GESTÃO DE SEGURANÇA DA INFORMAÇÃO AV.2014.1 (1)

Prévia do material em texto

Avaliação: GESTÃO DE SEGURANÇA DA INFORMAÇÃO
	Tipo de Avaliação: AV
	
	
	
	
	Nota da Prova: 6,0        Nota de Partic.: 1,5        Data: 11/06/2014 17:18:50
	 1a Questão (Ref.: 201201614296)
	Pontos: 1,5  / 1,5
	No âmbito da segurança da Informação, uma das etapas de implementação é a classificação da Informação. Em que consiste o processo de classificação da Informação?
		
	
Resposta: A classificação da Informação consiste em definir os níveis de segurança em relação ao seu conteúdo na qual ela poderá ser divulgada, se irrestrito, no caso informação pública até mesmo no nível secreto, no caso de extrema segurança onde apenas um grupo seleto de pessoas tem acesso. A informação também pode ser classificada quanto a forma que será manipulada, armazenada e descartada.
	
Gabarito: O processo de classificação da informação consiste em identificar quais são os níveis de proteção que as informações demandam e estabelecer classes e formas de identificá-las, além de determinar os controles de proteção a cada uma delas.
	
	
	 2a Questão (Ref.: 201201533660)
	Pontos: 1,0  / 1,0
	Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta um conjunto típico destes documentos?
		
	 
	Diretrizes; Normas e Procedimentos
	
	Diretrizes; Normas e Relatórios
	
	Diretrizes; Manuais e Procedimentos
	
	Manuais; Normas e Procedimentos
	
	Manuais; Normas e Relatórios
	
	
	 3a Questão (Ref.: 201201536743)
	Pontos: 0,5  / 0,5
	O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas está relacionado com qual conceito?
		
	 
	Ameaça.
	
	Vulnerabilidade.
	
	Valor.
	
	Impacto.
	
	Risco.
	
	
	 4a Questão (Ref.: 201201536658)
	Pontos: 0,0  / 0,5
	Cada empresa ao tratar segurança da informação e independentemente de sua área de negócio e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios considerados como fundamentais para atingir os objetivos da Segurança da Informação:
		
	 
	Confidencialidade, Disponibilidade e Integridade.
	
	Confidencialidade, Indisponibilidade e Integridade.
	 
	Confiabilidade, Disponibilidade e Integridade.
	
	Confiabilidade, Disponibilidade e Intencionalidade.
	
	Confidencialidade, Descrição e Integridade.
	
	
	 5a Questão (Ref.: 201201703205)
	Pontos: 0,5  / 0,5
	As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware:
		
	
	Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas.
	
	Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação.
	 
	Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação.
	
	Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações.
	
	Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
	
	
	 6a Questão (Ref.: 201201533574)
	Pontos: 0,5  / 0,5
	As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões e etc. poderão ser classificadas como:
		
	
	Destrutivas
	
	Insconsequentes
	
	Globalizadas
	
	Tecnológicas.
	 
	Voluntárias
	
	
	 7a Questão (Ref.: 201201533610)
	Pontos: 0,5  / 0,5
	Um hacker está planejando um ataque a uma importante empresa de E-commerce. Desta forma será necessário levantar quais os serviços de rede estão disponíveis na rede da empresa. Para alcançar o seu objetivo o invasor tentará levantar estas informações através da escuta das portas do protocolo TCP e UDP. Neste caso estamos nos referindo a um ataque do tipo:
		
	
	Fragmentação de Pacotes IP
	 
	Port Scanning
	
	Fraggle
	
	SYN Flooding
	
	Three-way-handshake
	
	
	 8a Questão (Ref.: 201201625910)
	Pontos: 1,0  / 1,5
	O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto., explique o elemento "Entendendo a organização" do GCN:
		
	
Resposta: O elemento "Entendendo a organização" avalia como GCN poderá ser implementado dentro da organização, quais maneiras essa organização trabalha para gerir a continuidade dos negócios em caso de incidentes, e caso não seja encontrada falhas, deverá ser implementadas e corrigidas. O GCN define como as organizações devem responder aos incidentes e convocar todos os que tem seu nome citados no plano de continuidade para poderem ser treinados.
	
Gabarito: Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los.
	
	
	 9a Questão (Ref.: 201201533641)
	Pontos: 0,5  / 0,5
	Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da Informação:
		
	
	Probabilidade de um ativo explorar uma ameaça.
	
	Probabilidade de um ativo explorar uma vulnerabilidade.
	
	Probabilidade de um incidente ocorrer mais vezes.
	
	Probabilidade de uma ameaça explorar um incidente.
	 
	Probabilidade de uma ameaça explorar uma vulnerabilidade
	
	
	 10a Questão (Ref.: 201201565972)
	Pontos: 0,0  / 1,0
	Ana, Bernardo e Carlos precisam se comunicar de forma segura, e, para tal, cada um possui um par de chaves assimétricas, sendo uma delas pública e a outra, privada, emitidas por autoridade certificadora confiável. Uma mensagem será enviada de Ana para Bernardo, satisfazendo às seguintes condições: 
1 - a mensagem deve ser criptografada de modo que não seja interceptável no caminho; 
2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana; 
3 - deve ser possível continuar enviando mensagens, entre as 3 pessoas, que atendam às condições anteriores.
A mensagem de Ana para Bernardo deve ser assinada
		
	
	com a chave privada de Bernardo e criptografada com a chave pública de Ana.
	
	e criptografada com a chave pública de Ana.
	
	e criptografada com a chave privada de Bernardo.
	 
	com a chave pública de Ana e criptografada com a chave privada de Bernardo.
	 
	com a chave privada de Ana e criptografada com a chave pública de Bernardo.