretivas
	
	Medidas reativas
	 7a Questão (Ref.: 201201804162)
	4a sem.: Ameaças aos Sistemas de Informação
	Pontos: 0,8  / 0,8 
	Qual das opções abaixo não apresenta uma das quatro categorias conhecidas de Ataques?
		
	
	Repetição
	
	Disfarce 
	
	Negação de Serviço
	
	Modificação de mensagem 
	
	Aceitação de Serviço
	 
8a Questão (Ref.: 201201804204)
	5a sem.: Ataques à Segurança
	Pontos: 0,0  / 0,8 
	Antônio deseja obter informações sigilosas de uma importante empresa da área financeira. Para isso implementou um programa que que irá coletar informações pessoais e financeiros da vítima. Para obter sucesso no ataque, Antônio irá induzir o acesso a página fraudulenta através do envio de uma mensagem não solicitada. Neste caso estavamos nos referindo ao ataque do tipo
		
	
	Source Routing 
	
	SQL Injection 
	
	DDos 
	
	Phishing Scan 
	
	Shrink wrap code 
	
	 9a Questão (Ref.: 201201804184)
	5a sem.: Ataques à Segurança
	Pontos: 0,0  / 0,8 
	Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de um ataque externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao banco de dados de cadastro do cliente. Neste caso, foi utilizado um ataque de
		
	
	Fraggle
	
	SQL Injection 
	
	Fragmentação de Pacotes IP
	
	Smurf
	
	Buffer Overflow 
	
	 10a Questão (Ref.: 201201807241)
	1a sem.: Introdução à Segurança da Informação
	Pontos: 0,8  / 0,8 
	As proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo e podemos classificá-las de acordo com a sua ação e o momento em que ocorre. Qual das opções abaixo não corresponde à classificação das proteções de acordo com a sua ação e o momento na qual ela ocorre:
		
	
	Vulnerabilidade.
	
	Preventivas.
	
	Impacto.
	
	Risco.
	
	Ameaça.
	
	 11a Questão (Ref.: 201201807408)
	2a sem.: Princípios da Segurança e o Ciclo de Vida da Informação
	DESCARTADA 
	Quando uma informação é classificada como aquela que é interna, restrita a um grupo seleto dentro da organização. Sua integridade deve ser preservada a qualquer custo e o acesso bastante limitado e seguro, sendo vital para a companhia podemos então afirmar que ela possui qual nível de segurança?
		
	
	Confidencial.
	
	Secreta.
	
	Proibida.
	
	Pública.
	
	Interna.