Baixe o app para aproveitar ainda mais
Prévia do material em texto
Fechar Avaliação: CCT0059_AV2_201201658985 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO Tipo de Avaliação: AV2 Aluno: Professor: Turma: 9012/L Nota da Prova: 3,0 de 8,0 Nota do Trab.: 0 Nota de Partic.: 0 Data: 18/06/2014 11:32:16 1a Questão (Ref.: 201201876117) Pontos: 0,0 / 1,5 A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI, explique a etapa "Check" do PDCA: Resposta: A etapa de "Check" é a etapa de checagem, de analise do PDCA. Gabarito: Check (monitorar e analisar criticamente o SGSI): - A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação. - Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. Deve ser realizado também a análise crítica das análises/avaliações de risco a intervalos regulares e ainda realizadas auditorias regularmente. Em função dos resultados das atividades de monitoramento e análise crítica os planos de segurança devem ser atualizados. 2a Questão (Ref.: 201201783758) Pontos: 0,0 / 0,5 Um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador pode ser descrito como sendo um: Spyware Active-x Worm Java Script Adware 3a Questão (Ref.: 201201958796) Pontos: 1,0 / 1,0 Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação. Os riscos residuais são conhecidos antes da comunicação do risco. Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. 4a Questão (Ref.: 201201786953) Pontos: 0,5 / 0,5 O tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma determinada ameaça causará está relacionado com qual conceito de? Risco. Vulnerabilidade. Valor. Impacto. Ameaça. 5a Questão (Ref.: 201201864544) Pontos: 1,0 / 1,0 Os algoritmos de criptografia podem ser classificados quanto a simetria das suas chaves. Neste sentido é correto afirmar que? A criptografia simétrica ou de chave única é aquela quando o emissor e receptor utilizam a mesma chave A criptografia assimétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes A criptografia simétrica ou de chave única é aquela quando o emissor e receptor não utilizam a mesma chave A criptografia simétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes A criptografia assimétrica ou de chave pública, quando o emissor e receptor só utilizam as mesmas chaves 6a Questão (Ref.: 201201787043) Pontos: 0,0 / 0,5 Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das opções abaixo indica o tipo de "valor da informação" que pode ser atribuído ao seguinte conceito: "Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas"? Valor de propriedade. Valor de troca. Valor de restrição. Valor de negócio. Valor de uso. 7a Questão (Ref.: 201201958692) Pontos: 0,5 / 0,5 Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005. As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana. O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido. Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança. 8a Questão (Ref.: 201201864509) Pontos: 0,0 / 1,5 Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo SQL Injection e um ataque de Buffer Overflow? Resposta: No ataque tipo SQL Injection é inserido ou modificado, ja no Buffer Overflow é tipo espionar, salvar as coisas. Gabarito: Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação. Já o ataque de Buffer overflow consiste em enviar para um programa que espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o padrão de entrada de dados. 9a Questão (Ref.: 201201783765) Pontos: 0,0 / 0,5 Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões? Secreto Fraco Passivo Forte Ativo 10a Questão (Ref.: 201201783850) Pontos: 0,0 / 0,5 Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da Informação: Probabilidade de um ativo explorar uma vulnerabilidade. Probabilidade de um incidente ocorrer mais vezes. Probabilidade de um ativo explorar uma ameaça. Probabilidade de uma ameaça explorar uma vulnerabilidade Probabilidade de uma ameaça explorar um incidente.
Compartilhar