São aspectos de proteção da Segurança da Informação: interação de comandos; disponibilidade de instruções; privacidade ou confidencialidade. autorização; designação; impedimento de restore. integridade de hardware; autorização de recall; privacidade ou compromisso. autocodificação; autenticação; autorização de replay. autorização; autenticação; impedimento de replay.
Assinale a assertiva correta. Na criptografia por chave pública são geradas chaves de criptografia em pares, devendo um deles ser mantido secreto. Uma rede privada virtual não pode enviar dados criptografados através da Internet. Na criptografia por chave periódica são geradas chaves de criptografia em períodos, devendo um deles ser mantido secreto. Na criptografia pública são geradas chaves de criptografia únicas, todas de conhecimento público. Uma rede privada envia dados virtuais através de portas criptografadas.
Assinale a assertiva correta. A criptografia verifica se uma entidade é quem diz ser. A autoridade certificadora (CA) cria um certificado que vincula a chave pública da entidade à entidade verificada. A componente certificadora (CC) verifica se uma entidade é parte de outra entidade. A autoridade autenticadora (AA) desvincula a chave pública da entidade da chave primária da entidade verificada. A autoridade certificadora (CA) cria uma chave privada que substitui a chave pública da entidade.
Com relação aos registros de auditoria, a norma ABNT NBR ISO/IEC 27002 informa o seguinte: Os logs contendo as atividades de usuários devem permanecer disponíveis pelo período mínimo de cinco anos para auxiliar em futuras investigações. O nível de monitoramento requerido para os recursos é determinado através de uma análise/avaliação dos serviços de rede. Registros (logs) de sistemas precisam ser protegidos, através de mecanismos de controle de acesso, pois os dados podem ser modificados e excluídos. As atividades que geram registros de logs podem ser suprimidas pelo administrador, em casos de risco de continuidade do serviço por falta de espaço em disco. No desenvolvimento de sistemas, a geração de arquivos de log e de auditoria não é contemplada, pois os registros de logs do sistema operacional são suficientes.
Com relação à norma ABNT NBR ISO/IEC 27002, pode-se afirmar que: A norma ABNT NBR ISO /IEC 27002 determina um esquema específico para a classificação dos ativos da informação, com base em quatro classes de segurança. Para definição de uma estratégia de continuidade de negócios, deve-se ter como meta o tempo esperado de recuperação, que, por sua vez, é derivado dos períodos máximos toleráveis de interrupção. A segurança no descarte de equipamentos de computação e a comunicação seguem as recomendações de normas relativas à reciclagem de resíduos sólidos e, por isso, não está prevista em uma recomendação específica da norma ABNT NBR ISO /IEC 27002. A importância dos ativos, seu valor para o negócio e a sua classificação de segurança determinam se o ativo da informação deve ser inventariado. Todos os funcionários, estagiários e terceiros devem seguir as regras para o uso permitido de informações e de ativos associados aos recursos de processamento da informação, sendo que, para os fornecedores, essas regras devem estar explicitadas em cláusulas contextuais específicas.
A norma ABNT NBR ISO/IEC 27002, recomenda que os requisitos para controles de segurança de novos sistemas de informação ou melhorias em sistemas existentes sejam especificados nos manuais dos usuários dos sistemas. nos documentos da política de controle de ativos. na política de segurança da informação da organização. nas especificações de requisitos de negócios dos sistemas. nos documentos da metodologia de desenvolvimento dos sistemas da organização.
Com relação a criptografia simétrica, é correto afirmar: A criptografia de chave simétrica pode manter os dados seguros, mas, se for necessário compartilhar informações confidenciais com outras pessoas, também se deve compartilhar a chave utilizada para criptografar os dados. A criptografia de chave simétrica é um método de codificação que utiliza uma chave pública e uma chave privada para codificar e decodificar a mesma informação. A criptografia de chave simétrica é um método de codificação que utiliza duas chaves públicas para codificar e decodificar a mesma informação. A criptografia de chave simétrica é um método de codificação que utiliza uma chave pública e duas privadas para codificar e decodificar a mesma informação. Os algoritmos de chave simétrica têm como principal característica a possibilidade de utilização de assinatura digital e de certificação digital, sem alteração da chave.
Com relação a segurança, protocolos, ferramentas e procedimentos utilizados na Internet, julgue os próximos itens.
Uma maneira de proteger o computador de um ataque de phishing é, no caso de recebimento de e-mails de instituições financeiras ou governamentais suspeitos, nunca clicar os links, fornecer dados sigilosos ou executar programas fornecidos no e-mail. Ao invés disso, deve-se procurar o sítio oficial da instituição ou telefone para se informar sobre a solicitação feita por e-mail. Certo Errado.
A respeito dos procedimentos, aplicativos e dispositivos para armazenamento de dados e cópia de segurança, julgue os seguintes itens.
Para a restauração de dados, é necessário utilizar o backup normal e o último backup incremental. Certo Errado.
A respeito dos procedimentos, aplicativos e dispositivos para armazenamento de dados e cópia de segurança, julgue os seguintes itens.
No backup diferencial, o aplicativo do Windows XP Pro considera apenas os arquivos com atributo de arquivamento marcados. Certo Errado.
A respeito dos procedimentos, aplicativos e dispositivos para armazenamento de dados e cópia de segurança, julgue os seguintes itens.
A utilização do espelhamento de disco RAID 1 como forma de cópia de segurança é suficiente para a garantia da redundância do ambiente, o que torna desnecessária a realização de backup normal. Certo Errado.
A respeito dos procedimentos, aplicativos e dispositivos para armazenamento de dados e cópia de segurança, julgue os seguintes itens.
A periodicidade de realização de um backup deve ser definida por meio de uma política de segurança da informação, devendo-se observar as normas de classificação da informação, o gerenciamento de mídias removíveis e tabelas de temporalidade. Certo Errado.
Com relação aos requisitos de segurança da informação, assinale a opção correta. A integridade é diretamente obtida quando se tem a confidencialidade. A disponibilidade não é afetada pela obtenção da integridade e da confidencialidade. A integridade requer que a informação só seja acessada por quem estiver autorizado. A confidencialidade garante que a informação não será alterada por quem não estiver autorizado. A adição da integridade a um sistema com confidencialidade eleva o seu nível de segurança.
Com relação à segurança da informação, assinale a opção correta. A política de segurança da informação define o que deve ser protegido, por quê, e também quem será o responsável pela proteção, provendo uma base para decisões futuras. A avaliação de riscos deve abranger o que deve ser protegido e contra o quê. Porém, não deve levar em consideração o esforço, o tempo e os recursos necessários. Vulnerabilidade é uma feature de um software que, quando explorada, pode levar a comportamento não desejado. O risco de um ataque é proporcional à sua facilidade de execução. A ameaça é o produto do risco pelo custo da proteção.
Com relação aos sistemas criptográficos, assinale a opção correta. Com os sistemas simétricos, consegue-se obter confidencialidade, integridade e disponibilidade. Com os sistemas assimétricos, consegue-se obter confidencialidade, integridade, autenticidade e não repúdio. O sistema RSA, com ou sem curvas elípticas, tem por base o problema do logaritmo discreto. AES e 3DES são cifras simétricas que têm por base a malha de Feistel. O 3DES consiste de três rodadas consecutivas do DES em que a mesma chave de 64 bits é usada.
Com relação à assinatura e certificação digitais, é correto afirmar que: uma assinatura digital confere apenas autenticidade a uma mensagem. uma assinatura digital, que é apensa a uma mensagem, consiste na cifração do seu hash usando a chave pública do autor. se uma mensagem é cifrada duas vezes seguidas, usando a chave privada do remetente na primeira e a pública do destinatário na segunda, garante-se que a mensagem de fato partiu do remetente e que só será aberta pelo destinatário. se uma mensagem é cifrada duas vezes seguidas, usando a chave pública do destinatário na primeira e a pública do remetente na segunda, garante-se que a mensagem de fato partiu do remetente e que só será aberta pelo destinatário. se uma mensagem é cifrada duas vezes seguidas, usando a chave pública do remetente na primeira e a pública do destinatário na segunda, garante-se que a mensagem de fato partiu do remetente e que só será aberta pelo destinatário.
Com relação à segurança da informação, julgue os itens a seguir. Certo Errado.
Com relação à segurança da informação, julgue os itens a seguir.
Para a assinatura digital de uma mensagem, pode-se usar um algoritmo de chave pública, em que se emprega uma chave privada. Nesse caso, como somente o remetente possui acesso à chave privada e apenas a chave pública correspondente pode fazer que a mensagem volte ao seu estado original, utilizar chave privada significa que o remetente assina digitalmente a mensagem. Certo Errado.
Julgue os itens que se seguem, relativos a segurança no âmbito das
tecnologias da informação (TIs). Certo Errado.
Julgue os itens que se seguem, relativos a segurança no âmbito das
tecnologias da informação (TIs).
O smurf é um exemplo de vírus de macro que, por meio de ping, envia mensagens de broadcast para todas as máquinas de uma rede, sobrecarregando ou indisponibilizando os serviços. Certo Errado.
As tentativas de invasão às redes de computadores têm sido objeto de preocupação dos profissionais de segurança nas empresas. Uma técnica utilizada por fraudadores está caracterizada a seguir:
- Mensagens são enviadas por e-mail, que parecem ser originadas de instituições financeiras ou empresas idôneas, contêm um link falso que leva o cliente para um site também falso, mas muito parecido com o original da instituição financeira/empresa anunciada.
- O conteúdo do e-mail induz o cliente/usuário a fornecer dados pessoais e financeiros, por exemplo, por meio de falsa atualização de informações cadastrais. Nesse caso, os dados digitados pelo cliente, como, por exemplo, o número da sua agência, conta-corrente ou poupança, e senha, são capturados pelo cracker/hacker, e utilizado posteriormente.
Essa técnica é conhecida por cookie. phishing. spoofing. denial of service. dumpster of service.
Julgue os próximos itens, acerca da legislação relativa à segurança dos sistemas de informação.
I Não existe, hoje, lei federal que permita ou proíba um empregador de abrir um e-mail dirigido ao empregado, se este estiver usando o e-mail da organização para a qual trabalha.
II O direito à privacidade é um dispositivo infraconstitucional relacionado à segurança da informação.
III A doutrina e a legislação brasileira prescrevem como um dos tipos de assinaturas eletrônicas a assinatura digitalizada, a qual é gerada por meio de criptografia assimétrica.
IV São fases do tratamento da informação, que devem ser observadas pela administração pública quando da gestão da documentação governamental: recepção, produção, reprodução, utilização, acesso, transporte, transmissão, distribuição, armazenamento, eliminação e controle.
Estão certos apenas os itens I e II. I e III. I e IV. II e III. III e IV.
Proteger a confidencialidade, a autenticidade ou a integridade das informações por meios criptográficos. Dentre as categorias de segurança da informação da norma ISO 27002, a afirmativa acima trata do objetivo de uma categoria da gestão continuidade de negócios. da aquisição, desenvolvimeto e manutenção de sistemas de informação. do gerenciamento das operações e comunicações. de conformidade. do controle de acesso.
Segundo a Norma ISO 27002, convém que os registros (log) de auditoria incluam, quando relevantes, os registros das tentativas de acesso ao sistema aceitas e rejeitadas.
PORQUE
Segundo a Norma ISO 27002, a política de controle de acesso estabelece que convém fornecer aos usuários uma declaração nítida dos requisitos do sistema a serem atendidos pelos provedores de serviço.
Analisando-se as afirmações acima, conclui-se que as duas afirmações são verdadeiras, e a segunda justifica a primeira. as duas afirmações são verdadeiras, e a segunda não justifica a primeira. a primeira afirmação é verdadeira, e a segunda é falsa. a primeira afirmação é falsa, e a segunda é verdadeira. as duas afirmações são falsas.
Em relação à segurança da informação, analise os itens a seguir, marcando com (V) a assertiva Verdadeira e com (F) a assertiva Falsa.
( ) Avaliação de riscos é o uso sistemático de informações para identificar fontes e estimar o risco.
( ) Análise de riscos é o processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco.
( ) Risco é uma medida que combina a probabilidade de uma determinada ameaça se concretizar com os impactos que ela pode trazer.
( ) O conceito de privilégio mínimo é uma estratégia de proteção que prega que não se deve ficar exposto a situações de risco desnecessárias.
Assinale a alternativa com a sequência CORRETA, de cima para baixo: F, F, V, V. F, V, V, F. F, V, F, V. V, V, V, F.
Analise as seguintes afirmativas sobre política de segurança da informação e classifcação da informação.
I. Todas as informações e ativos associados com os recursos de processamento da informação devem ter um “proprietário” designado por uma parte definida da organização. O termo “proprietário” não significa que a pessoa realmente tenha direito de propriedade pelo ativo.
II. Um documento da política de segurança da informação deve ser aprovado pela direção, mas deve ser mantido em sigilo em relação aos funcionários e partes externas relevantes.
III. A informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização. A classificação da informação deve ser instituída por uma política.
Marque a alternativa CORRETA: apenas as afirmativas I e II são verdadeiras. apenas as afirmativas I e III são verdadeiras. apenas as afirmativas II e III são verdadeiras. todas as afirmativas são verdadeiras.
As duas técnicas criptográficas mais comuns de autenticação de mensagem são um código de autenticação de mensagens (MAC - Message Authentication Code) e uma função de hash segura. Sobre hash, é correto afirmar que mapeia uma mensagem de tamanho fixo em um valor de hash de tamanho variável, ou um resumo de mensagem (message digest). se trata de um algoritmo que requer o uso de uma chave secreta. Apanha uma mensagem de comprimento fixo e uma chave secreta como entrada e produz um código de autenticação. precisa ser combinada de alguma forma com uma chave pública, mas nunca com uma chave secreta, para a autenticação da mensagem. um código de hash, diferentemente de um MAC, usa apenas uma chave que se refere à função da mensagem de entrada e saída. o código de hash é uma função de todos os bits da mensagem e oferece uma capacidade de detecção de erros: uma mudança em qualquer bit ou bits na mensagem resulta em uma mudança no código de hash.
Ainda a respeito de certificação digital, assinale a opção correta. A autoridade certificadora raiz possui a incumbência de gerar certificados para todos os usuários de uma infraestrutura de chaves públicas. O certificado digital só precisa ter data de validade se o usuário estiver em situação de risco de perdê-lo, pois, em geral, não possui restrição de expiração. A autoridade certificadora é a entidade responsável por emitir uma chave pública. O certificado digital é pessoal e intransferível e não possui nenhuma informação sobre o seu titular. A certificação digital é uma forma de ingresso a sítios inseguros, mas cuja configuração não permite que o conteúdo seja alterado.
O presidente de uma empresa reclama com o diretor de TI a respeito do recebimento de muitos e-mails indesejados, principalmente sobre oferta de produtos não solicitados. O diretor de TI pede uma solução à sua equipe que aponta ser necessário bloquear o endereço IP remetente do e-mail no firewall externo ou roteador de borda. bloquear o campo remetente (RFC 822) do e-mail no próprio servidor SMTP. treinar uma rede neural com segmentos TCP para aprendizagem de classificação de SPAM. utilizar filtros bayesianos como mecanismo de redução de e-mails indesejados. eliminar os segmentos TCP que não sofreram confirmação de recebimento no roteador de borda.
|
