Compartilhando | Teste 5: Segurança de TI

#1. (FCC – Prefeitura de Teresina-PI/2016) Considere as informações abaixo sobre tipos de ameaças.
I. Falha de segurança no sistema operacional ou em aplicativos que permite o acesso ao computador sem ser detectado pelo Firewall.
II. Aplicativo que faz o download e exibe anúncios e propaganda na tela do computador sem solicitar autorização.
III. Aplicativos simples que são instalados no computador sem o conhecimento do usuário e que alteram o sistema para permitir ataques posteriores.
Os tipos de ameaças são, respectivamente,

Backdoor, Adware e Cavalo de Tróia.

Cavalo de Tróia, Adware e Worm.

Backdoor, Worm e Vírus.

Cavalo de Tróia, Spyware e Vírus.

Vírus, Spyware e Backdoor.

#2. (IF-PE – IF-PE/2016) “A rede de computadores do Hollywood Presbyterian Medical Center, em Los Angeles (EUA), foi “sequestrada” por um grupo de hackers, que pede um resgate no valor de US$ 3,6 milhões (cerca de R$ 14,4 milhões). A fiança é cobrada em troca da descriptografia do sistema e dos arquivos do hospital, que estão há mais de uma semana offline.
Em entrevista à rede norte-americana de televisão NBC LA, o presidente do hospital, Allen Stefanek, disse ter decretado uma emergência interna. Segundo ele, os sistemas da sala de emergência da entidade foram afetados.
Alguns pacientes foram transportados para outros hospitais devido ao incidente. Em outras partes do hospital, computadores essenciais para várias funções – incluindo tomografia computadorizada – estão off-line.
Até que o processo de investigação realizado pela polícia de Los Angeles e pelo FBI seja finalizado os funcionários recorrem a aparelhos de fax e telefone. Os registros médicos estão sendo realizados em papel.
Sobre o tipo de ataque realizado, é CORRETO afirmar que ele pode ser classificado especificamente como

vírus.

worm.

time bomb.

ransomware.

browser hijacking.

#3. (IF-PE – IF-PE/2016) Assumindo que o ataque realizado é conhecido, e que possui as seguintes características:
I. Utiliza um algoritmo de criptografia simétrico.
II. A mesma chave é utilizada para criptografar todos os arquivos.
III. O tamanho/comprimento em bits da chave é igual ao tamanho padrão do algoritmo de criptografia utilizado, ou na ausência de um tamanho padrão, é adotado o menor tamanho permitido pelo algoritmo.
Dentre os algoritmos apresentados a seguir, é CORRETO afirmar que o algoritmo simétrico mais difícil de ser quebrado pela polícia de Los Angeles, que utiliza as técnicas de criptoanálise e força-bruta para descobrir a senha, é

SHA-2.

Blowfish.

RSA.

Camellia.

DES

#4. (IESES – BAHIAGÁS/2016) Códigos maliciosos (Malware) são programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador. Com relação a este assunto são realizadas as seguintes afirmações:
I. Vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos.
II. Um Vírus de script é escrito em linguagem de script, como VBScript e JavaScript, e recebido ao acessar uma página Web ou por e-mail, como um arquivo anexo ou como parte do próprio e-mail escrito em formato HTML. Pode ser automaticamente executado, dependendo da configuração do navegador Web e do programa leitor de e-mails do usuário.
III. Um cavalo de troia é um programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente. Possui processo de infecção e propagação similar ao do keylogger, ou seja, se propaga automaticamente, explorando vulnerabilidades existentes em programas instalados em computadores.
Em relação a estas afirmações, assinale a alternativa correta:

Somente as alternativas I e II estão corretas.

Somente a alternativa II está correta.

Somente as alternativas I e III estão corretas.

Somente a alternativa I está correta.

Somente as alternativas II e III estão corretas.

#5. (FUNRIO – IF-BA/2016) Os sistemas de detecção e prevenção de intrusão vem se tornando cada vez mais importantes na área de segurança de redes de computadores, na medida em que auxiliam na prevenção de ataques que podem explorar brechas em Firewall e antivírus. Os tipos mais comuns de intrusão são Evasão, Inserção, Negação de Serviços e Varredura de Portas.
São exemplos de ataques de negação de serviço que podem ser detectados por ferramentas de detecção de intrusão:

Jolt2, Smurf, UDPStorm, Synflood e Teardrop.

Long URL e URL.

Long URL, Session Splicing e Fingerprint.

Case sensitive e Session Splicing.

Fingerprint, TCP Connect, Ident, SYN scanning, FIN scanning, UDP scanning e IP scanning.

#6. (FCC – TRT – 15ª Região/2015) Sobre as definições aplicadas na NBR ISO/IEC 27001:2006, considere:
I. Segurança da informação é a preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas.
II. Evento de segurança da informação é um evento simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
III. Incidente de segurança da informação é uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.
IV. Confidencialidade é a propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados.
Está correto o que consta APENAS em ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.

II e III.

III e IV.

I e IV.

I e II.

II e IV.

Segurança da informação: preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas.

Evento de segurança da informação: uma ocorrência identificada de um estado de sistema, serviço ou rede, INDICANDO UMA POSSÍVEL violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.

Incidente de segurança da informação: um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados.

#7. (CESPE – ANTAQ/2014) Segundo a Norma ISO 27001, o monitoramento de um sistema de gestão de segurança da informação é completamente atendido pelos seguintes controles: registros (logs) de auditoria, proteção das informações dos registros (logs) e monitoramento do uso do sistema.

Verdadeiro

Falso

#8. (CESPE – ANATEL/2014) A norma NBR ISO/IEC 27001:2006 foi elaborada para prover um modelo de estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria do sistema de gestão de sistemas de informação (SGSI). Com relação a esse assunto, julgue os itens que se seguem. Devido a questões econômicas, a norma em questão não cobre empresas de pequeno porte. ? ... "Esta Norma cobre todos os tipos de organizações (por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos)." ... "Os requisitos definidos nesta Norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza."

Verdadeiro

Falso

#9. (CESPE – ANATEL/2014) Na norma ISO 27001, recomenda-se que, no contexto da ação preventiva, a organização identifique tanto alterações nos riscos quanto os consequentes requisitos de ações preventivas, especialmente no que diz respeito aos riscos que tenham sofrido alterações significativas.

Falso

Verdadeiro

#10. (CESPE – TCE-SC/2016) Considerando a NBR ISO 27001, o modelo de gestão e as características do negócio de uma organização não devem ser considerados na elaboração das políticas de segurança da informação, uma vez que os recursos afetados por essas políticas estão relacionados à área de TI. ? "Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A adoção de um SGSI deve ser uma decisão estratégica para uma organização. A especificação e a implementação do SGSI de uma organização são influenciadas pelas suas necessidades e objetivos, requisitos de segurança, processos empregados e tamanho e estrutura da organização. "

Falso

Verdadeiro

#11. (CESPE – TRE/RJ/2012) O modelo conhecido como PDCA (plan-do-check-act) é utilizado e aplicado na estruturação de processos do SGSI. ? "A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. Para os efeitos desta Norma, o processo usado está baseado no modelo de PDCA ..."

Verdadeiro

Falso

#12. (CESPE – TRE/RJ/2012) Com base na norma ABNT NBR ISO/IEC 27001, A política de segurança da informação integra o SGSI e a diretriz para a implementação dessa política é detalhada na referida norma. ? "Os requisitos definidos nesta Norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. "

Falso

Verdadeiro

#13. (FCC – TRT 6ª/2012) Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os recursos necessários para

avaliar a necessidade de ações para assegurar que as não conformidades não ocorram.

desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de risco.

transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores.

estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI.

identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos.

#14. (CESPE – BASA/2012) No que se refere aos objetivos de controle, contidos no Anexo A(normativo) ABNT NBR ISO/IEC 27001, julgue. Entre os controles referentes ao gerenciamento de acesso do usuário, tendo-se em vista assegurar o acesso autorizado e prevenir o não autorizado, o anexo em questão estabelece que a análise crítica de direitos de acesso dos usuários deve ser feita por meio de um processo formal e conduzida em intervalos regulares.

Falso

Verdadeiro

#15. (CESPE – BASA/2012) Conforme prevê a norma em apreço, em acordo com terceiros referente à aquisição de produtos de TI, dispensa-se o controle do SGSI no que diz respeito a segurança da informação. ? Os acordos com terceiros envolvendo o acesso, processamento, comunicação ou gerenciamento dos recursos de processamento da informação ou da informação da organização, ou o acréscimo de produtos ou serviços aos recursos de processamento da informação devem cobrir todos os requisitos de segurança da informação relevantes.

Verdadeiro

Falso

#16. (CESPE – TCU/2015) De acordo com a NBR ISO/IEC 27001:2013, a organização deve estabelecer, implementar, manter e continuamente melhorar um sistema de gestão da segurança da informação (SGSI). Na especificação e na implementação do SGSI, devem-se considerar as necessidades, os objetivos e os requisitos de segurança da organização, mas elas não devem ser influenciadas por seu tamanho nem por sua estrutura.

Falso

Verdadeiro

#17. (FCC – CNMP/2015) A Norma ISO/IEC 27002:2005, na seção relativa à Segurança em Recursos Humanos, estabelece que:
Antes de realizar a contratação de um funcionário ou mesmo de fornecedores e terceiros, é importante que cada um deles entenda suas responsabilidades e esteja de acordo com o papel que desempenhará. Portanto, as …… e os termos e condições de contratação devem ser explícitos, especialmente no que tange às responsabilidades de segurança da informação. É importante também que quaisquer candidatos sejam devidamente analisados, principalmente se forem lidar com informações de caráter sigiloso. A intenção aqui é mitigar o risco de roubo, fraude ou mau uso dos recursos.
Corresponde corretamente à lacuna:

políticas de segurança

responsabilidades sociais

diretrizes organizacionais

descrições de cargo

tendências profissionais

#18. (FCC – ELETROSUL/2016) Considere que na Eletrosul o acesso à informação, recursos de processamento das informações e processos de negócios devem ser controlados com base nos requisitos de negócio e segurança da informação. Assim, convém ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.

estabelecer regras baseadas na premissa “tudo é permitido, a menos que expressamente proibido" em lugar da regra mais fraca “tudo é proibido, a menos que seja expressamente permitido"

considerar os controles de acesso lógico e físico separadamente, já que os controles lógicos são mais importantes e devem ter prioridade sobre os demais controles, pois estão descritos na política de segurança da informação

que os procedimentos de controle de acesso para registro e cancelamento de usuários incluam fornecer aos usuários uma declaração por escrito dos seus direitos de acesso

que questões de legislação pertinentes e qualquer obrigação contratual relativa à proteção de acesso para dados ou serviços estejam em um documento próprio, separado da política de controle de acesso

fornecer senhas aos usuários de maneira segura, através de mensagens de e-mail, SMS ou arquivo de senha

Convém que o processo inclua os seguintes requisitos:

a) solicitar aos usuários a assinatura de uma declaração, para manter a confidencialidade da informação de autenticação secreta e manter as senhas de grupos de trabalho, exclusivamente com os membros do grupo; esta declaração assinada pode ser incluída nos termos e condições da contratação;

Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( )

#19. (CESPE – TRE-MS/2013) Na gestão de incidentes de segurança da informação, de acordo com a norma ABNT NBR ISO/IEC 27.002, deve-se considerar que alguns procedimentos sejam estabelecidos de acordo com o evento ocorrido. Segundo essa norma, os eventos que demandam a criação de procedimentos para o seu tratamento incluem a

permissão para que pessoas não autorizadas trafeguem em perímetro físico.

ocorrência de defeito em um dos discos de uma estação de trabalho que contenha dois discos rígidos redundantes.

identificação de nova vulnerabilidade no ambiente de tecnologia da informação.

negação de serviço.

análise de logs de auditoria.

#20. (CESPE – CNJ/2013) Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e reavaliação dos planos de continuidade do negócio, deve haver testes de interrupção e recuperação dos serviços, em que se identifiquem informações relevantes que precisam ser atualizadas. Entre essas informações, por serem desnecessárias, não constam nomes, endereços e telefones de participantes e estratégias de negócio. ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.

Verdadeiro

Falso

Testes de interrupção e recuperação em planos de continuidade? Fala sério …

17.1.3 Verificação, análise crítica e avaliação da continuidade da segurança da informação ( )

Definição: “”Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade.”

Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( )

#21. (FCC – TJ-AP/2014) O objetivo de controle que define o que deve ser alcançado na seção que trata da classificação da informação da Norma ABNT NBR ISO/IEC 27002:2005 é “assegurar que a informação receba um nível adequado de proteção”. Um dos controles que podem ser aplicados para se alcançar este objetivo diz que convém que a informação seja classificada em termos do seu valor, e
I. dos requisitos legais.
II. da sensibilidade.
III. da criticidade para a organização.
IV. do seu tamanho.
Está correto o que consta APENAS em ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.

II, III e IV.

I e IV.

II e IV.

I, II e III.

I e III.

Versão 2005:

“Convém que a informação seja classificada para indicar a necessidade, prioridades e o nível esperado de proteção … ”

Versão 2013:

“Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada.”

Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( )

#22. (FCC – TCE-GO/2014) NÃO é uma recomendação contida na seção da Norma ISO/IEC 27002, que trata da estrutura do plano de continuidade do negócio, que

cada plano especifique o plano de escalonamento e as condições para sua ativação, assim como as responsabilidades individuais para execução de cada uma das atividades do plano.

uma estrutura básica dos planos de continuidade do negócio seja mantida para assegurar que todos os planos sejam coerentes e que haja um único gestor para todos os planos evitando, assim, divergências nas decisões.

procedimentos do programa de gestão de mudança da organização sejam incluídos para assegurar que os assuntos de continuidade de negócios estejam sempre direcionados adequadamente.

procedimentos de emergência, de recuperação, manual de planejamento e planos de reativação sejam de responsabilidade dos gestores dos recursos de negócios ou dos processos envolvidos.

procedimentos de recuperação para serviços técnicos alternativos, como processamento de informação e meios de comunicação, sejam normalmente de responsabilidade dos provedores de serviços.

#23. (CESPE – ANATEL/2014) De acordo com a Norma Complementar n.º 06/IN01/DSIC/GSIPR, o programa de gestão de continuidade de negócios de órgão ou entidade da administração pública federal deve ser composto, no mínimo, pelos planos de gerenciamento de incidentes, de continuidade de negócios e de recuperação de negócios.

Falso

Verdadeiro

#24. (CESPE – TJ-SE/2014) Para evitar o vazamento de informações corporativas, que gera prejuízos enormes às organizações, a utilização de equipamentos fora das dependências da organização requer obrigatoriamente a autorização prévia da administração.

Falso

Verdadeiro

#25. (CESPE – TJ-SE/2014) No que se refere às políticas de segurança da informação, julgue os itens subsequentes, de acordo com a NBR ISO/IEC 27002. A situação de ações preventivas é uma saída da análise crítica da política de segurança da informação.

Verdadeiro

Falso

#26. (CESPE – TJ-SE/2014) No que se refere às políticas de segurança da informação, julgue os itens subsequentes, de acordo com a NBR ISO/IEC 27002. A política de segurança da informação de uma organização deve ser comunicada de maneira acessível e relevante a todos os usuários.

Falso

Verdadeiro

#27. (CESPE – TJ-SE/2014) No que se refere às políticas de segurança da informação, julgue os itens subsequentes, de acordo com a NBR ISO/IEC 27002. A política de segurança da informação de uma organização não pode fazer parte de uma política geral da empresa, devendo ser contemplada em um documento específico, com versões controladas, contendo especificamente as diretrizes de segurança da informação.(CESPE – TJ-SE/2014) No que se refere às políticas de segurança da informação, julgue os itens subsequentes, de acordo com a NBR ISO/IEC 27002. A política de segurança da informação de uma organização não pode fazer parte de uma política geral da empresa, devendo ser contemplada em um documento específico, com versões controladas, contendo especificamente as diretrizes de segurança da informação.

Verdadeiro

Falso

#28. (FUNCAB – CREA-AC/2016) Um desenvolvedor de software de certificação digital, trabalhando com ICP padrão x.509, precisa preencher o campo que contém o tipo de função hash criptográfica utilizada em um certificado digital. Esse campo é:

extensão de atributos.

especificação de propósito

assinatura daAC.

tipo de algoritmo.

identificador da chave do titular.

#29. (FUNDEP (Gestão de Concursos) – UFVJM-MG/2017) Numere a COLUNA II de acordo com a COLUNA I, associando os golpes aplicados na internet às suas características.
COLUNA I
1. Furto de identidade
2. Hoax
3. Phishing
COLUNA II
( ) Mensagem com conteúdo falso.
( ) Tentativa de uma pessoa se passar por outra.
( ) Tentativa de obter dados pessoais de um usuário.
Assinale a sequência CORRETA.

2 3 1

2 1 3

3 2 1

1 3 2

#30. (IBFC – EBSERH/2017) “Um ataque clássico ____________é quando uma pessoa se passa por um alto nível profissional dentro das organizações e diz que o mesmo possui problemas urgentes de acesso ao sistema, conseguindo assim o acesso a locais restritos”. Assinale a alternativa que completa corretamente a lacuna:

do Ciborgue Virtual

do Máscara Negra

do Robot Humano

do Método Cibernético

na Engenharia Social

Teste 5: Segurança de TI

Teste 5: Segurança de TI

Results

#7. (CESPE – ANTAQ/2014) Segundo a Norma ISO 27001, o monitoramento de um sistema de gestão de segurança da informação é completamente atendido pelos seguintes controles: registros (logs) de auditoria, proteção das informações dos registros (logs) e monitoramento do uso do sistema.

#13. (FCC – TRT 6ª/2012) Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os recursos necessários para

#22. (FCC – TCE-GO/2014) NÃO é uma recomendação contida na seção da Norma ISO/IEC 27002, que trata da estrutura do plano de continuidade do negócio, que

#24. (CESPE – TJ-SE/2014) Para evitar o vazamento de informações corporativas, que gera prejuízos enormes às organizações, a utilização de equipamentos fora das dependências da organização requer obrigatoriamente a autorização prévia da administração.

#25. (CESPE – TJ-SE/2014) No que se refere às políticas de segurança da informação, julgue os itens subsequentes, de acordo com a NBR ISO/IEC 27002. A situação de ações preventivas é uma saída da análise crítica da política de segurança da informação.

#26. (CESPE – TJ-SE/2014) No que se refere às políticas de segurança da informação, julgue os itens subsequentes, de acordo com a NBR ISO/IEC 27002. A política de segurança da informação de uma organização deve ser comunicada de maneira acessível e relevante a todos os usuários.

#28. (FUNCAB – CREA-AC/2016) Um desenvolvedor de software de certificação digital, trabalhando com ICP padrão x.509, precisa preencher o campo que contém o tipo de função hash criptográfica utilizada em um certificado digital. Esse campo é:

Deixe uma resposta Cancelar resposta