SóProvas

ID
205498
Banca
FEPESE
Órgão
SEFAZ-SC
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Cada vez mais as organizações e seus sistemas de informação e redes enfrentam ameaças de segurança vindas das mais diversas fontes.

Em relação ao gerenciamento de riscos, assinale a alternativa correta.

Alternativas
Comentários

  • a) Conceito de ameça e não de risco.

    b) Não são apenas os atos intencionais que são analisados. Qualquer ato, mesmo que seja não intencional, que possa ameaçar a segurança deverá ser analisado.

    c) O ataque smurf é ativo e visa provocar um DoS.

    d) DoS não viola a confidencialidade  e worms nada tem a ver com Dos.

  • A letra (E) é bastante discutível, uma vez que a norma 27.001 define os requisitos para implantar um Sistema de gestão de Segurança da Informação. Quem define boas práticas e norma 27.002.

  • Caro ' pedro jose',

    O gerenciamento de riscos baseia-se em princípios e boas práticas de gerenciamento e segurança para auxiliar na tomada de decisões estratégicas.
    No contexto da letra (E) o examinador refere-se a 'gerenciamento de riscos' de uma maneira genérica e não a uma norma específica. Portanto, correta a afirmação.
    Dentre as boas práticas, destaca-se a norma ISO 27001 que define o modelo PDCA (Plan-Do-Check-Act), um procedimento cíclico para gestão da segurança da informação
    Aqui não há o que discutir, pois a norma 27001 estabelece um SGSI (Sistema de Gestão de Segurança da Informação) que deve ser implementado através do ciclo PDCA para melhoria contínua.
  • Complementando o que Thiago falou, preciso falar uma coisa que muita gente esquece. A Norma ISO/IEC 27001 tem em seu anexo A todos os objetivos de controle da 27002. Ou seja, no fringir dos ovos, a 27001 define um SGSI e tem ainda todos o controles que devem ser implementados.

    Trecho da norma 27001 que se refere ao anexo A:

    Os objetivos de controle e controles listados na tabela A.1 são derivados diretamente e estão alinhados com
    aqueles listados na ABNT NBR ISO/IEC 17799:2005 – seções 5 a 15.


    Bons estudos a todos.
  • O foco da ISO 27001 é um conjunto de controles para serem utilizados na auditoria da segurança da informação.

    a norma que cobre as boas práticas é a ISO 27002.

    a letra E está meio dubia... mas diante das outras todas serem claramente falsas... marcaria E
  • Até onde eu sei, a ISO 27001 não trata de boas práticas, e sim de controles que DEVEm ser implementados. Boas práticas são da norma 27002.

    Portanto a letra E é duvidosa não?

    Alguem comenta ?!

    Abc
  • O que a letra e) quis dizer: É uma boa prática de segurança e de gerenciamento adotar a Norma ISO 27001 para o gerenciamento de riscos e a gestão de segurança da informação. Isso está correto e é diferente de dizer que a Norma ISO 27001 seja um guia de boas práticas.
  • a) De acordo com o PMBok, RISCO é um evento/condição INCERTA que , se ocorrer, terá um efeito POSITIVO ou NEGATIVO em pelo menos um objetivo do projeto. Um risco não é necessáriamente algo ruim.
    b) Riscos podem ser intensionais ou acidentais.
    c) O ataque smurf é DoS. Porém as respostas aos pings são eviadas não para o computador do atacante e sim da vítima. O ataque a portar TCP abertas é o scanner de portas.
    d) Os ataques DoS violam a DISPONIBILIDADE somente.
    e) Correto.
  •  a) Risco é qualquer circunstância ou evento com o potencial intencional ou acidental de explorar uma vulnerabilidade específica, resultando na perda de confidencialidade, integridade ou disponibilidade.

    Errado. Esta é a definição de ameaça, não de risco. A série ISO 27000 define risco como a probabilidade e consequência de ocorrência de um evento de segurança potencialmente danoso à instituição, como a exploração de uma vulnerabilidade de algum ativo por alguma ameaça natural, intencional ou acidental.
     
     b) Durante a análise de riscos, um especialista faz uso sistemático da informação para identificar as fontes (ameaças e vulnerabilidades) e estimar o risco (determinação de probabilidades e análise de impactos). Na avaliação de riscos, somente atos intencionais que podem produzir violações de segurança são analisados.

    Errado. A primeira parte da proposta é correta, mas a avaliação de risco, conforme a ISO 27005 (link aqui), deve ser feita sobre possíveis atos intencionais, acidentais ou naturais.
     
     c) O ataque smurf é classificado como um ataque passivo, uma vez que este é caracterizado pelo envio de pacotes ICMP falsificados com o objetivo de identificar vulnerabilidades na rede, tais como portas TCP abertas.

    Errado. A questão descreve mapeamento de rede. No smurff, o atacante manda um ping para diversas máquinas simultaneamente, mas solicitando resposta para a máquina atacada:

     d) Os perigosos ataques de negação de serviço (Denial of Service - DoS) visam violar duas propriedades de segurança - a disponibilidade e a confidencialidade. Ataques por inundação (flooding), por reflexão e ataques que exploram vulnerabilidades específicas, como os worms, são exemplos de ataques DoS.

    Errado. A negação de serviço viola disponibilidade, mas a confidencialidade da informação pode ser mantida por outros métodos, como criptografia. 
     
     e) O gerenciamento de riscos baseia-se em princípios e boas práticas de gerenciamento e segurança para auxiliar na tomada de decisões estratégicas. Dentre as boas práticas, destaca-se a norma ISO 27001 que define o modelo PDCA (Plan-Do-Check-Act), um procedimento cíclico para gestão da segurança da informação

    Ok. Não procurei saber por que a questão foi anulada, mas n me parece haver nada errado com esta alternativa. 

  • Asdrubal, quem fala de boas práticas eh a 02!