AV2 - Governança em tecnologia da informação

Prévia do material em texto

27/11/12 Visualização de Prov a
1/3https://sia.estacio.br/portal/prt0010a.asp?p1=4456627&p2=13116&p3=1282468
Notas de Provas
Avaliação On-Line
Avaliação: AV2-2012.3EAD-GESTÃO DE SEGURANÇA DA INFORMAÇÃO-CCT0185
Disciplina: CCT0185 - GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Tipo de Avaliação: AV2
Aluno: 201107075785 - ANGELO DOS SANTOS ROCHA
Nota da Prova: 4 Nota do Trabalho: Nota da Participação: 2 Total: 6
Prova On-Line
Questão: AV22011CCT018505184 (137623)
1 - No âmbito da segurança da Informação, uma das etapas de implementação é a classificação
da Informação. Em que consiste o processo de classificação da Informação? Pontos da Questão: 1,5
Resposta do Aluno:
O processo de classificação,consiste em qualificar as informações existentes quanto ao valor, o
conteúdo e importância para uma empresa, mantendo os padrões de SGSI que são confiabilidade
e confidencialidade
Gabarito:
O processo de classificação da informação consiste em identificar quais são os níveis de proteção
que as informações demandam e estabelecer classes e formas de identificá-las, além de
determinar os controles de proteção a cada uma delas. 
Fundamentação do Professor:
Resposta parcialmente correta
Pontos do Aluno: 1
Questão: 2 (128188) 
Segundo a RFC 2828 os ataques podem ser definidos como “um ataque à segurança do sistema,
derivado de uma ameaça inteligente, ou seja, um ato inteligente que é uma tentativa deliberada
de burlar os serviços de segurança e violar a política de segurança de um sistema”. Os ataques
ser classificados como:
 Pontos da Questão: 0,5
 Passivo e Ativo 
 Passivo e Vulnerável
 Forte e Fraco
 Secreto e Vulnerável
 Secreto e Ativo
Questão: 3 (137584) 
Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após
todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco
que não é eliminada. Neste caso estamos nos referindo a que tipo de risco: Pontos da Questão: 1
 Risco verdadeiro; 
 Risco real; 
 Risco residual; 
 Risco percebido; 
 Risco tratado; 
27/11/12
2/3https://sia.estacio.br/portal/prt0010a.asp?p1=4456627&p2=13116&p3=1282468
Questão: 4 (137583) 
Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual
das opções abaixo Não representa um destes tipos de ataques? Pontos da Questão: 0,5
 Ataque de Configuração mal feita 
 Ataque para Obtenção de Informações
 Ataque aos Sistemas Operacionais
 Ataque á Aplicação 
 Ataques Genéricos 
Questão: AV22011CCT018505192 (137549)
5 - Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo SQL
Injection e um ataque de Buffer Overflow? Pontos da Questão: 1,5
Resposta do Aluno:
SQL injection - Intodução de dados ao servidor para obtenção de acesso Buffer Overflow -
Sobrecarrega o buffer do sistema para acesso sem ser percebido
Gabarito:
Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que
interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o
atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através
da manipulação das entrada de dados de uma aplicação. Já o ataque de Buffer overflow consiste
em enviar para um programa que espera por uma entrada de dados qualquer, informações
inconsistentes ou que não estão de acordo com o padrão de entrada de dados. 
Fundamentação do Professor:
Resposta errada
Pontos do Aluno: 0
Questão: 6 (137471) 
Quando devem ser executadas as ações corretivas? Pontos da Questão: 0,5
 Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de
forma a evitar a sua repetição
 Devem ser executadas para garantir as causas da não-conformidade com os requisitos do
SGSI de forma a evitar a sua repetição
 Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma
a evitar a sua repetição
 Devem ser executadas somente para eliminar o resultado da não-conformidade com os
requisitos do SGSI de forma a evitar a sua repetição
 Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do
SGSI de forma a evitar a sua repetição 
Questão: 7 (127712) 
Qual das opções abaixo refere-se ao conceito definido pela RFC 2828 do Internet Security
Glossary : “Potencial para violação da segurança quando há uma circunstância, capacidade, ação
ou evento que pode quebrar a segurança e causar danos” .
 Pontos da Questão: 0,5
 Ameaça. 
 Confidencialidade.
 Incidente.
27/11/12 Visualização de Prov a
https://sia.estacio.br/portal/prt0010a.asp?p1=4456627&p2=13116&p3=1282468
 Vulnerabilidade.
 Impacto.
Questão: 8 (127662) 
Você é um consultor de segurança e trabalha em projetos de segurança da informação, que tem
como uma das suas etapas a atividade de classificação dos ativos da organização. Qual das
opções abaixo não representa um exemplo de Ativo Intangível:
 Pontos da Questão: 1
 Confiabilidade de um Banco. 
 Qualidade do Serviço.
 Imagem da Empresa no Mercado.
 Sistema de Informação. 
 Marca de um Produto.
Questão: 9 (137527) 
A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não
autorizado, danos e interferências com as instalações e informações da organização. Neste caso
a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança: Pontos da Questão:
0,5
 Controle de Acesso.
 Gerenciamento das Operações e Comunicações.
 Segurança dos Ativos. 
 Segurança Física e do Ambiente. 
 Segurança em Recursos Humanos.
Questão: 10 (137626) 
Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos
riscos onde são utilizados termos numéricos para os componentes associados ao risco. Pontos da
Questão: 0,5
 Método Exploratório.
 Método Classificatório.
 Método Quantitativo. 
 Método Numérico.
 Método Qualitativo.
 Fechar 
Server IP : 192.168.10.137 Client IP: 187.14.106.167 Tempo de execução da página : 0,953