Baixe o app para aproveitar ainda mais
Prévia do material em texto
Avaliação: CCT0185_AVS_201301149942 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO Tipo de Avaliação: AVS Aluno: 201301149942 - CARLOS ALBERTO DOS SANTOS JUNIOR Professor: RENATO DOS PASSOS GUIMARAES Turma: 9002/AA Nota da Prova: 5,5 Nota de Partic.: 2 Data: 24/06/2014 14:20:09 � ��1a Questão (Ref.: 201301316175) 9a sem.: GESTÃO DA CONFORMIDADE CONFORME A NBR ISO/IEC 15999 Pontos: 1,5 / 1,5 O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto, explique o elemento "Testando e Mantendo" do GCN: Resposta: a Organizacao precisa verificarse suas estrategias e planos sao completos, atualizados e precisos. O gnc devera ser tratado, mantido, analisado criticamente, auditado e ainda identificar as oportunidades de melhorias possiveis. Para que tenham confianca quanto a capacidade da organizacao de sobrevivier a interrupcoes na continuidade do negocio. Gabarito: Testando e mantendo: A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis. Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa. � ��2a Questão (Ref.: 201301256234) 10a sem.: CRIPTOGRAFIA Pontos: 1,0 / 1,0 Ana, Bernardo e Carlos precisam se comunicar de forma segura, e, para tal, cada um possui um par de chaves assimétricas, sendo uma delas pública e a outra, privada, emitidas por autoridade certificadora confiável. Uma mensagem será enviada de Ana para Bernardo, satisfazendo às seguintes condições: 1 - a mensagem deve ser criptografada de modo que não seja interceptável no caminho; 2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana; 3 - deve ser possível continuar enviando mensagens, entre as 3 pessoas, que atendam às condições anteriores. A mensagem de Ana para Bernardo deve ser assinada com a chave privada de Bernardo e criptografada com a chave pública de Ana. com a chave pública de Ana e criptografada com a chave privada de Bernardo. �� INCLUDEPICTURE "http://bquestoes.estacio.br/img/imagens/peq_ok.gif" \* MERGEFORMATINET com a chave privada de Ana e criptografada com a chave pública de Bernardo. e criptografada com a chave privada de Bernardo. e criptografada com a chave pública de Ana. � ��3a Questão (Ref.: 201301410101) sem. N/A: Introdução a Segurança da Informação Pontos: 0,5 / 0,5 No contexto da segurança da informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízos. Neste contexto elas podem ser: 1) Físicas 2) Lógicas 3) Administrativas Analise as questões abaixo e relacione o tipo corretamente: ( ) Procedimento ( ) Fechadura ( ) Firewall ( ) Cadeado ( ) Normas 2, 2, 1, 3, 1 2, 1, 2, 1, 3 1, 3, 1, 3, 2 3, 2, 1, 2, 3 �� INCLUDEPICTURE "http://bquestoes.estacio.br/img/imagens/peq_ok.gif" \* MERGEFORMATINET 3, 1, 2, 1, 3 � ��4a Questão (Ref.: 201301227057) 2a sem.: Princípios da Segurança e o Ciclo de Vida da Informação Pontos: 0,5 / 0,5 Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade quanto pela de disponibilidade¿. Esta afirmação é: verdadeira desde que seja considerada que todas as informações são publicas. �� INCLUDEPICTURE "http://bquestoes.estacio.br/img/imagens/peq_ok.gif" \* MERGEFORMATINET verdadeira, pois a classificação da informação pode ser sempre reavaliada. falsa, pois a informação não deve ser avaliada pela sua disponibilidade. falsa, pois não existe alteração de nível de segurança de informação. verdadeira se considerarmos que o nível não deve ser mudado. � ��5a Questão (Ref.: 201301223841) 4a sem.: Ameaças aos Sistemas de Informação Pontos: 0,5 / 0,5 O programa que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador que podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas bancárias e números de cartões de crédito é conhecido como: �� INCLUDEPICTURE "http://bquestoes.estacio.br/img/imagens/peq_ok.gif" \* MERGEFORMATINET Keylogger vírus backdoor Spyware exploit � ��6a Questão (Ref.: 201301297916) 3a sem.: Vulnerabilidades de Segurança Pontos: 0,5 / 0,5 Wordpress foi atingido por ataque de DDOS massivo. O host de blogs Wordpress foi alvo de de um ataque DDoS e foi descrito como o maior já sofrido pela empresa. Como resultado desse ataque, quase 18 MILHÕES de blogs, incluindo os que fazem parte do serviço VIP da empresa sofreram com problemas nos acessos. Entre eles, estão inclusos o Financial Post, o Nacional Post e o TechCrunch. O tamanho ataque alcançou vários Gigabits por segundo e alguns milhões de pacotes por segundo. Apesar do ataque ter atingido três data centers do Wordpress, a investigação suspeita que o ataque tenha tido motivações políticas e o alvo tenha sido um blog. Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade Física Vulnerabilidade Natural Vulnerabilidade Mídias �� INCLUDEPICTURE "http://bquestoes.estacio.br/img/imagens/peq_ok.gif" \* MERGEFORMATINET Vulnerabilidade Software Vulnerabilidade Comunicação � ��7a Questão (Ref.: 201301304558) 4a sem.: AMEAÇA AOS SISTEMAS DE INFORMAÇÃO Pontos: 0,0 / 1,5 No âmbito da segurança da Informação, uma das etapas de implementação é a classificação da Informação. Em que consiste o processo de classificação da Informação? Resposta: É nesta fase que se pode analisar a demanda, ou seja, determinar se os objetivos de controle, processos e incidentes atendam ao requisitos. Gabarito: O processo de classificação da informação consiste em identificar quais são os níveis de proteção que as informações demandam e estabelecer classes e formas de identificá-las, além de determinar os controles de proteção a cada uma delas. � ��8a Questão (Ref.: 201301223855) 5a sem.: Ataques à Segurança Pontos: 0,5 / 0,5 João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter acesso à rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar? Port Scanning �� INCLUDEPICTURE "http://bquestoes.estacio.br/img/imagens/peq_ok.gif" \* MERGEFORMATINET SYN Flooding Fraggle Fragmentação de pacotes IP Ip Spoofing � ��9a Questão (Ref.: 201301393558) sem. N/A: GESTÃO DE RISCOS EM SEGURANÇA DA INFORMAÇÃO Pontos: 0,5 / 0,5 Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Detectar": Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. Esta barreira trata como importante se cercar de recursosque permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. �� INCLUDEPICTURE "http://bquestoes.estacio.br/img/imagens/peq_ok.gif" \* MERGEFORMATINET Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco. Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. � ��10a Questão (Ref.: 201301311566) 8a sem.: GESTÃO DE SEGURANÇA DA INFORMAÇÃO SEGUNDO A NBR ISO/IEC 27001 Pontos: 0,0 / 1,0 Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. �� INCLUDEPICTURE "http://bquestoes.estacio.br/img/imagens/peq_ok.gif" \* MERGEFORMATINET Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. �� INCLUDEPICTURE "http://bquestoes.estacio.br/img/imagens/peq_nao.gif" \* MERGEFORMATINET Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001.
Compartilhar