3215430 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TJ-MS

Provas:

Analista Judiciário - TI/Banco de Dados
Provas ×

GestãoSGSIISO 27002

Sistemas de informação novos e atualizados requerem verificação e testes completos durante o processo de desenvolvimento, incluindo a preparação de uma programação de atividades detalhada, com testes de entrada e saída esperadas sob determinadas condições.

Considerando a proteção de dados em teste, a ABNT NBR ISO/IEC 27002:2013 estabelece que:

A

os procedimentos de controle de acesso aplicáveis aos sistemas e aplicações operacionais sejam mais rígidos que os aplicados aos sistemas e aplicações em teste;

B

a cópia da informação operacional para uso em ambiente de teste pode ser realizada conforme a necessidade da equipe de desenvolvimento do sistema;

C

a informação operacional copiada para o ambiente de testes deve permanecer no ambiente de testes após a entrada do sistema em produção para assegurar a confiabilidade dos testes;

D

todos os detalhes e conteúdos sejam protegidos contra remoção ou modificação quando a informação de identificação pessoal ou outras informações sensíveis forem utilizadas com o propósito de teste;

E

o uso de cópias de bancos de dados operacionais para utilização em ambiente de testes é recomendável para assegurar aderência às práticas de desenvolvimento seguro de sistemas.

Provas

Questão presente nas seguintes provas

3215429 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TJ-MS

Provas:

Analista Judiciário - TI/Banco de Dados
Provas ×

GestãoSGSIISO 27001

O TJMS está implementando um sistema de gestão de segurança da informação aderente aos requisitos da ABNT NBR ISO/IEC 27001:2013, por meio do qual aplica um processo de tratamento dos riscos de segurança da informação para:

A

assegurar que as contínuas avaliações de risco de segurança da informação produzam resultados compatíveis, válidos e consistentes;

B

determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento do risco da segurança da informação;

C

obter a aprovação da alta direção em relação aos riscos do plano de tratamento dos riscos de segurança da informação e a aceitação dos riscos residuais de segurança da informação;

D

selecionar, de forma apropriada, as opções de tratamento de riscos de segurança da informação, levando em consideração os resultados do sistema de gestão de segurança da informação;

E

avaliar as consequências potenciais que podem resultar se os riscos identificados forem materializados.

Provas

Questão presente nas seguintes provas

3215428 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TJ-MS

Provas:

Analista Judiciário - TI/Banco de Dados
Provas ×

AAA: Autenticação, Autorização e AuditoriaIAM: Gerenciamento de Identidade e Acesso
Controle de AcessoControle de Acesso Lógico

O acesso ao sistema de Intranet da empresa de tecnologia ADVAND segue rígido processo de controle de acesso lógico. Para isso, os direitos de acesso podem ser determinados sob dois aspectos: cada usuário ou recurso recebe uma permissão (ou capacidade) que, por sua vez, define todos os seus direitos e acesso a outros recursos, e usam-se listas de controle de acesso (ACL-Access Control Lists) para cada recurso, definindo-se, assim, os direitos de acesso de outros recursos ou usuários sobre o recurso associado a essas listas.

A função diretamente relacionada a esse controle de acesso lógico é:

Provas

Questão presente nas seguintes provas

3215427 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TJ-MS

Provas:

Analista Judiciário - TI/Banco de Dados
Provas ×

Conceitos BásicosClassificação de Informações
Conceitos BásicosFundamentos de Segurança da Informação
Conceitos BásicosTerminologiaAtivo
GestãoGestão de Ativos de Informação

Durante a primeira fase do processo de atualização da política de segurança da informação da empresa de contabilidade XXX Ltda., foi(foram) elencado(s)/a(s) como recurso crítico sob risco de segurança:

A

o registro dos móveis da empresa;

B

pessoas, em termos de usuários (internos e externos, quando conveniente), funcionários e dirigentes;

C

hardware, tais como, roteadores, linhas de comunicação, filtros de linhas, nobreaks e pen drives;

D

documentação a respeito de software, sistemas de informação e manuais de ativos de redes;

E

dados (em processamento, estáticos ou em transmissão), backups, logs, base de dados e servidores.

Provas

Questão presente nas seguintes provas

3215426 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TJ-MS

Provas:

Analista Judiciário - TI/Banco de Dados
Provas ×

GestãoSGSIISO 27001

A organização UMTINO, de recursos humanos, teve um prejuízo de mais da metade de seu faturamento, porque suas regras para a mudança do estado do seu principal software (desenvolvimento para produção) não haviam sido definidas e documentadas com níveis de separação para prevenir problemas operacionais.

No tocante aos procedimentos e responsabilidades operacionais que a UMTINO deveria implementar, considera(m)-se prática(s) essencial(is):

A

segregar responsabilidades, com o objetivo de evitar risco de má utilização de sistemas, razão pela qual é importante separar o gerenciamento de certas responsabilidades ou áreas de responsabilidade, de forma que as possibilidades de modificações não autorizadas sejam reduzidas;

B

controlar mudanças operacionais, definindo responsabilidades gerenciais e, sempre que praticável, integrar os procedimentos de controle de mudanças de aplicações e sistemas operacionais;

C

separar facilidades de desenvolvimento, testes e operações, indicando um nível de separação necessário para prevenir problemas operacionais, principalmente em termo de acesso ou modificações não autorizadas;

D

estabelecer procedimentos para o gerenciamento de incidentes, como ação para assegurar uma resposta rápida, efetiva e ordenada aos incidentes de segurança;

E

documentar procedimentos operacionais de modo formal e flexível (no sentido de permitir modificações, quando necessárias e autorizadas), englobando o tratamento de operações de manutenção, manipulação de erros e demais correções adversas, contratos de suporte, procedimentos de recuperação.

Provas

Questão presente nas seguintes provas

3215425 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TJ-MS

Provas:

Analista Judiciário - TI/Banco de Dados
Provas ×

GestãoGestão de RiscosISO 31000: Gestão de Riscos
GestãoSGSIISO 27002

Durante uma auditoria na empresa XXX Ltda, foi verificado que o plano de gestão de risco não tinha sido atualizado. Nessa auditoria foi possível observar que não existia código de conduta a ser seguido pelos funcionarios.

O código de conduta deve ser implementado no nível de gestão:

A

tecnológico, pois garante a adequação técnica necessária ao tratamento adequado do risco;

B

de processos, tendo em vista que assegura que as atividades que compreendem a gestão de risco sejam consideradas de forma sistêmica;

C

preventivo de caráter educacional, pois serve para orientar quais as responsabilidades de cada funcionário;

D

de pessoas, de modo que os funcionários e dirigentes identifiquem suas responsabilidades, conheçam os riscos e possam ajudar no sentido de sua redução e controle;

E

orientativo de caráter estrutural, pois determina uma política formal que todos os funcionários e dirigentes devem conhecer e assumir como risco a ser atenuado.

Provas

Questão presente nas seguintes provas

3215362 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TJ-MS

Provas:

Analista Judiciário - TI/Suporte
Provas ×

CriptografiaCriptografia Assimétrica

Um servidor público necessita enviar informações sigilosas sobre um projeto de pesquisa para os membros de sua equipe. Para evitar a interceptação e a leitura não autorizada dessas informações, o servidor protegeu os arquivos com criptografia assimétrica.

Um dos métodos criptográficos que pode ser utilizado na técnica de criptografia adotada é:

Provas

Questão presente nas seguintes provas

3215361 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TJ-MS

Provas:

Analista Judiciário - TI/Suporte
Provas ×

Conceitos BásicosPrincípiosIntegridade
Conceitos BásicosPrincípiosIrretratabilidade (Não Repúdio)
Certificado DigitalICP-Brasil

Um órgão adotou o uso de assinaturas digitais para seus documentos natos digitais. Para evitar a contestação da assinatura digital, estão sendo utilizados certificados digitais padrão ICP-Brasil.

O pilar da segurança da informação assegurado pelo uso de assinaturas digitais é:

Provas

Questão presente nas seguintes provas

3215356 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TJ-MS

Provas:

Analista Judiciário - TI/Suporte
Provas ×

Backup e RecuperaçãoEstratégias de Backup

Um sistema possui uma política de backup que estabelece cópias incrementais executadas diariamente às 6 horas e às 18 horas, de segunda-feira a sábado. Aos domingos é realizada uma cópia completa semanal às 5 horas e uma cópia incremental às 18 horas. O tempo disponível para a equipe de Tecnologia da Informação (TI) recuperar o backup é de 4 horas.

Supondo que o sistema tenha sofrido uma avaria às 3 horas de uma quarta-feira e considerando o backup disponível para recuperação de acordo com a política de backup estabelecida, é correto afirmar que:

Provas

Questão presente nas seguintes provas

3215355 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TJ-MS

Provas:

Analista Judiciário - TI/Suporte
Provas ×

Backup e RecuperaçãoTécnicas e Tecnologias de Backup

Um órgão adquiriu novos servidores para os ambientes de produção e desenvolvimento. Os servidores de produção acessarão o storage P, enquanto os servidores de desenvolvimento acessarão o storage D. Existe um equipamento para backup em fita (Tape Library) disponível para realizar as cópias de segurança dos servidores. Todos os dispositivos estão conectados entre si por meio de uma rede de armazenamento (SAN), composta por 2 fabric switches. Para permitir a transmissão de dados na SAN, foram criados zoneamentos (fabric zoning) envolvendo os dispositivos de armazenamento e backup, conforme descrito abaixo:

Zona A com Storage P
Zona B com Storage D
Zona C com Tape Library

Para fazer backup dos dados dos servidores de produção armazenados no storage P, é necessário incluir os servidores de produção apenas na(s) zona(s):