3219579 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: CVM

Provas:

Analista da CVM - TI/Infraestrutura e Segurança
Provas ×

Certificado DigitalAC: Autoridade Certificadora
Certificado DigitalAR: Autoridade Registradora
Certificado DigitalCarimbo de Tempo (Timestamping)

A Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil é uma cadeia hierárquica de confiança que viabiliza a emissão de certificados digitais para identificação virtual de cidadãos e de empresas.

Sobre a hierarquia da ICP-Brasil, é correto afirmar que:

A

a Autoridade Certificadora do Tempo (ACT) tem a responsabilidade geral pelo fornecimento do Carimbo do Tempo, que é o conjunto de atributos fornecidos pela parte confiável do tempo que, associado a uma assinatura digital, confere prova da sua existência em determinado período de tempo;

B

o Prestador de Serviço de Suporte (PSS) é responsável pela interface entre o usuário e a Autoridade Certificadora (AC), tendo por objetivo o recebimento, a validação e o encaminhamento de solicitações de emissão ou revogação de certificados digitais;

C

uma Autoridade Certificadora (AC) é uma entidade pública, subordinada à hierarquia da ICP-Brasil, responsável por emitir, distribuir, renovar, revogar e gerenciar certificados digitais;

D

a Autoridade de Registro (AR) verifica se as ACs estão atuando em conformidade com as diretrizes e normas técnicas estabelecidas pelo Comitê Gestor da ICP-Brasil;

E

os Prestadores de Serviço Biométrico (PSBios) gerenciam bancos de dados biométricos e emitem certificados digitais.

Provas

Questão presente nas seguintes provas

3215832 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TCE-GO

Provas:

Analista de Controle Externo - TI
Provas ×

AAA: Autenticação, Autorização e AuditoriaFatores de Autenticação2FA e MFA

Indique a opção que descreve corretamente a autenticação em múltiplos fatores.

A

Determinar as permissões de acesso dos usuários baseadas em seus papéis dentro da organização.

B

Registrar todas as tentativas de acesso ao sistema para revisão futura pela equipe de segurança.

C

Minimizar o risco de acesso não autorizado ao exigir que os usuários forneçam múltiplas formas de verificação de identidade.

D

Definir claramente as permissões de acesso para diferentes grupos de usuários, como desenvolvedores e gerentes de projeto.

E

Permitir que a equipe de segurança monitore e revise as atividades de acesso dos usuários regularmente.

Provas

Questão presente nas seguintes provas

3215831 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TCE-GO

Provas:

Analista de Controle Externo - TI
Provas ×

Certificado Digital
CriptografiaCriptografia Assimétrica
CriptografiaCriptografia Simétrica

Analise as afirmativas a seguir sobre criptografia assimétrica e simétrica, certificados digitais e assinaturas digitais:

I. A criptografia simétrica utiliza a mesma chave para cifrar e decifrar uma mensagem, desde que a chave seja compartilhada de maneira segura entre as partes.

II. Certificados digitais são utilizados para vincular apenas a chave privada a uma identidade, permitindo que terceiros confiem na autenticidade da chave.

III. Assinaturas digitais utilizam a criptografia assimétrica para garantir a integridade e autenticidade de uma mensagem, mas não a confidencialidade do conteúdo.

Está correto o que se afirma em

Provas

Questão presente nas seguintes provas

3215827 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TCE-GO

Provas:

Analista de Controle Externo - TI
Provas ×

GestãoSGSIISO 27001
GestãoSGSIISO 27002
Segurança LógicaSIEM: Security Information and Event Management

A ABNT NBR ISO/IEC 27001:2022, NBR ISO/IEC 27002:2022, os CIS v8, SIEM, e a Lei nº 13.709(LGPD) são algumas das diversas normas e leis que trabalham conjuntamente para assegurar a integridade, confidencialidade e disponibilidade dos dados no contexto da segurança da informação.

Assinale a opção que descreve corretamente uma contribuição combinada dessas leis e normas.

A

Apenas a implementação da LGPD é suficiente para garantir a conformidade legal e a segurança da informação, tornando as outras normas e controles redundantes.

B

O ponto chave dos Sistemas de Gerenciamento de Informações e Eventos de Segurança (SIEM) oferecer somente práticas de segurança pessoal em tempo real que deve ser combinado as demais normas e leis.

C

As normas ABNT NBR ISO/IEC estabelecem os requisitos gerais de segurança, a LGPD foca na proteção de dados pessoais, e os SIEM proporcionam a visão e controle operacionais necessários.

D

A adoção dos CIS Critical Security Controls v8 cobre os requisitos de segurança e as normas ABNT NBR ISO/IEC fornecem o complemento no que se refere a proteção de dados pessoais.

E

A ABNT NBR ISO/IEC 27001:2022 e a 27002:2022 são as únicas que fornecem uma abordagem baseada em risco que utilizará os outros mecanismos para organizar e controlar os sistemas de segurança.

Provas

Questão presente nas seguintes provas

3215811 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TCE-GO

Provas:

Analista de Controle Externo - TI
Provas ×

Auditoria e Compliance
GestãoGestão de RiscosSegregação de Funções
GestãoPolíticas de Segurança de Informação

Assinale a opção que, em uma organização, descreve o objetivo principal dos controles de segregação das funções nos processos de definição, implantação e gestão de políticas de TI.

Provas

Questão presente nas seguintes provas

3215515 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TJ-MS

Provas:

Analista Judiciário - TI/Segurança
Provas ×

Conceitos BásicosPrincípiosIntegridade
Conceitos BásicosTerminologiaAtaque

Durante uma auditoria na rede de computadores da empresa XXX Ltda, foi identificado que um hacker insider não autorizado realizou alteração no programa de pagamento de funcionários da empresa para que ele rodasse de modo diferente do habitual.

A alternativa que indica corretamente o nome desse tipo de ataque e sua caracterização é:

A

ataque de interceptação – ocorre quando um ativo é destruído ou torna-se indisponível (ou inutilizável), caracterizando um ataque contra a disponibilidade;

B

ataque de interrupção – ocorre quando um ativo é acessado por uma parte não autorizada (pessoa, programa ou computador), caracterizando um ataque contra a confidencialidade;

C

ataque de modificação – ocorre quando um ativo é acessado por uma parte não autorizada (pessoa, programa ou computador) e ainda alterado, caracterizando um ataque contra a integridade;

D

ataque de fabricação – ocorre quando uma parte não autorizada (pessoa, programa ou computador) insere objetos falsificados em um ativo, caracterizando um ataque contra a disponibilidade;

E

ataque de negação – ocorre quando um ativo é acessado por uma parte não autorizada (pessoa, programa ou computador) negando ao sistema a capacidade de ser executado do modo habitual.

Provas

Questão presente nas seguintes provas

3215513 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TJ-MS

Provas:

Analista Judiciário - TI/Infraestrutura e Redes
Provas ×

GestãoGestão de RiscosISO 27005: Gestão de Riscos de Segurança da Informação

A equipe de infraestrutura e redes do TJMS constatou que a quantidade de spams recebidos por meio do serviço de correio eletrônico aumentou recentemente. Para reduzir o recebimento de spam, a equipe implementou novos filtros de verificação na ferramenta antispam existente.

De acordo com o previsto no processo de tratamento de riscos, estabelecido na Norma ISO 27005, a opção de tratamento do risco escolhido pela equipe de infraestrutura e redes foi:

Provas

Questão presente nas seguintes provas

3215512 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TJ-MS

Provas:

Analista Judiciário - TI/Infraestrutura e Redes
Provas ×

Conceitos BásicosTerminologiaRisco
Conceitos BásicosTerminologiaVulnerabilidade
Análise de Vulnerabilidades
GestãoGestão de Riscos

A área de segurança do TJMS utilizou uma ferramenta automatizada para procurar vulnerabilidades nos ativos de rede do Tribunal. A ferramenta gerou um relatório que foi entregue para a área de infraestrutura e redes. Esta, após analisar o teor do relatório, agradeceu a atitude proativa da área de segurança, mas decidiu não adotar nenhuma ação, no momento, por estar atuando em outras atividades prioritárias.

A decisão da área de infraestrutura e redes estaria correta se as vulnerabilidades registradas:

A

estivessem presentes na avaliação e testes de segurança (ATS) realizados durante o processo de avaliação de riscos e ressurgissem;

B

representassem zero day, razão pela qual não precisariam ser tratados com prioridade;

C

representassem uma falha de configuração crítica que a equipe repararia assim que possível;

D

representassem falsos positivos em decorrência de uma configuração requerida por seu ambiente;

E

representassem propriedades extrínsecas do ativo, razão pela qual não precisariam ser consideradas.

Provas

Questão presente nas seguintes provas

3215511 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TJ-MS

Provas:

Analista Judiciário - TI/Infraestrutura e Redes
Provas ×

Conceitos BásicosFundamentos de Segurança da Informação
GestãoPolíticas de Segurança de Informação
GestãoSGSI

Algumas das razões que justificam que uma organização autorize o desenvolvimento e implantação de políticas e normas de segurança da informação são:

Provas

Questão presente nas seguintes provas

3215510 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TJ-MS

Provas:

Analista Judiciário - TI/Infraestrutura e Redes
Provas ×

Conceitos BásicosTerminologiaAtaque
Conceitos BásicosTerminologiaVulnerabilidade

Um especialista em segurança identificou um ataque que emprega códigos inseridos em um site comprometido para explorar vulnerabilidades em navegadores, visando a atacar um sistema cliente quando o site é visitado.

É correto afirmar que foi(ram) empregado(s):