É essencial que uma organização identifique os seus requisitos de segurança da informação. De acordo com as normas ISO 27002, uma das três fontes principais desses requisitos é a(o)

Segundo a Norma ISO 27002, os controles criptográficos têm por objetivo proteger a confidencialidade, a autenticidade ou a integridade das informações por meios criptográficos. Para alcançar esse objetivo, a norma ISO 27002 sugere que se desenvolva uma política para o uso dos controles criptográficos e que se implante um sistema de gerenciamento de chaves. Entre as inúmeras ações adequadas para fazer parte desse processo, devem ser incluídas ações para

Considere os conceitos a seguir no contexto das normas ISO 27002 sobre Segurança da Informação.

I - Diretriz é a descrição que determina o que deve ser feito para se alcançarem os objetivos estabelecidos nas políticas.

II - Evento de segurança da informação é a ocorrência identificada de um sistema, um serviço ou uma rede que indica uma possível violação da política de segurança da informação ou falha de controles.

III - Risco é a soma das probabilidades de um evento e de suas consequências.

IV - Vulnerabilidade é a fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

Estão corretos APENAS os conceitos

A política de segurança de uma empresa deve conter diretrizes para a realização de cópias de segurança das informações. As normas ISO 27002 orientam a construção dessas diretrizes. Nesse contexto, nas instruções para prover segurança na geração das cópias de segurança, devem estar incluídos procedimentos para

Uma vez que as VPNs (Virtual Private Networks) não utilizam linhas dedicadas nem links de rede remota e os dados corporativos precisam atravessar a Internet, as VPNs devem fornecer mecanismos para garantir a segurança dos dados. Os protocolos CHAP e RADIUS são utilizados pelas VPNs para fornecer

Analise o texto a seguir.

Ato de averiguar a identidade de uma entidade do sistema (por exemplo, usuário, sistema, ponto de rede) e a elegibilidade da entidade para acessar a informação disponível em computadores. Designado para proteção contra atividades fraudulentas no logon, esse ato também pode se referir à verificação da correção de um dado.

O texto acima trata do conceito de

Durante um treinamento sobre a NBR/ISO 27002:2005, um palestrante fez as afirmativas, a respeito das orientações descritas na norma, apresentadas a seguir.

I - A Norma define uma série de indicadores chaves de desempenho, relacionados à segurança, que devem ser avaliados e utilizados para melhoria dos processos.

II - Convém que, adicionalmente à notificação de eventos de segurança da informação e fragilidades, o monitoramento de sistemas, alertas e vulnerabilidades seja utilizado para a detecção de incidentes de segurança da informação.

III - Convém que os usuários sejam alertados para usar diferentes senhas de qualidade para cada um dos serviços, caso necessitem acessar múltiplos serviços, sistemas ou plataformas, e sejam requeridos para manter separadamente múltiplas senhas, já que o usuário estará assegurado de que um razoável nível de proteção foi estabelecido para o armazenamento da senha em cada serviço, sistema ou plataforma.

Está(ão) correta(s) a(s) afirmativas(s)

Para a NBR/ISO 27002:2005, convém que a análise crítica da política de segurança da informação leve em consideração os resultados da análise crítica pela direção.

Convém ainda que as saídas da análise crítica pela direção incluam quaisquer decisões e ações relacionadas às melhorias:

I - do enfoque da organização para gerenciar a segurança da informação e seus processos.

II - dos controles e dos objetivos de controles.

III - na alocação de recursos e/ou de responsabilidades.

Pela norma, deve(m) ser considerada(s) a(s) melhoria(s)

Duas entidades, P e Q, desejam se comunicar por meio de um canal seguro e, para isso, decidem utilizar uma terceira entidade de confiança, X, para a criação deste canal. Ambas as entidades já possuem a chave pública de X e confiariam em uma assinatura dessa entidade.

Nesse contexto, considere os seguintes passos executados para a estabelecimento do canal:

1. P requisita a X a chave pública de Q.

2. X pega a chave pública verificada de Q, nos seus bancos de dados, e assina essa chave atestando sua legitimidade.

3. X envia para P a chave junto com a assinatura.

4. P verifica a assinatura de X, certifica-se de que tudo está correto e aceita essa chave de Q como autêntica.

5. P usa sua chave particular para encriptar a chave pública de Q e envia o resultado para Q.

6. Q usa sua chave particular para desencriptar a chave enviada por P.

7. P e Q passam a usar um algoritmo simétrico com a chave enviada por P para trocar as mensagens.

Considerando os objetivos de P e Q e analisando os passos por eles executados, conclui-se que, para atender às necessidades de P e Q

Considere o seguinte pseudocódigo que está sendo elaborado para um algoritmo criptográfico, no qual message é o texto de entrada.

//Definir r
var int[64] r, k
r[ 0..15] := {7, 12, 17, 22, 7, 12, 17, 22, 7, 12, 17, 22, 7, 12, 17, 22}
r[16..31] := {5, 9, 14, 20, 5, 9, 14, 20, 5, 9, 14, 20, 5, 9, 14, 20}
r[32..47] := {4, 11, 16, 23, 4, 11, 16, 23, 4, 11, 16, 23, 4, 11, 16, 23}
r[48..63] := {6, 10, 15, 21, 6, 10, 15, 21, 6, 10, 15, 21, 6, 10, 15, 21}

//Utilizar a parte inteira dos senos de inteiros como constantes:
for i from 0 to 63
k[i] := floor(abs(sin(i + 1)) × 2^32)

//Iniciar as variáveis:
var int h0 := 0x67452301
var int h1 := 0xEFCDAB89
var int h2 := 0x98BADCFE
var int h3 := 0x10325476

//Pré-processamento:
append “1” bit to message
append “0” bits until message length in bits a” 448 (mod 512)
append bit length of message as 64-bit little-endian integer to message

//Processar a mensagem em pedaços sucessivos de 512-bits:
for each 512-bit chunk of message
break chunk into sixteen 32-bit little-endian words w(i), 0 d” i d” 15

//Inicializar o valor do hash para este pedaço:
var int a := h0
var int b := h1
var int c := h2
var int d := h3

//Loop principal:
for i from 0 to 63
if 0 d” i d” 15 then
f := (b and c) or ((not b) and d)
g := i
else if 16 d” i d” 31
f := (d and b) or ((not d) and c)
g := (5×i + 1) mod 16
else if 32 d” i d” 47
f := b xor c xor d
g := (3×i + 5) mod 16
else if 48 d” i d” 63
f := c xor (b or (not d))
g := (7×i) mod 16

temp := d
d := c
c := b
b := ((a + f + k[i] + w(g)) leftrotate r[i]) + b
a := temp

//Adicionar este pedaço do hash ao resultado:
h0 := h0 + a
h1 := h1 + b
h2 := h2 + c
h3 := h3 + d

var int digest := h0 append h1 append h2 append h3

Sobre este algoritmo é INCORRETO afirmar que