Baixe o app para aproveitar ainda mais
Prévia do material em texto
08/07/2015 Estácio data:text/html;charset=utf8,%3Ctable%20width%3D%22685%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%220%22%… 1/3 Fechar Avaliação: CCT0059_AV3_201308092601 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO Tipo de Avaliação: AV3 Aluno: 201308092601 LUCIANO DA SILVA PIRES DE ALMEIDA Professor: RENATO DOS PASSOS GUIMARAES Turma: 9004/D Nota da Prova: 8,0 de 10,0 Nota do Trab.: 0 Nota de Partic.: 0 Data: 04/07/2015 09:13:10 1a Questão (Ref.: 201308163989) Pontos: 1,0 / 1,0 Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das opções abaixo não representa um dos possíveis conceitos fundamentais do valor atribuído às informações para as organizações quando tratamos de Segurança da Informação? Valor de restrição. Valor de propriedade. Valor de uso. Valor de troca. Valor de orçamento. 2a Questão (Ref.: 201308335657) Pontos: 1,0 / 1,0 Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿engenheiros¿. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo ¿engenheiros¿ acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessála. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Disponibilidade Confidencialidade Integridade Auditoria Privacidade 3a Questão (Ref.: 201308330392) Pontos: 1,0 / 1,0 As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware: Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações. Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. 08/07/2015 Estácio data:text/html;charset=utf8,%3Ctable%20width%3D%22685%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%220%22%… 2/3 4a Questão (Ref.: 201308160835) Pontos: 1,0 / 1,0 Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização são consideradas: Métodos Quantitativos Métodos Detectivos Medidas Preventivas Medidas Corretivas e Reativas Medidas Perceptivas 5a Questão (Ref.: 201308160812) Pontos: 0,0 / 1,0 Qual das Opções abaixo representa a ordem correta dos passos que um Atacante normalmente segue para realizar um Ataque de Segurança : Levantamento, Exploração, Obtenção, Manutenção e Camuflagem Exploração, Levantamento, Obtenção, Manutenção e Camuflagem Levantamento, Obtenção, Exploração, Manutenção e Camuflagem Obtenção, Levantamento, Exploração, Manutenção e Camuflagem Obtenção, Exploração, Levantamento, Manutenção e Camuflagem 6a Questão (Ref.: 201308693430) Pontos: 1,0 / 1,0 Referente ao processo de Gestão de incidentes, quais é a sequência que compõem o processo de gestão de incidentes sequencialmente ? Ameaça, incidente, impacto e recuperação Incidente, impacto, ameaça e recuperação Ameaça, impacto, incidente e recuperação Impacto, ameaça, incidente e recuperação Incidente, recuperação, impacto e ameaça 7a Questão (Ref.: 201308725243) Pontos: 1,0 / 1,0 Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: 08/07/2015 Estácio data:text/html;charset=utf8,%3Ctable%20width%3D%22685%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%220%22%… 3/3 III e IV. II. I e II. II e III. I e III. 8a Questão (Ref.: 201308678521) Pontos: 1,0 / 1,0 Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da informação? Segregação de funções. Procedimentos elaborados. Auditoria. Suporte técnico. Conscientização dos usuários. 9a Questão (Ref.: 201308241514) Pontos: 0,0 / 1,0 Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor de banco de dados somente para consulta dos usuários internos da organização. Em qual tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança? na rede interna da organização na Zona Demilitarizada (DMZ) suja ligado diretamente no roteador de borda na Zona Demilitarizada (DMZ) protegida em uma subrede externa protegida por um proxy 10a Questão (Ref.: 201308678523) Pontos: 1,0 / 1,0 Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de Desastres (PRD)? O PCN só pode ser implementado se o PRD já tiver em uso. O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o PRD cobre somente os ativos de informação. O PRD é responsável pela continuidade dos processos de Tecnologia da Informação enquanto que o PCN focase na continuidade para todos os processos. O PRD é mais abrangente que o PCN. O PCN focase no funcionamento contínuo dos processos enquanto que o PRD é destinado à reparação dos danos causados.
Compartilhar