AV3 GESTÂO DE SEGURANÇÂ DA INFORMAÇÂO 2014.2

Prévia do material em texto

Avaliação: CCT0059_AV3 (AG) » GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Tipo de Avaliação: AV3 
Aluno: CELSO NASCIMENTO DOS SANTOS 
Professor: SHEILA DE GOES MONTEIRO Turma: 9016/P 
Nota da Prova: 10,0 de 10,0 Nota do Trab.: 0 Nota de Partic.: 0 Data: 05/12/2014 18:04:32 
 
 
 1a Questão (Ref.: 201301287008) Pontos: 1,0 / 1,0 
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de 
usuários denominados ¿auditores¿. Um usuário de um outro grupo, o grupo ¿estudante¿, tenta acessar o 
sistema em busca de uma informação que somente o grupo ¿auditores¿ tem acesso e consegue. Neste caso 
houve uma falha na segurança da informação para este sistema na propriedade relacionada à: 
 
 
Não-Repúdio; 
 
Disponibilidade; 
 Confidencialidade; 
 
Auditoria; 
 
Integridade; 
 
 
 
 2a Questão (Ref.: 201301286990) Pontos: 1,0 / 1,0 
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de 
usuários denominados ¿auditores¿. Após várias consultas com respostas corretas e imediatas, em um 
determinado momento, um usuário pertencente ao grupo ¿auditores¿ acessa o sistema em busca de uma 
informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na 
segurança da informação para este sistema na propriedade relacionada à: 
 
 
Não-repúdio; 
 
Privacidade; 
 
Integridade; 
 Disponibilidade; 
 
Confidencialidade; 
 
 
 
 3a Questão (Ref.: 201301357864) Pontos: 1,0 / 1,0 
As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que operam em Pequim 
foram sequestradas, em (18/1/10) de acordo com uma associação de profissionais de imprensa que atuam na 
China. A notícia chega uma semana após o Google afirmar ter sido alvo de ataques cibernéticos destinados a 
acessar as contas de e-mail de ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadas 
pelos jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens para contas 
desconhecidas. Qual você acha que foi a vulnerabilidade para este ataque? 
 
 
Vulnerabilidade Natural 
 
Vulnerabilidade Física 
 Vulnerabilidade de Software 
 
Vulnerabilidade Comunicação 
 
Vulnerabilidade Mídia 
 
 
 
 4a Questão (Ref.: 201301470054) Pontos: 1,0 / 1,0 
As ameaças podem ser classificadas quanto a sua origem: interna ou externa e quanto a sua intencionalidade: 
 
 Natural, voluntária e involuntária 
 
Natural, presencial e remota 
 
Intencional, proposital e natural 
 
Voluntária, involuntária e intencional 
 
Intencional, presencial e remota 
 
 
 
 5a Questão (Ref.: 201301283764) Pontos: 1,0 / 1,0 
Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões? 
 
 
Forte 
 Passivo 
 
Fraco 
 
Ativo 
 
Secreto 
 
 
 
 6a Questão (Ref.: 201301283857) Pontos: 1,0 / 1,0 
Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são 
utilizados termos numéricos para os componentes associados ao risco. 
 
 
Método Qualitativo 
 
Método Classificatório 
 Método Quantitativo 
 
Método Exploratório. 
 
Método Numérico. 
 
 
 
 7a Questão (Ref.: 201301284203) Pontos: 1,0 / 1,0 
Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? 
 
 Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR 
ISO/IEC 27001. 
 
Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma 
NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos 
da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma 
NBR ISO/IEC 27001. 
 
 
 
 8a Questão (Ref.: 201301371513) Pontos: 1,0 / 1,0 
A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua 
pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções 
abaixo Não poderá ser considerada como um elemento para a realização desta análise: 
 
 A avaliação dos riscos e incidentes desejados 
 
A avaliação das ações preventivas e corretivas 
 
Os resultados das auditorias anteriores e análises críticas 
 
Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco 
anteriores 
 
A realimentação por parte dos envolvidos no SGSI 
 
 
 
 9a Questão (Ref.: 201301490751) Pontos: 1,0 / 1,0 
Uma empresa teve a sua sala de servidores incendiadas e com isso perdeu todos os dados importantes para a 
empresa, mas ela estava preparada para a continuidade dos negócios, o que você acha que foi importante para 
a recuperação destes dados: 
 
 
Eles dispunham de uma DMZ que são pequenas redes que geralmente contém serviços públicos que são 
conectados diretamente ao firewall ou a outro dispositivo de filtragem e que recebem a proteção deste 
dispositivo. 
 
Eles tinham um IDS que tem como principal objetivo reconhecer um comportamento ou uma ação 
intrusiva, através da análise das informações disponíveis em um sistema de computação ou rede. 
 Na empresa haviam Backups ou cópias de segurança que são itens muito importantes na administração 
de sistemas devendo fazer parte da rotina de operação dos sistemas da organização, através de uma 
política pré-determinada. 
 
Havia uma VPN interligando várias Intranets através da Internet. 
 
A empresa possuía um FIREWALL que isolam a rede interna da organização da área pública da Internet, 
permitindo que alguns pacotes passem e outros não, prevenindo ataques de negação de serviço ou 
modificações e acessos ilegais aos dados internos. 
 
 
 
 10a Questão (Ref.: 201301801551) Pontos: 1,0 / 1,0 
Que cuidado deve ser tomado no armazenamento de fitas de backup fora da organização? 
 
 O local de armazenamento deve estar protegido contra acessos não autorizados. 
 
O local de armazenamento deve ser de fácil acesso durante o expediente. 
 
O local de armazenamento deve estar a, no mínimo, 25 quilômetros da organização. 
 
O local de armazenamento deve estar protegido por guardas armados. 
 
O local de armazenamento deve estar a, no mínimo, 40 quilômetros da organização.