Baixe o app para aproveitar ainda mais
Prévia do material em texto
Sandra Maria Alves Avenia Processos e Políticas de Segurança - 05/05 Ta4 1. Com relação à segurança nas comunicações, a norma ABNT NBR ISO/IEC 27002:2013 possui uma seção que fornece diretrizes, controles e objetivos de controle para assegurar a proteção das informações em redes. Um desses controles recomenda que: a) a conexão de sistemas às redes deve ser restrita, porém, nessas conexões, não é necessária autenticação. ( ) b) mecanismos de segurança e níveis de serviço sejam identificados e incluídos somente em acordos de serviços de redes providos internamente, excluindo-se terceirizados ( ) c) a responsabilidade operacional pelas redes nunca seja separada das operações dos demais recursos computacionais. ( ) d) controle de perímetro de domínio de rede seja feito por terceiros especializados ( ) e) grupos de serviços de informação, usuários e sistemas de informação sejam segregados em redes de computadores. ( X ) Comentário: 13.1 Gerenciamento da segurança em redes Objetivo: Garantir a proteção das informações em redes e dos recursos de processamento da informação que os apoiam. 13.1.3 Segregação de redes Controle: Convém que grupos de serviços de informação, usuários e sistemas de informação sejam segregados em redes. 2. De acordo com a norma ABNT NBR ISO/IEC 27002:2013 a política de controle de acesso deve considerar a) a disponibilidade de referências de caráter satisfatórias do usuário, por exemplo, uma profissional e uma pessoal. ( ) b) verificações financeiras e verificações de registros criminais do usuário. ( ) c) ações a serem tomadas no caso de o funcionário desrespeitar os requisitos de segurança da informação da organização. ( ) d) a legislação pertinente e qualquer obrigação contratual relativa à proteção de acesso para dados ou serviços. ( X ) e) a confirmação e documentação das qualificações acadêmicas e profissionais do usuário. ( ) Comentário: A alternativa D é a única a falar sobre controle de acesso, as demais alternativas são relativas a segurança em RH 3. Considere as afirmativas abaixo sobre políticas de segurança da informação: I. Na definição de uma política de segurança, é preciso avaliar as ameaças e os riscos, classificando-os de acordo com a susceptibilidade e a criticidade da operação e do ativo que poderá ser afetado, além de fornecer contramedidas para mitigá-las, caso a ameaça se concretize. II. Uma política de segurança da informação visa prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. III. Em uma política de segurança deve constar, entre outros, a definição dos principais conceitos de segurança da informação; comprometimento da direção apoiando as metas e os princípios; uma estrutura para estabelecer os objetivos de controle e os controles propriamente ditos, incluindo a estrutura da análise e avaliação de gerenciamento de riscos. Quais afirmativas estão corretas? a) Apenas a I. ( ) b) Apenas a III. ( ) c) Apenas a I e II. ( ) d) Apenas a II e III. ( X ) e) I, II e III. ( ) Comentário: a resposta I está incorreta na informação: “Além de fornecer contramedidas para mitigá-las” pois nem todos os riscos podem ser mitigados. Parte superior do formulário 4. Nem todos os algoritmos de criptografia assimétrica permitem o ciframento e assinatura digital. Um exemplo de algoritmo criptográfico assimétrico que cai nesse caso é: a) Diffie-Helmann; ( X ) b) 3DES; ( ) c) El Gamal; ( ) d) Blowfish; ( ) e) RSA. ( ) Comentário: é a resposta correta, pois o Diffie-Hellman foi projetado para permitir a dois indivíduos entrarem em um acordo ao compartilharem um segredo tal como uma chave. Além disso ele não garante os princípios básicos da criptografia (confidencialidade, não-repúdio, integridade e autenticidade)
Compartilhar