3219584 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: CVM

Provas:

Analista da CVM - TI/Infraestrutura e Segurança
Provas ×

GestãoSGSIISO 27001

A implementação de um sistema de gestão de segurança da informação (SGSI) baseado na ISO/IEC 27001 envolve diversos processos.

Durante o processo de avaliação de riscos da segurança, deve-se:

Provas

Questão presente nas seguintes provas

3219583 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: CVM

Provas:

Analista da CVM - TI/Infraestrutura e Segurança
Provas ×

Conceitos BásicosHardening
Conceitos BásicosPrincípiosConfidencialidade
Conceitos BásicosPrincípiosDisponibilidade
Conceitos BásicosPrincípiosIntegridade

A equipe de Tecnologia da Informação (TI) de um órgão realizou o processo de hardening nos ativos da organização para minimizar a possibilidade de acessos não autorizados, garantir a disponibilidade do serviço e assegurar a integridade dos dados, mantendo os sistemas estáveis e fidedignos.

Uma boa prática de hardening, baseada em IPV4, adotada pela equipe de TI é:

A

utilizar usuário comum para todos os administradores do ativo para reduzir a quantidade de usuários no sistema, visando a reduzir o acesso indevido e manter a confidencialidade;

B

manter o registro dos usuários sem suas respectivas permissões para preservar a confidencialidade;

C

manter a porta padrão do serviço, garantindo o seu acesso, a fim de preservar a integridade e disponibilidade do ativo;

D

desabilitar os protocolos de descoberta de vizinhança para impedir a inundação da rede com mensagens desnecessárias, mantendo a disponibilidade;

E

ativar serviços não utilizados para usá-los como honey pot no ambiente de produção, garantindo a disponibilidade do serviço principal.

Provas

Questão presente nas seguintes provas

3219582 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: CVM

Provas:

Analista da CVM - TI/Infraestrutura e Segurança
Provas ×

CriptografiaCriptografia Assimétrica
CriptografiaCriptografia Simétrica

João foi incumbido de implementar criptografia em seus sistemas de informação para aprimorar o nível de segurança na troca de informações sigilosas entre os analistas da CVM. Entre outras decisões, deve definir se e quando empregar os modelos de criptografia simétrica e assimétrica.

Para isso, é necessário levar em consideração que:

A

a criptografia assimétrica utiliza um par de chaves, em que a chave pública é usada para decriptação de mensagens encriptadas pela chave privada correspondente;

B

na criptografia assimétrica, a chave pública pode ser utilizada tanto para autenticação de uma mensagem encriptada pela chave privada correspondente, como para encriptação de mensagens, as quais só podem ser decriptadas pela chave privada correspondente;

C

para autenticação de mensagens na criptografia assimétrica, gera-se um hash da mensagem, que é encriptado com a chave pública, gerando uma assinatura digital;

D

a criptografia assimétrica veio substituir os algoritmos de criptografia simétrica, principalmente em grandes volumes de dados, em virtude de o esforço computacional envolvido na criptografia assimétrica ser normalmente muito menor;

E

a criptografia assimétrica e a simétrica coexistem, sendo a simétrica normalmente utilizada para compartilhar as chaves utilizadas na criptografia assimétrica.

Provas

Questão presente nas seguintes provas

3219581 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: CVM

Provas:

Analista da CVM - TI/Infraestrutura e Segurança
Provas ×

Análise de VulnerabilidadesPenetration Test (Pentest)
Frameworks e NormasCIS Controls

As recomendações de segurança CIS Critical Security Controls, estruturadas em camadas, envolvem à implementação de um conjunto de controles de segurança. Em sua versão 8, são compostas por 18 níveis ou controles macro.

Sobre esses controles, aquele que está definido corretamente de acordo com a especificação é o:

A

controle CIS 5: Gerenciamento de Controle de Acesso - visa a estabelecer e manter a configuração segura de ativos corporativos (dispositivos de usuário final, incluindo portáteis e móveis; dispositivos de rede; dispositivos não computacionais/IoT; e servidores) e software (sistemas operacionais e aplicativos);

B

controle CIS 7: Gerenciamento de Controle de Acesso - usa processos e ferramentas para atribuir e gerenciar a autorização de credenciais para contas de usuário, incluindo contas de administrador, bem como contas de serviço, para ativos e software corporativos;

C

controle CIS 1: Gerenciamento Contínuo de Vulnerabilidades - coleta, alerta, revisão e retenção de logs de auditoria de eventos que podem ajudar a detectar, entender ou se recuperar de um ataque;

D

controle CIS 11: Teste de Penetração - indica processos e ferramentas para estabelecer e manter monitoramento de rede abrangente e defesa contra ameaças de segurança em toda a infraestrutura de rede e base de usuários da empresa;

E

controle CIS 3: Proteção de dados - desenvolve processos e controles técnicos para identificar, classificar, manipular, reter e descartar dados com segurança

Provas

Questão presente nas seguintes provas

3219580 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: CVM

Provas:

Analista da CVM - TI/Infraestrutura e Segurança
Provas ×

GestãoSGSIISO 27001

A norma ISO/IEC 27001 é um padrão internacional que define requisitos a que um Sistema de Gestão de Segurança da Informação (SGSI) deve atender. Ela se divide em duas partes: o texto da norma em si, que descreve os requisitos de forma abrangente, e o Anexo A, mais detalhado e objetivo, que tem por função:

Provas

Questão presente nas seguintes provas

3219579 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: CVM

Provas:

Analista da CVM - TI/Infraestrutura e Segurança
Provas ×

Certificado DigitalAC: Autoridade Certificadora
Certificado DigitalAR: Autoridade Registradora
Certificado DigitalCarimbo de Tempo (Timestamping)

A Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil é uma cadeia hierárquica de confiança que viabiliza a emissão de certificados digitais para identificação virtual de cidadãos e de empresas.

Sobre a hierarquia da ICP-Brasil, é correto afirmar que:

A

a Autoridade Certificadora do Tempo (ACT) tem a responsabilidade geral pelo fornecimento do Carimbo do Tempo, que é o conjunto de atributos fornecidos pela parte confiável do tempo que, associado a uma assinatura digital, confere prova da sua existência em determinado período de tempo;

B

o Prestador de Serviço de Suporte (PSS) é responsável pela interface entre o usuário e a Autoridade Certificadora (AC), tendo por objetivo o recebimento, a validação e o encaminhamento de solicitações de emissão ou revogação de certificados digitais;

C

uma Autoridade Certificadora (AC) é uma entidade pública, subordinada à hierarquia da ICP-Brasil, responsável por emitir, distribuir, renovar, revogar e gerenciar certificados digitais;

D

a Autoridade de Registro (AR) verifica se as ACs estão atuando em conformidade com as diretrizes e normas técnicas estabelecidas pelo Comitê Gestor da ICP-Brasil;

E

os Prestadores de Serviço Biométrico (PSBios) gerenciam bancos de dados biométricos e emitem certificados digitais.

Provas

Questão presente nas seguintes provas

3215832 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TCE-GO

Provas:

Analista de Controle Externo - TI
Provas ×

AAA: Autenticação, Autorização e AuditoriaFatores de Autenticação2FA e MFA

Indique a opção que descreve corretamente a autenticação em múltiplos fatores.

A

Determinar as permissões de acesso dos usuários baseadas em seus papéis dentro da organização.

B

Registrar todas as tentativas de acesso ao sistema para revisão futura pela equipe de segurança.

C

Minimizar o risco de acesso não autorizado ao exigir que os usuários forneçam múltiplas formas de verificação de identidade.

D

Definir claramente as permissões de acesso para diferentes grupos de usuários, como desenvolvedores e gerentes de projeto.

E

Permitir que a equipe de segurança monitore e revise as atividades de acesso dos usuários regularmente.

Provas

Questão presente nas seguintes provas

3215831 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TCE-GO

Provas:

Analista de Controle Externo - TI
Provas ×

Certificado Digital
CriptografiaCriptografia Assimétrica
CriptografiaCriptografia Simétrica

Analise as afirmativas a seguir sobre criptografia assimétrica e simétrica, certificados digitais e assinaturas digitais:

I. A criptografia simétrica utiliza a mesma chave para cifrar e decifrar uma mensagem, desde que a chave seja compartilhada de maneira segura entre as partes.

II. Certificados digitais são utilizados para vincular apenas a chave privada a uma identidade, permitindo que terceiros confiem na autenticidade da chave.

III. Assinaturas digitais utilizam a criptografia assimétrica para garantir a integridade e autenticidade de uma mensagem, mas não a confidencialidade do conteúdo.

Está correto o que se afirma em

Provas

Questão presente nas seguintes provas

3215827 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TCE-GO

Provas:

Analista de Controle Externo - TI
Provas ×

GestãoSGSIISO 27001
GestãoSGSIISO 27002
Segurança LógicaSIEM: Security Information and Event Management

A ABNT NBR ISO/IEC 27001:2022, NBR ISO/IEC 27002:2022, os CIS v8, SIEM, e a Lei nº 13.709(LGPD) são algumas das diversas normas e leis que trabalham conjuntamente para assegurar a integridade, confidencialidade e disponibilidade dos dados no contexto da segurança da informação.

Assinale a opção que descreve corretamente uma contribuição combinada dessas leis e normas.

A

Apenas a implementação da LGPD é suficiente para garantir a conformidade legal e a segurança da informação, tornando as outras normas e controles redundantes.

B

O ponto chave dos Sistemas de Gerenciamento de Informações e Eventos de Segurança (SIEM) oferecer somente práticas de segurança pessoal em tempo real que deve ser combinado as demais normas e leis.

C

As normas ABNT NBR ISO/IEC estabelecem os requisitos gerais de segurança, a LGPD foca na proteção de dados pessoais, e os SIEM proporcionam a visão e controle operacionais necessários.

D

A adoção dos CIS Critical Security Controls v8 cobre os requisitos de segurança e as normas ABNT NBR ISO/IEC fornecem o complemento no que se refere a proteção de dados pessoais.

E

A ABNT NBR ISO/IEC 27001:2022 e a 27002:2022 são as únicas que fornecem uma abordagem baseada em risco que utilizará os outros mecanismos para organizar e controlar os sistemas de segurança.

Provas

Questão presente nas seguintes provas

3215811 Ano: 2024
Disciplina: TI - Segurança da Informação
Banca: FGV
Orgão: TCE-GO

Provas:

Analista de Controle Externo - TI
Provas ×

Auditoria e Compliance
GestãoGestão de RiscosSegregação de Funções
GestãoPolíticas de Segurança de Informação

Assinale a opção que, em uma organização, descreve o objetivo principal dos controles de segregação das funções nos processos de definição, implantação e gestão de políticas de TI.