Analista Do Seguro Social 2013 Tecnologia Da Informacao em Exercicios Aula 07 Parte I PDF

TI EM EXERCCIOS P/ INSS
Conhecimentos especficos - Formao em Tecnologia da Informao (TEINF)
AULA 7 SEGURANA DA INFORMAO

Ol amigos do Ponto dos Concursos, tudo bem!
Nessa aula, abordaremos os principais pontos da norma ABNT NBR ISO/IEC

17799:2005 (renumerada para ABNT NBR ISO/IEC 27002) e demais tpicos
de segurana do edital, com destaque para os conceitos mais cobrados nos
ltimos certames.
Desde 2006 fao parte do Comit Brasileiro de Processamento de Dados
responsvel pela criao das normas de segurana no mbito brasileiro, sob a
coordenao da ABNT. Estou, inclusive, neste momento, auxiliando colegas da
ABNT no processo de reviso da ABNT NBR ISO/IEC 27002.
Resumidamente, cabe destacar que toda norma ao ser criada/traduzida passa
por uma srie de revises junto ao comit, em seguida encaminhada para
consulta pblica e s ento a verso oficial homologada publicada e vendida
diretamente pela ABNT.
Que Deus os abenoe, e vamos ao que interessa !!
Profa Patrcia Lima Quinto
Twitter: http://www.twitter.com/pquintao
Facebook: http://www.facebook.com/professorapatriciaquintao (Aguardo
vocs por l!)
Instagram: @patriciaquintao
#professorapatriciaquintao
Profa. Patrcia Lima Quinto
www.pontodosconcursos.com.br
1 de 117
Contedo desta Aula
Pgina
Reviso em tpicos e palavras-chave (MEMOREX).
02
Lista de Questes Comentadas.
35
Lista das Questes Apresentadas na Aula.
99
Gabarito.
115
Acompanhe a evoluo do seu aproveitamento.
117
Norma ABNT NBR ISO/IEC 27002:2005

A ABNT NBR ISO/IEC 17799:2005 (renumerada para ABNT NBR ISO/IEC
27002) estabelece diretrizes e princpios gerais para iniciar,
implementar, manter e melhorar a gesto de segurana da informao
em uma organizao.
Os objetivos definidos nesta norma proveem diretrizes gerais sobre as

metas geralmente aceitas para a gesto da segurana da informao.
importante destacar que o grupo internacional JTC1/SC27, formado pelas
organizaes ISO e IEC, criou em 2000 a norma ISO/IEC 17799 baseada na
primeira parte da norma britnica BS 7799. Esse grupo promoveu a reviso da
ISO/IEC 17799, renomeando-a para ISO/IEC 17799:2005. Posteriormente, a
ABNT NBR ISO/IEC 17799:2005 foi renumerada para NBR ISO/IEC
27.002, conforme quadro a seguir.
2 de 117
As principais sees da norma ABNT NBR ISO IEC 17799:2005

(renumerada para ABNT NBR ISO/IEC 27002) so as seguintes:
0. Introduo
1. Objetivo
2. Termos e definies
3. Estrutura da norma
4. Anlise/avaliao e tratamento de riscos
5. Poltica de segurana da informao
6. Organizando a segurana da informao
7. Gesto de ativos
8. Segurana em recursos humanos
9. Segurana fsica e do ambiente
10. Gerenciamento das operaes e comunicaes
11. Controle de acesso.
12. Aquisio, desenvolvimento e manuteno de
informao
13. Gesto de incidentes de segurana da informao
14. Gesto da continuidade do negcio
15. Conformidade
sistemas
de
Conforme visto na tabela seguinte, a norma contm 11 sees de controles

de segurana, totalizando 39 categorias principais de segurana e uma
seo introdutria que aborda a anlise/avaliao e o tratamento de
riscos.
3 de 117
No h uma receita ou lista padro de vulnerabilidades. Esta deve ser

levantada junto a cada organizao ou ambiente. Sempre se deve ter em
mente o que precisa ser protegido e de quem precisa ser protegido de acordo
com as ameaas existentes. Podemos citar, como exemplo inicial, uma anlise
de ambiente em uma sala de servidores de conectividade e Internet com a
seguinte descrio: a sala dos servidores no possui controle de acesso fsico!!
Eis a vulnerabilidade detectada nesse ambiente.
Outros exemplos de vulnerabilidades:
ambientes com informaes sigilosas

com acesso no controlado;
hardware
sem
o
devido
acondicionamento e proteo;
software mal desenvolvido;
falta de atualizao de software

e hardware;
falta
de
mecanismos
de
monitoramento e controle (auditoria);
ausncia de pessoal capacitado

para a segurana;
inexistncia
segurana;
instalaes
padro;
ausncia de recursos para combate a

incndios, etc.
de
polticas
de
prediais
fora
do
Ameaas Segurana
Ameaa algo que possa provocar danos segurana da informao,
prejudicar as aes da empresa e sua sustentao no negcio, mediante a
explorao de uma determinada vulnerabilidade.
Em outras palavras, uma AMEAA tudo aquilo que pode comprometer a
segurana de um sistema, podendo ser acidental (falha de hardware,
erros de programao, desastres naturais, erros do usurio, bugs de software,
uma ameaa secreta enviada a um endereo incorreto, etc.) ou deliberada
(roubo, espionagem, fraude, sabotagem, invaso de hackers, entre outros).
Ameaa pode ser uma pessoa, uma coisa, um evento ou uma ideia capaz de
causar dano a um recurso, em termos de confidencialidade, integridade,
disponibilidade etc. Como exemplos de ameaa podemos destacar:
concorrente, cracker, erro humano (deleo de arquivos digitais
acidentalmente etc.), acidentes naturais (inundao etc.), funcionrio
insatisfeito, tcnicas (engenharia social, etc.), ferramentas de software
(sniffer, cavalo de troia, etc.).
Basicamente existem dois tipos de ameaas: internas e externas.
Ameaas externas: so aqui representadas por todas as tentativas de

ataque e desvio de informaes vindas de fora da empresa. Normalmente
essas tentativas so realizadas por pessoas com a inteno de prejudicar a
empresa ou para utilizar seus recursos para invadir outras empresas.
Ameaas internas: esto presentes, independentemente das empresas

estarem ou no conectadas Internet. Podem causar desde incidentes
leves at os mais graves, como a inatividade das operaes da empresa.
8 de 117
Para a ISO/IEC 27002:2005, os riscos devem ser combatidos a um custo

aceitvel, uma vez que no existe segurana absoluta para qualquer tipo de
ameaa.
Como os recursos da organizao so limitados, preciso combater os riscos
de maior impacto. Os custos com segurana, como regra, no podem ser
maiores que o valor da informao a ser protegida. Os riscos de menor
impacto que no forem combatidos compreendem o chamado risco residual,
ou seja, so aqueles riscos que foram aceitos pela organizao, por no
gerarem impacto significativo.
Sistema de gesto da segurana da informao SGSI

O SGSI a parte de um sistema de gesto global da organizao para
estabelecer, implementar, operar, monitorar, analisar criticamente,
manter e melhorar a segurana da informao, baseado na abordagem de
riscos do negcio. O sistema de gesto inclui estrutura organizacional,
polticas,
atividades
de
planejamento,
responsabilidades,
prticas,
procedimentos, processos e recursos.
Lembre-se do famoso EIOMAMM" para as 7 etapas, que so:
1 - E: Estabelecer
2 - I: Implementar
3 - O: Operar
4 - M: Monitorar
5 - A: Analisar criticamente
6 - M: Manter
7 - M: Melhorar
11 de 117
A ISO/IEC
implantao
a) poltica
reflitam os
27002 define os seguintes fatores crticos de sucesso para a

da segurana da informao dentro de uma entidade:
de segurana da informao, objetivos e atividades, que
objetivos do negcio;
b) uma abordagem e uma estrutura para a implementao, manuteno,

monitoramento e melhoria da segurana da informao que seja
consistente com a cultura organizacional;
c) comprometimento e apoio visvel de todos os nveis gerenciais;
d) um bom entendimento dos requisitos de segurana da informao,
da anlise/avaliao de riscos e da gesto de risco;
e) divulgao eficiente da segurana da informao para todos os gerentes,
funcionrios e outras partes envolvidas para se alcanar a conscientizao;
f) distribuio de diretrizes e normas sobre a poltica de segurana da
informao para todos os gerentes, funcionrios e outras partes
envolvidas;
g) proviso de recursos financeiros para as atividades da gesto de segurana
da informao;
h) proviso de conscientizao, treinamento e educao adequados;
i) estabelecimento de um eficiente processo de gesto de incidentes de
segurana da informao;
j) implementao de um sistema de medio, que seja usado para avaliar o
desempenho da gesto da segurana da informao e obteno de sugestes
para a melhoria.
muito importante que todos os funcionrios da

organizao estejam cientes das normas e polticas de segurana da
informao, desde os setores gerenciais at os operacionais. A segurana da
informao de responsabilidade de todos. Entretanto, no necessrio
que o nvel gerencial de uma empresa tenha conhecimento sobre assuntos
tcnicos ligados a segurana da informao, que podem ficar a cargo de um
setor especfico.
Desse ponto em diante, sero descritos os aspectos tcnicos relacionados
norma. Esses aspectos no so impositivos, apesar de a redao deixar
a entender. A organizao pode implementar ou no, de acordo com a
avaliao dos riscos e sua convenincia. A ISO 27002 NO impe a
implementao de nenhum controle, e nem estabelece conjunto de
controles mnimos.
Anlise/Avaliao e tratamento dos riscos

Conforme visto, risco medido pela probabilidade de uma ameaa
acontecer e causar algum dano potencial empresa.
12 de 117
Vamos ao entendimento das aes que podem ser realizadas na

identificao/anlise/avaliao e tratamento dos riscos. Nesse caso, temos
que:
1)identificar os ativos dentro do escopo do SGSI e os proprietrios destes
ativos;
2)identificar as ameaas a esses ativos;
3)identificar as vulnerabilidades que podem ser exploradas pelas ameaas;
4)identificar os impactos que as perdas de confidencialidade, integridade e
disponibilidade podem causar aos ativos.
5)realizar a anlise e avaliao dos riscos;
6)identificar e avaliar as OPES para o tratamento dos riscos. Possveis
aes incluem:
6.1.aplicar os controles apropriados;
6.2.aceitar os riscos;
6.3.evitar riscos;
6.4.transferir os riscos associados ao negcio a outras partes, como
seguradoras etc.
A norma ABNT NBR ISO/IEC 27002 trata a avaliao dos riscos como uma
atividade fundamental para ajuste das necessidades de controles. Assim,
ANTES de se implementar qualquer controle, deve-se fazer uma anlise e
avaliao dos riscos de segurana.
Importante ressaltar que no h controles mnimos OBRIGATRIOS a
serem implementados, ou seja, nem todos os controles e diretrizes
contidos na norma podem ser aplicados. Alm disto, controles
adicionais e recomendaes no includos na norma podem ser
necessrios.
A ABNT NBR ISO/IEC 27002 NO uma norma impositiva, ela faz
recomendaes de segurana baseadas nas melhores prticas relacionadas
segurana da informao, de forma que qualquer empresa possa fazer a
implementao e a adaptao da norma de acordo com a sua convenincia ou
necessidade.
O processo de gesto dos riscos de uma empresa passa pelas etapas listadas
a seguir.
=>Estabelecimento de contexto para avaliao dos riscos, que envolve:
1) identificar uma metodologia de anlise/avaliao de riscos adequada ao
SGSI e aos requisitos legais, regulamentares e de segurana da informao
para o negcio;
2) desenvolver critrios para aceitao de riscos e identificar os nveis
aceitveis de risco (risco residual).
=>Identificao dos riscos
13 de 117
De acordo com o contexto em que a entidade est inserida, necessrio

identificar os ativos dentro do escopo do SGSI e os seus proprietrios, alm de
identificar as ameaas a esses ativos, as vulnerabilidades que podem ser
exploradas pelas ameaas, os impactos que as perdas de confidencialidade,
integridade e disponibilidade podem causar organizao.
=>Anlise e mensurao dos riscos
Aps a identificao dos riscos, necessrio:
1) avaliar os impactos para o negcio da organizao que podem resultar de
falhas de segurana;
2) avaliar a probabilidade real da ocorrncia de falhas de segurana, com base
nas ameaas e vulnerabilidades, nos impactos associados a estes ativos, e nos
controles atualmente implementados;
3) estimar os nveis de riscos e determinar se so aceitveis ou no.
=>Tratamento dos riscos
O tratamento de riscos pode incluir as seguintes medidas:
1) aplicar os controles apropriados (mitigar riscos);
2) no fazer nada para combater o risco, desde que isso no viole as polticas
da organizao (aceitar os riscos que se enquadrem no risco residual);
3) evitar situaes que aumentem os riscos(evitar riscos); e
4) transferir os riscos associados ao negcio a outras partes, por exemplo,
seguradoras e fornecedores (transferir riscos).
=>Monitorao e reviso dos riscos
O processo de gerenciamento dos riscos contnuo, uma vez que o contexto
dos negcios em que uma entidade est inserida muda constantemente. Dessa
maneira, os riscos devem ser monitorados e revisados periodicamente para se
adequar s mudanas no contexto.
Poltica de segurana da informao

Esta seo possui 1 categoria:
- poltica de segurana da informao.
14 de 117
A poltica de segurana cumpre trs principais funes: define o que e

mostra por que se deve proteger; atribui responsabilidades pela
proteo; e serve de base para interpretar situaes e resolver
conflitos que venham a surgir no futuro.
Gesto de ativos
Esta seo possui 2 categorias:
- responsabilidade pelos ativos;
- classificao da informao.
Esta seo da norma ABNT NBR ISO/IEC 27002:2005 possui 2 categorias, que
so: responsabilidade pelos ativos; e classificao da informao.
A norma ABNT NBR ISO/IEC 27002, destaca vrios tipos de ativos, como:
a) ativos de informao: base de dados e arquivos, contratos e acordos,
documentao de sistema, informaes sobre pesquisa, manuais de usurio,
material de treinamento, procedimentos de suporte ou operao, planos de
16 de 117
continuidade do negcio, procedimentos de recuperao, trilhas de auditoria e

informaes armazenadas;
b)
ativos
de
software:
desenvolvimento e utilitrios;
aplicativos,
sistemas,
c) ativos fsicos: equipamentos computacionais,

comunicao, mdias removveis e outros equipamentos;
ferramentas
de
equipamentos
de
d) servios: servios de computao e comunicaes, utilidades gerais, por

exemplo aquecimento, iluminao, eletricidade e refrigerao;
e) pessoas e suas qualificaes, habilidades e experincias;
f) intangveis, tais como a reputao e a imagem da organizao.
A organizao s ir classificar seus ativos se o custo associado a essa

atividade for justificvel em relao aos benefcios de segurana. A
classificao da informao no obrigatria, e sim opcional!
Essa foi uma das sees que sofreu modificao aps a

reviso consolidada em 2005, atravs da incorporao de novos tipos de
ativos, a saber: -pessoas e suas qualificaes, habilidades e experincias; intangveis, tais como a reputao e a imagem da organizao.
Segurana fsica e do ambiente

Esta seo da norma possui 2 categorias:
- reas seguras e segurana de equipamentos.
17 de 117
20 de 117
21 de 117
Controle de acesso
Esta seo possui 7 categorias:
- requisitos de negcio para controle de acesso;
- gerenciamento de acesso do usurio;
- responsabilidades dos usurios;
22 de 117
organizao e deve estar sempre disponvel e em condies de assegurar uma

resposta adequada e oportuna.
Quando ocorre um evento de segurana da informao, devemos ter as
seguintes posturas:
anotar todos os detalhes importantes imediatamente (por exemplo, tipo
de no conformidade ou violao, mau funcionamento, mensagens na
tela, comportamento estranho);
no tomar nenhuma ao prpria, mas informar imediatamente o evento
ao ponto de contato; etc.
Em ambientes de alto risco, podem ser fornecidos alarmes de coao atravs
do qual a pessoa que est sendo coagida possa sinalizar que est ocorrendo
algum incidente de forma secreta.
A.13. 1.2. Notificando fragilidades de segurana da informao
Os funcionrios, fornecedores e terceiros de sistemas e servios de informao
devem ser instrudos a registrar e notificar qualquer observao ou suspeita de
fragilidade em sistemas ou servios, para o ponto de contato ou a direo, de
forma a prevenir incidentes de segurana da Informao, por meio de um
mecanismo de notificao fcil, acessvel e disponvel sempre que possvel. Os
usurios devem ser informados que no podem, sob nenhuma circunstncia,
tentar averiguar fragilidade suspeita.
A.13.2 Gesto de incidentes de segurana da informao e melhorias
A entidade deve fazer a definio de responsabilidades e procedimentos para o
manuseio efetivo de eventos de segurana da informao e fragilidades, uma
vez que estes tenham sido notificados. Deve ser aplicado um processo de
melhoria contnua s respostas, monitoramento, avaliao e gesto total de
incidentes de segurana da informao., Devem ser coletadas evidncias
quando forem necessrias para assegurar a conformidade com as exigncias
legais.
A.13.2.1. Responsabilidades e procedimentos
As responsabilidades e procedimentos de gesto devem ser estabelecidos para
assegurar respostas rpidas, efetivas e ordenadas a incidentes de segurana
da informao. importante a criao de procedimentos diferentes para cada
tipo de incidente de segurana da informao (Denial of service, cdigo
malicioso, etc.). Tambm importante a criao de procedimentos para
investigar a causa de problemas e reteno do conhecimento. Apenas
funcionrios autorizados podem tomar medidas para averiguao e tomar
medidas para combate fragilidades suspeitas.
A.13.2.2. Aprendendo com os incidentes de segurana da informao
Convm que sejam estabelecidos mecanismos para permitir que tipos,
quantidades e custos dos incidentes de segurana da informao sejam
quantificados e monitorados.
A.13.2.3. Coleta de evidncias
28 de 117
No caso em que uma ao uma pessoa ou organizao, aps um incidente de

segurana da informao, envolver uma ao legal (civil ou criminal),
importante que as evidncias sejam coletadas, armazenadas e apresentadas
em conformidade com as normas de armazenamento de evidncias da
jurisdio(es) pertinente(s), de forma a considerar sua a importncia e a
admissibilidade.
Qualquer trabalho de investigao somente deve ser realizado em cpias do
material de evidncia de forma a manter a integridade do material das
evidncias A cpia do material de evidncia deve ser supervisionada por
pessoas confiveis e as informaes sobre a data, local, pessoas, ferramentas
e programas envolvidos no processo de cpia devem ser registradas.
Gesto da Continuidade do Negcio

Esta seo possui 1 categoria:
- aspectos da gesto da continuidade do negcio, relativos segurana
da informao.
29 de 117
(CESPE/2010/ANEEL)
A gesto de continuidade de negcios complementar gesto de
riscos e tem como foco o desenvolvimento de uma resposta a uma
interrupo causada por um incidente de difcil previso, materializada
na forma de um plano de continuidade de negcios.
Os negcios da organizao podem ser interrompidos por uma grande
variedade de incidentes, como falhas tecnolgicas, atos de terrorismo etc.
No entanto, para a maioria desses incidentes, h como fazer uma previso e,
portanto, tomar medidas preventivas para evitar que realmente se tornem
realidade. Nesse contexto temos a gesto de riscos!! Mas como a
organizao precisa estar preparada para enfrentar situaes no previstas
que atinjam seus recursos de informao, para os incidentes de difcil deteco
(que no foram previstos e que podem causar uma interrupo) utilizamos a
gesto de continuidade de negcios, com o objetivo de fazer com que os
negcios da organizao no sejam interrompidos em virtude do incidente.
O Plano de Continuidade de Negcios, nesse contexto, ir listar as medidas
de resposta ao incidente que devem ser realizadas de forma que a organizao
continue trabalhando e, em seguida, volte situao anterior de normalidade.
(CESPE/2007/TCU)
30 de 117
Um plano de continuidade de negcios distingue-se de um plano de

recuperao de desastres por vrios aspectos, entre os quais a maior
nfase no gerenciamento de riscos.
Planos de continuidade de negcios (PCNs) tm como propsito permitir
que uma organizao recupere ou mantenha suas atividades em caso de uma
interrupo das operaes normais de negcios.
Os PCNs so ativados para dar suporte s atividades crticas necessrias para
cumprir os objetivos da organizao, e podem ser executados integral ou
parcialmente e em qualquer etapa da resposta a um incidente.
A fase de avaliao de riscos e anlise de impactos no negcio compe uma
das etapas de elaborao de um PCN e tem como objetivo levantar as ameaas
a que o negcio est exposto; uma inspeo fsica realizada nos sites onde
h processamento de dados ou operao de processos considerados crticos
para o negcio, essa inspeo fsica busca controles de segurana fsica nas
instalaes. De posse dessa anlise, e atravs de entrevistas com pessoas
envolvidas com a manuteno e operao das instalaes possvel fazer uma
anlise de risco que ser base para implementao de controles que mitigam
esses riscos e anlise de uma possvel estratgia de contingncia.
J a Anlise de Impactos nos Negcios feita buscando identificar os
processos crticos que suportam a cadeia de valor, e qual impacto para o
negcio caso as ameaas mapeadas venham a se concretizar.
O plano de recuperao de desastres (tambm conhecido como Disaster
Recovery Plan) um plano focado exclusivamente na recuperao de ativos de
TI danificados por uma catstrofe ou por uma falha de sistema.
Figura. Linha do tempo de um incidente
31 de 117
Conforme prescrito na norma ABNT NBR ISO/IEC 17799:2005 (renumerada

para ABNT NBR ISO/IEC 27002) os planos de continuidade do negcio
devem ser testados e atualizados regularmente, de forma a assegurar sua
permanente atualizao e efetividade.
Nesse contexto diversas tcnicas devem ser usadas para fornecer garantia de
que os planos funcionaro na vida real, como as listadas a seguir:
a) testes de mesa (faz-se a leitura em conjunto dos procedimentos de um
grupo/equipe discutindo os arranjos para recuperao);
b) simulaes (particularmente para treinar pessoas em seus papis de
gerenciamento ps-incidente/crise);
c) testes da recuperao tcnica (garantindo
informao podem ser restaurados eficientemente);
que
os sistemas de
d) testar recuperao em um site alternativo (executando processos do

negcio em paralelo com operaes de recuperao longe do site principal);
e) testes das facilidades e servios de fornecimento (garantindo que
servios e produtos providos externamente satisfaro o compromisso
contratado);
f) ensaios completos (testando se a organizao, pessoal, equipamento,
facilidades e processos conseguem lidar com interrupes).
Segundo a ABNT NBR ISO/IEC 27002, as tcnicas podem ser usadas por
qualquer organizao e devem refletir a natureza do plano de recuperao
especfico.
A seguir disponibilizamos um quadro resumo sobre tipos e mtodos de teste
de estratgias de Gesto de Continuidade de Negcios.
32 de 117
(CESPE/2009)
A identificao de eventos que podem causar interrupes aos
processos de negcio e das probabilidades e impactos de tais
interrupes, associada s consequncias para a segurana de
informao, constitui atividade executada no mbito da gesto de
continuidade
de
negcios,
embora
se
constitua,
mais
especificamente, atividade de anlise de risco.
Segundo a NBR 15999, os testes devem ser realistas, planejados
cuidadosamente e acordados com as partes interessadas, de modo que haja
um risco mnimo de interrupo dos processos de negcio, e de forma a
minimizar a chance de que ocorra um incidente como resultado direto do teste.
Todo teste deve ter objetivos claramente definidos. Relatrios e anlises que
demonstrem se os objetivos do teste foram alcanados devem ser elaborados
aps o teste. Alm disso, importante que seja elaborado um relatrio
ps-teste, que contenha recomendaes juntamente de uma previso de
tempo para a implementao destas.
A escala e a complexidade dos testes devem ser apropriadas aos objetivos de
recuperao da organizao. O programa de testes deve considerar o papel de
todas as partes envolvidas, inclusive principais fornecedores, parceiros
terceirizados e outros que poderiam participar das atividades de recuperao.
A organizao deve inclu-los nos testes.
33 de 117
Observaes:
As normas de segurana da ABNT (27001, 27005, etc.) podem ser compradas
no site da ABNT. Coloquei alguns bizus imprescindveis em nosso curso, que
devem ser estudados. Mas como o curso somente de exerccios, no tive
como detalhar todo o contedo.
A norma 27002 (antiga 17999) mais fcil de ser obtida pela internet,
algumas empresas a disponibilizam na ntegra, apesar de isso ser proibido!
Veja
por
exemplo
em
http://pt.scribd.com/doc/2449992/Abnt-Nbr-Isoiec-17799-Tecnologia-daInformacao-Tecnicas-de-Seguranca-Codigo-de-Pratica-para-a-Gestao-daSeguranca-da-Informacao.
Normativos do Gabinete de Segurana Institucional da Presidncia da
Repblica
->
Vide
normas
complementares
em:
http://dsic.planalto.gov.br/legislacaodsic/53
Algumas so muito importantes, sendo de leitura obrigatria, como:
Norma Complementar n 04/IN01/DSIC/GSIPR, e seu anexo, (Reviso
01) Diretrizes para o processo de Gesto de Riscos de Segurana da
Informao e Comunicaes - GRSIC nos rgos e entidades da
Administrao Pblica Federal. (Publicada no DOU N 37, de 25 Fev 2013
- Seo 1)
Norma Complementar n 06/IN01/DSIC/GSIPR, Estabelece Diretrizes
para Gesto de Continuidade de Negcios, nos aspectos relacionados
Segurana da Informao e Comunicaes, nos rgos e entidades da
Administrao
Pblica
Federal,
direta
e
indireta
APF.
(Publicada no DOU N 223, de 23 Nov 2009 - Seo 1)
Norma Complementar n 07/IN01/DSIC/GSIPR, Estabelece as Diretrizes
para Implementao de Controles de Acesso Relativos Segurana da
Informao e Comunicaes, nos rgos e entidades da Administrao
Pblica
Federal,
direta
e
indireta
APF.
(Publicada no DOU N 86, de 7 Maio 2010 - Seo 1)
Norma Complementar n 08/IN01/DSIC/GSIPR, Estabelece as Diretrizes
para Gerenciamento de Incidentes em Redes Computacionais nos rgos
e
entidades
da
Administrao
Pblica
Federal.
(Publicada no DOU N 162, de 24 Ago 2010 - Seo 1)
Norma Complementar n 11/IN01/DSIC/GSIPR, Estabelece diretrizes
para avaliao de conformidade nos aspectos relativos Segurana da
Informao e Comunicaes (SIC) nos rgos ou entidades da
Administrao
Pblica
Federal,
direta
e
indireta
APF.
(Publicada no DOU N 30, de 10 Fev 2012 - Seo 1).
Muito bem, aps termos visto alguns dos conceitos primordiais de
segurana para a prova, vamos s questes!!
34 de 117
QUESTES DE PROVAS COMENTADAS

1. (Consulplan/2011/Mun. Londrina/PR - Analista Sistemas Servio
Anlise Informtica) So consideradas pragas digitais, EXCETO:
a) Cavalos-de-Troia.
b) MalwareBytes.
c) Worm.
d) KeyLoggers.
e) Hijackers.
Comentrios
O termo pragas virtuais est associado aos malwares (combinao de
malicious software programa malicioso): so programas que executam
deliberadamente aes mal-intencionadas em um computador, como
vrus, worms, bots, cavalos de troia, spyware, backdoor, keylogger,
screenlogger.
Figura - Mapa Mental sobre Malware
O cavalo de troia um programa aparentemente inofensivo que, quando

executado (com a sua autorizao!), parece lhe divertir, mas, por trs abre
portas de comunicao do seu computador para que ele possa ser invadido.
Algumas das funes maliciosas que podem ser executadas por um cavalo
de troia so:
furto de senhas e outras informaes sensveis, como
nmeros de cartes de crdito; incluso de backdoors, para permitir que
um atacante tenha total controle sobre o computador; alterao ou
destruio de arquivos; etc.
Worms (vermes) so programas parecidos com vrus, mas que

na verdade so capazes de se propagarem automaticamente
atravs de redes, enviando cpias de si mesmo de computador
para computador (observe que os worms apenas se copiam, no
35 de 117
infectam outros arquivos, eles mesmos so os arquivos!!). Alm disso,

geralmente utilizam as redes de comunicao para infectar outros
computadores (via e-mails, Web, FTP, redes das empresas etc).
Keylogger
Um tipo de malware que capaz de capturar e armazenar as teclas
digitadas pelo usurio no teclado de um computador. Dentre as
informaes capturadas podem estar o texto de um e-mail, dados digitados
na declarao de Imposto de Renda e outras informaes sensveis, como
senhas bancrias e nmeros de cartes de crdito. Em muitos casos, a
ativao do keylogger condicionada a uma ao prvia do usurio, como
por exemplo, aps o acesso a um site especfico de comrcio eletrnico ou
Internet Banking. Normalmente, o keylogger contm mecanismos que
permitem o envio automtico das informaes capturadas para terceiros
(por exemplo, atravs de e-mails).
As instituies financeiras desenvolveram os teclados virtuais para evitar
que os keyloggers pudessem capturar informaes sensveis de usurios.
Ento, foram desenvolvidas formas mais avanadas de keyloggers, tambm
conhecidas como screenloggers, capazes de:
armazenar a posio do cursor e a tela apresentada no monitor, nos
momentos em que o mouse clicado, ou
armazenar a regio que circunda a posio onde o mouse clicado.
Normalmente, o keylogger vem como parte de um programa spyware ou
cavalo de troia. Desta forma, necessrio que este programa seja
executado para que o keylogger se instale em um computador. Geralmente,
tais programas vm anexados a e-mails ou esto disponveis em sites na
Internet.
Hijackers so programas ou scripts que "sequestram" navegadores de

Internet, principalmente o Internet Explorer. Quando isso ocorre, o hijacker
altera a pgina inicial do browser e impede o usurio de mud-la. Nesse
momento, vira uma confuso s, porque muitas vezes aparecem pginas de
contedo ertico e o usurio no consegue alter-la!!
Gabarito: letra B.
2. (FUNRIO/2009/Analista de Seguro Social/Servio Social)

sentenas abaixo, relativas segurana de computadores e sistemas,
Das
I. Um dos principais objetivos da criptografia impedir a invaso de redes.

II. O certificado digital um arquivo eletrnico que contm dados de uma
pessoa ou instituio, utilizados para comprovar sua identidade.
III. Um antivrus capaz de impedir que um hacker tente explorar alguma
vulnerabilidade existente em um computador.
IV. Vrus, keyloggers, worms e cavalos de troia so alguns dos exemplos de
Malware.
Esto corretas:
A) I, II e III, apenas.
B) I e IV, apenas.
C) II e IV, apenas.
D) III e IV, apenas.
E) I, II, III e IV.
36 de 117
Comentrios
Item I. A Criptografia a cincia e arte de escrever mensagens em forma
cifrada ou em cdigo. Os mtodos de criptografia atuais so seguros e
eficientes e baseiam-se no uso de uma ou mais chaves. A chave uma
sequncia de caracteres, que pode conter letras, dgitos e smbolos (como uma
senha), e que convertida em um nmero, utilizado pelos mtodos de
criptografia para codificar e decodificar mensagens.
Cabe destacar ento que a principal finalidade da criptografia , sem
dvida, reescrever uma mensagem original de uma forma que seja
incompreensvel, para que ela no seja lida por pessoas no
autorizadas. E isso no suficiente para impedir a invaso de redes. Item
FALSO.
Item II. O certificado digital uma credencial eletrnica, no palpvel
gerada por uma Autoridade Certificadora (AC), que vincula a pessoa fsica ou
jurdica a um par de chaves sendo uma pblica e outra privada (ou secreta). O
certificado fica armazenado em dispositivos de segurana, como por ex.:
Token ou Smart Card, ilustrados na figura seguinte.
Token
Smart Card
Figura. Ilustrao de dispositivos de segurana
Quanto aos objetivos do certificado digital podemos destacar:
tansferir a credibilidade que hoje baseada em papel e conhecimento para
o ambiente eletrnico;
vincular uma chave pblica a um titular (eis o objetivo principal). O
certificado digital precisa ser emitido por uma autoridade reconhecida pelas
partes interessadas na transao, conforme visto na prxima figura.
Chamamos essa autoridade de Autoridade Certificadora, ou AC.
37 de 117
Figura. Vnculo da chave pblica ao titular
assinar digitalmente um documento eletrnico atribuindo validade jurdica,

integridade, autoria e no-repdio.
Um certificado contm:
Item VERDADEIRO.
A seguir, irei explicar primeiramente o item IV, em seguida, passamos aos
comentrios do item III, para uma melhor compreenso.
Item III. Os antivrus procuram detectar e, ento, anular ou remover cdigos
maliciosos do computador (vrus, vermes (worms), cavalos de tria, etc). Exs:
McAfee Internet Security, Norton Internet Security, Panda Internet Security,
Kaspersky Internet Security, Antivir Personal, AVG Antivrus, etc.
Ao contrrio do que afirma a questo, o antivrus no impede que um
atacante explore alguma vulnerabilidade (fragilidade, ponto fraco)
existente no computador.
38 de 117
Algumas prticas so recomendadas na preveno/deteco de

malware, como:
ter instalado, em seu computador e no da empresa, um programa antivrus
capaz de detectar a presena de malware em e-mails ou arquivos do
computador. Esse utilitrio conta, muitas vezes, com a vacina capaz de
matar o malware e deixar o arquivo infectado SEM a ameaa.
Alguns fornecedores de programas antivrus distribuem atualizaes
regulares do seu produto. Muitos programas antivrus tm um recurso de
atualizao automtica. Quando o programa antivrus atualizado,
informaes sobre novos vrus so adicionadas a uma lista de vrus a serem
verificados. Quando no possui a vacina, ele, pelo menos, tem como
detectar o vrus, informando ao usurio acerca do perigo que est iminente;
no executar ou abrir arquivos recebidos por e-mail ou por outras fontes,
mesmo que venham de pessoas conhecidas (caso seja necessrio abrir o
arquivo, certifique-se de que ele foi verificado pelo programa antivrus);
procurar utilizar na elaborao de documentos formatos menos suscetveis
propagao de vrus, tais como RTF, ou PDF, dentre outros;
no abrir arquivos anexos a e-mails de pessoas que voc no conhece;
idem para os e-mails de pessoas conhecidas tambm! (Os Worms atuais
atacam um computador e usam a sua listagem de endereos para mandar
um e-mail para cada pessoa da lista como se fosse o dono do computador!),
etc.
Item FALSO.
Item IV. O que significa malware?
Malware um termo proveniente de Malicious Software,
software designado a se infiltrar em um sistema de
computador alheio de forma ilcita com o intuito de causar
algum dano ou roubo de informaes. Tambm pode ser
considerado malware uma aplicao legal que por uma falha de programao
(intencional ou no) execute funes que se enquadrem na definio.
Resumindo, malware so programas que executam deliberadamente
aes mal-intencionadas em um computador!!
Dentre os tipos de malwares temos os vrus, os keyloggers, os worms e os
cavalos de troia destacados na questo. Item VERDADEIRO.
Gabarito: letra C.
3. (FUNRIO/2008/Prefeitura de Coronel Fabriciano) Um Firewall um
sistema de proteo que pode:
A) utilizar assinaturas de vrus para impedir que a mquina seja infectada.
B) bloquear possveis tentativas de invaso atravs de filtros de pacotes.
C) impedir a replicao de worms e conseqente ataque ao computador.
D) eliminar spywares que possam invadir e espionar a mquina.
E) neutralizar ataques aos computadores por spams.
Comentrios
39 de 117

Analista Do Seguro Social 2013 Tecnologia Da Informacao em Exercicios Aula 07 Parte I PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Analista Do Seguro Social 2013 Tecnologia Da Informacao em Exercicios Aula 07 Parte I PDF

Загружено:

Авторское право:

Доступные форматы

TI EM EXERCCIOS P/ INSS

Conhecimentos especficos - Formao em Tecnologia da Informao (TEINF)

AULA 7 SEGURANA DA INFORMAO

Nessa aula, abordaremos os principais pontos da norma ABNT NBR ISO/IEC

Profa. Patrcia Lima Quinto

Contedo desta Aula

Reviso em tpicos e palavras-chave (MEMOREX).

Lista de Questes Comentadas.

Lista das Questes Apresentadas na Aula.

Acompanhe a evoluo do seu aproveitamento.

Norma ABNT NBR ISO/IEC 27002:2005

Os objetivos definidos nesta norma proveem diretrizes gerais sobre as

Profa. Patrcia Lima Quinto

As principais sees da norma ABNT NBR ISO IEC 17799:2005

Conforme visto na tabela seguinte, a norma contm 11 sees de controles

Profa. Patrcia Lima Quinto

No h uma receita ou lista padro de vulnerabilidades. Esta deve ser

ambientes com informaes sigilosas

software mal desenvolvido;

falta de atualizao de software

ausncia de pessoal capacitado

ausncia de recursos para combate a

Ameaas externas: so aqui representadas por todas as tentativas de

Ameaas internas: esto presentes, independentemente das empresas

Profa. Patrcia Lima Quinto

Para a ISO/IEC 27002:2005, os riscos devem ser combatidos a um custo

Sistema de gesto da segurana da informao SGSI

27002 define os seguintes fatores crticos de sucesso para a

b) uma abordagem e uma estrutura para a implementao, manuteno,

muito importante que todos os funcionrios da

 Anlise/Avaliao e tratamento dos riscos

Profa. Patrcia Lima Quinto

Vamos ao entendimento das aes que podem ser realizadas na

De acordo com o contexto em que a entidade est inserida, necessrio

 Poltica de segurana da informao

Profa. Patrcia Lima Quinto

A poltica de segurana cumpre trs principais funes: define o que e

continuidade do negcio, procedimentos de recuperao, trilhas de auditoria e

c) ativos fsicos: equipamentos computacionais,

d) servios: servios de computao e comunicaes, utilidades gerais, por

A organizao s ir classificar seus ativos se o custo associado a essa

Essa foi uma das sees que sofreu modificao aps a

 Segurana fsica e do ambiente

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

organizao e deve estar sempre disponvel e em condies de assegurar uma

Profa. Patrcia Lima Quinto

No caso em que uma ao uma pessoa ou organizao, aps um incidente de

 Gesto da Continuidade do Negcio

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

Um plano de continuidade de negcios distingue-se de um plano de

Figura. Linha do tempo de um incidente

Profa. Patrcia Lima Quinto

Conforme prescrito na norma ABNT NBR ISO/IEC 17799:2005 (renumerada

d) testar recuperao em um site alternativo (executando processos do

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

Profa. Patrcia Lima Quinto

QUESTES DE PROVAS COMENTADAS

Figura - Mapa Mental sobre Malware

O cavalo de troia um programa aparentemente inofensivo que, quando

Anlise/Avaliao e tratamento dos riscos

Poltica de segurana da informao

Segurana fsica e do ambiente

Gesto da Continuidade do Negcio