Processo e Politica de Seg 05 05

Prévia do material em texto

Sandra Maria Alves Avenia
Processos e Políticas de Segurança - 05/05 Ta4
1. Com relação à segurança nas comunicações, a norma ABNT NBR ISO/IEC 27002:2013 possui uma seção que fornece diretrizes, controles e objetivos de controle para assegurar a proteção das informações em redes. Um desses controles recomenda que:
a) a conexão de sistemas às redes deve ser restrita, porém, nessas conexões, não é necessária autenticação. ( )
b) mecanismos de segurança e níveis de serviço sejam identificados e incluídos somente em acordos de serviços de redes providos internamente, excluindo-se terceirizados ( )
 c) a responsabilidade operacional pelas redes nunca seja separada das operações dos demais recursos computacionais. ( )
 d) controle de perímetro de domínio de rede seja feito por terceiros especializados ( )
e) grupos de serviços de informação, usuários e sistemas de informação sejam segregados em redes de computadores. ( X )
Comentário: 13.1 Gerenciamento da segurança em redes
Objetivo: Garantir a proteção das informações em redes e dos recursos de processamento da informação que os apoiam.
13.1.3 Segregação de redes
Controle: Convém que grupos de serviços de informação, usuários e sistemas de informação sejam segregados em redes.
2. De acordo com a norma ABNT NBR ISO/IEC 27002:2013 a política de controle de acesso deve considerar 
a) a disponibilidade de referências de caráter satisfatórias do usuário, por exemplo, uma profissional e uma pessoal. ( )
 b) verificações financeiras e verificações de registros criminais do usuário. ( )
c) ações a serem tomadas no caso de o funcionário desrespeitar os requisitos de segurança da informação da organização. ( )
 d) a legislação pertinente e qualquer obrigação contratual relativa à proteção de acesso para dados ou serviços. ( X )
 e) a confirmação e documentação das qualificações acadêmicas e profissionais do usuário. ( )
Comentário: A alternativa D é a única a falar sobre controle de acesso, as demais alternativas são relativas a segurança em RH
 3. Considere as afirmativas abaixo sobre políticas de segurança da informação:
 I. Na definição de uma política de segurança, é preciso avaliar as ameaças e os riscos, classificando-os de acordo com a susceptibilidade e a criticidade da operação e do ativo que poderá ser afetado, além de fornecer contramedidas para mitigá-las, caso a ameaça se concretize.
 II. Uma política de segurança da informação visa prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. 
III. Em uma política de segurança deve constar, entre outros, a definição dos principais conceitos de segurança da informação; comprometimento da direção apoiando as metas e os princípios; uma estrutura para estabelecer os objetivos de controle e os controles propriamente ditos, incluindo a estrutura da análise e avaliação de gerenciamento de riscos.
Quais afirmativas estão corretas? 
a) Apenas a I. ( )
b) Apenas a III. ( )
c) Apenas a I e II. ( )
d) Apenas a II e III. ( X )
e) I, II e III. ( )
Comentário: a resposta I está incorreta na informação: “Além de fornecer contramedidas para mitigá-las”  pois nem todos os riscos podem ser mitigados.
Parte superior do formulário
4. Nem todos os algoritmos de criptografia assimétrica permitem o ciframento e assinatura digital. Um exemplo de algoritmo criptográfico assimétrico que cai nesse caso é: 
a) Diffie-Helmann; ( X )
b) 3DES; ( )
c) El Gamal; ( ) 
d) Blowfish; ( )
e) RSA. ( )
Comentário: é a resposta correta, pois o Diffie-Hellman foi projetado para permitir a dois indivíduos entrarem em um acordo ao compartilharem um segredo tal como uma chave. Além disso ele não garante os princípios básicos da criptografia (confidencialidade, não-repúdio, integridade e autenticidade)