SóProvas

ID
114247
Banca
CESPE / CEBRASPE
Órgão
TRE-MT
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação às orientações da norma ISO 27002 quanto à criptografia, assinale a opção correta.

Alternativas
Comentários
  • Boa questão...no caso, a resposta é a Letra B... pois ele considera a ocorrência ou não de um evento... a participação de uma determinada entidade. Por exemplo: uma pessoa NEGAR q enviou uma mensagem tendo enviado.
  • A) Errado Códigos de Autenticação de mensagens (MAC) e assinaturas digitais visam garantir a INTEGRIDADE / AUTENTICIDADE e não a CONFIDENCIALIDADE.B) Certo Conforme a referida norma em seu item 12.3.1 Política para uso de controle criptográficos: "Controles criptográficos podem ser usados para alcançar diversos objetivos de segurança, como, por exemplo:" ... "não-repúdio: usando técnicas de criptografia para obter prova da ocorrência ou não ocorrência de umevento ou ação."C) Errado - Algoritmos de criptografia simétrica não possuem chave privada de usuário. - Os protocolos de troca de chaves utilizam técnicas criptográficas para proteger e compartilhar chaves.D) Errado Conforme a própria ISO: "... datas de ativação e desativação de chaves sejam definidas de forma que possam ser utilizadas apenas por um período de tempo LIMITADO"(ISO 27002 item 12.3.2)E) Errado O processo de autenticação pode ser conduzido utilizando-se certificados de chaves públicas que são normalmente emitidos por uma autoridade certificadora. (ISO 27002 item 12.3.2)
  • Considero dúbio a interpretação do item B, vejamos.
    1º -  Não repúdio refere-se à utilização de técnicas de criptografia para obter "prova da ocorrência" OU "não (prova) de um evento ou ação."
    2º -  Não repúdio refere-se à utilização de técnicas de criptografia para obter prova da ocorrência ou não de um evento ou ação.

    Acredito que as duas interpretações, segundo o português, são válidas... portanto deveria ser ANULADA.

  • não repúdio; usando técnicas de criptografia para obter evidência da ocorrência ou não ocorrência de um evento ou ação. Ou seja serve para comprovar que o evento de fato ocorreu ou não, evitando-se assim a negação de autoria. Não repúdio.

    Não vi motivo para ser anulada.

  • Letra B

     

    A informação está presente tanto na ISO 27002 de 2005 como na de 2013.

     

    Ressaltando que a Criptografia aparecia dentro da seção "12 Aquisição, desenvolvimento e manutenção de sistemas de informação" na antiga norma (2005).


    E agora aparece em uma seção específica para ela na nova norma (2013) "10 Criptografia".

     

    ISO 27002:2005
    12.3.1 Política para o uso de controles criptográficos
    Controles criptográficos podem ser usados para alcançar diversos objetivos de segurança, como, por exemplo:
    a) confidencialidade: usando a criptografia da informação para proteger informações sensíveis ou críticas, armazenadas ou transmitidas;
    b) integridade/autenticidade: usando assinaturas digitais ou códigos de autenticação de mensagens (MAC) para proteger a autenticidade e integridade de informações sensíveis ou críticas, armazenadas ou transmitidas;
    c) não-repúdio: usando técnicas de criptografia para obter prova da ocorrência ou não ocorrência de um evento ou ação.

     

    ISO 27002:2013
    10.1.1 Política para o uso de controles criptográficos
    Controles criptográficos podem ser usados para alcançar diferentes objetivos de segurança, como por exemplo:
    a)confidencialidade: usando a criptografia da informação para proteger informações sensíveis ou críticas, armazenadas ou transmitidas;
    b)integridade/autenticidade: usando assinaturas digitais ou códigos de autenticação de mensagens (MAC) para verificar a autenticidade ou integridade de informações sensíveis ou críticas, armazenadas ou transmitidas;
    c)não-repúdio: usando técnicas de criptografia para obter evidência da ocorrência ou não ocorrência de um evento ou ação.
    d)autenticação: usando técnicas criptográficas para autenticar usuários e outros sistemas que requeiram acesso para transações com usuários de sistemas, entidades e recursos.

  • LETRA B

    Belo trabalho Lucc O.

  • usando técnicas de criptografia para obter prova da ocorrência ou não ocorrência de um evento ou ação -> AUTENTICIDADE

    O não-repúdio é você não poder negar a autenticidade...

    O cespe treina a gente pra ser chato, depois não quer que sejamos chatos...

  • Uma coisa é importante entender, você não deve estudar para aprender o assunto, você deve estudar para acertar questões. FATO.

  • A) Controles criptográficos garantem a confidencialidade por meio da utilização de assinaturas digitais ou códigos de autenticação de mensagens (MAC), que protegem a autenticidade, originalidade, presteza e integridade de informações sensíveis ou críticas, armazenadas ou transmitidas.

    Comentário: No meio da Segurança nada é garantido, além disso, a criptografia gera a confidencialidade, já as assinaturas proveem autenticidade.

    B) Não repúdio refere-se à utilização de técnicas de criptografia para obter prova da ocorrência ou não de um evento ou ação.

    Gabarito, apesar da interpretação

    C) Técnicas criptográficas não podem ser utilizadas para proteger chaves criptográficas, pois existe sempre a ameaça de que seja forjada uma assinatura digital pela substituição da chave privada do usuário, em caso de utilização de criptografia simétrica.

    Comentário: Algoritmos de chaves públicas geralmente são utilizados para criptografar as chaves secretas dos algoritmos simétricos, os quais criptografam a informação.

    Assinatura Digital = criptografia assimétrica

    D) Datas de ativação e desativação de chaves devem ser definidas sem restrições de tempo e independentes das avaliações de risco.

    Comentário: O certo é com restrição de tempo, e quais medidas de segurança são tomadas com base na avaliação de riscos

    E) Além do gerenciamento seguro de chaves secretas e privadas, o processo de autenticação deve ser conduzido obrigatoriamente utilizando-se certificados de chave privada emitidos por autoridades certificadoras.

    Comentário: Certificado de chave pública