Segurança Da Informação Flashcards Preview

Informática para Concursos > Segurança Da Informação > Flashcards

Flashcards in Segurança Da Informação Deck (196)
Loading flashcards...
1

Certo ou errado?

O gerenciamento de riscos diz respeito ao processo de identificação, controle e minimização ou eliminação dos riscos de segurança que podem afetar os sistemas de informação, a um custo aceitável.

Certo!

2

Certo ou errado?

No âmbito organizacional, a segurança da informação deve se vista como um processo responsável por tratar exclusivamente a informação pertencente a área de tecnologia.

Errado! Todas as áreas devem seguir isso.

3

O sucesso de um programa de proteção da informação depende, em grande parte, do compromisso dos funcionários da empresa com o programa.
A política de mesa limpa e tela protegida, estipulada pela norma ISO 27002:2005, deve ser adotada para:

Prevenir acessos de usuários não autorizados e evitar o comprometimento e o roubo da informações e recursos.

4

Certo ou errado?

Estão entre os objetivos da segurança da informação a garantia da continuidade do negócio, a minimização dos riscos para o negócio e a maximização do retorno sobre os investimentos.

Certo!

5

Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. A segurança da informação é obtida:

A partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.

6

Certo ou errado?

A política de segurança da informação de uma organização deve ser elaborada de acordo com
os requisitos relacionados ao negócio dessa organização e com as leis e regulamentações
relevantes.

Certo!

7

Certo ou errado?

As características básicas da segurança da informação — confidencialidade, integridade e disponibilidade — não são atributos exclusivos dos sistemas computacionais.

Certo!

8

Certo ou errado?

A segurança da informação pode ser entendida como uma atividade voltada à preservação de princípios básicos, como confidencialidade, integridade e disponibilidade da informação

Certo!

9

Certo ou errado?

Em um ambiente bancário, integridade e auditabilidade tem prioridade sobre a confidencialidade.

Certo!

10

Segurança da Informação é um tema que se reveste atualmente de alta importância para os negócios. Um de seus aspectos mais relevantes está associado à capacidade do sistema de permitir que alguns usuários acessem determinadas informações e paralelamente impede que outros, não autorizados, a vejam. O aspecto abordado é denominado:

Confidencialidade

11

Um auditor de segurança de um sistema de comunicações percebeu que o conteúdo de determinada mensagem fora alterado e, durante sua investigação, concluiu que a alteração se devia a uma falha no sincronismo do sistema de transmissão.

No contexto da segurança da informação, esse caso envolve o princípio da:

Integridade.

12

Certo ou errado?

Uma política de segurança da informação deve fornecer orientação e apoio da direção para a
segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. O documento da política de segurança da informação necessita da aprovação da direção da organização e deve ser publicado e comunicado para
todos os funcionários e partes externas relevantes, não devendo ser alterado a partir de então.

Errado!

13

Certo ou errado?

A definição de requerimentos e objetivos de segurança
na ISO 27001 cita que é necessário utilizar a norma ISO 27002, que trata de processos de negócios.

Errado! A 27002 trata de boas práticas.

14

Certo ou errado?

A ISO 17799 define diretrizes para certificação de que
uma organização está em conformidade à própria norma. Essa certificação é conferida por meio de uma
auditoria de terceira parte, nos moldes da ISO 19011.

Errado! Quem define isso é a 27001. (17799 é a 27002)

15

Qual é o objetivo da Norma NBR ISO/IEC 27001?

Organizar os mecanismos para estabelecer, implementar, operar, monitorar, revisar,
manter e melhorar um sistema para gerência da segurança da informação (ISMS–Information Security Management System), sendo a norma usada como base para a
certificação em segurança da informação.

16

Certo ou errado?

ISO 27001 é uma especifcação para implementação de um
sistema de gestão de segurança da informação.

Certo!

17

Certo ou errado?

ISO 27002 apresenta boas práticas para gestão da segurança
da informação.

Certo!

18

Certo ou errado?

ISO 27003 é um guia para implementação de sistemas de
gestão de segurança da informação.

Certo!

19

Certo ou errado?

A seção 5 da norma ISO/IEC 27001 trata de como a informação deve ser classificada, de acordo com a sua necessidade de segurança e controle de
acesso.

Errado! Ele fala sobre as responsabilidades da direção.

20

Certo ou errado?

A norma ISO 27001:2005 utiliza o modelo PDCA de
melhoria para estruturar todos os processos do SGSI.

Certo!

21

O modelo aplicado para estruturar os processos
do Sistema de Gestão de Segurança da
Informação (SGSI), segundo a Norma ABNT NBR
ISO/IEC 27001:2006, é o:

PDCA

22

A direção de uma empresa liderou os estudos sobre diversas medidas para melhorar a gestão de segurança da informação em conformidade com a norma ISO 270002:2005. Dentre suas preocupações, ressaltou a vulnerabilidade dos softwares e das instalações de processamento de informações à introdução de software malicioso, tais como vírus de computador, network worms, cavalos de Troia e bombas lógicas. A direção, então, determinou que o supervisor da área de informática sugerisse medidas de proteção contra software malicioso que refletissem essa preocupação, incluindo a possibilidade de implementação de controles para detecção e prevenção contra softwares maliciosos e procedimentos apropriados de conscientização dos usuários.

De posse dessas informações, o supervisor deverá escudar-se na norma ISO 27002:2005, seção de:

Controle de Acessos

23

A gerência de determinado laboratório resolveu limitar o acesso às suas dependências por meio de portas com dispositivo de liberação a partir de uma característica física do usuário. Havia quatro tipos de equipamentos com tecnologias de biometria no mercado, a saber: retina, impressão digital, assinatura e íris. A primeira providência do gerente foi ordenar os tipos por seus potenciais de precisão intrínsecos, do mais preciso para o menos preciso.

Considerando-se o potencial intrínseco de cada tipo de tecnologia, como essas quatro tecnologias seriam ordenadas, da mais precisa para a menos precisa?

Retina, íris, impressão digital e assinatura

24

As assinaturas digitais realizadas antes da revogação de um certificado digital podem continuar válidas após a expiração desse certificado. Que recurso pode garantir essa facilidade?

Carimbos de tempo

25

O tipo de código malicioso que utiliza a rede como forma de disseminação, normalmente explorando vulnerabilidades em sistemas remotos, é chamado de

worm

26

Para comprovar a veracidade da assinatura digital de uma mensagem assinada pela entidade A com o algoritmo RSA, qual chave da entidade A a entidade B deve conhecer?

Pública

27

Por questão de segurança, é fundamental validar os certificados digitais. Dentre as etapas de validação, é importante verificar se o certificado está revogado pela Autoridade Certificadora (AC) que o emitiu.

Para isso, é necessário consultar a lista de certificados revogados (LCR), publicada pela AC, e verificar se lá está listada(o) a(o) :

número de série do certificado

28

O objetivo de uma Política de Segurança é prover uma orientação e um apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. A Política de Segurança deve:

ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

29

Segundo a ISO/IEC 27002:2005, o objetivo da classificação da informação é assegurar que os ativos da informação recebam um nível adequado de proteção. A informação deve ser classificada para indicar a importância, a prioridade e o nível de proteção.

A nova lei sobre classificação de informações, aprovada no Congresso em outubro de 2011, estabelece que nenhum documento poderá permanecer mais de 50 anos em sigilo e que o documento classificado como confidencial deixará de existir.

Essa lei altera os aspectos de classificação relacionados a critérios de:

Confidencialidade

30

A ISO 27002 estabelece que é conveniente que a tarefa de definir a classificação de um ativo, analisando-o criticamente a intervalos regulares, e assegurando que ele está atualizado e no nível apropriado é de responsabilidade do:

proprietário do ativo