Compartilhando | Teste1: Segurança de TI

#1. (CESPE/UnB – TCDF/ANAP – 2014) A política de segurança da informação de uma organização deve ser elaborada de acordo com os requisitos relacionados ao negócio dessa organização e com as leis e regulamentações relevantes.

Verdadeiro

Falso

#2. (FCC – INFRAERO/2011) Em relação à norma NBR ISO/IEC 27002, para detalhes da implementação do controle “10.1.3 − Segregação de funções”, da norma NBR ISO/IEC 27001, convém que

o documento da política contenha declarações relativas às políticas, princípios, normas e requsitos de conformidade de segurança da informação específicos, incluindo consequências das violações na política de segurança da informação.

qualquer acesso aos recursos de processamento da informação da organização e ao processamento e comunicação da informação por partes externas seja controlado.

as atividades de segurança da informação sejam coordenadas por representantes de diferentes partes da organização e garantam que tais atividades sejam executadas em conformidade com a política de segurança da informação.

sejam tomados certos cuidados para impedir que uma única pessoa possa acessar, modificar ou usar ativos sem a devida autorização ou detecção.

as atividades de segurança da informação identifiquem as ameaças significativas e a exposição da informação e dos recursos de processamento da informação a essas ameaças.

#3. (CESPE/UnB – TCDF/ANAP – 2014) A assinatura digital é gerada por criptografia assimétrica mediante a utilização de uma chave pública para codificar a mensagem.

Verdadeiro

Falso

#4. (FCC – SEFAZ/SP/2013) A NBR ISO 27001 foi elaborada com objetivo de prover um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A estratégia de processo, ou seja, o ciclo de atividades, para a gestão da segurança adotada na norma, é conhecida como ? "A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. Para os efeitos desta Norma, o processo usado está baseado no modelo de PDCA ..."

SGCD.

CGSI.

OECD.

PDCA.

DOTC.

#5. (CESPE/UnB – TCDF/ANAP – 2014) A técnica de criptografia de chave única utiliza a mesma chave para criptografar e descriptografar uma mensagem.

Verdadeiro

Falso

#6. (FCC – SEFAZ/SP/2013) Considere a implantação de um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a NBR ISO 27001. A primeira etapa do processo é estabelecer o SGSI, que inclui, dentre outras atividades, ? A organização deve: a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo; b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia ...; c) Definir a abordagem de análise/avaliação de riscos da organização; d) Identificar os riscos; e) Analisar e avaliar os riscos; f) Identificar e avaliar as opções para o tratamento de riscos; g) Selecionar objetivos de controle e controles para o tratamento de riscos; h) Obter aprovação da direção dos riscos residuais propostos; i) Obter autorização da direção para implementar e operar o SGSI; j) Preparar uma Declaração de Aplicabilidade.

formular um plano de tratamento de risco que identifique a ação de gestão.

definir como medir a efetividade dos controles selecionados.

responsabilizar-se por revisões regulares.

gerenciar as operações do SGSI.

preparar uma declaração de aplicabilidade.

#7. (CESPE – SERPRO/2013) Entre os documentos que fazem parte da documentação de um SGSI, estão incluídas a declaração da política do SGSI, o escopo do SGSI e o plano de tratamento de risco. ? A documentação do SGSI deve incluir: a) declarações documentadas da política e objetivos do SGSI; b) o escopo do SGSI; c) procedimentos e controles que apoiam o SGSI; d) uma descrição da metodologia de análise/avaliação de riscos; e) o relatório de análise/avaliação de riscos; f) o plano de tratamento de riscos; g) procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, a operação e o controle de seus processos de segurança de informação e para descrever como medir a eficácia dos controles; h) registros requeridos por esta Norma; i) a Declaração de Aplicabilidade.

Verdadeiro

Falso

#8. (CESPE/UnB – TCDF/ANAP – 2014) A lista de certificados revogados (LCR) de uma infraestrutura de chaves públicas deve ser emitida pela autoridade certificadora, que também é responsável por emitir e gerenciar certificados digitais.

Verdadeiro

Falso

#9. (CESPE – SERPRO/2013) Na etapa de melhoria do SGSI, ocorrem as auditorias internas em intervalos planejados.

Falso

Verdadeiro

#10. (CESPE – SERPRO/2013) Para se estabelecer um SGSI, é necessário definir a estratégia de avaliação dos riscos, que é importante para a preparação da declaração de aplicabilidade. ? A organização deve: a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo; b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia ...; c) Definir a abordagem de análise/avaliação de riscos da organização; d) Identificar os riscos; e) Analisar e avaliar os riscos; f) Identificar e avaliar as opções para o tratamento de riscos; g) Selecionar objetivos de controle e controles para o tratamento de riscos; h) Obter aprovação da direção dos riscos residuais propostos; i) Obter autorização da direção para implementar e operar o SGSI; j) Preparar uma Declaração de Aplicabilidade.

Verdadeiro

Falso

#11. (CESPE – SERPRO/2013) Para assegurar que o SGSI continua conveniente com a realidade da organização, a direção deve analisá-lo em intervalos planejados. ? "A Direção deve fornecer evidência do seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI ... "

Falso

Verdadeiro

#12. (CESPE – SERPRO/2013) A execução de procedimentos e controles para identificar tentativas e falhas de segurança e incidentes que foram bem-sucedidos faz parte da etapa de implementação e operação do SGSI.

Falso

Verdadeiro

#13. (VUNESP – TCE-SP/2015) No que tange à segurança da informação, a segregação de funções é uma qualidade do sistema que atua para

impedir que o autor das informações negue a autoria delas.

não sobrecarregar os usuários atribuindo a eles uma quantidade demasiada de funções.

impedir que os dados sejam modificados durante a transmissão das informações.

garantir que os dados não sejam visualizados por pessoas não autorizadas.

reduzir as oportunidades de mau uso acidental ou intencional do sistema.

#14. (TRE/MA-IESES/2015) Além da função de identificar digitalmente seu portador, uma assinatura digital é útil para garantir o não-repúdio. Em uma mensagem, isso significa que:

O receptor não pode negar sua disponibilidade.

O emissor não pode negar sua autenticidade.

O emissor não pode negar sua integridade.

O receptor não pode negar sua integridade.

#15. (TRE/MA-IESES/2015) Heartbleed (CVE-2014-016) foi o nome dado a uma recente falha na biblioteca OpenSSL, empregada para fornecimento de criptografia em inúmeros serviços de rede, como servidores web e de bancos de dados. Essa falha, que ficou famosa e foi bastante difundida no meio jornalístico, consiste em o atacante conseguir obter uma mensagem:
I. Menor do que o esperado para a funcão heartbeat da biblioteca OpenSSL.
II. Maior do que o esperado para a funcão heartbeat da biblioteca OpenSSL.
E, consequentemente, conseguir ler informações sensitivas como logins e senhas:
III. Cifradas na área de memória do servidor vulnerável.
IV. Decifradas na área de memória do servidor vulnerável.
São corretas as afirmações:

I e III.

I e IV.

II e III.

II e IV.

#16. (TRE/MA-IESES/2015) Se uma cifragem baseia-se no uso de uma chave simétrica de 10 bits, além de podermos considerar a sua segurança como sendo “muito fraca”, qual é a chance de um atacante quebrá-la na primeira tentativa de adivinhação?

1/10 Uma chance em dez.

1/100 Uma chance em cem.

1/1024 Uma chance em 1024.

1/1048576 Uma chance em (1024*1024).

#17. (TRE/MA-IESES/2015) Um atacante mal-intencionado obteve uma única vez acesso físico ao computador de sua vítima. Ele aproveitou a oportunidade para instalar um programa capaz de gravar todas as teclas que o usuário pressiona em seu teclado e outro programa para conseguir uma cópia dessa gravação remotamente, através da internet. A classificação específica dos dois programas instalados pelo atacante são, respectivamente: ? Keyloggers: capturam e armazenam as teclas digitadas no computador infectado. Assim, as informações de um e-mail ou senhas bancárias, por exemplo, correm riscos. Backdoor: é, na verdade, uma porta de entrada para malwares. “Porta dos fundos” – traduzindo literalmente – são falhas no sistema operacional ou em aplicativos que permitem que crackers tenham controle remoto sobre o equipamento infectado.

Keylogger e backdoor.

Malware e spyware.

Botnet e rootkit.

Worm e cavalo de troia.

#18. (FCC – DPE-RS/2017) Para cuidar da folha de pagamento e obrigações trabalhistas da empresa onde trabalha, um funcionário precisa se identificar digitalmente para receber procurações dentro do canal “Conectividade Social ICP” da Caixa Econômica Federal. Para isso, adquiriu um tipo de Certificado Digital e-CPF que pode ser gerado em um cartão inteligente ou token, com validade de três anos. O Certificado Digital adquirido foi do tipo

S3.

A3.

A2.

S1.

A1.

#19. (IESES-TRE-MA/2015) Algumas práticas comuns na auditoria de TI incluem o uso de evidências. É correto afirmar que são exemplos de evidências:

Inventário com descarte de avaliações de riscos e relatórios da folha pontos dos funcionários da empresa.

Não são utilizadas evidências durante uma auditoria de TI.

Inventário de ativos, documentos sobre a metodologia de avaliação de riscos e relatórios de avaliação de riscos.

Somente são utilizados documentos com análise de riscos gerada pelo próprio auditor.

#20. (IESES-TRE-MA/2015) Existem motivações para a realização de um trabalho de auditoria de TI (Tecnologia da Informação). É correto afirmar quanto aos motivos para realização de uma auditoria:

Que a auditoria de TI reforça controles gerais e controles em aplicações utilizadas na organização.

Os motivos atendem a uma decisão isolada da equipe técnica de desenvolvimento de software.

O responsável de banco de dados é o único beneficiado na organização e por isso motiva a realização de uma auditoria.

Em geral não existem motivações e as atividades realizadas são tratadas como processos isolados nas empresas.

#21. (IESES-TRE-MA/2015) Em algumas situações, o auditor precisa conduzir testes para avaliar controles de TI e recolher evidências. Quais são exemplos de situações em que isso ocorre:

A evidência nunca deve ser testada. É responsabilidade da equipe de TI imprimir o relatório de cada rotina para análise manual pelo auditor.

Em aplicações que fazem troca eletrônica de dados, sistemas de apoio à decisão que utilizam inteligência artificial e aplicações que utilizam redes neurais para avaliar uma condição financeira.

Situações de análise de acesso ao ambiente físico dos equipamentos.

Essas situações não ocorrem nas organizações. Todas as evidências são físicas e dispensam rotinas de teste em TI.

#22. (FCC – INFRAERO/2011) A modificação de procedimentos e controles que afetem a segurança da informação, quando necessário, para responder a eventos internos ou externos que possam impactar no Sistema de Gestão de Segurança da Informação (SGSI), incluindo mudanças de processos de negócio que afetem os requisitos de negócio existentes, constitui-se em elemento de

saída da análise crítica do SGSI pela direção.

determinação das competências necessárias ao pessoal que executa trabalhos que afetam o SGSI.

vulnerabilidade ou ameaça não contemplada adequadamente nas análises/avaliações de risco anteriores.

identificação dos riscos relacionados com partes externas.

execução de ações para eliminar as causas de não-conformidade com os requisitos do SGSI.

#23. (FCC – SEFAZ/SP/2013) A auditoria da segurança da informação avalia a política de segurança e os controles relacionados adotados em cada organização. Nesse contexto, muitas vezes, as organizações não se preocupam, ou até negligenciam, um aspecto básico da segurança que é a localização dos equipamentos que podem facilitar a intrusão. Na auditoria de segurança da informação, esse aspecto é avaliado no Controle de

conteúdo.

programas.

acesso físico.

acesso lógico.

entrada e saída de dados.

#24. (FUNCAB – SESACRE/2014) Na segurança da informação, são exemplos de um elemento malicioso e de um elemento de defesa, respectivamente: ? Cavalo de Tróia – Trojan Horse: são softwares projetados para serem recebidos como “presentes”, um cartão virtual, por exemplo. Porém, além de executar as funções para as quais foram programados, eles executam outras sem o conhecimento do usuário. Firewall: solução de segurança baseada em hardware ou software (mais comum) que, a partir de um conjunto de regras ou instruções, analisa o tráfego de rede para determinar quais operações de transmissão ou recepção de dados podem ser executadas.

cookies e phishing.

proxy e vírus de boot.

cavalo de troia e firewall.

DMZ e honey pot.

VPN e cookies.

#25. (FCC – SEFAZ/SP/2013) Um dos recursos básicos utilizados na segurança da informação é a criptografia que tem como objetivo assegurar a

integridade.

disponibilidade.

consistência.

privacidade.

legalidade.

#26. (CESPE/UnB – TCDF/ANAP – 2014) Conforme a norma ISO/IEC 27005, é recomendável que o nível de risco seja estimado em todos os cenários de incidentes relevantes. Essa estimativa serve para designar valores qualitativos ou quantitativos para a probabilidade e para as consequências do risco.

Falso

Verdadeiro

#27. (CESPE/UnB – TCDF/ANAP – 2014) No contexto de continuidade de negócio, a análise de impacto de negócio visa melhorar proativamente a resiliência da organização contra possíveis impactos na organização bem como melhorar a capacidade da organização para atingir seus principais objetivos.

Verdadeiro

Falso

#28. (CESPE/UnB – TCDF/ANAP – 2014) O princípio da disponibilidade refere-se aos cuidados quanto à forma como a informação será acessada, de modo que apenas os usuários devidamente autorizados possam utilizá-las.

Falso

Verdadeiro

#29. (CESPE/UnB – TCDF/ANAP – 2014) Para que ocorra análise de riscos, é necessário que todos os controles de segurança existentes nas normas técnicas sejam implementados no ambiente tecnológico.

Falso

Verdadeiro

#30. (CESPE/UnB – TCDF/ANAP – 2014) A classificação dos ativos de informação em graus de sigilo constitui precondição para se definir os requisitos de tratamento e de proteção a eles aplicáveis.

Falso

Verdadeiro

Teste1: Segurança de TI

Teste1: Segurança de TI

Results

#1. (CESPE/UnB – TCDF/ANAP – 2014) A política de segurança da informação de uma organização deve ser elaborada de acordo com os requisitos relacionados ao negócio dessa organização e com as leis e regulamentações relevantes.

#2. (FCC – INFRAERO/2011) Em relação à norma NBR ISO/IEC 27002, para detalhes da implementação do controle “10.1.3 − Segregação de funções”, da norma NBR ISO/IEC 27001, convém que

#3. (CESPE/UnB – TCDF/ANAP – 2014) A assinatura digital é gerada por criptografia assimétrica mediante a utilização de uma chave pública para codificar a mensagem.

#5. (CESPE/UnB – TCDF/ANAP – 2014) A técnica de criptografia de chave única utiliza a mesma chave para criptografar e descriptografar uma mensagem.

#8. (CESPE/UnB – TCDF/ANAP – 2014) A lista de certificados revogados (LCR) de uma infraestrutura de chaves públicas deve ser emitida pela autoridade certificadora, que também é responsável por emitir e gerenciar certificados digitais.

#9. (CESPE – SERPRO/2013) Na etapa de melhoria do SGSI, ocorrem as auditorias internas em intervalos planejados.

#12. (CESPE – SERPRO/2013) A execução de procedimentos e controles para identificar tentativas e falhas de segurança e incidentes que foram bem-sucedidos faz parte da etapa de implementação e operação do SGSI.

#13. (VUNESP – TCE-SP/2015) No que tange à segurança da informação, a segregação de funções é uma qualidade do sistema que atua para

#14. (TRE/MA-IESES/2015) Além da função de identificar digitalmente seu portador, uma assinatura digital é útil para garantir o não-repúdio. Em uma mensagem, isso significa que:

#16. (TRE/MA-IESES/2015) Se uma cifragem baseia-se no uso de uma chave simétrica de 10 bits, além de podermos considerar a sua segurança como sendo “muito fraca”, qual é a chance de um atacante quebrá-la na primeira tentativa de adivinhação?

#19. (IESES-TRE-MA/2015) Algumas práticas comuns na auditoria de TI incluem o uso de evidências. É correto afirmar que são exemplos de evidências:

#20. (IESES-TRE-MA/2015) Existem motivações para a realização de um trabalho de auditoria de TI (Tecnologia da Informação). É correto afirmar quanto aos motivos para realização de uma auditoria:

#21. (IESES-TRE-MA/2015) Em algumas situações, o auditor precisa conduzir testes para avaliar controles de TI e recolher evidências. Quais são exemplos de situações em que isso ocorre:

#25. (FCC – SEFAZ/SP/2013) Um dos recursos básicos utilizados na segurança da informação é a criptografia que tem como objetivo assegurar a

#28. (CESPE/UnB – TCDF/ANAP – 2014) O princípio da disponibilidade refere-se aos cuidados quanto à forma como a informação será acessada, de modo que apenas os usuários devidamente autorizados possam utilizá-las.

#29. (CESPE/UnB – TCDF/ANAP – 2014) Para que ocorra análise de riscos, é necessário que todos os controles de segurança existentes nas normas técnicas sejam implementados no ambiente tecnológico.

#30. (CESPE/UnB – TCDF/ANAP – 2014) A classificação dos ativos de informação em graus de sigilo constitui precondição para se definir os requisitos de tratamento e de proteção a eles aplicáveis.

Deixe uma resposta Cancelar resposta