Prova Completa: Analista Técnico da SUSEP - TI (SUSEP - ESAF

74674 Ano: 2006
Disciplina: Informática
Banca: ESAF
Orgão: SUSEP

Provas:

Analista Técnico da SUSEP - TI
Provas ×

Segurança da InformaçãoFerramentas de Segurança
Segurança da InformaçãoCriptografia, Assinatura e Certificado Digital

Sobre assinaturas e certificados digitais é correto afirmar que

A

a assinatura digital gerada pelo uso da chave privada de A aplicada a uma mensagem para o destino B, garante a autenticidade da origem e a integridade da mensagem.

B

um certificado digital é atribuído por uma CA (Certificate Authority) a um usuário, associando a este, uma chave pública e garantindo comunicações autênticas e confidenciais sempre que o certificado for utilizado pelo usuário.

C

o campo assinatura (signature) dos certificados digitais baseados no formato X.509 contém apenas o código hash dos outros campos do certifi cado, encriptados com a chave privada da autoridade certificadora.

D

a revogação de certificados acontece antes da expiração, caso ocorra, em caráter de exclusividade, o comprometimento da chave privada do usuário.

E

para qualquer número de usuários envolvidos, o esquema de efetuar autenticação usando criptografia convencional será viável para garantir autenticidade e confidencialidade no processo.

Provas

Questão presente nas seguintes provas

74673 Ano: 2006
Disciplina: Informática
Banca: ESAF
Orgão: SUSEP

Provas:

Analista Técnico da SUSEP - TI
Provas ×

InternetSegurança na Internet
Segurança da InformaçãoPrincípios de Segurança da Informação
Segurança da InformaçãoVírus, Spyware e Outros

Ameaças programadas são aquelas que compreendem a execução de códigos, gerados com o intuito de adulterar o comportamento considerado normal, dos softwares. Em relação a tais ameaças e suas conseqüências, é correto afirmar que

A

bombs (ou bombas lógicas) é uma ameaça programada, cujo intuito é sua replicação (exponencial) em sistemas computacionais, assumindo, eventualmente, a capacidade completa do processador, memória ou espaço em disco.

B

worms (ou vermes) são uma ameaça programada camufl ada em programas, que são ativados sob determinada condição, executando funções que alteram o comportamento do software hospedeiro.

C

vírus é uma espécie de entrada para um programa que permite acesso não-autorizado, violando procedimentos de segurança do sistema computacional.

D

trapdoors, cavalos de tróia, bombas lógicas, adwares e spywares são exemplos de ameaças independentes, isto é, não precisam de um programa hospedeiro.

E

trojans (ou cavalos de tróia) normalmente são utilizados como veículos para vírus, vermes e bombas lógicas.

Provas

Questão presente nas seguintes provas

74672 Ano: 2006
Disciplina: Informática
Banca: ESAF
Orgão: SUSEP

Provas:

Analista Técnico da SUSEP - TI
Provas ×

Segurança da InformaçãoControle de Acesso e Segurança Física

O acesso aos sistemas de informação deve ser controlado com base nos requisitos de segurança e de negócio, levando-se em conta as políticas para disseminação e autorização da informação. Em relação a controle de acesso, é correto afirmar que

A

não há necessidade, para o controle de acesso, de se ter conhecimento a respeito dos princípios e níveis de segurança e classificação da informação na organização.

B

o gerenciamento de acessos físicos deve compreender o registro de usuários, gerenciamento de privilégios, gerenciamento das senhas de usuários e revisão dos direitos de acesso dos usuários – preocupações que não se aplicam aos acessos lógicos.

C

fazem parte do controle de acesso ao sistema operacional, preocupações tais como restrição de acesso a aplicações e isolamento de sistemas sensíveis.

D

na especificação das regras para controle de acesso, não se deve utilizar a premissa: "tudo deve ser permitido, a menos que expressamente proibido".

E

o controle, na auditoria, consiste em fiscalizar as atividades, com relação às normas pré-estabelecidas. Com isso, a identificação e autenticação de usuários formam um exemplo de controle de detecção.

Provas

Questão presente nas seguintes provas

74671 Ano: 2006
Disciplina: TI - Segurança da Informação
Banca: ESAF
Orgão: SUSEP

Provas:

Analista Técnico da SUSEP - TI
Provas ×

CriptografiaCriptografia AssimétricaRSA: Rivest, Shamir and Adelman
CriptografiaCriptografia SimétricaDES: Data Encryption Standard

Técnicas criptográficas são essenciais à segurança da informação, nas organizações. A respeito de tal contexto, é correto afirmar que

A

no modo CBC (Cipher Block Chaining) do DES (Data Encryption Standard), se houver um erro em um bloco do criptograma transmitido, apenas aquele bloco da mensagem original será afetado, ou seja, o erro não se propaga aos demais blocos.

B

para A enviar uma mensagem M confidencial para B, uma possibilidade é encriptar M com uma chave secreta ECB-DES (Encoding Code Book – Data Encryption Standard) e encriptar a chave secreta com a chave pública RSA (Rivest-Shamir-Adleman) de B, garantindo melhor performance ao processo.

C

o DES (Data Encryption Standard) é um algoritmo simétrico com chaves de tamanho 64 bits, baseando-se em operações XOR (OU-exclusivo) e S-boxes (caixas-S) variáveis.

D

o RSA (Rivest-Shamir-Adleman) é um algoritmo de criptografia simétrica que limita o tamanho das chaves em 1024 por questões de desempenho, já que se baseia em operações com números primos de grande magnitude.

E

para um grupo de N usuários, haveria 1 chave pública e N chaves privadas para provar uma comunicação confidencial para quaisquer usuários, i e j, ao considerar a criptografia assimétrica.

Provas

Questão presente nas seguintes provas

74670 Ano: 2006
Disciplina: TI - Segurança da Informação
Banca: ESAF
Orgão: SUSEP

Provas:

Analista Técnico da SUSEP - TI
Provas ×

Conceitos BásicosTerminologia

A respeito da análise de riscos e vulnerabilidades de segurança, é correto afirmar que

A

ameaça é uma fraqueza ou deficiência que pode ser explorada.

B

ataque é um evento ou atitude indesejável que potencialmente remove, desabilita, danifica ou destrói um recurso.

C

risco depende da probabilidade de uma ameaça atingir um sistema e do impacto resultante deste ataque.

D

ameaças que envolvem invasão e/ou monitoramento, sem alterações de informações, são denominadas ativas.

E

a análise de riscos despreza vulnerabilidades, concentrando-se em medir ameaças e impactos em um dado ambiente.

Provas

Questão presente nas seguintes provas

74669 Ano: 2006
Disciplina: TI - Segurança da Informação
Banca: ESAF
Orgão: SUSEP

Provas:

Analista Técnico da SUSEP - TI
Provas ×

GestãoGestão de Continuidade de NegóciosBIA: Análise de Impacto nos Negócios
GestãoGestão de Continuidade de NegóciosPCN: Plano de Continuidade de Negócios
GestãoGestão de Continuidade de NegóciosPRD: Plano de Recuperação de Desastres

Devido às vulnerabilidades do ambiente computacional, planejar a continuidade dos negócios e de recuperação após desastres, tornam-se atividades cada vez mais relevantes para a segurança da informação. Em relação a tal contexto, é incorreto afirmar que

A

a análise de impacto faz parte do planejamento de contingências da organização, identificando os impactos diretos e indiretos causados por interrupção de sistemas computacionais para a continuidade dos negócios da organização.

B

são fases do planejamento de contingências, nesta ordem: análise das alternativas de recuperação, análise de impacto, desenvolvimento do plano de contingência e treinamentos.

C

a política de backup é um dos itens importantes em um plano de contingências e compreende os procedimentos e a infra-estrutura necessários à proteção das informações de uma organização.

D

um plano de contingência efetivo deve compreender resposta imediata a desastres e processo de restauração, englobando assim, decisões gerenciais e passos para retornar à normalidade na organização.

E

enquanto na análise de riscos, identificam-se os aplicativos críticos, ao desenvolver um plano de contingências, deve-se estabelecer uma lista de prioridades para recuperação.

Provas

Questão presente nas seguintes provas

74668 Ano: 2006
Disciplina: TI - Segurança da Informação
Banca: ESAF
Orgão: SUSEP

Provas:

Analista Técnico da SUSEP - TI
Provas ×

Conceitos BásicosFundamentos de Segurança da Informação
GestãoGestão de Continuidade de NegóciosPCN: Plano de Continuidade de Negócios
GestãoPolíticas de Segurança de Informação
GestãoSGSIISO 17799

A segurança de informações, em função de sua importância para a sociedade, originou diversos grupos de pesquisa, cujos trabalhos são traduzidos em padrões de segurança. Acerca de tal contexto, é correto afirmar que

A

a política de segurança define um padrão de segurança nas instituições, englobando o estabelecimento de princípios institucionais de como a organização irá proteger, controlar e monitorar seus recursos e as informações por eles manipulados.

B

a norma NBR/ABNT 17799 tem como objetivo a classifi cação de sistemas computacionais, de acordo com suas características de projeto.

C

o NCSC (National Computer Security Center) avalia os aspectos de segurança internos de sistemas computacionais e ainda publicou o conhecido "Orange Book" (ou Livro Laranja) que interpreta os princípios e critérios do "Red Book" (ou Livro Vermelho) para o ambiente cliente/servidor.

D

a classe D1 do "Orange Book" (ou Livro Laranja) compreende a mais alta categoria de segurança, englobando processos rígidos de projeto, controle e verificação.

E

a política de segurança de informações é independente, não gerando impactos ao plano de contingência, planejamento de capacidade e plano de continuidade de negócios.

Provas

Questão presente nas seguintes provas

74667 Ano: 2006
Disciplina: TI - Segurança da Informação
Banca: ESAF
Orgão: SUSEP

Provas:

Analista Técnico da SUSEP - TI
Provas ×

Conceitos BásicosClassificação de Informações
GestãoGestão de Riscos
GestãoPolíticas de Segurança de Informação

Sobre política de segurança é incorreto afirmar que

A

é comum encontrar nesta política orientações sobre a análise e a gerência de riscos, princípios de conformidades dos sistemas com a política de segurança da informação e padrões mínimos de qualidade a serem incorporados aos sistemas de informação.

B

uma das primeiras atividades para a definição da política de segurança é classificar as informações em quatro níveis: públicas, secretas, internas e confidenciais.

C

a análise de riscos engloba tanto a análise de ameaças e vulnerabilidades quanto a análise de impactos, sendo considerada ponto-chave da política de segurança.

D

é recomendável que a política de segurança contenha os passos a serem seguidos para violações, de acordo com o grau de criticidade, visando aplicar ações corretivas sobre as vulnerabilidades e punição dos envolvidos.

E

é uma proposta viável para a implantação desta política: identificar recursos críticos, definir os objetivos de segurança a atingir, elaborar a proposta da política, analisar os riscos, discutir entre os envolvidos, aprovar e implementar.

Provas

Questão presente nas seguintes provas

74666 Ano: 2006
Disciplina: TI - Segurança da Informação
Banca: ESAF
Orgão: SUSEP

Provas:

Analista Técnico da SUSEP - TI
Provas ×

Ataques e Golpes e AmeaçasDoS: Denial of Service
Ataques e Golpes e AmeaçasSpoofingIP Spoofing

A segurança em redes de computadores possui algumas propriedades desejáveis, a saber: confidencialidade, autenticidade e integridade das mensagens em tráfego. É correto, portanto, afirmar acerca de tal contexto que

A

DoS/DDoS (Denial of Service/Distributed Denial of Service), mesmo sob a forma de flooding simples são considerados ataques passivos.

B

a detecção de intrusão baseada em regras engloba a coleta de dados e sua análise, tendo como base o comportamento legítimo de usuários, num dado intervalo de tempo

C

firewalls são soluções que auxiliam a detecção de intrusos, nos quais a DMZ (De-Militarized Zone) é construída sobre hosts dual-homed, que agem como roteadores entre as redes interna-externa.

D

uma contramedida aceitável para o IP (Internet Protocol) spoofing é descartar pacotes com um endereço IP interno à rede, mas que chega a partir de uma interface externa.

E

o firewall de nível de aplicação aplica um conjunto de regras aos pacotes, liberando-os na rede ou bloqueando-os, com base nos campos do cabeçalho IP (Internet Protocol) e de transporte.

Provas

Questão presente nas seguintes provas

74665 Ano: 2006
Disciplina: TI - Segurança da Informação
Banca: ESAF
Orgão: SUSEP

Provas:

Analista Técnico da SUSEP - TI
Provas ×

Conceitos BásicosFundamentos de Segurança da Informação
GestãoPolíticas de Segurança de Informação
GestãoSGSIISO 17799

Para as organizações, é cada vez mais crucial manter as informações seguras, assim como confiáveis suas fontes. Sendo assim, é relevante estabelecer controles que garantam a qualidade no contexto de Segurança da Informação. Nesse contexto, a Norma NBR ISO/ABNT 17799 é aplicada. A respeito de tal norma, é incorreto afirmar que

A

ela compreende recomendações para a gestão da segurança da informação visando ser aplicada àqueles departamentos responsáveis pela introdução, implementação ou manutenção da segurança em suas organizações.

B

convém que a direção da organização estabeleça uma política clara e demonstre apoio e comprometimento com a segurança da informação, através da emissão e manutenção de uma política de segurança da informação para toda a organização.

C

ela abrange, ao todo, 9 (nove) domínios: política de segurança; segurança organizacional; controle dos ativos de informação; segurança de pessoas; segurança física; controle de acesso; desenvolvimento e manutenção de sistemas; gestão da continuidade do negócio; e conformidade.

D

ela aconselha efetuar referências à documentação que possam apoiar a política de segurança de uma organização. Um exemplo de documentação compreende políticas e procedimentos de segurança de sistemas de informação específicos que devem ser conhecidos pelos usuários.

E

para os controles criptográficos também é necessário estabelecer uma política para o uso, na qual se determina que seja feita uma avaliação de riscos do ambiente, visando determinar o nível de proteção a ser dado à informação. O resultado pode ser usado para determinar se um controle é adequado ou qual o tipo de controle pode ser aplicado.