AV_INT_SEG_INFO (10)

Prévia do material em texto

1a Questão (Ref.: 202011358068) 
(Ano: 2018 Banca: FCC Órgão: SEFAZ-SC Prova: FCC - 2018 - SEFAZ-SC - Auditor-
Fiscal da Receita Estadual - Tecnologia da Informação) 
Considere os seguintes controles da política de segurança estabelecida em uma 
empresa: 
I. Controlar o acesso de pessoas às áreas em que se encontram os servidores 
computacionais da empresa. 
II. Bloquear acesso dos funcionários a sites inseguros da internet. 
III. Instalar firewall para controlar os acessos externos para a rede local da empresa. 
Os controles mencionados são, respectivamente, tipificados como de 
segurança: 
 
 
Lógica, lógica e lógica. 
 
Física, física e lógica. 
 
Física, lógica e física. 
 
Lógica, lógica e física. 
 
Física, lógica e lógica. 
 
 2a Questão (Ref.: 202011382069) 
(Ano: 2010 Banca: CESPE / CEBRASPE Órgão: INMETRO Prova: CESPE - 2010 - INMETRO - 
Pesquisador - Infraestrutura e redes de TI) 
Assinale a opção correta a respeito de segurança da informação, análise de riscos e medidas de 
segurança física e lógica 
 
 
Analisar riscos consiste em enumerar todos os seus tipos, quais deles expõem a informação 
e quais as consequências dessa exposição, bem como enumerar todas as possibilidades de 
perda direta e indireta 
 
Como medida de segurança preventiva, utilizam-se controle de acesso lógico e sessão de 
autenticação 
 
Como medida de segurança corretiva, utilizam-se firewalls e criptografia 
 
As medidas de segurança se dividem em dois tipos: as preventivas e as corretivas 
 
Em análises de riscos, é necessário levar em conta os possíveis ataques que podem ocorrer, 
contudo desconsideram-se os possíveis efeitos desses ataques 
 
 
 
 3a Questão (Ref.: 202011382104) 
(FGV - 2015 - TCE-SE - Analista de Tecnologia da Informação - Segurança da Informação) 
Sobre os conceitos de segurança da informação, analise as afirmativas a seguir: 
I. Uma ameaça tem o poder de comprometer ativos vulneráveis. 
II. Risco é a combinação das consequências de um incidente de segurança com a sua 
probabilidade de ocorrência. 
III. Vulnerabilidades técnicas são mais críticas do que vulnerabilidades criadas por 
comportamento humano. 
Está correto somente o que se afirma em: 
 
javascript:alert('C%C3%B3digo da quest%C3%A3o: 3907898/n/nStatus da quest%C3%A3o: Liberada para Uso.');
javascript:alert('C%C3%B3digo da quest%C3%A3o: 3907933/n/nStatus da quest%C3%A3o: Liberada para Uso.');
 
II 
 
I 
 
I e III 
 
I e II 
 
III 
 
 
 
 4a Questão (Ref.: 202011382108) 
(FGV - 2014 - DPE-RJ - Técnico Superior Especializado - Desenvolvimento de Sistemas) 
Considere que uma equipe esteja trabalhando num software web com severas restrições de 
segurança. Além dos desenvolvedores e analistas, essa equipe conta com profissionais 
especialistas em segurança que têm, entre outras atribuições, a responsabilidade de realizar a 
revisão dos códigos a fim de evitar vulnerabilidades. Se durante a etapa de desenvolvimento um 
revisor da equipe de segurança detectar uma vulnerabilidade, é sua responsabilidade 
 
 
 
Corrigir o problema e relatar a vulnerabilidade à equipe de segurança 
 
Separar a vulnerabilidade, tratando o código com erro como mais um problema que requer 
correção 
 
Separar a vulnerabilidade e alertar a equipe de segurança para que o problema seja 
resolvido 
 
Corrigir a vulnerabilidade, contatando os desenvolvedores que programaram o trecho de 
código vulnerável 
 
Isolar o problema e solicitar que a equipe de desenvolvimento corrija a vulnerabilidade 
imediatamente 
 
 
 
 5a Questão (Ref.: 202011382070) 
Observe o que diz o item 6.1.3 da norma técnica ABNT NBR ISO/IEC 27001:2013: 
6.1.3 Tratamento de riscos de segurança da informação 
A organização deve definir a aplicar um processo de tratamento de riscos de segurança da 
informação para: 
 
(...) 
b) determinar todos os controles que são necessários para implementar as opções escolhidas 
do tratamento do risco da segurança da informação. 
 
d) elaborar uma declaração de aplicabilidade, que contenha os controles necessários (ver 
6.1.3 b) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como 
a justificativa para a exclusão dos controles do Anexo A. 
Uma empresa que está se preparando para sofrer uma auditoria checou que não constam na 
Declaração de Aplicabilidade, a exclusão e nem a justificativa de exclusão dos objetivos de 
controle e controles constantes na norma. 
De acordo com o item 6.1.3 da norma, isso é passível de ser classificado como ¿Não-
conformidade¿? 
 
 
Não se aplica a esta norma. 
 
Falta informação nessa checagem para classificar. 
javascript:alert('C%C3%B3digo da quest%C3%A3o: 3907937/n/nStatus da quest%C3%A3o: Liberada para Uso.');
javascript:alert('C%C3%B3digo da quest%C3%A3o: 3907899/n/nStatus da quest%C3%A3o: Liberada para Uso.');
 
Sim 
 
Indica uma simples observação a ser feita. 
 
Não 
 
 
 
 6a Questão (Ref.: 202011382086) 
Selecione a opção que contenha apenas itens necessários para que um processo de logon 
seja considerado eficiente: 
 
 
Auxiliar o usuário sobre a correção de erros no logon, para facilitar a entrada do mesmo no 
sistema e, desse modo, aumentar a sua produtividade. 
 
Permitir que o usuário possa realizar tentativas de entrada no sistema até que ele consiga 
fazer o logon. 
 
Data e hora de todas as tentativas de logon com sucesso. 
 
Informar que o computador só deve ser acessado por pessoas autorizadas e evitar 
identificar o sistema ou suas aplicações até que o processo de logon esteja completamente 
concluído. 
 
Não registrar tentativas de logon sem sucesso, de modo a evitar o armazenamento de 
dados desnecessário. 
 
 
 
 7a Questão (Ref.: 202011383787) 
O sistema de monitoramento de nobreak detectou uma variação na tensão elétrica na 
entrada dos aparelhos, mas ela não foi o suficiente para causar danos aos equipamentos de 
computação a eles conectados. Conforme os termos relacionados à segurança da 
informação, o que ocorreu pode ser classificado como: 
 
 
Variação 
 
Tensionamento 
 
Evento 
 
Dano 
 
Eletricidade 
 
 
 
 8a Questão (Ref.: 202011366135) 
Um membro da comissão de segurança precisa saber informações sobre cada um dos 
processos da GR. Ele consulta uma dentre as normas da família ISO/IEC 27000 utilizadas para 
definir uma série de normas relacionadas à segurança da informação. A norma em questão é 
a: 
 
 
ISO/IEC 27001 
 
ISO/IEC 31000 
 
ISO/IEC 27002 
 
ISO/IEC 27000 
 
ISO/IEC 27005 
 
javascript:alert('C%C3%B3digo da quest%C3%A3o: 3907915/n/nStatus da quest%C3%A3o: Liberada para Uso.');
javascript:alert('C%C3%B3digo da quest%C3%A3o: 3909616/n/nStatus da quest%C3%A3o: Liberada para Uso.');
javascript:alert('C%C3%B3digo da quest%C3%A3o: 3891964/n/nStatus da quest%C3%A3o: Liberada para Uso.');
 
 
 9a Questão (Ref.: 202011366142) 
Selecione a opção que se enquadra em um dos motivos pelos quais o Plano de Continuidade 
de Negócios (PCN) pode precisar ser ajustado: 
 
 
Mudança nas funções e membros da equipe de continuidade de negócios. 
 
A organização precisa fazer mudanças para demonstrar aos seus usuários e clientes que 
está se atualizando constantemente. 
 
As funções e responsabilidades são bem definidas. 
 
A avaliação e o teste das estratégias são eficazes. 
 
Surgiu uma nova metodologia no mercado e, portanto, deve ser implementada 
imediatamente nas estratégias atuais. 
 
 
 
 10a Questão (Ref.: 202011366145) 
Seu propósito é fornecer uma base para que se possa entender, desenvolver e implementar a 
continuidade de negócios em uma organização, além de fortalecer a confiança nos negócios 
da organização junto aos clientes e outras organizações¿. Selecione a opção para qual se aplica 
a afirmação citada: 
 
 
Plano de Recuperação de Desastre (PRD) 
 
Plano de Continuidade de Negócios (PCN) 
 
Plano de Administração de Crises (PAC) 
 
Política de Gestão de Continuidade de Negócios(PGCN) 
 
Plano de Continuidade Operacional (PCO) 
 
 
javascript:alert('C%C3%B3digo da quest%C3%A3o: 3891971/n/nStatus da quest%C3%A3o: Liberada para Uso.');
javascript:alert('C%C3%B3digo da quest%C3%A3o: 3891974/n/nStatus da quest%C3%A3o: Liberada para Uso.');