GESTÃO DE SEGURANÇA DA INFORMAÇÃO AV 1º SEM 2014

•

ESTÁCIO EAD

10

1

10

1

0

Carla Danubia Nascimento Rodrigues

17/06/2014

E aí, curtiu este material?

Ajude a incentivar outros estudantes a melhorar o conteúdo

Gostou desse material? Compartilhe! 🧡

Gestão de Segurança da Informação

13.558 Materiais compartilhados

Baixe o app para aproveitar ainda mais

Leia os materiais offline, sem usar a internet. Além de vários outros recursos!

Prévia do material em texto

Avaliação: GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Tipo de Avaliação: AV

Professor:

Turma:
Nota da Prova: 7,5 Nota de Partic.: 2 Data: 11/06/2014

1a Questão (Ref.: 201301681682)
Pontos: 1,5 / 1,5
Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo SQL Injection e um ataque de Buffer Overflow?

Resposta: Ataque do tipo SQL Injection é um tipo de ataque que aproveita de falhas em sistemas que interagem com a base de dados através da utilização de SQL. A injeção de SQL ocorre quandoo ataque consegue inserir uma série de instruções SQL dentro de uma consulta (query) através de manipulaçãodas entradas de dados de uma aplicação. Já o ataque Buffer Overflow consiste em enviar para um programa que espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o padrão de entrada de dados.

Gabarito: Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação. Já o ataque de Buffer overflow consiste em enviar para um programa que espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o padrão de entrada de dados.

2a Questão (Ref.: 201301604007)
Pontos: 0,5 / 0,5
De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio e de segurança¿, podemos dizer que:

A afirmação é somente falsa para as empresas privadas.

A afirmação será somente verdadeira se as empresas forem de um mesmo mercado.
A afirmação é verdadeira.

A afirmação é falsa.

A afirmação é somente verdadeira para as empresas privadas.

3a Questão (Ref.: 201301693290)
Pontos: 1,0 / 1,5
A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI, explique a etapa "Check" do PDCA:

Resposta: Também conhecida como 'plano de Deming' o PDCA é uma das primeiras ferramentas de gestão de qualidade. O PDCA foi criado na decada de 20. PDCA é a sigla das palavras em inglês Plan - Planejas, Do - Fazer, Check - Checar, e Action - Agir/corrigir. PDCA é um metodo aplamente aplicado para o controle das atividades de uma organização principalmente aquelas relacionadas as melhorias possibilitando a padronização nas informações do controle de qualidade e a menor probabilidade de erros nas análises ao tomar as informações mais enendiveis. Ele consiste numa sequencia de passos utilizados para controlar qualquer processo definido. É uma ferramenta que auxilia na organização do processo de implementação de melhorias, dando uma diretriz para a condução dos projetos.

Gabarito: Check (monitorar e analisar criticamente o SGSI): - A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação. - Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. Deve ser realizado também a análise crítica das análises/avaliações de risco a intervalos regulares e ainda realizadas auditorias regularmente. Em função dos resultados das atividades de monitoramento e análise crítica os planos de segurança devem ser atualizados.

4a Questão (Ref.: 201301604021)
Pontos: 0,5 / 0,5
Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada com o conceito de?

Ameaça.

Impacto.
Vulnerabilidade.

Valor.

Risco.

5a Questão (Ref.: 201301600931)
Pontos: 0,5 / 0,5
Um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador pode ser descrito como sendo um:

Worm

Java Script

Active-x
Adware

Spyware

6a Questão (Ref.: 201301675037)
Pontos: 0,5 / 0,5
Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar, antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o maior número de ataques de natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site mas para varias instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso no caso foi utilizado um Denial-of service.. O banco de dados IBGE não foi afetado, o portal é mais informativo, não comprometendo aos dados internos e criticos que não devem ser divulgados. Qual você acha que foi a vulnerabilidade para este ataque?

Vulnerabilidade Mídias

Vulnerabilidade Comunicação

Vulnerabilidade Natural

Vulnerabilidade Física
Vulnerabilidade Software

7a Questão (Ref.: 201301787230)
Pontos: 0,5 / 0,5
Existem diferentes caminhos que um atacante pode seguir para obter acesso ao sistema. Normalmente o atacante irá explorar uma vulnerabilidade ou fraqueza do sistema. O ataque que tem como objetivo a verificação do lixo em busca de informações que possam facilitar o ataque é denominado:

IP Spoofing

Ataque smurf

Packet Sniffing
Dumpster diving ou trashing

SQL Injection

8a Questão (Ref.: 201301601023)
Pontos: 0,5 / 0,5
Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da Informação:

Probabilidade de uma ameaça explorar um incidente.
Probabilidade de uma ameaça explorar uma vulnerabilidade

Probabilidade de um incidente ocorrer mais vezes.

Probabilidade de um ativo explorar uma ameaça.

Probabilidade de um ativo explorar uma vulnerabilidade.

9a Questão (Ref.: 201301601404)
Pontos: 1,0 / 1,0
A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada:

implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado.

implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI.
implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado

implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais.

implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI.

10a Questão (Ref.: 201301681711)
Pontos: 1,0 / 1,0
Qual das opções abaixo NÃO é correta quando tratamos do conceito de Perímetro de segurança e seus componentes ?

Redes Não Confiáveis - Não é possível informar se necessitam de proteção.

Redes Não Confiáveis - Não possuem controleda administração.

Redes Confiáveis - Localizadas no perímetro de segurança da rede, portanto necessitam de proteção

Redes Não Confiáveis - Não possuem políticas de segurança.

Redes Desconhecidas - Não é possível informar, de modo explícito, se a rede é confiável ou não confiável.