AV1 -2015- GESTÃO DA SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

Fechar 
 
Avaliação: CCT0059_AV1_201403102015 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Tipo de Avaliação: AV1 
Aluno: 
Professor: RENATO DOS PASSOS GUIMARAES Turma: 9006/F 
Nota da Prova: 7,0 de 8,0 Nota do Trab.: 0 Nota de Partic.: 2 Data: 23/04/2015 15:19:41 
 
 
 1a Questão (Ref.: 201403357381) Pontos: 0,5 / 0,5 
No contexto da segurança da informação as proteções são medidas que visam livrar os ativos de situações 
que possam trazer prejuízos. Neste contexto elas podem ser: 
1) Físicas 
2) Lógicas 
3) Administrativas 
 Analise as questões abaixo e relacione o tipo corretamente: 
( ) Procedimento 
( ) Fechadura 
( ) Firewall 
( ) Cadeado 
( ) Normas 
 
 
 
1, 3, 1, 3, 2 
 3, 1, 2, 1, 3 
 
2, 2, 1, 3, 1 
 
2, 1, 2, 1, 3 
 
3, 2, 1, 2, 3 
 
 
 
 2a Questão (Ref.: 201403346012) Pontos: 0,5 / 0,5 
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de 
usuários denominados ¿engenheiros¿. Após várias consultas com respostas corretas e imediatas, em um 
determinado momento, um usuário pertencente ao grupo ¿engenheiros¿ acessa o sistema em busca de uma 
informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na 
segurança da informação para este sistema na propriedade relacionada à: 
 
 
 
Confidencialidade 
 
Privacidade 
 
Integridade 
 
Auditoria 
 Disponibilidade 
 
 
 
 3a Questão (Ref.: 201403174336) Pontos: 0,5 / 0,5 
Para auxiliar no processo de classificação das informações das organizações, podemos utilizar que ferramenta? 
 
 
 
Uma Analise Qualitativa dos níveis Alto, Médio e Baixo das Informações. 
 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confiabilidade, a Integridade e a 
Disponibilidade das Informações. 
 
Uma Analise Quantitativa dos níveis Alto, Médio e Baixo das Informações. 
 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a 
Probabilidade das Informações. 
 Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a 
Disponibilidade das Informações. 
 
 
 
 4a Questão (Ref.: 201403174337) Pontos: 0,5 / 0,5 
Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade 
quanto pela de disponibilidade¿. Esta afirmação é: 
 
 
 
falsa, pois não existe alteração de nível de segurança de informação. 
 
falsa, pois a informação não deve ser avaliada pela sua disponibilidade. 
 
verdadeira desde que seja considerada que todas as informações são publicas. 
 
verdadeira se considerarmos que o nível não deve ser mudado. 
 verdadeira, pois a classificação da informação pode ser sempre reavaliada. 
 
 
 
 5a Questão (Ref.: 201403688870) Pontos: 0,0 / 1,0 
O departamento financeiro vai determinar os perigos aos quais a área está exposta. Neste contexto o que 
chamamos de um possível evento que pode ter um efeito perturbador sobre a confiabilidade da informação? 
 
 
 
Dependência 
 Vulnerabilidade 
 
Risco 
 Ameaça 
 
Problema 
 
 
 
 6a Questão (Ref.: 201403678188) Pontos: 1,0 / 1,0 
Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo 
com a ABNT NBR ISO/IEC 27005. 
 
 
 
As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem 
humana. 
 O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. 
 
Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de 
incidentes de segurança. 
 
A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente 
estabelecido. 
 
As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos. 
 
 
 
 7a Questão (Ref.: 201403171097) Pontos: 1,0 / 1,0 
Qual dos exemplos abaixo não pode ser considerado como sendo claramente um código malicioso ou Malware ? 
 
 
 active-x 
 
keyloggers 
 
trojan horse 
 
rootkit 
 
worm 
 
 
 
 8a Questão (Ref.: 201403171099) Pontos: 1,0 / 1,0 
Um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, 
isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador 
pode ser descrito como sendo um: 
 
 
 
spyware 
 
backdoor 
 
exploit 
 
keylogger 
 vírus 
 
 
 
 9a Questão (Ref.: 201403691010) Pontos: 1,0 / 1,0 
A segurança da informação deve ser vista como algo estratégico dentro da organização. E a organização deve 
saber como ela está exposta sobre riscos. Dessa forma, uma maneira da organização criar um plano de gestão 
voltado para riscos é criando um Plano de Gestão de Risco (PGI). O PGI é composto por 4 fases, quais são elas? 
 
 
 Análise e avaliação do risco; Tratamento do risco; Aceitação do risco; Comunicação do risco 
 
Análise de impacto; Mapeamento de vulnerabilidades; Tratamento das vulnerabilidades; Comunicação do 
impacto 
 
Mapeamento do risco; Analise de vulnerabilidades; Comunicação do risco e Aceitação do risco 
 
Análise de risco, Análise de impacto; Aceitação de impacto; Comunicação do risco 
 
Mapeamento de ameaças; Mapeamento de ativos; Mapeamento de vulnerabilidades; Mapeamento de 
impacto 
 
 
 
 10a Questão (Ref.: 201403357390) Pontos: 1,0 / 1,0 
Existem diferentes caminhos que um atacante pode seguir para obter acesso ao sistema. Normalmente o 
atacante irá explorar uma vulnerabilidade ou fraqueza do sistema. O ataque que tem como objetivo a 
verificação do lixo em busca de informações que possam facilitar o ataque é denominado: 
 
 
 Dumpster diving ou trashing 
 
Ataque smurf 
 
IP Spoofing 
 
Packet Sniffing 
 
SQL Injection 
 
 
 
Período de não visualização da prova: desde 14/04/2015 até 04/05/2015.