Baixe o app para aproveitar ainda mais
Prévia do material em texto
Disciplina: EEX0007 - INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO Período: 2021.2 EAD (G) / AV Aluno: Matrícula: Data: /07/2021 Turma: ATENÇÃO 1. Veja abaixo, todas as suas respostas gravadas no nosso banco de dados. 2. Caso você queira voltar à prova clique no botão "Retornar à Avaliação". 1a Questão (Ref.: 202107235466) (Ano: 2020 Banca: FCM Órgão: Prefeitura de Contagem - MG Prova: FCM - 2020 - Prefeitura de Contagem - MG - Auditor Fiscal) Suponha que uma entidade R (remetente) deseja enviar uma mensagem m para outra entidade D (destinatário) utilizando a internet. Para se comunicarem, R e D utilizam criptografia de chave pública. R+ e R são as chaves pública e privada de R, respectivamente, e D+ e D- são as chaves pública e privada de D, respectivamente. A partir dessa situação, avalie o que se afirma. I - Se R utilizar D+ para criptografar m, então D poderá utilizar D- para decriptar m. II - Se R utilizar R+ para criptografar m, então D poderá utilizar D- para decriptar m. III - Se R utilizar R- para criptografar m, então D poderá utilizar R+ para decriptar m. IV - Se R utilizar D- para criptografar m, então D poderá utilizar R+ para decriptar m. Está correto apenas o que se afirma em: II e III III e IV I e III II e IV I e IV 2a Questão (Ref.: 202107235490) (Ano: 2010 Banca: CESPE / CEBRASPE Órgão: INMETRO Prova: CESPE - 2010 - INMETRO - Pesquisador - Infraestrutura e redes de TI) Assinale a opção correta a respeito de segurança da informação, análise de riscos e medidas de segurança física e lógica Em análises de riscos, é necessário levar em conta os possíveis ataques que podem ocorrer, contudo desconsideram-se os possíveis efeitos desses ataques Como medida de segurança preventiva, utilizam-se controle de acesso lógico e sessão de autenticação Analisar riscos consiste em enumerar todos os seus tipos, quais deles expõem a informação e quais as consequências dessa exposição, bem como enumerar todas as possibilidades de perda direta e indireta Como medida de segurança corretiva, utilizam-se firewalls e criptografia As medidas de segurança se dividem em dois tipos: as preventivas e as corretivas 3a Questão (Ref.: 202107235509) (FCC - 2019 - TRF - 4ª REGIÃO - Técnico Judiciário - Tecnologia da Informação) Um Técnico Judiciário está analisando as características de diversas pragas virtuais (malwares) para proceder à instalação de antivírus adequado. Dentre as características específicas por ele analisadas, estão: I. Programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário. Um exemplo é um programa que se recebe ou se obtém de sites na internet e que parece ser inofensivo. Tal programa geralmente consiste em um único arquivo e necessita ser explicitamente executado para que seja instalado no computador. II. Programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços criados ou modificados para este fim. Pode ser incluído pela ação de outros códigos maliciosos, que tenham previamente infectado o computador, ou por atacantes que exploram vulnerabilidades existentes nos programas instalados no computador. Após incluído, ele é usado para assegurar o acesso futuro ao computador comprometido, permitindo que ele seja acessado remotamente, sem que haja necessidade de recorrer novamente aos métodos utilizados na realização da invasão ou infecção e, na maioria dos casos, sem que seja notado. III. Programa que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia. O atacante exige pagamento de resgate para restabelecer o acesso ao usuário. As descrições acima são, correta e respectivamente, correspondentes a: spyware, cavalo de troia (trojan) e ransomware vírus, spyware e rootkit worm, backdoor e vírus bot, rootkit e cavalo de troia (trojan) cavalo de troia (trojan), backdoor e ransomware 4a Questão (Ref.: 202107235529) (FGV - 2014 - DPE-RJ - Técnico Superior Especializado - Desenvolvimento de Sistemas) Considere que uma equipe esteja trabalhando num software web com severas restrições de segurança. Além dos desenvolvedores e analistas, essa equipe conta com profissionais especialistas em segurança que têm, entre outras atribuições, a responsabilidade de realizar a revisão dos códigos a fim de evitar vulnerabilidades. Se durante a etapa de desenvolvimento um revisor da equipe de segurança detectar uma vulnerabilidade, é sua responsabilidade Corrigir o problema e relatar a vulnerabilidade à equipe de segurança Isolar o problema e solicitar que a equipe de desenvolvimento corrija a vulnerabilidade imediatamente Corrigir a vulnerabilidade, contatando os desenvolvedores que programaram o trecho de código vulnerável Separar a vulnerabilidade e alertar a equipe de segurança para que o problema seja resolvido Separar a vulnerabilidade, tratando o código com erro como mais um problema que requer correção 5a Questão (Ref.: 202107235491) Observe o que diz o item 6.1.3 da norma técnica ABNT NBR ISO/IEC 27001:2013: 6.1.3 Tratamento de riscos de segurança da informação A organização deve definir a aplicar um processo de tratamento de riscos de segurança da informação para: (...) b) determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento do risco da segurança da informação. d) elaborar uma declaração de aplicabilidade, que contenha os controles necessários (ver 6.1.3 b) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do Anexo A. Uma empresa que está se preparando para sofrer uma auditoria checou que não constam na Declaração de Aplicabilidade, a exclusão e nem a justificativa de exclusão dos objetivos de controle e controles constantes na norma. De acordo com o item 6.1.3 da norma, isso é passível de ser classificado como ¿Não-conformidade¿? Não Falta informação nessa checagem para classificar. Sim Não se aplica a esta norma. Indica uma simples observação a ser feita. 6a Questão (Ref.: 202107235507) Selecione a opção que contenha apenas itens necessários para que um processo de logon seja considerado eficiente: Auxiliar o usuário sobre a correção de erros no logon, para facilitar a entrada do mesmo no sistema e, desse modo, aumentar a sua produtividade. Data e hora de todas as tentativas de logon com sucesso. Não registrar tentativas de logon sem sucesso, de modo a evitar o armazenamento de dados desnecessário. Informar que o computador só deve ser acessado por pessoas autorizadas e evitar identificar o sistema ou suas aplicações até que o processo de logon esteja completamente concluído. Permitir que o usuário possa realizar tentativas de entrada no sistema até que ele consiga fazer o logon. 7a Questão (Ref.: 202107211504) Complete a frase corretamente: ¿as funções de hash, por exemplo, são adequadas para garantir a integridade dos dados, porque _______________¿ Usam chave única para criptografar e descriptografar a mensagem. Utilizam algoritmos de criptografia de chave pública. Geralmente podem ser calculadas muito mais rápido que os valores de criptografia de chave pública. Qualquer alteração feita no conteúdo de uma mensagem fará com que o receptor calcule um valor de hash diferente daquele colocado na transmissão pelo remetente. Fazem a troca de chaves na chave simétrica. 8a Questão (Ref.: 202107219556) Um membro da comissão de segurança precisa saber informações sobre cada um dos processos da GR. Ele consulta uma dentre as normas da família ISO/IEC 27000 utilizadas para definir uma série de normas relacionadas à segurança da informação. A normaem questão é a: ISO/IEC 27001 ISO/IEC 31000 ISO/IEC 27005 ISO/IEC 27000 ISO/IEC 27002 9a Questão (Ref.: 202107219563) Selecione a opção que se enquadra em um dos motivos pelos quais o Plano de Continuidade de Negócios (PCN) pode precisar ser ajustado: As funções e responsabilidades são bem definidas. A avaliação e o teste das estratégias são eficazes. Surgiu uma nova metodologia no mercado e, portanto, deve ser implementada imediatamente nas estratégias atuais. Mudança nas funções e membros da equipe de continuidade de negócios. A organização precisa fazer mudanças para demonstrar aos seus usuários e clientes que está se atualizando constantemente. 10a Questão (Ref.: 202107219564) O Gerenciamento da Continuidade dos Serviços de Tecnologia Informação (GCSTI) é um processo essencial para que o negócio possa voltar a operar com o suporte dos serviços de TI o mais rápido possível após a ocorrência de um cenário de desastre. Selecione a opção que apresenta um possível desafio de desenvolvimento de um GCSTI: Obter referências para adoção das melhores práticas apropriadas em TI. Obter exemplos no mercado de casos de sucesso do desenvolvimento, da implantação e da aplicação da GCSTI. Encontrar apoio profissional no mercado para dar suporte ao desenvolvimento da GCSTI. Justificar a importância do desenvolvimento da GCSTI. Criar um GCSTI quando não existirem planos de gerenciamento de continuidade de negócios.
Compartilhar