Questões de Concurso Sobre segurança da informação
Foram encontradas 10.117 questões
Acerca da NBR ISO/IEC 27001:2013 e de sua aplicabilidade no sistema de gestão da segurança da informação (SGSI), julgue o item que se segue.
A referida norma exige, por sua própria natureza, formalidade,
documentação e organização da área de segurança da
informação.
Acerca da NBR ISO/IEC 27001:2013 e de sua aplicabilidade no sistema de gestão da segurança da informação (SGSI), julgue o item que se segue.
As decisões táticas e operacionais para avaliação de risco
devem ser descritas como processos relacionados a integridade
e confidencialidade. A disponibilidade não possui risco
operacional, logo não são descritas por esse processo.
Em relação à política de segurança da informação e à gestão de continuidade do negócio, julgue o item a seguir.
As normas relativas ao controle de acesso aos sistemas
corporativos das instituições são definidas dentro da política de
segurança da informação.
Em relação à política de segurança da informação e à gestão de continuidade do negócio, julgue o item a seguir.
A política de informação deve ser escrita e assinada pelo chefe
da SOC (security operation center), responsável máximo pela
informação organizacional, que, durante a escrita desse
documento, deverá ouvir as demais áreas institucionais,
de modo a incrementar a audiência e o entendimento
do funcionamento da organização.
Em relação à política de segurança da informação e à gestão de continuidade do negócio, julgue o item a seguir.
Política de segurança pode ser definida como um documento
que estabelece princípios, valores, compromissos, requisitos,
orientações e responsabilidades sobre o que deve ser feito para
se alcançar um padrão desejável de proteção das informações.
Julgue o próximo item, a respeito de métodos de mitigação de ataques e vulnerabilidades.
The heartbleed bug é uma vulnerabilidade grave encontrada no
OpenSSL, e pode ser mitigada pela atualização do OpenSSL,
pela revogação das chaves que tenham indicação de estarem
comprometidas e pela emissão e distribuição de novas chaves.
Julgue o próximo item, a respeito de métodos de mitigação de ataques e vulnerabilidades.
Como método de segurança contra ataques aos serviços
de DNS (domain name system), recomenda-se segmentar
os servidores em autorativos e recursivos, bloqueando o acesso
oriundo dos servidores recursivos à Internet.
No que se refere aos ataques de negação de serviço, julgue o item que se segue. Nesse sentido, considere que a sigla DDoS, sempre que utilizada, se refere ao ataque Distributed Denial of Service.
Ataques de DDoS fundamentados em UDP flood fragment
podem ocorrer como consequência de ataques de DDoS
de NTP (network time protocol) ou SNMP (simple network
management protocol), a partir do momento em que os pacotes
gerados ultrapassem o MTU (maximum transmission unit)
definido na rede local.
No que se refere aos ataques de negação de serviço, julgue o item que se segue. Nesse sentido, considere que a sigla DDoS, sempre que utilizada, se refere ao ataque Distributed Denial of Service.
Ataques de negação de serviço SYN floods, fundamentados no
protocolo UDP, são caracterizados pelo envio de diversos
pacotes com a flag SYN ativa, o que faz com que o dispositivo
vítima aloque recursos desnecessariamente.
No que se refere aos ataques de negação de serviço, julgue o item que se segue. Nesse sentido, considere que a sigla DDoS, sempre que utilizada, se refere ao ataque Distributed Denial of Service.
Ataques de DDoS fundamentados em HTTP_GET e HTTP_POST
estão cada vez mais complexos, devido à utilização de técnicas
de randomização e encodificação. As ferramentas
convencionais, como IPS (intrusion prevention systems), não
são efetivos para mitigação desses ataques.
No que se refere aos ataques de negação de serviço, julgue o item que se segue. Nesse sentido, considere que a sigla DDoS, sempre que utilizada, se refere ao ataque Distributed Denial of Service.
Ataques refletivos de DDoS de NTP têm como objetivo
indisponibilizar os serviços de NTP pelo mundo, atrasando-os
em uma hora, o que gera inconsistências nos horários
registrados pelos logs e nas trocas de mensagens.
No que se refere aos ataques de negação de serviço, julgue o item que se segue. Nesse sentido, considere que a sigla DDoS, sempre que utilizada, se refere ao ataque Distributed Denial of Service.
Ataques DDoS de fragmentação de pacotes, tanto em TCP
quanto em UDP, são um desafio a qualquer sistema de
proteção de rede, pelo fato de os pacotes não chegarem
ordenados e as informações relativas às portas de origem e
destino serem disponibilizadas apenas no último pacote.
No que se refere aos ataques de negação de serviço, julgue o item que se segue. Nesse sentido, considere que a sigla DDoS, sempre que utilizada, se refere ao ataque Distributed Denial of Service.
Ataques Xmas-DDoS (christmas tree packets) são
caracterizados pela inundação de pacotes ICMP tipo 8 em uma
rede de dados.
Em relação à criptografia e às funções criptográficas, julgue o item subsecutivo.
Na comunicação de um usuário com um servidor web
de certificado SSL (secure socket layer) autoassinado, não é
possível a confirmação da autenticidade do certificado,
de modo que esse tipo de comunicação é considerado inseguro.
Em relação à criptografia e às funções criptográficas, julgue o item subsecutivo.
A função criptográfica hash pode ser utilizada para ofuscar
senhas em aplicações. O algoritmo md5 é considerado seguro,
quando comparado ao SHA-2, devido a sua baixa taxa de
colisões e à baixa quantidade de rainbow tables associadas.
Em relação à criptografia e às funções criptográficas, julgue o item subsecutivo.
AES, Twofish e 3DES são exemplos de cifras utilizadas
na criptografia simétrica.
Julgue o item seguinte, relativo ao risco de segurança da informação.
O processo de gestão de riscos de segurança da informação
consiste na definição de contexto, processo de avaliação,
tratamento, aceitação, comunicação e consulta, monitoramento
e análise crítica de risco.
Julgue o item seguinte, relativo ao risco de segurança da informação.
Critérios de avaliação de risco, de impacto, de auditoria
e de aceitação do risco incluem-se entre os critérios básicos
para gestão de risco à informação.
Julgue o item seguinte, relativo ao risco de segurança da informação.
São critérios de impactos à segurança da informação o dano
à reputação, os níveis de classificação de ativo de informação
afetado e o não cumprimento de prazos.
Julgue o item subsequente a respeito das tecnologias de firewalls, IDS (intrusion detection system) e virtualização.
Os NFGW (next generation firewalls) se diferenciam dos
firewalls UTM (unified threat management), entre outras
características, pelo uso da tecnologia DPI (deep packet
inspection), que analisa pacotes de dados até a camada de
aplicação, e por trazer inteligência externa aos firewalls.
Conheça nossos planos