Prova Completa: Analista de Sistemas - Segurança da Informação (INFRAERO - FCC

149076 Ano: 2011
Disciplina: TI - Segurança da Informação
Banca: FCC
Orgão: INFRAERO

Provas:

Analista de Sistemas - Segurança da Informação
Provas ×

Conceitos BásicosTerminologiaAmeaça
Conceitos BásicosTerminologiaRisco
Conceitos BásicosTerminologiaVulnerabilidade
Conceitos BásicosTerminologiaImpacto

Os indicadores determinantes na análise qualitativa de riscos são representados apenas por

Provas

Questão presente nas seguintes provas

149075 Ano: 2011
Disciplina: TI - Segurança da Informação
Banca: FCC
Orgão: INFRAERO

Provas:

Analista de Sistemas - Segurança da Informação
Provas ×

GestãoGestão de Continuidade de NegóciosBIA: Análise de Impacto nos Negócios
GestãoGestão de Continuidade de NegóciosPCN: Plano de Continuidade de Negócios
GestãoGestão de RiscosAnálise de Riscos

O Plano de Continuidade do Negócio

A

não precisa ser testado antes que se torne realmente necessário, pois testes por si só implicam em riscos aos ativos de informação.

B

deve ser elaborado com base em premissas departamentais particulares do que é considerado importante ou não.

C

prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco.

D

define uma ação de continuidade imediata e temporária.

E

precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a responsabilidade de alguém como os processos organizacionais.

Provas

Questão presente nas seguintes provas

149074 Ano: 2011
Disciplina: TI - Segurança da Informação
Banca: FCC
Orgão: INFRAERO

Provas:

Analista de Sistemas - Segurança da Informação
Provas ×

GestãoGestão de RiscosAnálise de Riscos
GestãoGestão de RiscosTratamento de Riscos
GestãoSGSIISO 27002

De acordo com a ISO/IEC 27002:2005, para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento do risco precisa ser tomada. Uma possível opção para o tratamento do risco NÃO inclui

A

transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.

B

evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos.

C

conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação de risco.

D

ignorar os riscos, pois os possíveis problemas causados impactam em um custo menor do que o necessário para o seu tratamento.

E

aplicar controles apropriados para reduzir os riscos.

Provas

Questão presente nas seguintes provas

149073 Ano: 2011
Disciplina: TI - Segurança da Informação
Banca: FCC
Orgão: INFRAERO

Provas:

Analista de Sistemas - Segurança da Informação
Provas ×

GestãoSGSIISO 27001

A norma ISO/IEC 27001:2006 trata

A

da gestão de riscos em sistemas de gestão da segurança da informação.

B

de requisitos de sistema de gestão da segurança da informação, métricas e medidas, e diretrizes para implementação.

C

de requisitos para auditoria e certificação de um sistema de gestão da segurança da informação.

D

das recomendações de controles para segurança da informação da antiga ISO/IEC 17799.

E

do modelo conhecido como Plan-Do-Check-Act (PDCA), que é adotado para estruturar todos os processos do sistema de gerenciamento da segurança da informação.

Provas

Questão presente nas seguintes provas

149072 Ano: 2011
Disciplina: TI - Segurança da Informação
Banca: FCC
Orgão: INFRAERO

Provas:

Analista de Sistemas - Segurança da Informação
Provas ×

GestãoGestão de RiscosISO 27005: Gestão de Riscos de Segurança da Informação

De acordo com a ISO/IEC 27005:2008, as opções completas para tratamento do risco são: mitigar (risk reduction),

A

ignorar (risk ignore), evitar (risk avoidance) e transferir (risk transfer).

B

aceitar (risk retention), evitar (risk avoidance) e transferir (risk transfer).

C

ignorar (risk ignore), aceitar (risk retention), evitar (risk avoidance) e transferir (risk transfer).

D

aceitar (risk retention), evitar (risk avoidance), transferir (risk transfer) e ocultar (risk hide).

E

evitar (risk avoidance) e transferir (risk transfer).

Provas

Questão presente nas seguintes provas

149071 Ano: 2011
Disciplina: TI - Segurança da Informação
Banca: FCC
Orgão: INFRAERO

Provas:

Analista de Sistemas - Segurança da Informação
Provas ×

GestãoSGSIISO 27001

No que se refere às responsabilidades da direção descritas na norma ISO/IEC 27001:2006, analise:

I. A direção deve fornecer evidência do seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do Sistema de Gestão da Segurança da Informação mediante a definição de critérios para aceitação de riscos e dos níveis de riscos aceitáveis.
II. A organização deve determinar e prover os recursos necessários para assegurar que os procedimentos de segurança da informação apoiem os requisitos de negócio.
III. A organização deve assegurar que todo o pessoal que tem responsabilidades atribuídas definidas no Sistema de Gestão da Segurança da Informação seja competente para desempenhar as tarefas requeridas, avaliando a eficácia das ações executadas.
IV. A organização deve determinar e prover os recursos necessários para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão da Segurança da Informação.

Está correto o que consta em

Provas

Questão presente nas seguintes provas

149050 Ano: 2011
Disciplina: TI - Segurança da Informação
Banca: FCC
Orgão: INFRAERO

Provas:

Analista de Sistemas - Segurança da Informação
Provas ×

GestãoPolíticas de Segurança de Informação
Proteção de Dados

Ao escrever e implementar uma política se segurança da informação, a organização cria mecanismos para orientar o comportamento das pessoas, o que se dará pela imposição de restrições e pela determinação de condutas obrigatórias. Apesar da melhor das intenções, os direitos das pessoas, de outras organizações e mesmo do Estado, poderão ser infringidos inadvertidamente. Ao se definir uma política de segurança da informação, no que diz respeito à legislação, é INCORRETO afirmar:

A

O uso de criptografia, quer seja para o armazenamento quer para a transferência de informação, deve estar de acordo com as leis do país, pois pode haver restrições quanto à exportação ou importação de determinados algoritmos criptográficos.

B

A organização deve empenhar esforços no sentido de se manter um inventário de seus ativos de informação, sobretudo de obras protegidas pelo direito de propriedade intelectual.

C

A política de segurança da informação deve evidenciar a posição contrária da empresa a qualquer violação de propriedade intelectual.

D

Deve-se identificar todas as leis, normas, estatutos, regulamentos e até mesmo recomendações que se aplicam ao negócio.

E

Deve-se proteger as informações dos colaboradores, fornecedores e clientes, que não podem ser cedidas em hipótese alguma.

Provas

Questão presente nas seguintes provas

149047 Ano: 2011
Disciplina: TI - Segurança da Informação
Banca: FCC
Orgão: INFRAERO

Provas:

Analista de Sistemas - Segurança da Informação
Provas ×

Controle de AcessoModelos de Controle de Acesso

Com relação aos mecanismos de controle de acesso,

A

o Role-Based Access Control (RBAC) é um mecanismo de controle de acesso em que cada usuário é associado a um nível de segurança e que permite ao proprietário do recurso decidir quem tem permissão de acesso em determinado recurso e qual privilégio ele terá.

B

no Discretionary Access Control (DAC), a política de acesso é determinada pelo sistema e não pelo proprietário do recurso. Cada usuário é associado a um nível de segurança, isto é, o potencial de risco que poderia resultar de um acesso não autorizado a informação.

C

o Mandatory Access Control (MAC) é um mecanismo de controle de acesso em que as permissões são associadas a papéis e os usuários são mapeados para esses papéis.

D

o Role-Based Access Control (RBAC) possibilita ao administrador de sistema criar papéis, definir permissões para esses papéis e, então, associar usuários para os papéis com base nas responsabilidades associadas a uma determinada atividade.

E

o Discretionary Access Control (DAC) possibilita uma grande flexibilidade e facilidade do ajuste do controle de acesso à medida que ocorrem mudanças no ambiente.

Provas

Questão presente nas seguintes provas

149039 Ano: 2011
Disciplina: TI - Segurança da Informação
Banca: FCC
Orgão: INFRAERO

Provas:

Analista de Sistemas - Segurança da Informação
Provas ×

Análise de VulnerabilidadesAnálise de Tráfego e Logs
Ataques e Golpes e AmeaçasAtaques à Redes sem Fio

Sobre segurança em redes sem fio,

A

a única maneira de detectar falsos concentradores é avaliando a que distância se encontram em relação à estação de monitoramento.

B

os concentradores podem ser úteis para prover monitoramento do tráfego, o que é suficiente para identificar qualquer tipo de ataque.

C

o correto monitoramento do ambiente de rede é uma das ações de segurança mais importantes e deve ter prioridade sobre os demais processos de segurança.

D

o monitoramento de rede pode detectar os pontos de falha, mas não poderão explicar como um determinado ataque, bem sucedido ou não, ocorreu.

E

o administrador deve monitorar apenas os padrões em uso no ambiente.

Provas

Questão presente nas seguintes provas

149021 Ano: 2011
Disciplina: TI - Redes de Computadores
Banca: FCC
Orgão: INFRAERO

Provas:

Analista de Sistemas - Segurança da Informação
Provas ×

Transmissão de DadosPadrões IEEE 802IEEE 802.11: Wireless LAN

Representam fragilidades de segurança em redes sem fio, EXCETO:

A

A maioria dos concentradores vem com serviço SNMP habilitado, e isso pode ser usado por um atacante, pois revela uma vasta gama de informações sobre a rede em questão.

B

A maioria dos equipamentos saem de fábrica com senhas de administração e endereço IP padrão. Caso estes não sejam trocados, poderão permitir a um atacante que se utilize delas em uma rede-alvo.

C

A alta potência dos equipamentos pode permitir que um atacante munido de uma interface de maior potência receba o sinal a uma distância não prevista pelos testes.

D

O posicionamento de determinados componentes de rede pode comprometer o bom funcionamento da rede e facilitar o acesso não autorizado e outros tipos de ataque.

E

Os métodos de segurança WEP são completamente vulneráveis por possuírem chaves WEP pré-configuradas que não podem ser modificadas.