SóProvas

Questões de Conceitos Básicos em Segurança da Informação

ID
7360
Banca
ESAF
Órgão
CGU
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

Analise as seguintes afirmações relativas aos conceitos de Segurança da Informação:

I. Cofidencialidade é a propriedade de manutenção do sigilo das informações. É uma garantia de que as informações não poderão ser acessadas por pessoas não autorizadas.

II. Irretratabilidade é a propriedade de evitar a negativa de autoria de transações por parte de usuários, garantindo ao destinatário o dado sobre a autoria da informação recebida.

III. Autenticidade é a proteção da informação contra acessos não autorizados.

IV. Isolamento ou modularidade é a garantia de que o sistema se comporta como esperado, em especial após atualizações ou correções de erro.

Estão corretos os itens:

Alternativas
Comentários
  • * Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
    * Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).
    * Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
  • Autenticidade é a garantia da origem da informação, não confundir com confidencialidade. Este implica em autorização e aquele em consistência.

  • GAB. A

    I. Cofidencialidade é a propriedade de manutenção do sigilo das informações. É uma garantia de que as informações não poderão ser acessadas por pessoas não autorizadas. 

    Correto.

    II. Irretratabilidade é a propriedade de evitar a negativa de autoria de transações por parte de usuários, garantindo ao destinatário o dado sobre a autoria da informação recebida. 

    Correto. Também chamada de não-repúdio.

    III. Autenticidade é a proteção da informação contra acessos não autorizados. 

    Errado. Diz respeito ao autor da informação, que ele realmente é quem diz ser.

    IV. Isolamento ou modularidade é a garantia de que o sistema se comporta como esperado, em especial após atualizações ou correções de erro.

    Errado. Não se trata de um principio de segurança da informação. Isolamento me parece uma propriedade do SGBD relacional (banco de dados)

    Qualquer equívoco, notifiquem-me.

ID
7435
Banca
ESAF
Órgão
CGU
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

Analise as seguintes afirmações relativas à Privacidade:

I. Quando estiverem armazenados no servidor de e-mail, os e-mails não poderão ser lidos, mesmo por pessoas que tenham acesso a este servidor.

II. Cookies são muito utilizados para rastrear e manter as preferências de um usuário ao navegar pela Internet. Estas preferências podem ser compartilhadas entre diversos sites na Internet, afetando assim a privacidade de um usuário.

III. Quando o endereço de uma URL começar com https:// o s antes do sinal de dois-pontos indica que o endereço em questão é de um site com conexão segura e, portanto, os dados serão criptografados antes de serem enviados.

IV. Apesar dos problemas de segurança causados pelos Cookies, ao acessar uma página na Internet, o browser não poderá disponibilizar uma série de informações importantes, tais como o sistema operacional utilizado ou e-mail do usuário.

Estão corretos os itens:

Alternativas
Comentários
  • I - Straightforward.
    II - It surprised me, but it´s really possible to share the same COOKIE across different sites.
    III - Straightforward
    IV - There's no restriction on sending OS info and email, if the end user set this on cookies.
ID
9070
Banca
ESAF
Órgão
Receita Federal
Ano
2005
Provas
Disciplina
Segurança da Informação
Assuntos

Analise as seguintes afirmações relacionadas aos conceitos básicos de Segurança da Informação:

I. O IP spoofing é uma técnica na qual o endereço real do atacante é mascarado, de forma a evitar que ele seja encontrado. É normalmente utilizada em ataques a sistemas que utilizam endereços IP como base para autenticação.

II. O NAT, componente mais efi caz para se estabelecer a segurança em uma rede, é uma rede auxiliar que fi ca entre a rede interna, que deve ser protegida, e a rede externa, normalmente a Internet, fonte de ataques.

III. O SYN flooding é um ataque do tipo DoS, que consiste em explorar mecanismos de conexões TCP, prejudicando as conexões de usuários legítimos.

IV. Os Bastion host são equipamentos que atuam com proxies ou gateways entre duas redes, permitindo que as requisições de usuários externos cheguem à rede interna.
Indique a opção que contenha todas as afi rmações verdadeiras.

Alternativas
Comentários
  • As alternativas c) e e) estão equivocadas ou o ítem IV está faltando.

  • IV. Os Bastion host são equipamentos que atuam com proxies ou gateways entre duas redes, permitindo que as requisições de usuários externos NÃO cheguem à rede interna.

  • Resposta letra D.

     

    I. O IP spoofing é uma técnica na qual o endereço real do atacante é mascarado, de forma a evitar que ele seja encontrado. É normalmente utilizada em ataques a sistemas que utilizam endereços IP como base para autenticação. CERTO. De fato, o atacante mascara seu endereço para que ele não seja encontrado facilmente.
     

    II. O NAT, componente mais eficaz para se estabelecer a segurança em uma rede, é uma rede auxiliar que fica entre a rede interna, que deve ser protegida, e a rede externa, normalmente a Internet, fonte de ataques. ERRADO. A questão faz referência a uma rede DMZ.


    III. O SYN flooding é um ataque do tipo DoS, que consiste em explorar mecanismos de conexões TCP, prejudicando as conexões de usuários legítimos.CERTO


    IV. Os Bastion host são equipamentos que atuam com proxies ou gateways entre duas redes, permitindo que as requisições de usuários externos cheguem à rede interna. ERRADO. Olha a sutileza da expressão "Eles não atuam com proxy..." não é com proxy, mas os Bastion host atuam COMO proxy!! Eles permitem sim que as requisições de usuários externos cheguem à rede interna... ele na verdade atua com um primeiro filtro diante dessas requisições e avaliam se elas são ou não válidas e/ou permitidas.

     

ID
12091
Banca
CESPE / CEBRASPE
Órgão
Polícia Federal
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

Os sistemas de informação possuem diversas vulnerabilidades que podem ser exploradas para se comprometer a segurança da informação. Para reduzir os riscos de segurança, empregam-se diversos mecanismos de controle e de proteção física e lógica desses sistemas. Acerca das vulnerabilidades e proteções dos sistemas de informação, julgue os itens a seguir.

Um ataque de buffer overflow consiste em desviar o fluxo de execução de um software para um programa arbitrário que esteja copiado no disco rígido do sistema atacado. Esse é um exemplo clássico de backdoor resultante de um defeito de programação, que só pode ser eliminado com a atualização de versão do software defeituoso.

Alternativas
Comentários
  • O buffer overflow é um erro de programação que pode resultar em execução errônea de um programa, acesso indevido à áreas de memória, terminação do programa ou uma possível falha de segurança em um sistema. Tecnicamente falando, um buffer overflow consiste em um processo de armazenar, em um buffer de tamanho fixo, dados maiores que o seu tamanho.

    Desta forma, ataques de Buffer Overflow são do tipo exploradores (Exploit), pois exploram a falha da programação.

    De acordo com Raphael Duarte Paiva, do Grupo de Resposta a Incidentes de Segurança da UFRJ, Exploits são pedaços de código, seqüências de comandos, ou até mesmo programas que se aproveitam de vulnerabilidades ou bugs em softwares, visando causar comportamento errôneo, inesperado ou até mesmo ganhar acesso privilegiado à um sistema ou causar ataques de negação de serviço (DoS). A maioria dos Exploits visa ganhar acesso de nível de superusuário à sistemas ou derrubar os mesmos. Pode-se fazer uso de vários exploits diferentes para galgar níveis de acesso até chegar ao superusuário.
  • "Um ataque de buffer overflow consiste em desviar o fluxo de execução de um software para um programa arbitrário que esteja copiado no disco rígido do sistema atacado."

    O ataque acontece sobre um processo em execução, assim sendo, o código malicioso tem que ser inserido dentro do espaço de memória do mesmo (como uma string de bytes que são na verdade instruções em linguagem de máquina) ou já deve estar dentro do espaço de memória do processo. Dessa forma, não é possível desviar o fluxo de execução do processo para um programa em disco. 

    Mesmo assim, é possível que se faça com que o processo vulnerável execute uma chamada que cria um novo processo e execute um programa em disco, mas aí é criado um outro processo, não um desvio de fluxo de execução. E mesmo neste caso, certamente não seria um "programa arbitrário" a ser executado.
  • Um ataque de buffer overflow consiste em desviar o fluxo de execução de um software para um programa arbitrário que esteja copiado no disco rígido do sistema atacado.
    CERTO. O objetivo desse tipo de exploit é provocar o estouro da pilha, para que um código arbitrário possa ser executado. O programa que será executado deve ter um caminho, que provavelmente levará até um ponto de armazenamento.

    Esse é um exemplo clássico de backdoor resultante de um defeito de programação,
    ERRADO. Programas que exploram falhas são conhecidos como exploits.

    que só pode ser eliminado com a atualização de versão do software defeituoso.
    CERTO. A atualização do software pode corrigir falhas na programação.

  • Um buffer overflow é quando um buffer de tamanho determinado recebe mais dados do que o tamanho esperado.

    A idéia é estourar o buffer e sobrescrever parte da pilha, mudando o valor das variáveis locais, valores dos parâmetros e/ou o endereço de retorno. Altera-se o endereço de retorno da função para que ele aponte para a área em que o código que se deseja executar, onde encontra-se armazenado o código malicioso. Pode-se assim executar código arbitrário com os privilégios do usuário que executa o programa vulnerável.

  • Gabarito Errado

    Um buffer overflow (ou transbordamento de dados) acontece quando um programa informático excede o uso de memória assignado a ele pelo sistema operacional, passando então a escrever no setor de memória contíguo. Essas falhas são utilizadas por cibercriminosos para executar códigos arbitrários em um computador, o que possibilita muitas vezes aos atacantes controlar o PC da vítima ou executar um ataque de negação de serviço (DDoS).

    Se analisarmos bem, um buffer overflow é causado em um aplicativo informático quando ele não possui os controles de segurança necessários em seu código de programação. É importante lembrar que para transbordar a memória, é preciso ter conhecimentos de programação e noções básicas de arquitetura de sistemas operacionais.

    O princípio de um transbordamento de buffer é baseado na arquitetura do processador onde o aplicativo vulnerável é executado, seja ele de 32 ou de 64 bits. Os dados inseridos em um aplicativo são armazenados na memória de acesso aleatório, em um setor conhecida como buffer. Um programa desenhado corretamente deveria estipular um tamanho máximo para dados recebidos e garantir que esses valores não sejam superados.

    Outra:  Programas que exploram falhas são conhecidos como exploits, não backdoor.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • O Buffer Overflow consiste em armazenar, em um buffer de tamanho fixo, de dados maiores que o seu tamanho.


    -técnica de tentar armazenar mais dados do que a memória suporta, causando erros e possbilitando a entrada do invasor.
    -geralmente, o atacante consegue o domínio do programa atacado e privilégio de administrador na máquina hospedeira.
    -se o programa em questão tiver privilégios no sistema, podendo realizar ações como administrador ou super-usuário, ele irá começar a executar instruções que não estão programadas.

     

    Consequências do BufferOverflow:
    -funcionamento errôneo do programa
    -valor da variável B corrompido
    -travamento do programa
    -vulnerabilidade a  exploits

     

    Fonte: Itnerante
     

  • ERRADO

    Os ataques por transbordamento de buffer (buffer overflow) têm por princípio a execução de um código arbitrário em um programa, enviando-lhe mais dados do que ele pode receber. 

     

    Acredito que o erro da questão está nessa parte: "...que só pode ser eliminado com a atualização da versão do software defeituoso."

     

    (2008/STJ/TI) Ataques denominados buffer overflows, tanto na heap quanto na stack, levam à execução arbitrária de código, podendo ser evitados pela retirada de privilégios de execução e pela checagem de integridade das estruturas citadas. CERTO

     

    (2018/STJ/Suporte Técnico) Buffer overflow é um tipo de ataque que, ao explorar falha na implementação de um programa, permite escrita em um endereço de memória diferente do previamente alocado. CERTO

     

    (2013/TCE-RO/Auditor) Ataques de buffer overflow não são evitados com a inspeção de cabeçalhos. CERTO

     

  • Errado

    Matei a questão, só pelo conceito de backdoor: ele está relacionado a um ataque (porta dos fundos) e não há um defeito de software.

  • BufferOverflow , seria um estouro de Pilha , certo ?aha !

  • BUFFER OVERFLOW -  um transbordamento de dados ou estouro de buffer é uma anomalia onde um programa, ao escrever dados em um buffer, ultrapassa os limites do buffer e sobrescreve a memória adjacente. Esse é um caso especial de violação de segurança de memória;

    BACKDOOR - (porta dos fundos), usado de forma remota por espião, que por meio de uma vulnerabilidade no sistema acaba por ter livre acesso para monitorar as atividades realizadas na máquina a qualquer momento que o atacante desejar.

ID
16759
Banca
CESPE / CEBRASPE
Órgão
TRE-AL
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de ferramentas e métodos relacionados à segurança da
informação, julgue os itens seguintes.

Uma ferramenta largamente empregada na Internet para
análise de vulnerabilidades em sistemas operacionais é o
NESSUS, que permite realizar diagnóstico de vários tipos de
dispositivos instalados em redes que utilizam o protocolo
TCP/IP.

Alternativas
Comentários
  • O NESSUS é um programa que verifica falhas e vulnerabilidades de segurança em sistemas operacionais.Uma das principais características do Nessus é a sua tecnologia cliente-servidor, onde os servidores podem ser alocados em pontos estratégicos da rede, permitindo testes de vários pontos diferentes. Um cliente central ou múltiplos clientes podem controlar todos os servidores.
  • Nessus é um scanner de porta. Ele faz uma varredura completa dos servicos (portas) disponibilizadas pelo servidor. Comunica com cada um destes servicos a procura de vulnerabilidades (versoes desatualizadas, erros de configuracoes). Com base na varredura ele disponibliza um relatório completo das vulnerabilidades detectadas.
  • Nessus
     
    Em análise de vulnerabilidade de rede, o vencedor isolado é o Nessus. O avô das ferramentas de segurança, o Nessus combina uma engine que analisa as vulnerabilidades e testa seus controles em tempo real, tornando-a indispensável em empresas ‘ricas’ ou com problemas de orçamento.
    A solução – que testa todos os aspectos da empresa, de sistema operacional, portas, os serviços e as aplicações – se mantém recorrentemente entre as melhores do setor em análises independentes. Os relatórios podem ser longos, mas eles são completos.
    O Nessus indica para o gestor qual é o ponto de entrada mais provável que um intruso tente.
    Alternativa: Certa

  • Gabarito Certo

    O Nessus é uma ferramenta de auditoria muito usada para detectar e corrigir vulnerabilidades nos PCs da rede local. Ele realiza uma varredura de portas, detectando servidores ativos e simulando invasões para detectar vulnerabilidades. Uma característica importante é que o Nessus procura por servidores ativos não apenas nas portas padrão, mas em todas as portas TCP. Ele é capaz de detectar uma vulnerabilidade em um servidor Apache escondido na porta 46580, por exemplo.

    Até a versão 2.2.8, o Nessus era um aplicativo open-source. Os desenvolvedores trabalham na área de segurança, prestando consultoria e vendendo versões personalizadas do Nessus, com plugins e recursos adicionais. O problema é que outras empresas de segurança passaram a se aproveitar disso para incorporar recursos do Nessus em seus produtos proprietários e a desenvolver versões modificadas, que competiam diretamente com as soluções oferecidas por eles.

    Isso criou um clima crescente de tensão até que os desenvolvedores decidiram mudar a licença, mudança que entrou em vigor a partir da versão 3.0. O Nessus continua sendo de uso gratuito, mas o código fonte passou a ser fechado, para evitar a concorrência predatória de outras empresas.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Além do NESSUS, também tem outras ferramentas boas para a realização de enumeração de vulnerabilidades como o NMAP, NSAT, BLASTER, PHOBIA e QUESO.

ID
19117
Banca
FCC
Órgão
TRF - 4ª REGIÃO
Ano
2007
Provas
Disciplina
Segurança da Informação
Assuntos

De um modo geral, a manutenção da segurança dos ativos de informação deve cuidar da preservação da

Alternativas
Comentários
  • egurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. São características básicas da segurança da informação os atributos de confidencialidade, integridade e disponibilidade, não estando esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de proteção de informações e dados. O conceito de Segurança Informática ou Segurança de Computadores está intimamente relacionado com o de Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a dos sistemas em si.

    Atualmente o conceito de Segurança da Informação está padronizado pela norma ISO/IEC 17799:2005, influenciada pelo padrão inglês (British Standard) BS 7799. A série de normas ISO/IEC 27000 foram reservadas para tratar de padrões de Segurança da Informação, incluindo a complementação ao trabalho original do padrão inglês. A ISO/IEC 27002:2005 continua sendo considerada formalmente como 17799:2005 para fins históricos.

  • C

    I

    D

  • C onfidencialidade

    I ntegridade

    D isponibilidade

    A utenticidade.

     

    Isso tem que estar no sangue. Alternativa B.

ID
28801
Banca
CESGRANRIO
Órgão
Caixa
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Qual dos princípios básicos da segurança da informação enuncia a garantia de que uma informação não foi alterada durante seu percurso, da origem ao destino?

Alternativas
Comentários
  • - Integridade: Deve ser possível ao receptor de uma mensagem verificar se esta foi alterada durante o trânsito entre emissor e receptor;
    - Autenticação: Deve ser possível ao receptor de uma mensagem verificar corretamente sua origem, um intruso nao pode se fazer passar por remetente dessa mensagem;
    - Confidencialidade: Garante que os dados só serão acessados por pessoas autorizadas;
    - Não-repúdio ou irrevogabilidade: O remente de uma mensagem nao deve ser capaz de negar que enviou a mensagem;
    - Disponibilidade: Se refere ao sistema estar sempre pronto a responder requisições de usuários legítimos.
  • Letra B. Quando a informação não foi alterada durante seu percurso, da origem ao destino, significa que ela está íntegra, e que o princípio da Integridade foi atendido.

  • Vale lembrar que nem sempre a informação é adulterada por ações de má fé, podendo ser modificada por problemas técnicos, impactando na INTEGRIDADE.

  • DISPONIBILIDADE – garantir que a informação esteja sempre disponível;

    CONFIDENCIALIDADE – garantir que a informação seja acessada somente por pessoas autorizadas;

    AUTENTICIDADE – garantir que a informação é autêntica;

    NÃO REPUDIO – garantir que a pessoa não negue ter assinado ou criado a informação;

    LETRA B: INTEGRIDADE – garantir a exatidão da informação (que a informação não seja modificada);

  • DISPONIBILIDADE
    Garante que uma informação estará disponível para acesso no momento desejado. Diz respeito à eficácia do sistema, ao correto funcionamento da rede para que quando a informação for necessária ela poderá ser acessada. A perda da disponibilidade se dá quando se tenta acessar uma informação e não se consegue o acesso esperado.



    INTEGRIDADE:
    Garante que o conteúdo da mensagem não foi alterado ou violado indevidamente. Ou seja, mede a exatidão da informação e seus métodos de modificação, manutenção, validade. Há perda da integridade quando a informação é alterada indevidamente ou quando não se pode garantir que a informação é a mais atualizada, por exemplo.



    CONFIDENCIALIDADE:
    Garantir que a informação só será acessível por pessoas autorizadas. A principal forma de garantir a confidencialidade é por meio do controle de acesso (autenticação), já que este controle garante que o conteúdo da mensagem somente será acessado por pessoas autorizadas. A confidencialidade (privacidade) se dá justamente quando se impede que pessoas não autorizadas tenham acesso ao conteúdo da mensagem. Refere-se à proteção da informação contra a divulgação não permitida. A perda da confidencialidade se dá quando alguém não autorizado obtém acesso a recursos/informações.



    AUTENTICIDADE:
    Garante a identidade de quem está enviando a informação, ou seja, gera o não-repúdio que se dá quando há garantia de que o emissor não poderá se esquivar da autoria da mensagem (irretratabilidade). Normalmente não entre como um dos pilares da segurança da informação, mas fica aqui para fechar o mnemônico DICA.

  • RESPOSTA INTEGRIDADE: É COMPLETO, EXATO, INTEIRO E ASSEGURA QUE OS DADOS FORAM RECEBIDOS EXATAMENTE COMO FORAM ENVIADOS.

  • RESPOSTA INTEGRIDADE: É COMPLETO, EXATO, INTEIRO E ASSEGURA QUE OS DADOS FORAM RECEBIDOS EXATAMENTE COMO FORAM ENVIADOS.

  • RESPOSTA INTEGRIDADE: É COMPLETO, EXATO, INTEIRO E ASSEGURA QUE OS DADOS FORAM RECEBIDOS EXATAMENTE COMO FORAM ENVIADOS.

ID
32722
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Uma empresa está adquirindo um novo software para implantar uma VPN entre as suas filiais e a matriz. Sabe-se que cada uma das filiais está conectada à Internet através de um roteador NAT próprio, sem a utilização de um firewall, e que a matriz está conectada à Internet através de um firewall de filtragem de pacote. Com base nesta configuração e nas características dos componentes envolvidos, é correto afirmar que

Alternativas
Comentários
  • "as VPNs não mantêm links permanentes entre os pontos de término da comunicação, otimizando a utilização da largura de banda. "Qual tecnologia? Em quê circunstãncia?Ok, é a opção menos pior, mas a questão é muito mal formulada.
  • A alternativa "b" é correta porque redes VPN são baseadas em comutação por pacotes, e não em comutação por circuitos.

    Faz-se necessária, portanto uma explicação. A grande diferença entre as duas formas de comutação é justamente quanto ao estabelecimento de um circuito permanente, o qual existe na comutação por circuitos e não existe na comutação por pacotes.

    Na comutação por circuitos, um link entre um ponto a outro é permanente, ou seja, para uma só comunicação. A vantagem é que, como apenas uma comunicação está usando, é rápido e tem taxa de transferência constante, mas, se alguém quiser usar, vai ter que esperar acabar a conexão. Já na comutação por pacotes, o link não é permanente e todos podem usar, só que dividem entre si a largura da banda - ou seja, está é melhor aproveitada.

  • Questão mal formulada

  • a) a VPN irá impedir que as filiais realizem ataques de cavalo de tróia na matriz.  ERRADA: A VPN não irá impedir nenhum ataque, pois não é essa sua função. Como os links com a internet das filiais estão desprotegidos (por firewall ou IDS) qualquer ataque oriundo dessa vulnerabilidade tornará a matriz passível de ataque.

    b) as VPNs não mantêm links permanentes entre os pontos de término da comunicação, otimizando a utilização da largura de banda.  CORRETA: VPNs usam comutação por pacotes, que não mantêm link constantemente aberto, conforme expôs o colega acima.

    c) o firewall de filtragem de pacote deverá ser substituído por um firewall de inspeção de pacote com informações de estado, uma vez que este tipo de equipamento não permite a utilização de VPNs.  ERRADA: Não há restrição alguma em se usar um firewall de filtro de pacotes protegendo uma rede que possua VPN.

    d) os firewalls de filtragem de pacote analisam o conteúdo dos pacotes, tornando possível o bloqueio de usuários da sua rede que acessam sites da Web com conteúdo não autorizado.  ERRADA: Os firewalls de filtro de pacotes baseiam suas regras de proteção em suas ACL's (Acess Control List) apenas nos dados do cabeçalhos IP, TCP e UDP. Esses equipamentos não analisam o conteúdo dos pacotes. Para tal, deveria-se implantar um gateway de aplicação.

    e) os roteadores NAT deverão ser substituídos por firewalls de filtragem de pacote, uma vez que este tipo de equipamento não permite a utilização de VPNs.  ERRADA: Não há restrição de uso de roteadores NAT em redes que usam VPN.

    Bons estudos!

  • se for uma VPN que utilize tunelamento compulsório com múltiplos clientes, a conexão só será finalizada quando o último usuário do túnel se desconectar.

    Fonte : Professor Gleyson Azevedo - Curso de Segurança da informação - DominandoTI

  • Questão vaga. Não tem dados suficiente para que se possa afimar que a alternativa em apreço de fato é correta..

     

  •  b) as VPNs não mantêm links permanentes entre os pontos de término da comunicação, otimizando a utilização da largura de banda.

    Concordo que é a menos pior...mas o enunciado da questão deu a entender que VPNs não fazem uso do TCP, e sim do UDP, o que não é verdade.

  • Gente, VPN não tem nada a ver com protocolo de transporte! A aquestao quis enfatizar o fato de as técnicas de estabelecer uma VPN (criptografia e tunelamento) não alocam permanentemente! óbvio que n!
ID
32803
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Integridade, confidencialidade e disponibilidade das informações constituem alguns dos aspectos que orientam a análise, o planejamento e a implementação da segurança dentro das empresas. Dentro deste contexto, pode-se afirmar que

Alternativas
Comentários
  • a) O gerenciamento da capacidade é um processo da ITIL que visa fornecer a capacidade exigida de processamento e armazenamento no momento e no custo adequado.

    Os benefícios do gerenciamento da capacidade são principalmente a reduções de riscos e custos e a possibilidade de se obter previsões mais confiáveis.
  • Porque a alternativa A não está correta:"a disponibilidade das informações está intimamente relacionada à tolerância a falhas dos sistemas": até aqui, tudo certo."sendo a investigação das razões das falhas uma das principais atividades do Gerenciamento da Capacidade do ITIL": errado! Quem cuida de investigar causas de falhas, ou incidentes, é a Gestão de Problemas.
  • ISO/IEC 27001 é um padrão para sistema de gestão da segurança da informação (ISMS - Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commision. Seu nome completo é ISO/IEC 27001:2005 - Tecnologia da informação - técnicas de segurança - sistemas de gerência da segurança da informação - requisitos mas conhecido como "ISO 27001".Seu objetivo é ser usado em conjunto com ISO/IEC 17799, o código de práticas para gerência da segurança da informação, o qual lista objetivos do controle de segurança e recomenda um conjunto de especificações de controles de segurança.http://pt.wikipedia.org/wiki/ISO_27001
  • a) O ITIL é um conjunto de melhores práticas de gerenciamento de servicos. O gerenciamento da capacidade diz: "Enfatiza o planejamento e o alinhamento com a demanda de forma a garantir que os niveis de Servico acordados possam ser cumpridos." Ou seja, nao tem haver com disponibilidade.
    Já o gerenciamento da Disponibilidade diz: "Processo de garantir uma disposicao adequada dos recursos,  metodos e tecnicas, para dar suporte a disponibilidade dos servicos de ti."
  • Conforme a ISO 27001, item A.7 Gestão de Ativos e mais precisamente: o item A.7.2 Classificação da Informação, tem por objetivo "assegurar que a informação receba um nível adequado de proteção". Sendo assim, o item A.7.2.1 Recomendações de classificação orienta: "A informação deve ser classificada em termos de seu valor, requisitos legais, sensibilidade e criticidade para a organização".
  • Resposta letra D

    auto explicativa :

    segundo a ISO 27001:2005, a informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a empresa
  • A) Errada. A investigação das causas de uma falha é uma atividade do Gerenciamento de Problemas do ITIL.
    B) Errada. O Cobit define 7 critérios para a informação: dois fiduciários (conformidade e confiabilidade), dois de qualidade (Efetividade e Eficiência) e três de segurança (Disponibilidade, Confidencialidade e Integridade). Além disso, também define o processo DS5 - Assegurar a Segurança dos Serviços. Logo, o Cobit trata de aspectos de segurança.
    C) Errada. Acho que nenhum documento do mundo deva conter "todos os aspectos técnicos" de alguma coisa. Ia ser papel que não acaba mais. Bom, existe um requisito de controle genérico do cobit (PC5 - Políticas Planos e Procedimentos) que define e comunica como todas as políticas, planos e procedimentos que direcionam os processos de TI  devem ser documentados. Resumidamente, esse PC5 diz que esses documentos devem ser "acessíveis, corretos, entendidos e atualizados". (Cobit 4.1, pag 18)
    D) Correta. Os comentários acima já são ótimos. Na verdade, marquei a "d" por eliminação. =P
    E) Errada. O comprometimento da segurança é lógico.
ID
44605
Banca
ESAF
Órgão
ANA
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

A NBR ISO/IEC 17799, versão brasileira da norma ISO homologada pela ABNT em setembro de 2001, é uma norma de segurança da informação. Assinale abaixo a opção que apresenta o conceito de segurança da informação segundo a NBR ISO/IEC 17799.

Alternativas
Comentários
  • "Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio."Fonte: ABNT NBR ISO/IEC 17799 (passou a ser a NBR ISO/IEC 27002).

  • Nosso colega esqueceu de citar a seção da norma. Segue ela para estudo. 

    ABNT ISO/IEC 27002, P.9, SEÇÃO 

    0 Introdução

    0.1 O que é segurança da informação?


  • Não é por nada, mas eu acho o cúmulo uma prova pra administrador cobrar conhecimentos tão específicos sobra normas ISO, A NÃO SER que no edital esteja especificando a(s) normas que serão cobradas.

ID
47044
Banca
ESAF
Órgão
ANA
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

São critérios a serem considerados para a classificação da informação:

I. Os requisitos legais associados à informação.
II. O valor da informação.
III. Criticidade da informação para o negócio.

Assinale a opção correta.

Alternativas
Comentários
  • ISO 27002

    7- Gestão de Ativos
    A7.2 - Classificação da Informação
    - A informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização.
ID
47053
Banca
ESAF
Órgão
ANA
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

A política de segurança de uma organização pressupõe, primordialmente,

Alternativas
Comentários
  • Como a questão pede o que PRIMORDIALMENTE pressupõe uma PS, a ISO 27002 (27002 = renumeração da 17799) quando começa a falar sobre os objetivos e o que deve conter na PS, deixa claro que deve prover apoio da direção...... leiam.. ISO 17799/2005 - (Cap. 5)"Política de segurança da informaçãoObjetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização."
  • A resposta da questão está na palavrinha PRESSUPÕE.
    Isso quer dizer que para existir a Política de Segurança, para ela ser aprovada, deve antes de mais nada ser aprovada pela alta direção e, claro, estar alinhada com os requisitos do negócio, por isso a letra C está correta.

    a) Sim, a política deve ser de conhecimento de todos mas isso vem depois da aprovação dela.
    b) Sim, a política deve ser revista periodicamente, até mesmo porque é baseada no modelo PDCA, mas isto também vem depois da aprovação da política.
    c) CORRETA
    d) Sim, a deve ser feita a declaração de responsabilidades para SI, que é o proprietário, custodiante, controlador e o usuário dos ativos de informação, mas isso também vem depois.
    e) Sim, todos os riscos devem ser identificados inclusive os relacionados com partes externas, mas também isso vem depois da aprovação da política de segurança.

    Questão muito boa pois ela toda é verdade, mas o examinador pediu o que antecede a política de segurança e não o que sucede.
ID
72142
Banca
CESGRANRIO
Órgão
IBGE
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Durante uma reunião de projeto, um analista levantou novos requisitos para um sistema de vendas pela Web, que estava em produção, apresentados a seguir.

. As senhas dos usuários do site devem ser armazenadas criptografadas no banco de dados e, caso haja esquecimento da senha, o usuário deve solicitar o envio da mesma, descriptografada, para o seu e-mail, após confirmar informações pessoais.

. O servidor IIS (versão 6.0), no qual a aplicação está instalada, está ficando sem memória em função do grande número de acessos a um determinado aplicativo, afetando outros aplicativos.

.Os catálogos de produtos são feitos por uma empresa de design que envia, por e-mail, para o administrador do sistema, arquivos contendo fotos e descrições dos produtos que estão à venda no site, mas o nível de segurança desse processo deve ser aumentado por meio da utilização de um mecanismo que permita garantir que os arquivos recebidos pelo administrador sejam mesmo criados pela empresa de design. O analista propôs as iniciativas a seguir, atendendo a mesma ordem dos requisitos.

I - Utilizar uma função HASH para criptografar as senhas antes de salvá-las no banco de dados, sendo que, para recuperar a senha, será utilizado um algoritmo RSA que a descriptografe antes de ela ser enviada para o usuário.

II - Definir um número máximo de solicitações de kernel para o aplicativo, por meio do Gerenciador do IIS, de forma a impedir que um grande número de solicitações seja colocado em fila e sobrecarregue o servidor.

III - Deve ser utilizado um mecanismo de assinatura digital no qual a empresa de design assina digitalmente os arquivos gerados, utilizando uma chave privada, cabendo ao administrador do sistema, por meio de uma chave pública, verificar a autenticidade da assinatura.

Está(ão) correta(s) a(s) iniciativa(s)

Alternativas
Comentários
  • I- Errada: função hash não se descriptografa, é um "caminho sem volta".II- Certa: solução possível mas paliativa.III- Certa
  • i) False. Função HASH cria um resumo único do texto (Message Digest) que não permite chegar ao texto a partir do resumo. Unidirecional. Deveria ter sugerido um sistema criptográfico simétrico, em que a chave estaria na aplicação, assim atenderia os requisitos.ii) True. Apesar de ser uma solução meia boca (pois vai causa recusa de serviço quanto chegar no limite máximo), a questão pede as iniciativas que ATENDEM AOS REQUISITOS. O requisito deste item é deixar de atingir outros aplicativos por falta de memória.iii) True. Pefeito.
  • I - Errada, pois o Hash não é uma função que tenha função inversa.II - Certa.III - Certa, e se A assina com sua chave privada somente quem tem sua chave pública poderá decifrar e assim garantir a autenticidade. O costumeiro é ver A enviando mensagem para B e cifrando com a chave pública de B para que apenas B com sua chave privada decifre. Quando A assina com sua chave privada e envia para B, B sabe que se conseguiu decifrar a mensagem cifrada com uma chave privada é porque apenas o dono desta pode ter feito tal cifragem e assim garante a autenticidade.
  • II e IIIporém acho que esta segunda é um pouco confusa quando fala de solicitações de kernel... talvez a intenção foi essa, deixar a proposição confusa.
ID
90892
Banca
CESPE / CEBRASPE
Órgão
BRB
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da organização e da segurança da informação em meio
eletrônico, julgue os próximos itens.

Confidencialidade, um dos princípios básicos da segurança da informação, tem como característica garantir que uma informação não seja alterada durante o seu trânsito entre o emissor e o destinatário.

Alternativas
Comentários
  • Em um sistema que garante a confidencialidade, um terceiro entra em posse de informações trocadas entre o remetente eo destinatário não é capaz de extrair qualquer conteúdo inteligível.Para garantir-la utilizam-se mecanismos de criptografia e de ocultação de comunicação. Digitalmente podem manter a confidencialidade de um documento com o uso de chaves assimétricas.
  • A frase estaria correta se no lugar de CONFIDENCIALIDADE estivesse escrito INTEGRIDADE, pois, é o princípio que aborda o estado da mensagem desde a origem até o destino sem qualquer alteração.
  • Os princípios básicos da segurança são a confidencialidade, integridade e disponibilidade das informações, sendo a integridade o responsável em garantir que uma informação não seja alterada durante o seu trânsito entre o emissor e o destinatário.
  • GABARITO: ERRADO

    Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação. Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).

  • Gabarito: E

    Quem garante que a informação não foi alterada é a INTEGRIDADE!

  • O Cebraspe gosta muito de confundir dois princípios da segurança da informação, lembro assim:

    Confidencialidade (Acesso, Sigilo).

    Integridade (Alteração).

  • Minha contribuição.

    Princípios da Segurança da Informação

    Confidencialidade: é a capacidade de um sistema de não permitir que informações estejam disponíveis ou sejam reveladas a entidades não autorizadas - incluindo usuários, máquinas, sistemas ou processos. Seria algo similar à privacidade, em que pessoas autorizadas podem acessar e visualizar uma informação e pessoas não autorizadas não podem.

    Integridade: é a capacidade de garantir que a informação manipulada está correta, fidedigna e que não foi corrompida. Esse princípio sinaliza a conformidade dos dados armazenados com relação às inserções, alterações e processamentos autorizados efetuados.

    Disponibilidade: é a propriedade de uma informação estar acessível e utilizável sob demanda por uma entidade autorizada. De certa forma, ela garante que usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

    Autenticidade (legitimidade): é a propriedade que trata da garantia de que um usuário é de fato quem alega ser. Em outras palavras, ela garante a identidade de quem está enviando uma determinada informação.

    Não-repúdio (irretratabilidade): também chamada de irrefutabilidade, trata-se da capacidade de garantir que o emissor da mensagem ou participante de um processo não negue posteriormente a sua autoria.

    Fonte: Estratégia

    Abraço!!!

ID
118714
Banca
FCC
Órgão
TRT - 20ª REGIÃO (SE)
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Os atributos básicos da segurança da informação são

Alternativas
Comentários

  • Atributos da Informação

    Confidencialidade: limita o acesso à informação apenas às pessoas autorizadas. Sinônimos: Privacidade, Controle de Acesso.

    Integridade: garante que as informações ou os recursos da informação estão protegidos contra modificações não autorizadas Sinônimos: Fidelidade

    Disponibilidade: possibilidade de acesso por aqueles que necessitam das informações para o desempenho de suas atividades .

  • Tripé da segurança da informação (CID):

    Confidencialidade – informação não será acessada

    Integridade – informação não será alterada

    Disponibilidade – sistemas e informações disponíveis

    Vamos na fé.

  • D isponibilidade

    I ntegridade

    C onfidencialidade

    A utenticidade

ID
122743
Banca
ESAF
Órgão
SUSEP
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

São elementos ideais do perfil do Administrador da Segurança:

Alternativas
Comentários
  • Por eliminação, nos erros mais gritantes:
    a) AUTENTICIDADE emocional
    b) Correta
    c) AUTENTICIDADE emocional
    d) estabilidade SENSORIAL
    e) SELETIVIDADE de relacionamentos
ID
126559
Banca
ESAF
Órgão
Prefeitura de Natal - RN
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Analise as seguintes afi rmações relacionadas à Segurança da Informação e os objetivos do controle de acesso:

I. A disponibilidade é uma forma de controle de acesso que permite identifi car os usuários legítimos da informação para que lhes possa ser liberado o acesso, quando solicitado.
II. A confi dencialidade é uma forma de controle de acesso que evita que pessoas não autorizadas tenham acesso à informação para criá-la, destruí-la ou alterá-la indevidamente.
III. O IDS (Intrusion Detection System) é um dispositivo complementar à proteção contra invasão de redes, que inspeciona uma rede de dentro para fora, identifi ca e avalia padrões suspeitos que podem identifi car um ataque à rede e emite um alarme quando existe a suspeita de uma invasão.
IV. A integridade é uma forma de controle de acesso que evita o acesso de pessoas não autorizadas a informações confi denciais, salvaguardando segredos de negócios e protegendo a privacidade de dados pessoais.

Indique a opção que contenha todas as afi rmações verdadeiras.

Alternativas
Comentários

  • Resposta: B
    Entendo que as assertivas II e III estão corretas. As erradas são: I e IV.

    Vejamos os conceitos:
    DISPONILIDADE é o atributo ligado à segurança da informação que garante que ela esteja sempre disponível para o uso legítimo dos usuários, ou seja, por aqueles usuários autorizados pelo proprietário da informação a ter acesso ao conhecimento da informação;

    INTEGRIDADE é o atributo ligado à segurança da informação que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida. A informação não pode ser alterada.

    Discordo do gabarito

  • Concordo com o colega, eu também entendo que seja B a resposta correta, mas não encontrei o gabarito da prova para comprovar isso. Mais uma vez ficamos na mão da banca...
  • Achei estranho constar que "inspeciona uma rede de DENTRO para FORA". A análise não é de tráfego invasor, que vem de FORA para DENTRO? O que acham?
  • A banca é a ESAF.. tem que se atentar a todos os detalhes.
    Errei mas concordo que a certa seja a letra D, senão vejamos:

    I - A Disponibilidade aqui deve ser interpretada como o Controle de Acesso. Disponível apenas para o dono da informação. Controlando a sua disponibilidade é possível controlar o seu acesso, ou seja, quem não é dono da informação não vai tê-la disponível!!
    II - Para algo Confidencial, utiliza-se a criptografia. Um arquivo criptografado é Confidencial, no entanto pessoas não autorizadas podem sim ter acesso ao arquivo. Embora não entendam o que há nesse arquivo, podem alterá-lo, deletá-lo etc, já que podem ter acesso ao mesmo.
  • Livro do Stallings - pg 09 e 10

    Controle de acesso = capacidade de limitar e controlar o acesso aos sistemas e aplicações hospedeiras por meio de enlaces de comunicação. Cada entidade precisa ser identificada antes de obter acesso, ou autenticada, de modo que os direitos de acesso possam ser ajustados ao individuo.

    Disponibilidade = propriedade de um sistema ou de um recurso do sistema ser acessível e utilizável sob demanda por uma entidade autorizada do sistema. É associada a vários serviços de segurança. Depende do gerenciamento e controle apropriado dos recursos do sistema, do serviço de controle de acesso e outros serviços de segurança.

    Integridade = mensagens são recebidas conforme enviadas, sem duplicação, inserção, modificação, reordenação ou repetição.


    Livro da Claudia Dias

    Confidencialidade = proteger as informações contra acesso de qualquer pessoa não explicitamente autorizada pelo dono da informação.


    Logo:

    (C) I. A disponibilidade é uma forma de controle de acesso que permite identifi car os usuários legítimos da informação para que lhes possa ser liberado o acesso, quando solicitado

    (E) II. A confidencialidade é uma forma de controle de acesso que evita que pessoas não autorizadas tenham acesso à informação para criá-la, destruí-la ou alterá-la indevidamente

    (C) III. O IDS (Intrusion Detection System) é um dispositivo complementar à proteção contra invasão de redes, que inspeciona uma rede de dentro para fora, identifi ca e avalia padrões suspeitos que podem identifi car um ataque à rede e emite um alarme quando existe a suspeita de uma invasão. 

    (E) IV. A integridade é uma forma de controle de acesso que evita o acesso de pessoas não autorizadas a informações confi denciais, salvaguardando segredos de negócios e protegendo a privacidade de dados pessoais.

  • O gabarito realmente está correto, letra D
    Item I - Disponibilidade é o acesso à informação de pessoas autorizadas para esse fim, tratrou-se de autorização, então controla o acesso;
    O erro do item II é que confidencialidade não protege que a informação seja destruída, protege quanto ao sigilo dessa informação;
    Item III - correto
    Item IV - Integridade não se trata de controle de acesso, está relacionada quanto a auteração ou não da informação, dar garantia de que a informação não foi auterada.
    Abraços.
    vamo que vamo.
  • I - Disponibilidade = Pessoas autorizadas + acesso a informação + QUANDO SOLICITADO.
    II - Confidencialidade = Pessoas autorizadas + acesso a informação. Quando se fala em modificação da informação trata-se de integridade e não confidencialidade.
    III - IDS apenas emite alertas, ele não responde aos ataques diretamente, é como um cachorro pequenez (só dá escândalo). Já o IPS responde aos ataques, é um pitbull.
    IV - Integridade = Completude + Não modificação. Quando de fala em acesso a informação de pessoas autorizadas fala-se de confidencialidade, mas se a esses dois itens for acrescentado "quando solicitado" aí será disponibilidade. Perceba que disponibilidade e confidencialidade são bem parecidos o que os difere é somente o fato de a informação estar disponível, acessivel, quando for solicitado.
ID
129937
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à segurança da informação, julgue os
seguintes itens.

Confiabilidade é tornar uma informação disponível no momento em que ela se torna necessária.

Alternativas
Comentários
  • o conceito empregado na questão foi o de disponibilidade
  • Lembrando os princípios da segurança da informação, repitam: NÃO CIDA!NÃO-REPÚDIO: é a agarantia de que um agente não possa negar um ato praticado por ele;CONFIDENCIALIDADE: éa garantia de que a informação é acessível somete por pessoas autorizadas a terem acesso;INTEGRIDADE: é a salvaguarda da exatidão e completeza da informação e dos métodos de processamento;DISPONIBILIDADE: propriedade que garante que os usuários autorizados obtenham acesso à informação e aos ativos correspondetes, sempre que necessário;AUTENTICAÇÃO: propriedade que confirma que o remetente ou o destinatário é de fato quem ele afirma ser.Vale ressaltar que confidencialidade, integridade e disponibilidade são os três princípios clássicos.

  • Confiabilidade é a qualidade do sistema que nos permite confiar, justificadamente, no serviço oferecido.
    Confiabilidade é um conceito global, que se decompõe em vários vectores quantificáveis:
    fiabilidade (reliability)
    disponibilidade (availability)
    reparabilidade (maintainability)
    segurança contra acidentes (safety)
    segurança contra acesso não autorizado (security)
     

ID
129940
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à segurança da informação, julgue os
seguintes itens.

Uma informação será considerada íntegra quando seu conteúdo não tiver sido lido por entidade não-autorizada, seja esta um sistema ou uma pessoa.

Alternativas
Comentários
  • (ERRADA) Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).fonte: Wikipédia
  • FICARIA CORRETA SE:Uma informação será considerada ÍNTEGRA quando seu conteúdo não tiver sido ALTERADO por entidade não-autorizada, seja esta um sistema ou uma pessoa.

  • complementando a resposta do @Jair

    OU FICARIA CORRETA SE:

    Uma informação será considerada CONFIDENCIAL quando seu conteúdo não tiver sido LIDO por entidade não-autorizada, seja esta um sistema ou uma pessoa.

     

  • Intregridade garante que a mensagem não foi ALTERADA.

    Gabarito: E

  • confiabilidade

  • errado

    Integridade corresponde à preservação da precisão, consistência e confiabilidade das informações e sistemas pela empresa ao longo dos processos ou de seu ciclo de vida.

    É importante que os dados circulem ou sejam armazenados do mesmo modo como foram criados, sem que haja interferência externa para corrompê-los, comprometê-los ou danificá-los.

  • INTEGRIDADE = ALTERAÇÃO

    CONFIDENCIALIDADE = ACESSO AUTORIZADO

ID
129943
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à segurança da informação, julgue os
seguintes itens.

Um elemento fundamental a ser considerado no mundo eletrônico atual é a disponibilidade da informação, ou seja, informação para as pessoas autorizadas na hora que dela precisarem.

Alternativas
Comentários
  • Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.fonte: Wikipédia
  • DISPONIBILIDADE: propriedade que garante que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes, sempre que necessário.

  • Segue outra fonte que possui essa definição:

     

    Disponibilidade
    Propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada
     

    Fonte: ABNT NBR ISO/IEC 27001:2006

ID
131302
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Atualmente, a informação é um importante ativo para praticamente todo o tipo de organização. A segurança desse ativo faz-se
necessária, seja por questão de conformidade com leis e contratos, seja para assegurar a continuidade do negócio. Acerca da segurança
da informação, bem como das normas e políticas a ela aplicáveis, julgue os itens a seguir.

A declaração de aplicabilidade é um documento que deve detalhar os objetivos de controle e os controles a serem implementados para a segurança da informação. Os demais controles e objetivos de controle, não inclusos na declaração de aplicabilidade, devem fazer parte do documento de análise de GAP.

Alternativas
Comentários
  • http://axurblog.blogspot.com/2007/08/sobre-declarao-de-aplicabilidade.htmlA Declaração de Aplicabilidade é uma listagem dos controles aplicados, e dos controles não aplicados. Ou seja, é uma listagem de TODOS os controles do Anexo A da ISO 27001, mais os controles adicionais.Devem ser colocadas justificativas pela APLICAÇÃO e pela NÃO APLICAÇÃO dos controles. Atenção: não confundir o termo APLICADO com APLICAVEL. Somente podem ser justificado o controle como NÃO APLICAVEL, se realmente não for possível aplicá-lo, como por exemplo "comércio eletrônico" para uma empresa que não realiza comércio eletrônico. A justificativa deste controle é, NÃO APLICAVEL.NÃO APLICADOS são aqueles controles pelos quais não se optou devido a inexistência de risco que o justificassem, por serem NÃO APLICAVEIS, ou pela sobreposição de controle. Isso é muito comum! A análise de GAP'S é um procedimento de comparação entre as competências exigidas por um Posto de Trabalho e as competências desenvolvidas por qualquer membro da Força de Trabalho. O produto desta comparação representa a lacuna de qualificações que o membro da Força de Trabalho precisa desenvolver para estar apto a exercer as atividades do Posto de Trabalho em questão. Isto significa, que se as iniciativas de aprendizagem quiserem ser efetivas, deverão priorizar o preenchimento de tal lacuna.

  • Todos os controles e objetivos de controle estão elencados na declaração de aplicabilidade, onde os que não serão usados obrigatoriamente precisam apresentar a justificativa de não uso.

    PS: Análise de GAP é um documento usado na gestão de qualidade para análise de insuficiências, não possui relação com a NBR ISO/IEC 27001.

  • 6.1.3 Tratamento de riscos de segurança da informação

     

    d) elaborar uma declaração de aplicabilidade que contenha os controles necessários (ver 6.1.3b ) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do anexo a;

     

    ISOIEC 27001 - 2013

ID
136282
Banca
ESAF
Órgão
MPOG
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Os agentes envolvidos com a informação como ativo são:

Alternativas
Comentários
  • Segurança da informaçãoAgentes Envolvidos:
    Proprietário, Custodiante, Usuário, e Controlador.



ID
142108
Banca
CESPE / CEBRASPE
Órgão
TRE-MT
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito dos conceitos de segurança da informação, assinale a opção correta.

Alternativas
Comentários
  • a) Está incompleto, definição da NBR ISO/IEC 27001: propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada. A definição descrita no item B seria aceita.
    b) Invertido com item A, definição da NBR ISO/IEC 27001: 27001: propriedade  de  que  a  informação  não  esteja  disponível  ou    revelada  a  indivíduos,  entidades  ou  processos  não autorizados.
    c) Errado. Item 6.1.4.B "Hardware e software sejam verificados para garantir que são compatíveis com outros componentes do sistema".
    d) Correto.
    e) Errado. São duas chaves (e não dois PARES de chaves) uma privada e outra pública. 27002 12.3.2 Informações Adicionais item B "técnicas  de  chaves  públicas,  onde  cada  usuário  possui  um  par  de  chaves;  uma  chave  pública
    (que  pode  ser  revelada  para  qualquer  um)  e  uma  chave  privada  (que  deve  ser  mantida  secreta);
    técnicas  de  chaves  públicas  podem  ser  utilizadas  para  cifrar  e  para  produzir  assinaturas  digitais"
ID
147454
Banca
FCC
Órgão
SEFAZ-SP
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Se qualquer não-conformidade for encontrada como um resultado da análise crítica nas áreas sobre o cumprimento das políticas e normas de segurança da informação, NÃO convém que os gestores

Alternativas
Comentários
  • Questão estupidamente fácil que eu errei de besteira.

    d) avaliem a necessidade de ações para assegurar que a conformidade não se repita.

    A conformidade deve se repetir. Quem não deve se repetir é a não-conformidade.
  • pegadinha do malandro!!!!!!!!

  • falta de leitura crítica

ID
148039
Banca
FCC
Órgão
TRT - 16ª REGIÃO (MA)
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre os conceitos de segurança da informação, analise:

I. Os ativos produzem as ameaças.

II. As ameaças exploram as vulnerabilidades.

III. Os riscos afetam as probabilidades.

IV. Vulnerabilidades exploram os impactos.

Está correto o que se afirma APENAS em

Alternativas
Comentários
  • I ERRADO - Os ativos estão vulneráveis às ameaçasII CERTOIII ERRADO - É o contrári, a probabilidade afeta o riscoIV ERRADO - as ameaças exploram as vulnerabilidades. O impacto está relacionado à concretização do risco.

  • LETRA D.


    I-ERRADO. Segundo a ISO 27005,8.2.1.3 Identificação das ameaças,"Uma ameaça tem o potencial de comprometer ativos (tais como, informações, processos e sistemas) e, por isso,também as organizações."


    II-CORRETO. Segundo a ISO 27005,8.2.1.5 Identificação das vulnerabilidades,"A presença de uma vulnerabilidade não causa prejuízo por si só, pois precisa haver uma ameaça presente para explorá-la."


    III-ERRADO. Segundo a ISO 27005,8.1 Descrição geral do processo de análise/avaliação de riscos de segurança da informação,"Um risco é a combinação das conseqüências advindas da ocorrência de um evento indesejado e da probabilidade da ocorrência do mesmo."

    IV-ERRADO. Segundo a ISO 27005,8.2.2.2 Avaliação das conseqüências,"Diferentes ameaças e vulnerabilidades causarão diferentes impactos sobre os ativos, tais como perda da confidencialidade, da integridade ou da disponibilidade."

ID
148360
Banca
FCC
Órgão
TRT - 16ª REGIÃO (MA)
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Um tipo de software especificamente projetado para apresentar propagandas por meio de browsers na Internet é um

Alternativas
Comentários

  • Spyware
    Spyware é o programa espião que intercepta ou assume o controle parcial da operação de um computador sem o consentimento informado do usuário. O spyware é criado para explorar computadores infectados para fins comerciais. As táticas comuns que favorecem essa meta incluem a entrega de anúncios pop-up não solicitados. O AntiVir é capaz de detectar esse tipo de software com a categoria "ADSPY" ou "adware-spyware".

    Adware
    Adware é um software que apresenta anúncios de banner ou janelas pop-up através de uma barra que aparece na tela do computador. Esses pontos de publicidade normalmente não podem ser removidos e, por isso, estão sempre visíveis. Os dados de conexão fornecem várias conclusões quanto ao comportamento de uso e são problemáticos em termos de segurança de dados.

    Um adware é um software que mostra anúncios (vem do inglês, ad = anuncio, software = programa). Os adwares se instalam geralmente sem que nós o desejemos, visto que ninguém costuma desejar ser invadido por publicidade constantemente enquanto usa o computador.

    Os adwares costumam rastrear nosso uso do computador para mostrar publicidade que tenham a ver com nossas buscas em buscadores, ou com relação aos sites que visitamos. Portanto, estes adwares são um pouco espiões também.

    Backdoors
    Um backdoor pode obter acesso a um computador enganando os mecanismos de segurança de acesso do computador.

    Fonte:http://www.avira.com/pt-br/threats/virus_science.html http://www.criarweb.com/faq/que-e-um-adware.html

  • Adware, o "ad" vem de advertisement, em inglês, que significa "anúncio".

  • a) spyware.É um programa projetado para monitorar as atividades  de um sistema e enviar as informações coletadas para terceiros.
    b) rootkit. É um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido.
    c) adware. Projetado especificamente para apresentar propagandas. Pode ser usado para fins legítimos, quando incorporado a programas e serviços, como forma de patrocínio ou retorno financeiro para quem desenvolve programas livres ou presta serviços gratuitos. Para excluir é só ir em configurações do Browser e excluir em extensões.
    d) backdoor. É um programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços criados ou modificados para este fim.
    e) keylogger.Capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. Sua ativação, em muitos casos, é condicionada a uma ação prévia do usuário, como o acesso a um site específico de comercio eletrônico ou de Internet Banking.

ID
150919
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Os três princípios fundamentais aplicáveis à segurança da informação são:

Alternativas
Comentários
  • Letra C. DICA, ou seja, Disponibilidade, Integridade, Confidencialidade e Autenticidade. Estes são princípios fundamentais aplicáveis à segurança da informação.

  • Um programa de segurança pode ter diversos objetivos, grandes e pequenos, mas os princípios mais importantes em todos os programas de segurança são a confidencialidade (exclusividade), integridade e disponibilidade.

    Fonte: Fundamentos de Segurança da Informação - Jule Hintzbergen, Kees Hintzbergen, André Smulders, Hans Baars

  • Letra C

ID
158374
Banca
FCC
Órgão
MPE-RN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Os atributos básicos da segurança da informação são:

Alternativas
Comentários

  •  Como dizia um velho amigo (Pedro Arthur), segurança de rede também tem suas propriedades ACID.

    Autenticidade,Confidencialidade, Integridade e Disponibilidade

  • Além dos atributos básicos, CONFIDENCIALIDADE, INTEGRIDADE e DISPONIBILIDADE (resposta C), existem outros aspectos importantes como Autenticidade, Não-repúdio, Legalidade, Privacidade e Auditoria.

  • Gabarito C

    Segurança da Informação é a disciplina que visa preservar a confidencialidade, a integridade e a disponibilidade da informação (CID). São estes os três pilares que detalho a seguir.

     

    Confidencialidade significa garantir que a informação não será conhecida por pessoas que não estejam autorizadas para tal.

     

    Integridade, por sua vez, significa garantir que a informação armazenada ou transferida está correta e é apresentada corretamente para quem a consulta.

     

    Disponibilidade, significa garantir que a informação possa ser obtida sempre que for necessário, isto é, que esteja sempre disponível para quem precisar dela no exercício de suas funções.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
161791
Banca
FCC
Órgão
TRF - 5ª REGIÃO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

O conceito diretamente ligado ao estado da informação no momento de sua geração e resgate, isto é, fidelidade ao estado original, é o de

Alternativas
Comentários

  • Resposta CORRETA letra D

    Integridade: atributo de uma informação que indicaque esta não foi alterada ou, se foi, o foi de forma autorizada. Este conceitoestá ligado ao estado da informação no momento de sua geração e resgate. 

    Disponibilidade: garante que a informação e todaa estrutura física e tecnológica que permite a sua leitura, tráfego earmazenamento precisam estar disponíveis no momento em que forem necessárias.

    Confiabilidade é a garantia de que os sistemasdesempenharão seu papel com eficácia em um nível de qualidade aceitável.

    Legalidade: aderência do sistema àlegislação.

    Privacidade: diz respeito ao direitofundamental de cada indivíduo de decidir quem deve ter acesso aos seus dadospessoais. 

ID
163630
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Segurança de Informação envolve vários aspectos da proteção à informação. A esse respeito, qual das seguintes situações apresenta-se com correção conceitual?

Alternativas
Comentários
  • O WPA protege o acesso à rede local - Ok
    Já para a Internet seria necessário outro método de proteção  - False
  • Corrigindo:

    a) Sabe-se que nenhum programa antivírus protege contra todos os tipos de vírus o tempo todo; portanto, é um procedimento recomendável instalar, pelo menos, três programas antivírus de fabricantes confiáveis manter o anti-vírus sempre atualizado para aumentar a segurança de um computador

    b) A direção de uma empresa observou que seus funcionários "baixam (download)" músicas nos computadores de seus escritórios e as escutam durante o trabalho, e a direção não toma qualquer atitude, por julgar que o impacto negativo sobre o ambiente institucional seria maior do que os prejuízos causados pela quebra da segurança. Os perigos advindos destes downloads podem ser totalmente prejudiciais à segurança da empresa.

    c) Nas grandes organizações, os gerentes que trabalham sozinhos em seus escritórios e são usuários únicos dos seus computadores são dispensados do uso de login e senhas de acesso para ligar suas máquinas. Sem comentários.

    d) correto

    e) A engenharia reversa A engenharia social, processo pelo qual um interlocutor extrai informações sobre, por exemplo, a senha bancária de uma pessoa, deve ser alvo de divulgação pública intensa para evitar prejuízos para a população.
  • Como comentado pelo colega Francisco Thomazini Netto, o WPA protege o acesso à rede local, mas para acessar a Internet é necessário outros tipos de proteção, como acessar sítios com Certificação Digital, manter o computador livre de malwares, entre outros.

    Logo, a questão está correta ao afirmar que apenas WPA é insuficiente para proteger as transações sensíveis e confidenciais na internet.
ID
187927
Banca
FCC
Órgão
AL-SP
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Redundância de dados é a repetição desnecessária de uma mesma informação em um sistema de computadores. São dois tipos de redundância:

Alternativas
Comentários

  •  Gabarito: E

    Esta informatização modularizada, caso não considere as demais
    funções do sistema referentes a outros módulos, abre espaço à redundância de
    dados, que é a repetição desnecessária de uma mesma informação em um
    sistema de computadores. Por exemplo, um arquivo de texto que armazena
    todos os produtos fabricados por uma empresa pode ter diferentes cópias nos
    setores de produção, vendas e compras. Uma alteração deste arquivo gera a
    necessidade de alterá-lo em todos os setores nos quais esteja sendo usando.
    Há dois tipos de redundância de dados: a redundância controlada
    e a redundância não controlada.

    Fonte: http://carnevalli.googlepages.com/BD_P2_Cap1.pdf

  • A redundancia controlada de dados é quando o software tem reconhecimento da multipla representação da informação e garante a sincronia entre as diversas representações.

    A redundancia não controlada de dados é quando a responsabilidade pela manutenção da sincronia entre as diversas representações de uma informação está com o usuário e não com o software.

    Bons estudos.
ID
205495
Banca
FEPESE
Órgão
SEFAZ-SC
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança da informação protege as organizações contra uma ampla gama de ameaças, para assegurar a continuidade dos negócios, minimizar prejuízos e maximizar o retorno de investimentos e oportunidades comerciais.

A respeito dos conceitos de segurança da informação, assinale a alternativa correta.

Alternativas
Comentários

  • a) A propriedade é confidencialidade e não cinfiabilidade.

    c) Perfis biométricos são controles físicos e não lógicos.

    d) Todos os ativos não DEVEM ser classificados de acordo com esses critérios, na realidade eles PODEM ser classificados.

    e) Uma autenticação multifator vai depender da relação custo-benefício, ou seja, nem sempre deve-se implantar essa técnica.

  • a) A falha em um mecanismo de segurança PODE SER uma violação da confiabilidade. Os mecanismos de segurança (ex: criptografia, certificação digital) implementam serviços (confidencialidade, integridade, disponibilidade, não-repúdio...). Um contra-exemplo da assertiva poderia ser uma falha na assinatura digital (um mecanismo de segurança) e esse mecanismo nem assegura confidencialidade.
    c) Técnicas baseadas em perfis biométricos (impressão digital) e as técnicas que utilizam dispositivos especiais (smartcard). são controles físicos e não lógicos.
    d) Todos os ativos de INFORMAÇÃO não DEVEM ser classificados de acordo com esses critérios, na realidade eles PODEM ser classificados. Tanto que existem outras duas classificações de INFORMAÇÃO que já foram até cobradas em outros concursos
    Classificação comum
    • Pública – qq um tem acesso
    • Interna – informação nossa interna, mas se for divulgada fora não traz nenhum problema. Ex: confraternização de fim de ano
    • Confidencial – informação mais sigilosa de uma organização
    • Secreta – informação sigilosa, mas não de uma organização, mas, sim, de um estado. Segredo de estado
    OBS: classifica de acordo com o que tem maior sensibilidade (sigilo) caso tenha mais de um será pelo mais sigiloso
    Classificação com base no Decreto 4553 (são informações já sensíveis, cobrada pela ABIN)
    • Reservada
    • Confidencial
    • Secreta
    • Ultrassecreta
    Do menos sensível para o mais sensível
    e) As áreas de segurança CONVÊM SEREM protegidas por controles físicos de entrada (nenhum controle é obrigatório, são recomendações, vide norma 27002). Outro erro encontrado na assertiva diz respeito à autenticação forte. Para uma autenticação ser considerada forte, deve possuir dois ou mais dos seguintes requisitos de autenticação: algo que eu sei; algo que eu sou; algo que eu tenho. A senha seria algo que eu sei já a identificação é genérica, até mesmo poderia ser uma senha ou algo que eu sou (identificação por íris) ou crachá de acesso (algo que eu possuo). Mas de qualquer forma existiriam diversas outra formas de se ter uma identificação forte e NÃO sempre senha e identificação como afirma a questão.
  • Prezados,

    Engenharia social é uma técnica por meio da qual uma pessoa procura persuadir a outra a executar determinada ações. Ela é considerada uma prática de má-fé, usada por golpistas para tentar explorar a ganância, a vaidade e a boa-fé ou abusar da ingenuidade e da confiança de outras pessoas, a fim de aplicar golpes, ludibriar ou obter informações sigilosas importantes. 
    Dessa forma , vemos que as vulnerabilidades causadas por erro humano são mais fáceis de explorar que as controladas por máquinas , e assim, mais difíceis de prevenir e detectar.

    Portanto a alternativa correta é a letra B

ID
215848
Banca
IF-SE
Órgão
IF-SE
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Marque a alternativa CORRETA. Um computador (ou sistema computacional) é dito seguro se este atende a três requisitos básicos relacionados aos recursos que o compõem:

Alternativas
Comentários

  • Os 3 requisitos básicos, conhecidos como "CID" são:

     

    Confidencialidade: Requer que a informação em um sistema de computador e a informação em trânsito sejam acessíveis para leitura apenas pelas partes autorizadas.
    Integridade: Diz respeito à garantia da não modificação das informações armazenadas ou em trânsito.
    Disponibilidade: Requer que um sistema de computador garanta a sua disponibilidade às pessoas autorizadas quando necessário.
ID
235987
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Ao atribuir valores aos bens da corporação, não é determinante o custo:

Alternativas
Comentários
  • Não existe recuperação de uma ameaça, uma ameaça não tira de operação um sistema ou uma empresa. Portanto não há do que se recuperar.
    Estaria correto se fosse recuperação de um incidente.

  • Alguém tem algo sobre essa questão? A recuperação de uma ameça não tem um valor?

  • Gabarito E

    Na verdade Anne, existem ameaças que as empresas não querem ter que arcar com a recuperação... elas já têm isso como separadas e determinadas para uma eventual perda.

    Espero ter ajudado.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Fonte? mas q porr@ é essa?
ID
235990
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito do fornecimento de energia elétrica, considere as afirmativas a seguir.

I. Não utilizar o sistema compartilhado de fornecimento de energia elétrica.
II. Evitar indução eletromagnética utilizando condutores isolados adequadamente.
III. Utilizar monitores de energia para identificar alterações relevantes na frequência e voltagem.
IV. Utilizar apenas equipamentos com indicação de 220V.

Assinale:

Alternativas
Comentários
  • Ô tristeza ter que chutar na menos errada! A indução eletromagnética não é evitada pelo isolamento, mas pela separação entre as redes, ou pela blindagem. O isolamento evita fugas de corrente, curto-circuito, faiscamento, queimas de equipamentos etc.

  • Sinceramente questão totalmente desnecessaria

  • Paro para estudar a norma 27005 e, de quebra, a 15999 e me deparo com um pergunta dessas....

  • FVG inveta moda d+++..

ID
246916
Banca
COVEST-COPSET
Órgão
UFPE
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A falha de muitos sistemas controlados por software causa inconveniência, por isso todos os aspectos da confiança podem ser importantes. Um desses aspectos está relacionado com a probabilidade de o sistema, em determinado instante, ser operacional e capaz de fornecer os serviços requeridos. O aspecto citado é denominado:

Alternativas
Comentários
  • Aparentemente, o gabarito deveria ser "E".

    Encontrei a seguinte definição:

    Disponibilidade:
    É a probabilidade de um sistema, em determinado instante, ser operacional e capaz de fornecer os serviços requeridos.

    fonte: "http://www.4learn.pro.br/guarino/fes/Capitulo 3 - Sistemas Criticos.pdf " (cita o Sommerville 8a ed, capitulo 3 como referência)
  • Pessoal.

    Este gabarito deve estar errado. A resposta correta é a letra (e).
  • Olá, pessoal!
     
    A banca manteve a resposta como "C", conforme a divulgação do Edital de Alteração de Gabaritos, postado no site.
     
    Bons estudos!
  • Esse é o tipo de questão que faz o sujeito "desaprender", o certo seria a letra E.

  • Resposta totalmente errada, mesmo que a banca tenha mantido a resposta como C.

    Logo se vê que algumas bancas são fracas demais.51

  • Toda a literaura que já consultei indica como resposta correta a letra E.
  • Gabarito totalmente errado. resposta correta é a letra (E)
  • É um absurdo a banca não ter alterado esse gabarito. Que banca mais comédia, hauhauhuahuah...
  • Fico triste com a irresponsabilidade e incompetência dos membros desta banca. Isto é um absurdo, eles preferem manter um gabarito errado, a voltar atrás para corrigir o gabarito. Acredito que uma questão em um concurso público é decisivo para aprovação ou reprovação de um candidato. Por isso acredito que a banca tenha influenciado diretamente na classificação final dos candidatos. “ETA BANQUINHA chinfrinha esta. GABARITO CERTO LETRA E. 
  • solução simples: basta não fazer prova desta banca!
  • #fail
  • Gostaria de perguntar para vocês se não tem como fazer um recurso LEGAL sobre esta questão.  A sugestão de simplesmente não fazer concursos dessa banca não é apropriada.  Agora não podemos trabalhar mais nos cargos que queremos por causa de teimosia de banca ignorante?  Onde está a habilidade técnica dessa banca para organizar concursos?  Se não tem, a posição como organizadora deveria ser ILEGAL,  e não somente irregular.  Mas é mesmo - agora que eu lembrei: esse é o país da impunidade.
  • Esse é o tipo de questão que eu vejo o nome da banca e penso: 
  • "... ser operacional e capaz de fornecer os serviços requeridos." só tem ligação com disponibilidade.

    Sem comentários!!!
  • As bancas costumam dizer nos editais que são soberanas. Porém a constituição garante o direito de recorrer ao Judiciário.

    Se a questão está com gabarito errado, e você tiver acertado, o que pode te classificar no concurso. Seria um direito liquido e certo, o que podemos buscar com um mandado de segurança.

  • Está claro que o gabarito é a letra "E". Fontes confiáveis provam isso. Não seria o caso de alterar o gabarito?

  • O gabarito da questão é a letra E, conforme divulgado pela banca http://qcon-assets-production.s3.amazonaws.com/prova/arquivo_gabarito/22996/covest-copset-2010-ufpe-analista-de-tecnologia-da-informacao-gabarito.pdf Questão 18 da prova de Analista de TI.

ID
285982
Banca
FUNIVERSA
Órgão
SEPLAG-DF
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança da informação visa à proteção de todo e qualquer conteúdo (ou dado) que tenha valor para uma organização ou pessoa. Seus principais atributos são confidencialidade, integridade e disponibilidade. Acerca desses atributos, assinale a alternativa correta.

Alternativas
Comentários

  • letra c.

    Segundo a ISO 27001,"

    3.2

    disponibilidade:propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada


    "

ID
320392
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale a opção que apresenta apenas elementos que trabalham com controles de acesso físico aos recursos de um ambiente organizacional.

Alternativas
Comentários

  • ALTERNATIVA E

    Ai faltou criatividade para o examinador.

    Note que na questão ele pede meios FÍSICOS, portanto basta procurar a alternativa cabível.

  • RFID: Identificação por radiofrequência ou RFID é um método de identificação automática através de sinais de rádio, recuperando e armazenando dados remotamente através de dispositivos denominados etiquetas RFID.

    Fonte: Wikipedia

ID
320461
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca dos custos e benefícios da implantação da gestão informacional, assinale a opção correta.

Alternativas
ID
321274
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação aos requisitos de segurança da informação, assinale a opção correta.

Alternativas
Comentários

  • ta de brincadeira né? 

  • Alternativa E (para não assinantes).

  • É a garantia de que a informação é acessada somente por usuários com o devido direito.

    A confidencialidade vem crescendo como uma das principais preocupações das empresas. Crimes de roubo, vazamento, cópia ou uso indevido de informações, estão entre os principais casos. Diversas técnicas de crime cibernético estão vinculadas a este conceito de segurança: ataques de força bruta, phishing, roubo de credenciais etc.

ID
335023
Banca
FGV
Órgão
SEFAZ-RJ
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Segurança da Informação é um tema que se reveste atualmente de alta importância para os negócios. Um de seus aspectos mais relevantes está associado à capacidade do sistema de permitir que alguns usuários acessem determinadas informações e paralelamente impede que outros, não autorizados, a vejam. O aspecto abordado é denominado

Alternativas
Comentários
  • O princípio de segurança apresentado no cabeçalho da questão chama-se Confidencialidade ou Sigilo. 

    À primeira vista, o termo Privacidade poderia parecer um sinônimo com Confidencialidade ou Sigilo. Mas privacidade não se aplica, por também poder denotar a propriedade/posse restrita de algo.

    No caso de Confidencialidade/Sigilo, o princípio é de restringir o conhecimento ou acesso à informação apenas às pessoas autorizadas, que não precisam, necessariamente, ser proprietárias ou detentoras do conteúdo.

    O princípio de segurança da Integridade é resumido basicamente como Não Modificação do conteúdo/mensagem/informação. Isto é, um dado pacote ou conjunto de pacotes não foi editado, nem aumentado, nem diminuído em seu conteúdo.

    O princípio de segurança da Disponibilidade descreve a necessidade de a informação estar disponível para as pessoas autorizadas no momento em que elas precisarem.

    O termo Vulnerabilidade não é um princípio de segurança. Este termo significa falhas ou fragilidades de algo (ativos de segurança) que podem ser exploradas por um inimigo, atacante ou invasor (ameaças).


  • Acredito que alguns fiquem batendo cabeça nas alternativas B(Privacidade) e C(Confidencialidade).

    Para facilitar entenda que Confidencialidade é algo que esta acessível a ALGUNS, entre partes.Ex: Uma informação que é confidencial a diretoria(grupo de empresários) ou uma conexão confidencial que é entre o emissor e o receptor(Duas pessoas).

    A privacidade é algo de um e apenas um particular. Ex: Sua senha é privativa, é apenas sua ao menos na teoria. A questão diz ALGUNS usuarios, portanto refere-se a Confidencialidade.

  • Gabarito C

    Confidencialidade é a propriedade da informação pela que não estará disponível ou divulgada a indivíduos, entidades ou processos sem autorização. Em outras palavras, confidencialidade é a garantia do resguardo das informações dadas pessoalmente em confiança e proteção contra a sua revelação não autorizada.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Os três princípios básicos da segurança da informação:

    CONFIDENCIALIDADE: garante que a informação seja acessada somente por pessoas autorizadas.

    INTEGRIDADE: garante que a informação não seja alterada ou violada indevidamente

    DISPONIBILIDADE: a informação sempre disponível

ID
345268
Banca
MOVENS
Órgão
Prefeitura de Manaus - AM
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito dos atributos da segurança da informação, assinale a opção que preenche, respectivamente, as lacunas abaixo. As boas práticas de segurança da informação são caracterizadas pelos atributos de confidencialidade, integridade e disponibilidade. A ____________ é a garantia de que as informações não foram ___________ durante seu processamento ou transmissão e de que estão ___________. Além disso, ______________ nas informações só podem ser realizadas por pessoas autorizadas.

A sequência correta é:

Alternativas
ID
348436
Banca
FUNCAB
Órgão
SEMARH-GO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre termos e definições de Segurança da Informação é correto afirmar que:

Alternativas
Comentários

  • Gabarito: Letra D.

    Autenticação é o processo de validação das credenciais de uma pessoa, processo computacional ou dispositivo e requer que a pessoa, o processo ou o dispositivo que fez a solicitação forneça uma representação de credenciais que comprove sua identidade.

ID
352933
Banca
ESAF
Órgão
SEFAZ-CE
Ano
2006
Provas
Disciplina
Segurança da Informação
Assuntos

Nos sistemas de Segurança da Informação, existe um método que ____________________________.

Este método visa garantir a integridade da informação. Escolha a opção que preenche corretamente a lacuna acima.

Alternativas
ID
357193
Banca
INSTITUTO CIDADES
Órgão
AGECOM
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

“A informação pode existir de diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou através de meio eletrônico, mostrada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio através da qual a informação é compartilhada ou armazenada, é recomendado que seja sempre protegida adequadamente.” O texto acima foi retirado do NBR ISO/IEC 17799 de setembro 2001 que fala sobre a Tecnologia da Informação especificando a segurança de informação. De acordo com conhecimentos de segurança da informação, marque a alternativa verdadeira.

Alternativas
Comentários

  • a) A Informação pode ser classificada como pública, interna, confidencial e restrita.

     

    b) Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.

     

    d) A integridade de dados busca garantir que a informação esteja no seu estado original.

     

    e) A disponibilidade de dados busca garantir que os dados estarão sempre disponíveis.

ID
362875
Banca
CESPE / CEBRASPE
Órgão
TRE-BA
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à segurança da informação, julgue os itens a seguir.

Na área de segurança da informação, denomina-se insiders aqueles que resolveram compartilhar seus conhecimentos escrevendo livros ou proferindo palestras e seminários sobre suas proezas como hackers.

Alternativas
Comentários
  • Insiders são os usuários legítimos de sistemas de informação.
  • Insiders - são usuários com acesso aos computadores e a rede dentro da empresa. Quando um ataque é inside estamos nos referindo a uma ação que iniciou dentro da empresa por algum funcionário ou pessoas não autorizadas que obteve acesso dentro da empresa.
  • A questão está se referindo aos CODERS.

  • Insiders:
    Atribui-se, geralmente, aos Insiders a execução de espionagem industrial. Eles são funcionários ou ex-funcionários da própria empresa que têm por objetivo roubar informações confidenciais ou comprometer os sistemas da mesma.
    Normalmente, os maiores prejuízos das empresas são atribuídos a eles, pois têm conhecimento dos processos da empresa, acesso a documentos importantes (relatórios e memorandos), possuem acesso válido (usuário cadastrado) aos sistemas computacionais e consequentemente possibilidade de efetuar cópias de dados e softwares, além de poderem conta com amizades de outros funcionários, que não desconfiam do que está acontecendo.
    Práticas como a engenharia social e suborno são características dos Insiders.
    .
    Coders:
    Hackers que compartilham seus conhecimentos, os Coders constroem programas, escrevem livros e ministram palestras sobre o que já fizeram. Geralmente foram hackers famosos, e que hoje trabalham legalmente.
    O caso mais conhecido é o de Keven Mitnick, hacker que cumpriu pena poe atos criminosos através da utilização de computadores. Hoje, impedido pela justiça de utilizar computadores e trabalhar como consultor técnico, é muito requisitado para proferir palestras sobre segurança.

    .

    Fonte: http://www.protvi.xpg.com.br/7.html

  • inferno de glossário infinito.

  • Insiders: funcionários, ex-funcionários ou pessoas infiltradas.

    - realizam ataques de dentro das organizações.

    - maiores responsáveis por acidentes de segurança mais graves.

  • Insider é o Elliot em Mr. Robot.

  • ERRADO

    Insiders são considerados os funcionários insatisfeitos, corruptos, e, por isso, uma ameaça Interna.

ID
363145
Banca
FCC
Órgão
TCE-SP
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Quanto à segurança da informação, é correto afirmar:

Alternativas
Comentários
  • Um Ataque de Negação de Serviço (Denial of Service - DoS) é uma tentativa em tornar os recursos de um sistema indisponíveis para seus utilizadores. Alvos típicos são servidores web, e o ataque tenta tornar as páginas hospedadas indisponíveis na WWW. Não se trata de uma invasão do sistema, mas sim da sua invalidação por sobrecarga. Os ataques de negação de serviço são feitos geralmente de duas formas:

    - Forçar o sistema vítima a reinicializar ou consumir todos os recursos (como, por exemplo, memória ou processamento) de forma que ele não pode mais fornecer seu serviço.

    - Obstruir a mídia de comunicação entre os utilizadores e o sistema vítima de forma a não comunicarem-se adequadamente.

    Fonte: wikipedia
  • Letra A se refere a um DoS
    Letra B se refere a um keylogger
    Letra D tarefa que pode ser realiza através de mecanismos de criptografia
    Letra E Spyware apenas coleta informações não domina o sistema da vítima. 
  • é um programa malicioso que vasculha um computador secretamente capturando e gravando todas as digitações: Keylogger
  • Buffer overflow é um tipo de ataque localizado no nível de aplicação do modelo OSI. Ele explora vulnerabilidades em aplicações, serviços e protocolos. Nesse tipo de ataque, o cracker explora bugs de implementação, nos quais o controle do buffer (memória temporária de armazenamento de dados) não é feito adequadamente. Assim, o cracker pode enviar mais dados do que o buffer pode manipular, preenchendo o espaço da pilha de memória. Os dados podem ser perdidos, excluídos, sobrescritos etc.
    Vírus de macro infectam e espalham-se por meio das linguagens de macro existentes nos documentos compatíveis com MS Office.

ID
370705
Banca
FCC
Órgão
TCE-GO
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Em Segurança da Informação, a propriedade relacionada à precisão da informação e sua validade, segundo os padrões e expectativas estabelecidos, está associada ao princípio da

Alternativas
Comentários

  • Propriedade relacionada à precisão da informação, bem como sua validade de acordo com os padrões e expectativas estabelecidos.

ID
370711
Banca
FCC
Órgão
TCE-GO
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Segundo os autores Kenneth Wyk e Richard Forno [Kenneth R. Wyk 2001], o processo de resposta a inci- dentes de segurança deve possuir cinco etapas: identi- ficação, coordenação, mitigação, investigação e educa- ção. Restabelecer o sistema, mesmo que seja com uma solução temporária, até que a solução definitiva seja implementada insere-se no contexto da etapa de

Alternativas
Comentários

  • Significado de Mitigar

    v.t.d. Fazer com que fique mais brando, mais tênue; atenuar: mitigar a dor.
    Diminuir a intensidade de; aliviar: aquele tratamento mitigava o sofrimento. 
    v.pron. Tornar menos doloroso e mais suave; abrandar: sua dor mitigou-se com palavras de carinho. 
    (Etm. do latim: mitigare)


    http://www.dicio.com.br/mitigar/

ID
398047
Banca
CESPE / CEBRASPE
Órgão
Correios
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da segurança de informação, julgue o próximo item.

A integridade é uma propriedade que garante que a informação só poderá ser acessada pelo verdadeiro destinatário da mensagem.

Alternativas
Comentários
  • Para tornar o item correto deveria ser "Confidencialidade". 
  • A propriedade integridade garante que a informação não foi alterada

  • Integridade - Proteção contra modificação não autorizada. Modificação somente pelas partes autorizadas.

    Alternativa: Errada


  • INTEGRIDADE = ALTERAÇÃO

ID
492268
Banca
CESPE / CEBRASPE
Órgão
FUB
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Segurança da informação e proteção de dados e equipamentos são
conceitos fundamentais em um ambiente de tecnologia da
informação. No que se refere a esse assunto, julgue os próximos
itens.

A segurança da informação, além de outras técnicas, faz uso de confidencialidade, disponibilidade e integridade.

Alternativas
Comentários
  • Quer dizer então, CESPE, que confidencialidade, disponibilidade e integridade deixaram de ser REQUISITOS e passaram a ser TÉCNICAS pela cartilha cespeana?!? Fala sério!

  • CIDAN: Confidencialidade, Integridade, Disponibilidade, Autenticidade e Não-Repúdio podem ser consideradas técnicas, características e requisitos de segurança.

  • 2008, quando os dinossauros dominavam a terra e era possível acertar alguma coisa em prova sabendo o LIMPE , CIDA, DICE, ACID, COFIFOMOB, PAITE, SOCIDIVAPLU, CONGA ERRA PRO entre outros.

ID
608314
Banca
IADES
Órgão
PG-DF
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Maria recebeu uma mensagem de Pedro e gostaria de ter a garantia que a mesma não teve o seu conteúdo modificado por outra pessoa. De acordo com os princípios da segurança da informação, assinale a alternativa que indica o princípio com a finalidade precípua de garantir esse objetivo.

Alternativas
Comentários
  • A alternativa correta é a letra c, uma vez que o objetivo do princípio da Integridade é a garantia de que a informação não foi modificada durante o acesso por pessoas não autorizadas.

  •  DISPONIBILIDADE:Garante que uma informação estará disponível para acesso no momento desejado. Diz respeito à eficácia do sistema, ao correto funcionamento da rede para que quando a informação for necessária ela poderá ser acessada. A perda da disponibilidade se dá quando se tenta acessar uma informação e não se consegue o acesso esperado.
    INTEGRIDADE:Garante que o conteúdo da mensagem não foi alterado ou violado indevidamente. Ou seja, mede a exatidão da informação e seus métodos de modificação, manutenção, validade. Há perda da integridade quando a informação é alterada indevidamente ou quando não se pode garantir que a informação é a mais atualizada, por exemplo.


  • continuando...
    CONFIDENCIALIDADE: Garantir que a informação só será acessível por pessoas autorizadas. A principal forma de garantir a confidencialidade é por meio do controle de acesso (autenticação), já que este controle garante que o conteúdo da mensagem somente será acessado por pessoas autorizadas. A confidencialidade (privacidade) se dá justamente quando se impede que pessoas não autorizadas tenham acesso ao conteúdo da mensagem. Refere-se à proteção da informação contra a divulgação não permitida. A perda da confidencialidade se dá quando alguém não autorizado obtém acesso a recursos/informações.
    AUTENTICIDADE: Garante a identidade de quem está enviando a informação, ou seja, gera o não-repúdio que se dá quando há garantia de que o emissor não poderá se esquivar da autoria da mensagem (irretratabilidade). Normalmente não entre como um dos pilares da segurança da informação, mas fica aqui para fechar o mnemônico DICA.
    http://www.vestcon.com.br/artigo/principios-basicos-seguranca-informacao-(mnemonico-dica).aspx

  • Quando falar sobre principios basicos da segurança da informação, lembrar da CIDA


    C - Confidencialidade - é a garantia de que uma informação não será ACESSADA por pessoas não autorizadas.
     [ SER CONFIAVEL ]

    I - Integridade - é a garantia de que uma informação não será ALTERADA sem autorização.

    D - DIsponibilidade - É a garantia de que um sistema de informações estará SEMPRE DISPONIVEL aos usuarios quandos requisita-los. 

    Formas do sistema esta sempre disponivel: geradores de energia, espelhamento, reservas, backups da informações (off) etc.

    A - Autenticidade - E a garantia de CONHECER A IDENTIDADE de um usuario ou sistema de informação com quem se vai estabelecer comuniçação.

    Sabendo-se disso, concluimos que a resposta certa é a letra C mesmo sem precisar saber a teorias das outras alternativas. 

  • Prezados,

    Questão bem tranquila, se Maria quer saber se o conteúdo foi ou não modificado por outra pessoa, estamos falando do principio da integridade.


    A alternativa correta é : C.


  • Gabarito C

    Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).




    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

ID
659971
Banca
FCC
Órgão
TRE-CE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação à segurança da informação, considere:

I. Capacidade do sistema de permitir que alguns usuários acessem determinadas informações, enquanto impede que outros, não autorizados, sequer as consultem.

II. Informação exposta, sob risco de manuseio (alterações não aprovadas e fora do controle do proprietário da informação) por pessoa não autorizada.

III. O sistema deve ter condições de verificar a identidade dos usuários, e este ter condições de analisar a identidade do sistema.

Os itens I, II e III, associam-se, direta e respectivamente, aos princípios de

Alternativas
Comentários

  • Confidencialidade: garantia de que a informação é acessível somente por pessoas autorizadas a terem acesso;
    Integridade: salvaguarda da exatidão e completeza da informação e dos métodos de processamento;
    Autenticidade é a garantia de que você é quem diz ser. A identificação e a segurança da origem da informação.

    Resposta: "A"

    Fontes: http://pt.wikipedia.org/wiki/Autenticidade e NBR 17799

ID
700258
Banca
FUNIVERSA
Órgão
PC-DF
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Esteganografia é um termo pouco utilizado no âmbito da segurança da informação, mas que exige cuidados especiais de quem se preocupa com o tema. Assinale a alternativa que apresenta a definição de esteganografia.

Alternativas
Comentários
  • Steganography (Listen) is the art and science of writing hidden messages in such a way that no one, apart from the sender and intended recipient, suspects the existence of the message, a form of security through obscurity.

  • Esteganografia (do grego "escrita escondida") é o estudo e uso das técnicas para ocultar a existência de uma mensagem dentro de outra, uma forma de segurança por obscurantismo. Em outras palavras, esteganografia é o ramo particular da criptologia que consiste em fazer com que uma forma escrita seja camuflada em outra a fim de mascarar o seu verdadeiro sentido. É importante frisar a diferença entre criptografia e esteganografia. Enquanto a primeira oculta o significado da mensagem, a segunda oculta a existência da mensagem. http://pt.wikipedia.org/wiki/Esteganografia

  • Apenas para diferenciar criptografia de esteganografia.

     

    A criptografia procura ocultar o conteúdo de uma mensagem tornando-o imcompreensível para um terceiro. Já a esteganogrfafia procura evitar que as pessoas saibam que a mensagem existe, de forma que os dados não sejam percebidos por um terceiro. Para isso a informação é camuflada em fotos, vídeos, arquivos e etc.

     

    Gabarito: A

  • Gabarito A

    Esteganografia (do grego "escrita escondida") é o estudo e uso das técnicas para ocultar a existência de uma mensagem dentro de outra, uma forma de segurança por obscurantismo. O primeiro uso registrado da palavra data do ano de 1499, no livro Steganographia, de Johannes Trithemius.

    Esteganografia é o ramo particular da criptologia que consiste em fazer com que uma forma escrita seja camuflada em outra a fim de mascarar o seu verdadeiro sentido. É importante frisar a diferença entre criptografia e esteganografia. Enquanto a primeira oculta o significado da mensagem, a segunda oculta a existência da mensagem.

    Um exemplo básico de técnica moderna de esteganografia é a alteração do bit menos significativo de cada pixel de uma imagem colorida de forma a que ele corresponda a um bit da mensagem. Essa técnica, apesar de não ser ideal, pouco afeta o resultado final de visualização da imagem.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
757822
Banca
FUMARC
Órgão
TJ-MG
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação aos conceitos de segurança da informação.

são pilares, EXCETO:

Alternativas
Comentários
  • A Disponibilidade: o sistema deve estar disponível de forma que quando o usuário necessitar possa usar.
    A Legalidade
    A Integridade: o sistema deve estar sempre íntegro e em condições de ser usado.
    A Autenticidade: o sistema deve ter condições de verificar a identidade dos usuários, e este ter condições de analisar a identidade do sistema.
    A Confidencialidade: dados privados devem ser apresentados somente aos donos ou a quem o dono liberar.
     
  • Quando se fala em pilares se fala em realmente qual é o principal objetivo de garantia da S.I. , que são apenas a Confidencialidade, Integridade e Disponibilidade, os outros termos: Irretratabilidade, Autenticidade e etc. são tratados apenas com as definições.

  • Uma dica... quando se fala em "conceitos de segurança da informação", lembre-se da sigla CID

    C onfdencialidade
    I   ntegridade
    D isponibilidade

ID
770722
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A integridade de informações disponibilizadas em sistemas acessíveis publicamente não precisa ser alvo da política de segurança, visto que são, por natureza, informações não confidenciais, ou seja, públicas.

Alternativas
Comentários
  • A tríade CIA (Confidentiality, Integrity and Availability) -- Confidencialidade, Integridade e Disponibilidade -- representa os principais atributos que, atualmente, orientam a análise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja proteger. Outros atributos importantes são a irretratabilidade e a autenticidade. Com o evoluir do comércio electrónico e da sociedade da informação, a privacidade é também uma grande preocupação.

    Os atributos básicos (segundo os padrões internacionais) são os seguintes:
    • Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
    • Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).
    • Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
  • Mesmo que a informação seja classificada como pública, ela DEVE manter os três aspectos que o colega mencionou acima: C.I.D.
  • Apesar dos comentários anteriores, o que deve ser levado em consideração, segundo o comando da questão, é o Anexo A da 27001. Dessa forma:
    A.10 Gerenciamento das operações e comunicações A.10.9.3 Informações publicamente disponíveis - Controle - A integridade das informações disponibilizadas em sistemas publicamente acessíveis deve ser protegida, para prevenir modificações não autorizadas.
    Não devemos falar sobre confidencialidade em se tratando de informações públicas. Esse controle estabelece o único requisito em relação a informações públicas da norma.

  • Gabarito Errado

    Mesmo a informação sendo classificada como pública os controles de segurança devem ser implementados também, pois a C.I.D deve estar incluída em todos os conceitos.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
770851
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Define-se evento como a combinação das consequências advindas da ocorrência de uma situação indesejada com a probabilidade de essa situação ocorrer.

Alternativas
Comentários
  • Evento de segurança da informação é uma ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.
    Não tem nada a ver com combinação das consequências somada à probabilidade, como diz a questão. Essa é a definição de Risco.

    Gabarito: Errado.
  • A questão definiu o que é um risco segundo a 27002.
    risco: combinação da probabilidade de um evento e de suas conseqüências

  • ERRADO

     

    Evento de segurança da informação: é uma ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.


    A questão definiu o que é um risco segundo a ISO 27002.
    Risco: combinação da probabilidade de um evento e de suas conseqüências

ID
776515
Banca
CESGRANRIO
Órgão
Chesf
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Um auditor de segurança de um sistema de comunicações percebeu que o conteúdo de determinada mensagem fora alterado e, durante sua investigação, concluiu que a alteração se devia a uma falha no sincronismo do sistema de transmissão.

No contexto da segurança da informação, esse caso envolve o princípio da

Alternativas
Comentários

  • DISPONIBILIDADE
    Garante que uma informação estará disponível para acesso no momento desejado. Diz respeito à eficácia do sistema, ao correto funcionamento da rede para que quando a informação for necessária ela poderá ser acessada. A perda da disponibilidade se dá quando se tenta acessar uma informação e não se consegue o acesso esperado.

    INTEGRIDADE:
    Garante que o conteúdo da mensagem não foi alterado ou violado indevidamente. Ou seja, mede a exatidão da informação e seus métodos de modificação, manutenção, validade. Há perda da integridade quando a informação é alterada indevidamente ou quando não se pode garantir que a informação é a mais atualizada, por exemplo.

    CONFIDENCIALIDADE:
    Garantir que a informação só será acessível por pessoas autorizadas. A principal forma de garantir a confidencialidade é por meio do controle de acesso (autenticação), já que este controle garante que o conteúdo da mensagem somente será acessado por pessoas autorizadas. A confidencialidade (privacidade) se dá justamente quando se impede que pessoas não autorizadas tenham acesso ao conteúdo da mensagem. Refere-se à proteção da informação contra a divulgação não permitida. A perda da confidencialidade se dá quando alguém não autorizado obtém acesso a recursos/informações.

    AUTENTICIDADE:
    Garante a identidade de quem está enviando a informação, ou seja, gera o não-repúdio que se dá quando há garantia de que o emissor não poderá se esquivar da autoria da mensagem (irretratabilidade). Normalmente não entre como um dos pilares da segurança da informação, mas fica aqui para fechar o mnemônico DICA.

  •      integridade => exatidão e completeza da informação

ID
777640
Banca
CESPE / CEBRASPE
Órgão
TRE-RJ
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de conceitos relacionados a segurança da informação, julgue os itens a seguir.

Na atualidade, os ativos físicos de uma organização são mais importantes para ela do que os ativos de informação.

Alternativas
Comentários
  • Todo ativo é Importante, para organização, e deve ser protegido.
  • O que é mais valioso: a fórmula (ativo de informação) da Coca-Cola ou uma máquina (ativo físico) que ajuda na fabricação da Coca-Cola?

  • Hoje em dia, a informação é um ativo que, como qualquer outro ativo é importante para os negócios. Ela tem um valor para a organização que precisa ser protegido.

  • Tudo depende da importância do ativo para o negócio.

    Segundo a ISO 27002:2005,"7.1.1 Inventário dos ativos

    Convém que a organização identifique todos os ativos e documente a importância destes ativos. Convém que o inventário do ativo inclua todas as informações necessárias que permitam recuperar de um desastre, incluindo o tipo do ativo, formato, localização, informações sobre cópias de segurança, informações sobre licenças e a importância do ativo para o negócio.

    "

  • Questão dada.

  • Gabarito Errado

    Os ativos de informação semre serão mais importantes.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Errado e é por isso que eu tenho 36 questões de informática na minha prova, sendo que só vou subir "nuns" caminhões para descarregar madeira ilegal.

    sad

ID
777643
Banca
CESPE / CEBRASPE
Órgão
TRE-RJ
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de conceitos relacionados a segurança da informação, julgue os itens a seguir.

O termo de confidencialidade, de acordo com norma NBR ISO/IEC, representa a propriedade de salvaguarda da exatidão e completude de ativos.

Alternativas
Comentários
  • A banca troca Integridade por confidencialidade.
    Definições na norma:

    3.3 confidencialidade 
    Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados
     
    3.8 integridade 
    Propriedade de salvaguarda da exatidão e completeza de ativos
  • Questão ERRADA, esta definição é de Integridade.

  • Gabarito Errada

    Questão relativamente fácil...

    Esse objetivo é de integridade vejam:

    Integridade é a “propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental” (IN01 GSIPR, 2008). Nota-se que o conceito de integridade é mais complexo e justifica-se pela necessidade de tornar bem claro o que significa completa certeza e exatidão da informação. Para destruição de uma informação é importante observar normas que regulamentam tal procedimento. Além disso, é importante observar que o termo integridade também pode dizer respeito ao comportamento de quem trata a informação. Desejável é o comportamento ético, responsável e sustentado em bases legais. Integridade, dessa forma, é uma atitude da pessoa compromissada com a legalidade, a justiça e a ética através das ações no cotidiano. Quando uma pessoa é íntegra não há lugar para ilegalidade, falsidade, enganação, modificação ou destruição.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
777646
Banca
CESPE / CEBRASPE
Órgão
TRE-RJ
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de conceitos relacionados a segurança da informação, julgue os itens a seguir.

O conceito de segurança da informação, além de implicar a integridade e a disponibilidade da informação, pode incluir, entre outras propriedades desta, a autenticidade e a confiabilidade.

Alternativas
Comentários

  • Portanto os atributos básicos, segundo os padrões internacionais (ISO/IEC 17799:2005) são os seguintes:

    • Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
    • Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).
    • Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
    • Irretratabilidade - propriedade que garante a impossibilidade de negar a autoria em relação a uma transação anteriormente feita
  • Não concordo com o gabarito. Como foi escrito, entende-se que o atributo confidencialidade é opcional ("pode incluir").
  • Confiabilidade? O correto não seria Confidencialidade? Aprendi que os 5 cirtérios de SGI são: Autenticidade, confidencialidade, integridade, irretratabilidade e disponibilidade
  • Confiabilidade é bem diferente de confidencialidade.

    A meu ver, o gabarito teria que ser dado como ERRADO.

    Algumas vezes, examinadores se deparam com literaturas em inglês, e fazem péssimas traduções.

    confidentiality = "confiabilidade" (só na cabeça desse examinador mesmo).

  • Galera está certo mesmo. 

    Segundo a ISO 27001,"3.4 segurança da informação:

    preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas."

    **Esta questão do cespe não está restringindo, e como sabemos, ainda há outros serviços de segurança além dos citados na questão, como o serviço de confidencialidade que não foi citado.

  • erre pelo disponibilidade...


  • que não propicia disponibilidade é a criptografia

  • O pessoal tem razão eu acertei porque li na pressa, depois que vi que estava escrito confiabilidade e não confidencialidade, a falta de atenção, nesse caso me fez acertar, mas marcaria errado se visse que não está escrito confidencialidade, que, pra mim, seria o correto. 

  • Engraçado a questão abaixo trocou Confidencialidade por Confiabilidade e considerou como errado.

     

    Q351847 Segurança da Informação  Ano: 2013 Banca: CESPE Órgão: STF Prova: Analista Judiciário - Suporte em Tecnologia da Informação

    Com base nas normas da família ISO 27000, julgue os próximos itens. 

    Disponibilidade da informação, integridade, autenticidade e confiabilidade são algumas das propriedades obrigatórias na definição da segurança da informação de uma organização.

    Gabarito: Errado

  • Eron, esta que vc falou realmente está errada por causa do "... propriedades obrigatórias  ..."

     

    =)

  • CREIO QUE O GABARITO ESTEJA ERRADO! TROCARAM CONFIDENCIALIDADE POR CONFIABILIDADE!

  • Se o cara do cespe dormiu com a esposa, ele vai entender que confiabilidade = confidencialidade, caso contrário não.

  • gab certo!

    a questão não restringe, embora pareça q sim!

    Ps. São vários os principios de segurança...

ID
777688
Banca
CESPE / CEBRASPE
Órgão
TRE-RJ
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da prevenção e do tratamento de incidentes, julgue os itens a seguir.

A contratação de grande quantidade de novos empregados para a empresa é um incidente grave para a segurança da informação, que deve ser comunicado ao setor competente e tratado rapidamente.

Alternativas
Comentários
  • Acredito que o erro seja dizer que é um incidente para a segurança da informação. Segundo a glossário da 27001, "incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação".
    A contratação de pessoal não é inesperada ou indesejada, muito pelo contrário, para que os objetivos da categoria 8. Segurança em recursos humanos da norma 27002 sejam alcançados, deve haver o planejamento para a contratação de pessoal.
  • De fato, cria um potencial risco à segurança, mas não pode ser considerado grave incidente à  segurança da informação.

  • Gabarito Errado

    Vendo pelo lado técnico, acredito que seja apenas um eventual risco para o controle. Sendo assim, a questão fala em grave incidente, que não é o caso.

    Vamos na fé !

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • ameaça

ID
780136
Banca
CESPE / CEBRASPE
Órgão
TRE-RJ
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Considere que uma organização mantenha em sua estrutura de tecnologia da informação um servidor de arquivos em funcionamento. Nesse contexto, julgue os itens subsequentes acerca
de segurança da informação.

Considere que um usuário armazenou um arquivo nesse servidor e, após dois dias, verificou que o arquivo está modificado, de forma indevida, uma vez que somente ele tinha privilégios de gravação na área em que armazenou esse arquivo. Nessa situação, houve problema de segurança da informação relacionado à disponibilidade do arquivo.

Alternativas
Comentários
  • Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
  • Existem 5 propriedades relacionadas a Segurança da Informação com o objetivo de garantir a continuidade do negocio:

    1. Autenticidade >>> remetente e/ou destinatario devem ser identificados
    2. Confidencialidade >>> proteção contra exposicao não autorizada (acesso somente por pessoas autorizadas)
    3. Integridade >>> proteção contra modificações não autorizadas
    4. Disponibilidade >>> acesso disponivel sempre que necessario
    5. Irretratabilidade = nao repudio >>>  proteçao contra negação de envio de determinada informação

    Como a questao diz que o arquivo foi alterado, porém, continua disponivel, ela fere a propriedade de Integridade.

    Bons estudos!
  • Apenas para complementar o que o colega disse acima as Normas ISO 27001 e 27002(antiga 17999) tem como objetivo fundamental a garantia do C.I.D. 
    Confiabilidade, Integridade e Disponibilidade.
  • "Nessa situação, houve problema de segurança da informação relacionado à disponibilidade do arquivo."

    O erro está na palavra disponibilidade, já que o que foi afetada foi a integridade do arquivo.

  • Integridade e não disponibilidade.

  • Gabarito Errado

    Houve problema de integridade.

    Integridade é a “propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental” (IN01 GSIPR, 2008). Nota-se que o conceito de integridade é mais complexo e justifica-se pela necessidade de tornar bem claro o que significa completa certeza e exatidão da informação. Para destruição de uma informação é importante observar normas que regulamentam tal procedimento. Além disso, é importante observar que o termo integridade também pode dizer respeito ao comportamento de quem trata a informação. Desejável é o comportamento ético, responsável e sustentado em bases legais. Integridade, dessa forma, é uma atitude da pessoa compromissada com a legalidade, a justiça e a ética através das ações no cotidiano. Quando uma pessoa é íntegra não há lugar para ilegalidade, falsidade, enganação, modificação ou destruição.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Integridade.

ID
801259
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de segurança da informação, julgue os itens que se seguem.

Em um ambiente bancário, integridade e auditabilidade tem prioridade sobre a confidencialidade.

Alternativas
Comentários
  • ERRADO,

    Nossa, não conhecia essa informação sobre ambiente bancário.
  • Item CORRETO. Analisando o ambiente, temos o seguinte:
    I) INTEGRIDADE: as operações devem ser íntegras, ou seja, sem erros.  Em uma transação bancária, se um valor X for retirado de uma conta, o mesmo valor deve ser acrescido em outra conta. Caso contrário, dinheiro sumiu ou foi criado.  Exemplo, duas contas com R$100,00, se feita uma transferência de R$25,00 ... o resultado final deve ser uma com R$ 75,00 e outra com R$125,00.
    II) AUDITABILIDADE: as operações devem ser rastreáveis, ou seja, é possivel saber onde e quem realizou as operações. Em caso de erros, é de suma importância reconhecer onde foi o ponto de falha para possíveis restituições e similares.
    Essas duas propriedades devem ter prioridade sobre a confidencialidade. Em caso de fraudes, por um exemplo, é mais importante que seja rastreável onde ela ocorreu do que o sigilo dos agentes.
  • Discordo completamente do gabarito,  esta afirmação não tem nenhum sentido do ponto de vista da segurança da informação. Confidencialidade não tem nada a ver com sigilo dos agentes (como o colega acima citou...).
      A Confidencialidade diz que a informação deve ser protegida e acessada somente por quem de direito.

    Ora, imagine as senhas do cliente trafegendo sem criptografia na rede, qualquer sniffer pegaria estas senhas, ou pior, se não existe confidencialidade, qualquer funcionário do banco poderia, por exemplo, acessar o cadastro de clientes e visualizar as senhas. Além do mais, na ISO 27001 (segurança informação) nem é citado auditabilidade como principio básico da informação. Os princiios basicos da segurança da informação são: Confidencialidade Integridade Disponibilidade autenticidade Legalidade
  • Também não concordo com esse gabarito, pois não vejo hierarquia dentre esses atributos.
    Cada um tem sua necessidade sem ser melhor ou pior.

    Marquei ERRADO.

  • Também marquei errado, não concordo pois todos esses princípios são para mim prioridade em um ambiente que implemente a Segurança da Informação, talvez se fosse modificado prioridade por mais importância poderia ate aceitar visto em um ambiente bancário mas neste caso discordo e afirmo que ta errado. Alguem consegue justificar porque esta certo? 

  • E além do mais, de onde foi que o examinador tirou isso? Da ISO 27K é que não foi...

  • Concordo com o Yuri. O item está CORRETO.

    É claro que na carência de fontes para justificar a resposta fica claro que o CESPE inventou moda, mas se esquecermos disso por um instante e tentarmos matar a questão pela lógica poderemos chegar à conclusão de que a alternativa está correta.


    Digo isso pois mesmo que todas as senhas dos clientes sejam obtidas por terceiros, se for possível garantir a integridade e a auditabilidade das informações, saldos e movimentações das contas dos clientes, será possível corrigir isso no futuro. O impacto será grande, mas após a eliminação da causa do problema, nenhum usuário será lesado.


    Caso se garanta a confidencialidade das informações dos clientes, sem garantir a integridade e a auditabilidade, qualquer problema ocorrido com informações, saldos e movimentações dos clientes, mesmo protegidos, jamais poderão ser corrigidos, gerando uma situação insustentável para qualquer banco.

  • Gostaria de saber a bibliografia para este tipo de questão...

  • Ano: 2011

    Banca: CESPE

    Órgão: MEC

    Prova: Gerente de Segurança

    texto associado [img src="https://www.qconcursos.com/assets/internas/seta-laranja-cima.png" width="9" height="9" alt="Texto associado">

    Acerca de segurança da informação, julgue os itens que se seguem.

    Em um ambiente universitário, a integridade e disponibilidade são os requisitos de segurança prioritários.

    certa

  • Galera,

    Questão retirada da apresentação: http://forumdainternet.cgi.br/files/ApresentacaoEdmundoMatarazzo.pdf: Slide 4

  • Se um funcionário do setor de limpeza do BB tiver acesso às informações de saques dos clientes, houve a quebra da confidencialidade, uma vez que a informação ali contida não era autorizada para o funcionário, porém se o funcionário do setor de limpeza do BB após o acesso, alterar os dados bancários e tentar apagar seu histórico de atividade ilícita para que não seja pego, ele não só infrigiu a integridade das informações como a auditabilidade ao tentar esconder a situação. Pergunta: é pior o acesso não autorizado ou a alteração de dados confidenciais e sua ocultação? Logo, há princípios que são mais aplicáveis em determinados setores do que em outros em decorrência de suas atividades. 

  • Integridade e auditabilidade tem prioridade sobre a confidencialidade.

    Então, os meus dados podem ser divulgados a todos que para um ambiente bancário é menos importante que auditar ou não alterar os dados!

    Vou decorar!

     

    Se o banco não mantém as informações confidenciais, ele terá grandes problemas!

    Se o banco não mantém a integridade, ele terá grandes problemas!

    Se o banco não consegue fazer a auditabilidade ele, terá grandes problemas!

    Cada uma com seus respectivos impactos.

     

    Qual seria pior? Não auditar ou ter todas as informações dos seus clientes reveladas?

     

    Vida que segue!

  • Fonte: vozes da cabeça do examinador

ID
801262
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de segurança da informação, julgue os itens que se seguem.

Em um ambiente universitário, a integridade e disponibilidade são os requisitos de segurança prioritários.

Alternativas
Comentários
  • CERTO

    Considerando que o sistema tem que ser integro e estar sempre disponível, por conta das necessidades de utilização.
  • na visão de muitos modelos de governância e gestão, a importância desses critérios são dadas através da necessidade do negócio. acredito que não podemos tirar essa conclusão somente pq é uma universidade ou um banco.
  • Com as informações da questão é difícil afirmar quais os requisitos são prioritários, mas no papel de responsável pelo negócio, priorizaria a integridade e confidencialidade. Seria preferível ter o sistema indisponível a ter as informações de notas e pagamentos de alunos acessadas indevidamente!
  • Mais uma vez não concordo.
    Não há como generalizar e afirmar que um atributo seja prioritário sobre o outro.
    Haveria que colocar um estudo de caso mais concreto e com base nele afirmar algo da prioridade.

    Bons estudos.

  • Discordo novamente como na questão Q267084, ai no caso deveria ser retirado prioritários e adicionado importantes ficando assim:

    Em um ambiente universitário, a integridade e disponibilidade são importantes requisitos de segurança.

    Assim acho que ficaria correto.

  • Galera,

    Questão retirada da apresentação: http://forumdainternet.cgi.br/files/ApresentacaoEdmundoMatarazzo.pdf: Slide 4

  • QUESTÃO SUBJETIVA.

  • tá de zueira comigo, outra questão caso de polícia desses anos 2012 pra baixo

  • E a revisão criminal?

ID
801271
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de segurança da informação, julgue os itens que se seguem.

A conformidade pode levar à garantia de atendimento aos requisitos de segurança da informação.

Alternativas
Comentários
  • Pelo amor de Deus, salvem a nossa língua portuguesa...Esta oração não tem sentido!
    Conformidade=Compliance => conformidade com as normas definidas, qual a relação que pode existir entre 
    GARANTIA DE Atendimento   |  Requisitos de segurança ?
    quem poderia imaginar que garantia de atendimento tenha algo a ver com Segurança, tem relação com Continuidade do negócio, mas nada de segurança.
    garantia de atendimento, se traduz em Serviço Disponível, se não for seguro, melhor que não esteja disponível.

    Como conseguiram colocar 2 objetos indiretos numa oração, um verdadeiro crime... e no concurso do MEC ( deve ser ministério dos escandalos cavalares )!
    Será que só eu entendi assim? vixe tô ficando preocupado...
  • A questão está correta. Por exemplo, a conformidade com uma lei que fala que uma transação bancária deve ser confidencial faz com que o requisito confidencialidade da segurança da informação seja atendido.

  • Garantia??? eu, hein

ID
815317
Banca
AOCP
Órgão
TCE-PA
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Um problema é uma causa subjacente desconhecida de um ou mais incidentes. Essa definição está na NBR

Alternativas
Comentários

  • Oi??

  • 2 Termos e definições
    2.8 Problema
    Causa subjacente desconhecida de um ou mais incidentes.

    FONTE: ISO/IEC 20000-1

ID
817975
Banca
FAPERP
Órgão
TJ-PB
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Propriedade dos sistemas computacionais que define a capacidade dos mesmos de prestar um serviço no qual se pode justificadamente confiar, e a:

Alternativas
Comentários

  • O objetivo de tolerância a falhas é alcançar dependabilidade. O termo dependabilidade é uma tradução literal do termo inglês dependability, que indica a qualidade do serviço fornecido por um dado sistema e a confiança depositada no serviço fornecido.

    Errei, pois acreditava que seria Integridade. Letra B.

  • Acreditei ser Integridade. Errei também.

    Até porque já vi que o conceito de confiabilidade converge com integridade.

    Mas, segue o modus operandi

  • ai tu chega lá, erra na prova e depois vem chorar aqui

ID
820051
Banca
CESGRANRIO
Órgão
CMB
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A atividade de segurança da informação visa a proteger os valiosos recursos de informação de uma empresa através da seleção e aplicação de salvaguardas apropriadas, ajudando a atingir o objetivo do negócio ou sua missão.

Nesse sentido, um programa de proteção da informação efetivo deve

Alternativas
Comentários

  • Gabarito E

    As empresas prestadoras de serviços também devem ser afetadas.

    Vamos na Fé !

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
829714
Banca
CESGRANRIO
Órgão
Innova
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando as melhores práticas de segurança da informação, as informações devem ser classificadas em relação ao grau de conformidade com os seus níveis de relevância para a empresa em análise. Algumas dessas categorias são as seguintes: não classificadas, proprietárias, confidenciais da empresa e confidenciais do cliente. Quais informações são exemplos dessas categorias, respectivamente?

Alternativas
ID
832045
Banca
PUC-PR
Órgão
DPE-PR
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre segurança digital, pergunta-se: quais das opções a seguir indicam violações desse tipo de segurança?

I. Obter acesso não autorizado ao computador e ler informações.
II. Invadir um site modificando as páginas.
III. Criar vírus para uso na internet.
IV. Obter acesso não autorizado ao computador e modificar informações.

Alternativas
Comentários

  • Até acertei, mas a II também não é considerada violação?

  • Sávio Carneiro, pensei da seguinte forma: pode ocorrer uma invasão em sites não protegidos, nesse caso não haveria violação no sistema de segurança...fui pela lógica...

    Alguém com maior conhecimento na área pode esclarecer sobre o assunto!

  • Obter acesso não autorizado é violação de segurança. (Gabarito da questão - I e IV).

    A criação de um virus não é violação de segurança, uma vez que trata da criação de código.

    A ação de invadir e modificar páginas de site não é violação desde que esta ação seja autorizada pelo detentor do site (Pen test autorizado/contratado para identificação de falhas de segurança).

ID
869578
Banca
VUNESP
Órgão
TJ-SP
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Dentre os objetivos ou requisitos da segurança da informação, há um que estabelece que a informação deve ser protegida contra alterações, a menos que haja autorização de seu autor. Esse requisito refere-se à propriedade de

Alternativas
Comentários

  • O princípio integridade, da segurança da informação, garante que a mensagem não sofreu alteração. Para isso, utiliza algum algoritmo de hash como o MD5.

  • Gabarito B

    Integridade, por sua vez, significa garantir que a informação armazenada ou transferida está correta e é apresentada corretamente para quem a consulta.

    Esse pilar pode ser menos emocionante, mas é absolutamente crítico do ponto de vista operacional, pois valida todo o processo de comunicação em uma empresa ou comunidade.

    Toda empresa comunica-se interna e externamente o tempo todo, transmitindo números, resultados, projeções, estratégias, regras, procedimentos e dados em todas as direções; e a comunicação efetiva só acontece quando o emissor e o receptor da informação a interpretam da mesma maneira.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
869581
Banca
VUNESP
Órgão
TJ-SP
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Há diversas formas de se classificar a informação, de acordo com o seu grau de sigilo. Segundo o Governo Brasileiro (decreto 4.553), informações sigilosas devem obedecer à seguinte escala:

Alternativas
Comentários

  • LEMBRANDO: SÃO APENAS TRES: ULTRASSECRETA, SECRETA E RESERVADA.

  • Gabarito D

    De acordo com o art. 24 da Lei de Acesso à Informação, os graus de classificação de informação e seus respectivos prazos máximos de restrição de acesso são os seguintes:

    Reservado: 5 anos, sem possibilidade de prorrogação.

    Secreto: 15 anos, sem possibilidade de prorrogação.

    Ultrassecreto: 25 anos, podendo ser prorrogado uma única vez por igual período, apenas pela Comissão Mista de Reavaliação de Informações.

    Importante: o prazo de sigilo é contado a partir da data de produção da informação, e não de sua classificação.

    Quem pode classificar informações?

    A classificação de informações no âmbito da administração pública federal, segundo o art. 27 da Lei de Acesso à Informação, é de competência:

    1)    No grau ultrassecreto:

    a) Presidente da República
    b) Vice-presidente da República
    c) Ministros de Estado e autoridades com as mesmas prerrogativas
    d) Comandantes da Marinha, do Exército e da Aeronáutica
    e) Chefes de Missões Diplomáticas e Consulares permanentes no exterior

    2)    No grau secreto:

    Das autoridades que podem classificar informações em grau ultrassecreto, além dos titulares de autarquias, fundações ou empresas públicas e sociedades de economia mista.

    3)    No grau reservado:

    Das autoridades que podem classificar informações em grau secreto e ultrassecreto e daquelas que exerçam funções de direção, comando ou chefia, nível DAS 101.5, ou superior, ou de hierarquia equivalente, de acordo com regulamentação específica de cada órgão ou entidade, observado o disposto na Lei nº 12.527.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
883264
Banca
CESPE / CEBRASPE
Órgão
TJ-AC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere a procedimentos de segurança, julgue os seguintes
itens.

A execução dos procedimentos de segurança da informação estabelecida em uma empresa compete ao comitê responsável pela gestão da segurança da informação.

Alternativas
Comentários
  • A execução dos procedimentos                         =  nível Operacional
    comitê gestão da segurança da informação   =  nível Gerencial

    Portanto, quem executa as diretrizes da gestão de segurança é o nível operacional e não o gerencial. Apesar que temos um entendimento que todos são responsáveis pelos procedimentos de segurança.

    Questão ERRADA

    Espero ter ajudado.
  • ERRADO.
    Eu entendo que os procedimentos de segurança devem ser executados por todos e não apenas por pessoas de um determinado comitê. Daí, a meu ver, o erro.

  • ERRADA!

    Como comentado pelo Jayme Oliveira, os procedimentos de segurança devem ser aplicados por todos na organização. Essas precauções ocorrem desde ações simplistas (onde qualquer um pode praticar) até as mais complexas (nesse caso, os neerds de TI). 

  • GABARITO: ERRADO

     

    * A execução dos procedimentos de segurança da informação compete a TODOS.

  • Então, por raciocínio simples, se banca tivesse incluido o "NÃO", vejamos como ficaria:

    "A execução dos procedimentos de segurança da informação estabelecida em uma empresa NÃO compete ao comitê responsável pela gestão da segurança da informação."

    Logo, raciocinando de acordo com a assertiva acima e com o raciocínio da banca, essa seria correta, já que a assertiva afirmativa (compete) está errada, logo a assertiva negativa (não compete) seria verdadeira.

    Aff...

    Temos que ter muita Paciência, pois o elaborador (que é da área de informática) muitas vezes esquece a importância do texto para se avaliar uma questão!

ID
883270
Banca
CESPE / CEBRASPE
Órgão
TJ-AC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere a procedimentos de segurança, julgue os seguintes
itens.

Para garantir a confidencialidade de informações críticas de uma empresa, devem ser estabelecidos procedimentos não só para a guarda e disponibilização dessas informações, mas também para o seu descarte.

Alternativas
Comentários
  • CERTO.
    Há, inclusive, um negócio chamado tabela de temporalidade. É uma espécie de referência, muito comum no serviço público, a respeito do tempo que cada tipo de documento deve permanecer arquivado. Isso diz respeito a documentos impressos ou não. E em muitos casos há também instruções acerca do modo como podem ou devem ser descartados.
  • ISO 27002: 10.7.2 Descarte de mídias

  • Gabarito: CORRETO

    Confidencialidade diz respeito à garantia que somente as pessoas autorizadas podem visualizar a informação. E, naturalmente, medidas devem ser tomadas desde a geração da informação até o seu descarte. Documento sigiloso na lixeira, sem triturar, pode ser facilmente lido, não é mesmo?



    Fonte: ESTRATÉGIA CONCURSOS

ID
888925
Banca
CESGRANRIO
Órgão
EPE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O princípio da segurança da informação que limita o acesso à informação apenas a pessoas devidamente autorizadas é o princípio da

Alternativas
Comentários

  • Confidencialidade é a propriedade da informação pela que não estará disponível ou divulgada a indivíduos, entidades ou processos sem autorização. Em outras palavras, confidencialidade é a garantia do resguardo das informações dadas pessoalmente em confiança e proteção contra a sua revelação não autorizada.FONTE: https://www.wikiwand.com/pt/Confidencialidade

  • b-

    Within the domain of information security, the concept of confidentiality entails the notion that information must not be made available or disclosed to unauthorized parties. Although it does share a similar understanding with the concept of privacy, both terms aren't synonyms, in that confidentiality is a component to privacy, which encompasses a greater domain.

    https://en.wikipedia.org/wiki/Confidentiality

ID
901102
Banca
CESPE / CEBRASPE
Órgão
CNJ
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a conceitos de segurança da informação, julgue os
itens a seguir.

A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional.

Alternativas
Comentários
  • Adicione-se ao rol as pessoas que operam, os locais onde são armazendos esses sistemas computacionais (física e logicamente), os locais por onde trafegam os seus dados, aspectos jurídicos relativos a esses sistemas e assim vai.
    Para se ter noção da quantidade aspectos analisados em conjunto, é bom lembrar q a ISO 27002 propõe mais de 130 controles.

  • até utilitários? 

  • Segundo a norma NBR/ISO 27002, a segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.

ID
901108
Banca
CESPE / CEBRASPE
Órgão
CNJ
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a conceitos de segurança da informação, julgue os
itens a seguir.

O princípio da autenticidade é garantido quando o acesso à informação é concedido apenas a pessoas explicitamente autorizadas.

Alternativas
Comentários
  • Entende-se por autenticidade a Certeza de que a informação provém das fontes anunciadas e que não foi alvo de mutações ao longo de um processo, isto é, vem de uma fonte autêntica.

  • Autenticidade é a garantia de que você é quem diz ser. Em segurança da informação um dos meios de comprovar a autenticidade é através da biometria que esta ligado diretamente com o controle de acesso que reforça a confidencialidade e é garantida pela integridade.

  • os atributos básicos, segundo os padrões internacionais (ISO/IEC 17799:2005) são os seguintes:

    Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação. Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição). Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação. Autenticidade - propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de mutações ao longo de um processo. Irretratabilidade ou não repúdio - propriedade que garante a impossibilidade de negar a autoria em relação a uma transação anteriormente feita
  • Errado: Questão típica onde a banca troca os termos e conceitos dos princípios básicos da segurança da informação. A autenticidade é o princípio que garante a autoria, em outras palavras, garante que o autor é realmente quem diz ser, enquanto que a cabe à confidencialidade o princípio do sigilo, ou seja, tornar uma informação disponível para algum grupo ou usuário em específico. 
  • aqui se trata do principio da confidencialidade que é a garantia de que a informação não será conhecida por quem não deve. O acesso às informações deve ser limitado, ou seja, somente as pessoas explicitamente autorizadas podem acessá-las.

  • Gabarito: ERRADO

    Esse é o princípio da confidencialidade. O princípio da autenticidade é aquele no qual é possível atestar que a entidade emissora da mensagem realmente é quem diz ser.


    Fonte: ESTRATÉGIA CONCURSOS

  • GABARITO: ERRADO

    O princípio da CONFIDENCIALIDADE é garantido quando o acesso à informação é concedido apenas a pessoas explicitamente autorizadas.

  • GABARITO: ERRADO

    O princípio da confidencialidade é garantido quando o acesso à informação é concedido apenas a pessoas explicitamente autorizadas.

    A autenticidade é responsável por garantir a identidade do autor do dado.

ID
902416
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Devido à limitação de recursos, é necessário priorizar e identificar as informações que realmente requerem proteção.

As informações que, se expostas, violam a privacidade de indivíduos, reduzem a vantagem competitiva da empresa ou causam danos à mesma são classificadas como

Alternativas
Comentários
  • Informação confidencial (por vezes também traduzido do inglês como “informação classificada”) é uma informação sigilosa a qual o acesso é restrito pela lei ou regulamentos a classes específicas de pessoas. Uma habilitação de segurança formal é exigida para manusear documentos confidenciais ou acessar dados confidenciais. O processo de habilitação exige uma investigação de antecedentes que satisfaça as exigências. Existem tipicamente vários níveis de confidencialidade, com diferentes exigências de habilitação. Essa espécie de sistema hierárquico de segredo é utilizado por virtualmente todos os governos nacionais. O ato de fixar o nível de confidencialidade ao dado é chamado de classificação do dado.

    Fonte: Wikipedia

    Talvez essa questão possa ser classificada como Segurança da Informação.

  • Para Laureano e Moraes (Segurança Como Estratégia de Gestão da Informação), as informações se classificam como pública, interna, confidencial, secreta.
    • Pública: Informação que pode vir a público sem maiores consequências danosas ao funcionamento normal da empresa, e cuja
    integridade não é vital.
    • Interna: O acesso livre a este tipo de informação deve ser evitado, embora as consequências do uso não autorizado não sejam por demais sérias. Sua integridade é importante, mesmo que não seja vital.
    • Confidencial: Informação restrita aos limites da empresa, cuja divulgação ou perda pode levar a desequilíbrio operacional, e
    eventualmente, a perdas financeiras ou de confiabilidade perante o cliente externo.

    • Secreta: Informação crítica para as atividades da empresa, cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um número reduzido de pessoas. A segurança desse tipo de informação é vital para a companhia

ID
902419
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A política de proteção da informação espelha as decisões da empresa com respeito à manipulação e à proteção da informação.

Um dos pontos chaves dessa política é que

Alternativas
Comentários
    • a) a proteção está limitada à área de tecnologia da informação (TI). Errado R: Toda a organização é responsável pela proteção e institucionalização das Políticas de Segurança da Informação.
    • b) a empresa deve declarar que a informação é um ativo da empresa e é propriedade da organização. Certo
    • c) o processo de classificação da informação é um processo técnico que dispensa o papel ativo do setor gerencial da empresa. Errado R:O processo de classificação deve ser feito pelo responsável da informação e não pode excluir ninguém neste processo.
    • d) um processo ou sistema específico deve ser interrompido diante de um risco residual conhecido. Errado. Não necessariamente ele deve ser interrompido, essa ação seria em última instância.
    • e) as reavaliações periódicas da política devem ser evitadas para impedir a distorção das decisões originalmente tomadas pela empresa. Errado. As políticas devem ser reavaliadas sempre que necessário, inclusive contra decisões (originais) tomadas de forma incorreta.
  • Letra B

    Conforme definição da norma ABNT NBR ISO/IEC 27002:2005,     “informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e, conseqüentemente, necessita ser adequadamente protegida. [...] A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma de apresentação ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.”
ID
909982
Banca
CESPE / CEBRASPE
Órgão
Telebras
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

No que concerne à Instrução Normativa n.º 1/2009 do Gabinete de
Segurança Institucional da Presidência da República (GSIPR) e
normas complementares, julgue os itens a seguir.

Compete às entidades da administração pública federal planejar e coordenar atividades de segurança da informação.

Alternativas
Comentários
  • compete ao dono da informação, zelar pela segurança desta; via de regra o poder público não é precursor de nada( só dos impostos rss).
    Não sendo proibida por lei, o particular tem maior poder de criar... A necessidade de coordenação do poder público se faz necessário no momento que a iniciativa privada extrapole e a sociedade tenha direitos infrigidos, assim como a falta de padronização que interfere na possibilidade de crescimento (ex.aos mais antigos, Video VHS e BETAMAX , aos mais novos Yahoo!messenger e MSN  ) não existe necessidade da interferência do estado,  e novamente,  VIA de REGRA é prejudicial.

    Por sua vez, como consumidor de tecnologia, tem a obrigação de zelar pela segurança da informação,  se existe normas de boas práticas existente, pode incluí-las , o que acontece com as ISO NBR, mas ele o faz por ser consumidor e portanto proprietário da informação.
  • Art. 3º Ao Gabinete de Segurança Institucional da Presidência da República - GSI, por intermédio do Departamento de Segurança da Informação e Comunicações - DSIC, compete:
    I - planejar e coordenar as atividades de segurança da informação e comunicações na Administração Pública Federal, direta e indireta;
    ...

    fonte: http://dsic.planalto.gov.br/documentos/in_01_gsidsic.pdf
  • "Compete às entidades da administração pública federal planejar e coordenar atividades de segurança da informação."

    Porque será que a INSTRUÇÃO NORMATIVA  especifica para todas as ações de planejamento e coordenação, normatização acerca da do objeto Segurança da Informação, ele restringe a ação apenas para ADMINISTRAÇÃO PUBLICA, FEDERAL, DIRETA e INDIRETA? Quantos de vocês vão julgar errado baseado em letra da lei...
    Para mim eu marquei errado porque, da forma genérica como a assertiva foi apresentada, a IN não dá COMPETÊNCIA para atuar.
    Precisava ir à IN para julgar? Vejam a questão      Q318401.


    Art. 3º Ao Gabinete de Segurança Institucional da Presidência da República - GSI,
    por intermédio do Departamento de Segurança da Informação e Comunicações -
    DSIC, compete:
    I - planejar e coordenar as atividades de segurança da informação e comunicações na Administração Pública Federal, direta e indireta;
    II - estabelecer normas definindo os requisitos metodológicos para implementação da Gestão de Segurança da Informação e Comunicações pelos órgãos e entidades da Administração Pública Federal, direta e indireta;
    III - operacionalizar e manter centro de tratamento e resposta a incidentes ocorridos nas redes de computadores da Administração Pública Federal, direta e indireta, denominado CTIR.GOV;
    IV - elaborar e implementar programas destinados à conscientização e à capacitação dos recursos humanos em segurança da informação e comunicações;
    V - orientar a condução da Política de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta;
    VI - receber e consolidar os resultados dos trabalhos de auditoria de Gestão de Segurança da Informação e Comunicações da Administração Pública Federal, direta e indireta;
    VII - propor programa orçamentário específico para as ações de segurança da informação e comunicações.

     

  • erradissima a questão.pois, ela diz que compete de um modo geral "administração pública federal planejar e coordenar atividades de segurança da informação."

    a segurança da informaçao somente acontecera dessa forma NA ADMINISTRAÇÃO PUBLICA e não na administração privada.. veja:

    Art. 3º Ao Gabinete de Segurança Institucional da Presidência da República - GSI,

    por intermédio do Departamento de Segurança da Informação e Comunicações -

    DSIC, compete:

    I - planejar e coordenar as atividades de segurança da informação e comunicações na Administração Pública Federal, direta e indireta;

ID
909988
Banca
CESPE / CEBRASPE
Órgão
Telebras
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

No que concerne à Instrução Normativa n.º 1/2009 do Gabinete de
Segurança Institucional da Presidência da República (GSIPR) e
normas complementares, julgue os itens a seguir.

O Comitê de Segurança da Informação e Comunicações é encarregado de manter contato com o GSIPR, além de elaborar e manter programas de conscientização dos recursos humanos em segurança da informação e das comunicações.

Alternativas
Comentários

  •  Art. 4o  Para os fins deste Decreto, cabe à Secretaria-Executiva do Conselho de Defesa Nacional, assessorada pelo Comitê Gestor da Segurança da Informação de que trata o art. 6o, adotar as seguintes diretrizes:

            I - elaborar e implementar programas destinados à conscientização e à capacitação dos recursos humanos que serão utilizados na consecução dos objetivos de que trata o artigo anterior, visando garantir a adequada articulação entre os órgãos e as entidades da Administração Pública Federal;

            II - estabelecer programas destinados à formação e ao aprimoramento dos recursos humanos, com vistas à definição e à implementação de mecanismos capazes de fixar e fortalecer as equipes de pesquisa e desenvolvimento, especializadas em todos os campos da segurança da informação;

     

    Art. 4o  Para os fins deste Decreto, cabe à Secretaria-Executiva do Conselho de Defesa Nacional, assessorada pelo Comitê Gestor da Segurança da Informação de que trata o art. 6o, adotar as seguintes diretrizes:

     

     

            I - elaborar e implementar programas destinados à conscientização e à capacitação dos recursos humanos que serão utilizados na consecução dos objetivos de que trata o artigo anterior, visando garantir a adequada articulação entre os órgãos e as entidades da Administração Pública Federal;

            II - estabelecer programas destinados à formação e ao aprimoramento dos recursos humanos, com vistas à definição e à implementação de mecanismos capazes de fixar e fortalecer as equipes de pesquisa e desenvolvimento, especializadas em todos os campos da segurança da informação;

     

     Art. 4o  Para os fins deste Decreto, cabe à Secretaria-Executiva do Conselho de Defesa Nacional, assessorada pelo Comitê Gestor da Segurança da Informação de que trata o art. 6o, adotar as seguintes diretrizes:

            I - elaborar e implementar programas destinados à conscientização e à capacitação dos recursos humanos que serão utilizados na consecução dos objetivos de que trata o artigo anterior, visando garantir a adequada articulação entre os órgãos e as entidades da Administração Pública Federal;

            II - estabelecer programas destinados à formação e ao aprimoramento dos recursos humanos, com vistas à definição e à implementação de mecanismos capazes de fixar e fortalecer as equipes de pesquisa e desenvolvimento, especializadas em todos os campos da segurança da informação;

  • De acordo com a Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008, Art.6:

    Art. 6º Ao Comitê de Segurança da Informação e Comunicações, de que trata o inciso VI do art. 5º, em seu âmbito de atuação, compete:
    I  -  assessorar  na  implementação  das  ações  de  segurança  da  informação  e comunicações;
    II  -  constituir  grupos  de  trabalho  para  tratar  de  temas  e  propor  soluções específicas  sobre  segurança  da  informação  e  comunicações; 
    III  -  propor alterações na Política de Segurança da Informação e Comunicações; e
    IV - propor normas relativas à segurança da informação e comunicações.

    Em nenhum momento a IN fala que o Comitê de Segurança é encarregado de manter contato com o GSIPR, muito menos elaborar e manter programas de conscientização dos recursos humanos em segurança da informação e das comunicações.

  • ERRADO. Na verdade, tal competência é atribuída ao próprio Gabinete de Segurança Institucional da Presidência da República por intermédio do DSIC.

    Segundo a instrução n.º 1, 

    "Art. 3º Ao Gabinete de Segurança Institucional da Presidência da República - GSI,

    por intermédio do Departamento de Segurança da Informação e Comunicações -

    DSIC, compete:

    IV - elaborar e implementar programas destinados à conscientização e à capacitação dos recursos humanos em segurança da informação e comunicações;"

    Bibliografia:


  • Dois erros:

    Manter contato com o GSIPR - Competência do Gestor;

    Elaborar e manter programas de conscientização dos recursos humanos em segurança da informação e das comunicações - competência do GSI por intermédio do DSIC.

    Fonte: http://dsic.planalto.gov.br/legislacao/in_01_gsidsic.pdf

     

ID
927373
Banca
CESPE / CEBRASPE
Órgão
INPI
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à Instrução Normativa para Contratação de
Soluções de Tecnologia da Informação, julgue os próximos itens.

A gestão de segurança da informação não pode ser objeto de contratação de uma solução de TI.

Alternativas
Comentários
  • Certo

    De acordo com a INSTRUÇÃO NORMATIVA Nº 04 de 12 de novembro de 2010.

    Capítulo I
    DAS DISPOSIÇÕES GERAIS

    Art. 5º Não poderão ser objeto de contratação:

    I - mais de uma Solução de Tecnologia da Informação em um único contrato; e
    II - gestão de processos de Tecnologia da Informação, incluindo gestão de segurança da
    informação.

  • Apesar de CERTO, fiquem atentos ao que está no site do SISP.

    Segundo o SISP,"

    11. P:

    Meu órgão pode contratar serviços de gestão de Segurança da Informação?

    R:

    Não! De acordo com o Art. 5º da IN 04, a gestão de processos de TI, incluindo gestão de Segurança da Informação, não pode ser objeto de contratação. Salvo quando o serviço for prestado por empresas públicas de Tecnologia da Informação que tenham sido criadas para este fim específico, devendo acompanhar o processo a justificativa da vantajosidade para a APF."

    Bibliografia:

    http://www.sisp.gov.br/faq_segurancainformacao/one-faq?faq_id=13941646#13971959


  • cespe adora essa questão


    Ano: 2013

    Banca: CESPE

    Órgão: TRT - 17ª Região (ES)

    Prova: Analista Judiciário - Tecnologia da Informação

    Resolvi certo

    Julgue o próximo item com base na legislação que regulamenta a contratação de bens e serviços de informática e a contratação de soluções de TI. 

    De acordo com a legislação em vigor, não poderá ser objeto de contratação a gestão de processos de TI, incluindo a gestão de segurança da informação.

    certo



    Ano: 2014

    Banca: CESPE

    Órgão: TC-DF

    Prova: Analista Administrativo - Tecnologia da Informação

    Resolvi certo

    A respeito das contratações na área de TI, julgue os itens subsecutivos, com base na Instrução Normativa n.º 4/2010-SLTI/MPOG.

    A gestão de processos de TI, incluindo-se a gestão de segurança da informação, não poderá ser objeto de contratação.

    certa



ID
927463
Banca
CESPE / CEBRASPE
Órgão
INPI
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de confidencialidade, disponibilidade e integridade,
julgue os itens a seguir.

Considere que uma informação, enviada a um grupo de pessoas previamente autorizadas a recebê-la, foi modificada por pessoa sem autorização ao acesso e chegou, aos destinatários, alterada na sua forma original. Nesse caso, a informação manteve a integridade e a disponibilidade.

Alternativas
Comentários
  • Não manteve a integridade.

  • GABARITO: ERRADO

    Nesse caso, ocorreu a quebra da confidencialidade (quando o usuário não autorizado teve acesso) e da integridade (ao modificar os dados).

  • Se houve alteração, não pode se falar em manutenção da integridade

  • Confidencialidade e integridade

ID
930769
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito do gerenciamento das operações e comunicações, julgue os itens que se seguem.

A segregação de funções objetiva reduzir o risco de mau uso ou de uso doloso dos sistemas e proteger as informações em caso de catástrofes naturais.

Alternativas
Comentários

  • "Catástrofes naturais" foi pesado...

  • QUE QUE ISSO kkkk, nunca nem vi

  • Que dia foi isso? kkkkk

  • A segregação de funções consiste na separação das funções de autorização, aprovação, execução, controle e contabilização. Para evitar conflitos de interesses, é necessário repartir funções entre os servidores para que não exerçam atividades incompatíveis, como executar e fiscalizar uma mesma atividade.

    Segregação é o ato de segregar, de separar, isolar ou apartar.

    Segregação de funções – princípio básico de controle interno essencial para a sua efetividade. Consiste na separação de atribuições ou responsabilidades entre diferentes pessoas, especialmente as funções ou atividades-chave de autorização, execução, registro e revisão ou auditoria.

  • ✅Gabarito(Errado) 

    6 Organização da segurança da informação

    6.1.2 Segregação de funções

    Informações adicionais

    Segregação de funções é um método para reduzir o risco de mau uso, acidental ou deliberado, dos ativos de uma organização.

    Fonte: ABNT NBR ISO/IEC NORMA BRASILEIRA © ISO/IEC 2013 27002 Segunda Edição 08.11.2013

ID
931309
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca dos conceitos básicos de segurança da informação, julgue os itens seguintes.

Para o analista de segurança da informação, o aumento da confidencialidade de um sistema é um objetivo que se sobrepõe ao aumento de sua confiabilidade.

Alternativas
Comentários

  • Q310434 Ano: 2010 Banca: CESPE Órgão: SERPRO Prova: Analista - Engenharia

    Para o analista de segurança da informação, o aumento da confidencialidade de um sistema é um objetivo que se sobrepõe ao aumento de sua confiabilidade.GABARITO: CERTO

    UMA QUESTAO, DOIS GABARITOS DIFERENTES.

  • aiai, devo estar ficando maluco

  • Para o CESPE a CONFIABILDIADE é compreendido como "tolerância a falhas"

    E por que está errado? Não podemos afirmar que a segura irá sobrepor a confiabilidade.

    FONTE: Professor Gleyson. Dominando TI

ID
933676
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca dos conceitos básicos de segurança da informação, julgue
os itens seguintes.

Para o analista de segurança da informação, o aumento da confidencialidade de um sistema é um objetivo que se sobrepõe ao aumento de sua confiabilidade.

Alternativas
Comentários

  • O site ou o cespe, ou, o site e o cespe tão bugado......

     

    Q310434 Ano: 2010 Banca: CESPE Órgão: SERPRO Prova: Analista - Engenharia

    Para o analista de segurança da informação, o aumento da confidencialidade de um sistema é um objetivo que se sobrepõe ao aumento de sua confiabilidade.

     

    GABARITO: CERTO

  • cespe fazendo cespice.

  • NO QC o gabarito tá "ERRADO"

ID
946837
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca dos requisitos de segurança da informação, julgue os itens a seguir.

O furto de um notebook que contenha prontuários e resultados de exames dos pacientes de um médico afeta a confiabilidade das informações.

Alternativas
Comentários
  • Afeta a confidencialidade!
  • Questão incorreta, na verdade afeta o príncipio da confidencialidade, que é a manuntenção do segredo, do sigilo ou da privacidade das informações, onde indica que os dados e informações não deveriam ser acessíveis a usuários não autorizados.
  • Afeta a disponibilidade, pois o médico em questão não tem mais aquelas informações disponíveis, quando necessário;

  • confiabilidade é palavra inventada  confiabilidade = confidencialidade+disponibilidade. Um pilar não invade outro o certo é confidêncialiade. daqui a pouco estão colocando disconfiabilidade.

  • Que peguinhaaaa... Nossa cabuloso esse CESPE!!!! =/

  • Eu achei a questão incompleta... Se não mais está na disponibilidade do dono do Notebook, logo o meliante poderá alterar algum dado em núvem do computador do dono e assim afetar a confiabilidade (confidencibilidade) do arquivo. 

  • Gabarito: ERRADO

    Nesse caso, a confidencialidade será afetada, uma vez que esta informação estará de posse de pessoas não autorizadas a acessar a informação. Ainda, se esses prontuários estivessem somente nesse notebook, a disponibilidade também seria afetada.



    Fonte: ESTRATÉGIA CONCURSOS

  • MINHA OPINIÃO!

    não é pq o cara pegou o notebook que ele vai ter acesso aos arquivos que estão lá. Pode ter milhares de senhas (para fazer login no sistema, para abrir arquivos...). Logo, não acho que afetou a confidencialidade (que nem tá na questão), mas, sim, a disponibilidade.

  • Li rápido e não reparei

    confiabilidade x CONFIDENCIALIDADE

ID
947575
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança da informação, julgue os próximos itens.

O algoritmo de Estado, função matemática empregada para a codificação e a decodificação, é desenvolvido pelo Estado para uso exclusivo de órgãos ou entidades do Poder Executivo federal.

Alternativas
Comentários
  • Decreto 7.845 - Regulamenta procedimentos para credenciamento de segurança e tratamento de informação classificada em qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento.
    Art. 2o  Para os efeitos deste Decreto, considera-se:
    I - algoritmo de Estado - função matemática utilizada na cifração e na decifração, desenvolvido pelo Estado, para uso exclusivo em interesse do serviço de órgãos ou entidades do Poder Executivo federal
  • Prezados,
    Segundo o decreto 7.845, temos a seguinte definição para algoritmo de estado :
     
    Art. 2o  Para os efeitos deste Decreto, considera-se:
     
    I - algoritmo de Estado - função matemática utilizada na cifração e na decifração, desenvolvido pelo Estado, para uso exclusivo em interesse do serviço de órgãos ou entidades do Poder Executivo federal;
    Portanto, questão correta.
    Fonte : DECRETO Nº 7.845, DE 14 DE NOVEMBRO DE 2012
  • " Exclusivo" se fosse, ninguém mais conseguiria detectar ou descriptografar uma senha e seria completamente seguro.
ID
984610
Banca
CESPE / CEBRASPE
Órgão
MPOG
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de segurança da informação, julgue os itens a seguir.


A violação do sigilo de uma informação refere-se à quebra da integridade dessa informação.

Alternativas
Comentários

  • A violação de sigilo diz respeito a quebra de confidencialidade.

    A alteração indevida ou não autorizada da informação é que está relacionada à quebra de integridade da informação.


  • integridade era se alterasse o conteúdo

  • CONFIDENCIALIDADE

    Conceito
    Propriedade de que a
    informação não esteja
    disponível ou revelada a
    indivíduos, entidades ou
    processos não
    autorizados.

    Objetivo
    Proteger contra o
    acesso não autorizado,
    mesmo para dados em
    trânsito.

    INTEGRIDADE

    Conceito
    Propriedade de
    salvaguarda da exatidão
    e completeza de ativos.

    Objetivo
    Proteger informação
    contra modificação
    sem permissão; garantir
    a fidedignidade das
    informações.

    DISPONIBILIDADE

    Conceito
    Propriedade de estar
    acessível e utilizável sob
    demanda por uma
    entidade autorizada.

    Objetivo
    Proteger contra
    indisponibilidade dos
    serviços (ou
    degradação); garantir aos
    usuários com autorização,
    o acesso aos dados.

  • cinfia na habilidade ;* baby

  • A violação do sigilo de uma informação refere-se à quebra da confidencialidade dessa informação.

    Confidencialidade diz respeito à proteção do caráter privado das informações. Essa propriedade implica dizer que somente pessoas autorizadas devem ter acesso às informações.

  • Para violar a integridade seria necessário alterar o conteúdo sem ter autorização para isso.

  • C onfidencialidade ------------------------- (sigilo)

    A utenticidade ------------------------------- (prova da identidade)

    D isponibilidade ---------------------------- (garantia de acesso aos usuários autorizados)

    ntegridade ---------------------------------- (contra modificação)

    N ão-Repúdio ------------------------------- (impossibilidade de negar participação)

  • Quebra da CONFIDENCIALIDADE

ID
998212
Banca
FUNCAB
Órgão
DETRAN-PB
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação à segurança da informação, o fato de uma pessoa deixar os dados visíveis no monitor de vídeo do computador e se ausentar do local é um exemplo típico de:

Alternativas
Comentários


  • "...  involuntários resultam de ações não intencionais, relacionados com vulnerabilidades humanas, físicas, de hardware, de software, dos meios de armazenamento e das comunicações; e os intencionais são aqueles derivados de ações deliberadas para causarem danos, e têm sua origem no ser humano."


    Bibliografia: 

    Segurança da informação: uma abordagem focada em gestão de riscos. / Marcus Leal Dantas. – Olinda: Livro Rápido, 2011. 


ID
1015948
Banca
Marinha
Órgão
CAP
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Um ataque de negação de serviço viola qual requisito de segurança?

Alternativas
Comentários

  • Gabarito B

    Um ataque de negação de serviço viola a disponibilidade.

    Um ataque de negar o serviço (também conhecido como DoS Attack, um acrônimo em inglês para Denial of Service), é uma tentativa de tornar os recursos de um sistema indisponíveis para os seus utilizadores. Alvos típicos são servidores web, e o ataque procura tornar as páginas hospedadas indisponíveis na WWW. Não se trata de uma invasão do sistema, mas sim da sua invalidação por sobrecarga. Os ataques de negação de serviço são feitos geralmente de duas formas:

    forçar o sistema vítima a reinicializar ou consumir todos os recursos (como memória ou processamento por exemplo) de forma que ele não possa mais fornecer seu serviço;

    obstruir a mídia de comunicação entre os utilizadores e o sistema vítima de forma a não se comunicarem adequadamente.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
1015957
Banca
Marinha
Órgão
CAP
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Qual a diferença entre um vírus e um WORM?

Alternativas
Comentários

  • Gabarito E

    Um worm (termo da língua inglesa que significa, literalmente, "verme") é um programa autorreplicante, diferente de um vírus. Enquanto um vírus infecta um programa e necessita deste programa hospedeiro para se alastrar, o worm é um programa completo e não precisa de outro para se propagar. Um worm pode ser projetado para tomar ações maliciosas após infestar um sistema. Além de se autorreplicar, pode deletar arquivos em um sistema ou enviar documentos por email.

    A partir disso, o worm pode tornar o computador infectado vulnerável a outros ataques e provocar danos apenas com o tráfego de rede gerado pela sua reprodução – o Mydoom, por exemplo, causou uma lentidão gerada na rede de computadores mundial nos niveis mais alto de seu ataque .

    Diferente dos vírus comuns, os worms podem se autorreplicar sem a necessidade de infectar arquivos legítimos, criando cópias funcionais de si mesmos. Essas características permitem que os worms se espalhem por redes de computadores e drivers USB. Alguns worms também se alastram por mensagens de e-mail, criando anexos maliciosos e os enviando para as listas de contato da conta invadida.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Worm ou Verme é um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, mas sim pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores. É um programa que pode se replicar e enviar cópias de um computador para outro através de conexões de rede (Stallings).

  • Alguém sabe porque a B está errada?

  • Carol, vírus não explora vulnerabilidades. Quem faz isso é o Worm.

ID
1029757
Banca
CESPE / CEBRASPE
Órgão
TCE-RO
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens a respeito de segurança da informação.

Considere que um arquivo que esteja sendo transferido entre dois usuários tenha sido interceptado e seu conteúdo tenha sido visualizado e encaminhado a outros usuários. Nessa situação, caracterizou-se a ocorrência do comprometimento da integridade do arquivo

Alternativas
Comentários
  • Errado!  Foi comprometido o sigilo da informação, a CONFIDENCIALIDADE!

  • Integridade era se o conteúdo do arquivo fosse modificado

  • Nessa situação, caracterizou-se a ocorrência do comprometimento da CONFIDENCIALIDADE do arquivo

  • O arquivo não é mais CONFIDENCIAL. Logo, ocorreu prejuízo na confidenciabilidade do arquivo

    Integridade seria se, por exemplo, houvesse modificação.

  • Ataques:

    Interrupção - um recurso do sistema é destruído ou se torna indisponível ou initutil - Ataque de disponibilidade

    Interceptação - uma parte nao autorizada ganha acesso a um recurso. Ataque de confidencialidade Ex: análise de tráfego

    Modificaçao - Uma parte nao autorizada nao somente ganha o acesso, mas também modifica a informação. Ataque Integridade

    Fabricação - Uma pessoa nao autorizada insere informações no sistema. Ataque autenticidade. Ex. inserção de msg maliciosas na rede.

     

  • confia na habilidade ;* babyes

  • GABARITO: ERRA

    Nessa situação, caracterizou-se a ocorrência do comprometimento da CONFIDENCIALIDADE do arquivo.

    O princípio da integridade garante que o processo não seja alterado durante sua transmissão. A questão diz "tenha sido interceptado e seu conteúdo tenha sido visualizado e encaminhado a outros usuários", o conteúdo continua íntegro, mas com a quebra de seu confidencialidade.

    Se por um acaso o enunciado falasse que o arquivo tenha sido alterado, aí sim haveria comprometimento da integridade.

  • O BAGULHO TÁ INTEGRO, SÓ VAI SER DISPONIBILIZADO PARA ESTRANHOS.

ID
1029760
Banca
CESPE / CEBRASPE
Órgão
TCE-RO
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens a respeito de segurança da informação.

Se um sítio da web sofrer comprometimento devido a problemas de hardware no servidor, impossibilitando a visualização do conteúdo pelos usuários, esse fato poderá ser considerado como comprometimento da disponibilidade do serviço.

Alternativas
Comentários

  • CERTO

    DISPONIBILIDADE: Garante que uma informação estará disponível para acesso no momento desejado. Diz respeito à eficácia do sistema, ao correto funcionamento da rede para que quando a informação for necessária ela poderá ser acessada. A perda da disponibilidade se dá quando se tenta acessar uma informação e não se consegue o acesso esperado.

    O futuro é consequência do presente! 

    Correria hoje, vitória amanhã!  Abraço

  • Certo. Corresponde ao princípio de DISPONIBILIDADE

  • confia na habilidade ;* babyes

  • Se usuários legítimos não estão conseguindo usufruir dos serviços oferecidos, temos, de

    fato, a violação do princípio da disponibilidade.

ID
1045564
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da segurança da informação, julgue os itens subsequentes.

Os rótulos físicos são a forma mais usada para definir a classificação de uma informação, mas são substituídos, em algumas situações, por procedimentos e metadados.

Alternativas
Comentários
  • Questão copiada da 27.002 (seção 7.2.2):

    "A rotulação e o tratamento seguro da classificação da informação é um requisito-chave para os procedimentos de compartilhamento da informação. Os rótulos físicos são uma forma usual de rotulação. Entretanto, alguns ativos de informação, como documentos em forma eletrônica, não podem ser fisicamente rotulados, sendo necessário usar um rótulo eletrônico. Por exemplo, a notificação do rótulo pode aparecer na tela ou no display . Onde a aplicação do rótulo não for possível, outras formas de definir a classificação da informação podem ser usadas, por exemplo, por meio de procedimentos ou metadados."
    Bons estudos!
ID
1055065
Banca
CESPE / CEBRASPE
Órgão
BACEN
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de proteção de estações de trabalho, julgue os próximos itens.

Entre as ações que integram o processo de hardening incluem-se desinstalar softwares desnecessários para o cotidiano do usuário na estação de trabalho e instalar antispyware.

Alternativas
Comentários
  • Hardening é um processo de mapeamento de ameaças, atenuação de riscos e execução de atividades corretivas, com foco na infra-estrutura e com o principal objetivo de preparar o ambiente alvo para enfrentar determinadas tentativas de ataque ou violação dos protocolos de segurança da informação. 

    A questão trata de 2 itens (1 - desinstalar softwares desnecessários e 2 - instalar antispyware). Seguindo o conceito de hardening esses 2 itens estão contemplados perfeitamente, pois atenuam os riscos e preparam o ambiente alvo para enfrentar determinadas ameaças.

  • Galera encontrei um excelente artigo sobre hardening da InfraMagazine. (Acesso em 03/06/2014).Segue abaixo.

    http://www.devmedia.com.br/websys.5/webreader.asp?cat=62&artigo=3403&revista=inframagazine_1#a-3403 


  • Outra questão interessante sobre hardening:

    Ano: 2014 Banca: CESPE Órgão: ANTAQ Prova: Analista Administrativo - Infraestrutura de TI

    Com relação à segurança da informação, julgue os itens .

    Entre as atividades corretivas definidas para a hardening, técnica utilizada para tornar o sistema completamente seguro, destaca-se a de manter atualizados tanto os softwares do sistema operacional quanto os das aplicações.

    ERRADA

  • Lázaro, não eh so a parte completamente que tá errado, mas corretiva também.

  • Boas medidas preventivas!

    Item correto.

  • Para facilitar a correlação do termo a realidade: Hardening - hard vêm de difícil. Algo rígido. Enrijecer a defesa de uma rede, garantindo segurança das informações

ID
1065034
Banca
CESPE / CEBRASPE
Órgão
TCE-ES
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Tendo em vista que a segurança da informação tem importância estratégica, contribuindo para garantir a realização dos objetivos da organização e a continuidade dos negócios, assinale a opção correta.

Alternativas
Comentários

  • A) Errada. Os principais atributos são: Confidencialidade, Integridade e Disponibilidade

    B) Errada. Conversa pra boi dormir!

    C) Errada. Privacida está prevista sim no âmbito da segurança da informação

    D) Errada. Quando a questão fala que em todas as situações as informações deverão possuir o mesmo nível de proteção.

    Resposta letra: E

     

  • precisa ler ?? 

  • Em respeito aos colegas que não detêm este conhecimento , é importante lembrar que os três pilares da segurança da informação são ;

    DIC ====> Disponibilidade , Integridade , Confidencialidade .Levem isso com vcs , salvará muitas questões .

    GAB ==> E

  • Sobre a letra A

    A irretratabilidade é a propriedade que garante que uma pessoa não pode negar ser a autora de uma transação ou informação, uma vez que foi autenticada para isso. Ela também é conhecida como não repúdio.

    Fonte: Profº Maurício Franceschini

  • gab.: E

    Tríade da Segurança da informação:

    • Confidencialidade: A informação só será acessada por pessoas autorizadas;
    • Integridade: Garantir a exatidão da informação de forma integra e completa;
    • Disponibilidade: A informação sempre estará disponível para os usuários interessados.

    (Q639995 - CESPE) segurança da informação refere-se ao processo de proteger a informação das ameaças a fim de garantir sua integridade, disponibilidade e confidencialidade. (CERTO)

  • Princípios da Segurança da Informação

    Confidencialidade: é a capacidade de um sistema de não permitir que informações estejam disponíveis ou sejam reveladas a entidades não autorizadas - incluindo usuários, máquinas, sistemas ou processos. Seria algo similar à privacidade, em que pessoas autorizadas podem acessar e visualizar uma informação e pessoas não autorizadas não podem.

    Integridade: é a capacidade de garantir que a informação manipulada está correta, fidedigna e que não foi corrompida. Esse princípio sinaliza a conformidade dos dados armazenados com relação às inserções, alterações e processamentos autorizados efetuados.

    Disponibilidade: é a propriedade de uma informação estar acessível e utilizável sob demanda por uma entidade autorizada. De certa forma, ela garante que usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

    Autenticidade (legitimidade): é a propriedade que trata da garantia de que um usuário é de fato quem alega ser. Em outras palavras, ela garante a identidade de quem está enviando uma determinada informação.

    Não-repúdio (irretratabilidade): também chamada de irrefutabilidade, trata-se da capacidade de garantir que o emissor da mensagem ou participante de um processo não negue posteriormente a sua autoria.

    Fonte: Estratégia

ID
1115233
Banca
CESPE / CEBRASPE
Órgão
SUFRAMA
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à segurança da informação, julgue os itens a seguir.

A lentidão e a paralisação do funcionamento de um sítio de comércio eletrônico que provê transações para venda de produtos é considerado incidente que viola a confidencialidade das informações do sítio.

Alternativas
Comentários

  • Não tem nada a ver com confidencialidade

  • Viola os critérios de DISPONIBILIDADE e não de confidencialidade.

    Lembrando que a segurança trata do CID:

    Confidencialidade

    Integridade

    Disponibilidade

  • Baixa performance ou paralização total ou parcial, configura-se violação do quesito DISPONIBILIDADE da Segurança da Informação.

  • isso é uma questão de disponibilidade da informação

  • GABARITO ERRADO!

    .

    .

    ESSA QUESTÃO RESPONDE:

    CESPE - 2013 - TCE/RO

    Se um sítio da web sofrer comprometimento devido a problemas de hardware no servidor, impossibilitando a visualização do conteúdo pelos usuários, esse fato poderá ser considerado como comprometimento da disponibilidade do serviço.

    CORRETO!

  • GABARITO ERRADO!

    .

    .

    ESSA QUESTÃO RESPONDE:

    CESPE - 2013 - TCE/RO

    Se um sítio da web sofrer comprometimento devido a problemas de hardware no servidor, impossibilitando a visualização do conteúdo pelos usuários, esse fato poderá ser considerado como comprometimento da disponibilidade do serviço.

    CORRETO!

  • Viola a disponibilidade.

  • Há violação da disponibilidade.

ID
1120852
Banca
CESPE / CEBRASPE
Órgão
TRT - 17ª Região (ES)
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Para que os dados mais importantes salvos em meio digital estejam protegidos contra perdas, é necessário estabelecer políticas, processos e procedimentos para a realização de cópias de segurança. Com relação a esse tema, julgue os itens que se seguem.

A mesa de trabalho do administrador do ambiente operacional, é o local adequado para o armazenamento das cópias de segurança dos dados feitas em fitas, uma vez que, em caso de desastre, é fundamental a restauração rápida desses dados.

Alternativas
Comentários

  • A mesa de trabalho do administrador do ambiente operacional, é o local adequado para o armazenamento das cópias de segurança ... 

    "Erradão"!

  •  

    GABARITO - ERRADO

     

    Cuidados a serem tomados:
    [...]
    > mantenha seus backups em locais seguros, bem condicionados (longe de poeira, muito calor ou umidade) e com acesso restrito (apenas de pessoas autorizadas);

    [...]

     

    FONTE - Cartilha do CERT.br

  • Os backups devem ser mantidos em locais seguros, longe das mãos de terceiros, com acesso restrito e de preferência longe de onde estão guardados os dados originais.

     

    Gabarito: E

  • Política da Mesa Limpa! ATENÇÃO!

    ERRADO!

  • GABARITO ERRADO!

    .

    .

    A política de mesas limpas e telas limpas, são praticas de segurança da informação recomendadas para o local de trabalho a fim de se evitar a exposição desnecessária de informações consideradas sensíveis, com o objetivo de se evitar o comprometimento da informação.