Avaliação de Gestão de Segurança da Informação

Prévia do material em texto

Fechar 
 
Avaliação: CCT0059_AV2_201201658985 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Tipo de Avaliação: AV2 
Aluno: 
Professor: 
 
Turma: 9012/L 
Nota da Prova: 3,0 de 8,0 Nota do Trab.: 0 Nota de Partic.: 0 Data: 18/06/2014 11:32:16 
 
 
 1a Questão (Ref.: 201201876117) Pontos: 0,0 / 1,5 
A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o 
SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua 
gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do 
SGSI, explique a etapa "Check" do PDCA: 
 
 
Resposta: A etapa de "Check" é a etapa de checagem, de analise do PDCA. 
 
 
Gabarito: Check (monitorar e analisar criticamente o SGSI): - A organização deve implementar procedimentos 
de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e 
violações de segurança bem-sucedida, e os incidente de segurança da informação. - Os procedimentos de 
análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, 
dos incidentes de segurança, dos resultados das medições e sugestões. Deve ser realizado também a análise 
crítica das análises/avaliações de risco a intervalos regulares e ainda realizadas auditorias regularmente. Em 
função dos resultados das atividades de monitoramento e análise crítica os planos de segurança devem ser 
atualizados. 
 
 
 
 2a Questão (Ref.: 201201783758) Pontos: 0,0 / 0,5 
Um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja 
através de algum outro programa instalado em um computador pode ser descrito como sendo um: 
 
 Spyware 
 
Active-x 
 
Worm 
 
Java Script 
 Adware 
 
 
 
 3a Questão (Ref.: 201201958796) Pontos: 1,0 / 1,0 
Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da 
informação. 
 
 
Os riscos residuais são conhecidos antes da comunicação do risco. 
 
Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. 
 
Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. 
 A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. 
 
Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a 
aceitação do plano de tratamento do risco pelos gestores da organização. 
 
 
 
 4a Questão (Ref.: 201201786953) Pontos: 0,5 / 0,5 
O tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma 
determinada ameaça causará está relacionado com qual conceito de? 
 
 
Risco. 
 
Vulnerabilidade. 
 
Valor. 
 Impacto. 
 
Ameaça. 
 
 
 
 5a Questão (Ref.: 201201864544) Pontos: 1,0 / 1,0 
Os algoritmos de criptografia podem ser classificados quanto a simetria das suas chaves. Neste sentido é 
correto afirmar que? 
 
 A criptografia simétrica ou de chave única é aquela quando o emissor e receptor utilizam a mesma chave 
 
A criptografia assimétrica ou de chave pública, quando o emissor e receptor não utilizam chaves 
diferentes 
 
A criptografia simétrica ou de chave única é aquela quando o emissor e receptor não utilizam a mesma 
chave 
 
A criptografia simétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes 
 
A criptografia assimétrica ou de chave pública, quando o emissor e receptor só utilizam as mesmas 
chaves 
 
 
 
 6a Questão (Ref.: 201201787043) Pontos: 0,0 / 0,5 
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das 
opções abaixo indica o tipo de "valor da informação" que pode ser atribuído ao seguinte conceito: "Surge no 
caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas"? 
 
 
Valor de propriedade. 
 
Valor de troca. 
 Valor de restrição. 
 
Valor de negócio. 
 Valor de uso. 
 
 
 
 7a Questão (Ref.: 201201958692) Pontos: 0,5 / 0,5 
Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo 
com a ABNT NBR ISO/IEC 27005. 
 
 
As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem 
humana. 
 O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. 
 
As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos 
 
A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente 
estabelecido. 
 
Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de 
incidentes de segurança. 
 
 
 
 8a Questão (Ref.: 201201864509) Pontos: 0,0 / 1,5 
Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo SQL Injection e um ataque 
de Buffer Overflow? 
 
 
Resposta: No ataque tipo SQL Injection é inserido ou modificado, ja no Buffer Overflow é tipo espionar, salvar 
as coisas. 
 
 
Gabarito: Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que 
interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante 
consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das 
entrada de dados de uma aplicação. Já o ataque de Buffer overflow consiste em enviar para um programa que 
espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o 
padrão de entrada de dados. 
 
 
 
 9a Questão (Ref.: 201201783765) Pontos: 0,0 / 0,5 
Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões? 
 
 
Secreto 
 
Fraco 
 Passivo 
 
Forte 
 Ativo 
 
 
 
 10a Questão (Ref.: 201201783850) Pontos: 0,0 / 0,5 
Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da 
Informação: 
 
 Probabilidade de um ativo explorar uma vulnerabilidade. 
 
Probabilidade de um incidente ocorrer mais vezes. 
 
Probabilidade de um ativo explorar uma ameaça. 
 Probabilidade de uma ameaça explorar uma vulnerabilidade 
 
Probabilidade de uma ameaça explorar um incidente.