Baixe o app para aproveitar ainda mais
Prévia do material em texto
CONFORMIDADE COM NORMAS E REGUL. EXTERNAS Documento estabelecido por consenso e aprovado por um organismo reconhecido que fornece, para uso comum e repetido, regras, diretrizes ou características para atividades ou seus resultados: Norma Procedimento Regulamento Lei Diretriz =============================================================================================== _____________________ é uma exigência imposta pelo governo que especifica características do produto, processo ou serviço, inclusive as cláusulas administrativas aplicáveis com as quais a conformidade é obrigatória. Um regulamento Uma auditoria Uma norma Um procedimento Uma diretriz =============================================================================================== Regulamentação que visa à proteção da privacidade da informação de pacientes: SOX HIPAA FISMA Acordo de Basiléia NIST =============================================================================================== Regulamentação onde são discutidas questões relacionadas à indústria bancária, visando a melhorar a qualidade da supervisão bancária e fortalecer a segurança do sistema bancário internacional: SOX HIPAA FISMA Acordo de Basiléia NIST =============================================================================================== Norma que tem como principal objetivo estabelece orientações para Gestão de Riscos: ISO 27001 ISO 27033 ISO 27002 ISO 27799 ISO 27005 =============================================================================================== Norma que tem como principal objetivo estabelecer, implementar e operar uma Sistema de gestão de Segurança da Informação (SGSI): ISO 27001 ISO 27006 ISO 27002 ISO 27004 ISO 27005 =============================================================================================== Norma que tem como objetivo fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles: ISO 27001 ISO 27006 ISO 27002 ISO 27004 ISO 27005 =============================================================================================== Norma que fornece orientação sobre conceitos e princípios para a governança de segurança da informação, pela qual as organizações podem avaliar, dirigir, monitorar e comunicar as atividades relacionadas com a segurança da informação dentro da organização. ISO 27009 ISO 27014 ISO 27011 ISO 27799 ISO 27033 =============================================================================================== Quando uma empresa, seja ela americana ou estrangeira, deve obrigatoriamente utilizar a lei Sarbane-Oxley? Quando tem ações registradas nas bolsas de valores dos EUA. Quando necessita implementar um sistema de gestão de segurança da informação. Quando tem implementado e-commerce. Quando necessita realizar uma auditoria de seus processos de trabalho. Quando deseja aumentar a segurança de seus dados =============================================================================================== Qual seção determina uma avaliação anual dos controles e procedimentos internos para a emissão de relatórios financeiros? 404 302 204 103 304 =============================================================================================== Qual a seção que determina a responsabilidade dos diretores das empresas, que devem assinar os relatórios certificando que as demonstrações e outras informações financeiras incluídas no relatório do período, apresentam todos os fatos materiais e que não contém nenhuma declaração falsa ou que fatos materiais tenham sido omitidos? 404 302 204 103 304 =============================================================================================== Seção que define o Código de ética para os administradores, alta gerência e gerência: 404 406 204 103 304 =============================================================================================== Boa prática utilizada para mitigar a fraude nos dados dos cartões de crédito e patrocinada por bancos e bandeiras de cartão de crédito (Mastercard, por exemplo): PCI-DSS. SOX. PCS. COSO. HIPAA. =============================================================================================== É requerimento da categoria denominada “Manter um Programa de Gerenciamento de Vulnerabilidades”: Desenvolver e manter sistemas e aplicativos seguros. Manter uma política que aborde a segurança da informação. Restringir o acesso físico aos dados do portador do cartão. Proteger os dados armazenados do portador de cartão. Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão. =============================================================================================== É requerimento da categoria “Implementar medidas de controle de acesso rigorosas”: Desenvolver e manter sistemas e aplicativos seguros. Manter uma política que aborde a segurança da informação. Restringir o acesso físico aos dados do portador do cartão. Proteger os dados armazenados do portador de cartão. Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão. =============================================================================================== É requerimento da categoria “Construir e manter uma rede segura”: Desenvolver e manter sistemas e aplicativos seguros. Manter uma política que aborde a segurança da informação. Restringir o acesso físico aos dados do portador do cartão. Proteger os dados armazenados do portador de cartão. Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão. =============================================================================================== Técnica utilizada pela norma ISO 27001 para a implementação de um sistema de gestão de segurança da informação: PDCA. HIPAA. CMMI. SISP. 3W5H. =============================================================================================== Existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI. Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas. Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI. Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação. Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco. =============================================================================================== Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da informação? Suporte Técnico. Auditoria. Segregação de funções. Conscientização dos usuários. Procedimentos elaborados. =============================================================================================== Segundo a Norma ISO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais: Requisitos de negócio, Análise de risco, Requisitos legais. Classificação da informação, requisitos de negócio e análise de risco. Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais. Análise de risco, análise do impacto de negócio (BIA), classificação da informação. Análise de vulnerabilidades, requisitos legais e classificação da informação. =============================================================================================== A segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos, segundo a NBR ISO/IEC 27002 , estes três princípios básicos podem ser caracterizado por: Flexibilidade, agilidade e conformidade. Autenticidade, originalidade e abrangência. Prevenção,proteção e reação. Integridade, confidencialidade e disponibilidade. Integridade, prevenção e proteção. =============================================================================================== Segundo a norma ISO 27002, qual o propósito do gerenciamento de risco? Determinar a probabilidade de que certo risco ocorrerá. Propiciar a conscientização dos usuários em risco. Determinar os danos causados por possíveis incidentes de segurança. Utilizar medidas para reduzir os riscos para um nível aceitável. Aplicar medidas para reduzir os riscos para um nível aceitável. =============================================================================================== Sobre a norma ISO 27002, é correto afirmar: Só se aplica a grandes empresas. É um código de boas práticas de gestão de risco. Tem como objetivo implementar um sistema de gestão em SI. É um código de boas práticas para a gestão de segurança da informação. Utiliza a confiabilidade, a integridade e a disponibilidade como os pilares da SI. =============================================================================================== Uma ferramenta importante para a implantação do Compliance nas organizações é -_____________________ que deve conter regras claras, concisas e acessíveis sobre o relacionamento entre as partes da sua organização, formalizando o comportamento esperado das diversas partes envolvidas no negócio. A Política de classificação da informação. O Procedimento de segurança. O Código de conduta ética. O Acordo de sigilo. O Sistema de gestão em SI. =============================================================================================== Figura fundamental para a manutenção do Compliance nas organizações e que tem como responsabilidades: a definição das necessidades de normas e políticas internas, atender a legislação e regulamentação, além de zelar pelo cumprimento das diretrizes estabelecidas. Analista de segurança. Auditor Líder. Analista de risco. Analista de conformidade. Analista de governança. =============================================================================================== Uma ação muito importante para o sucesso de implementação do Compliance nas organizações, é o apoio ___________________ e a inclusão _____________________________. Área de TI e política de segurança. Alta gestão e cultura organizacional. Área de negócio e análise de risco. Toda organização e cultura organizacional. Alta gestão e política de segurança. =============================================================================================== O GRC é a integração no âmbito organizacional de três grandes ações: Gestão, risco e conformidade. Gerência, risco e conformidade. Governança, gestão de risco e compliance. Gestão de TI, Risco de TI e conformidade de TI. Governança corporativa, risco de TI e conformidade. =============================================================================================== Disciplina do GRC que preocupa-se com os caminhos e estratégias que a organização deve seguir: Governança. Gestão. Compliance. Conformidade. Análise de risco. =============================================================================================== Disciplina do GRC que preocupa-se em fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócio e para as atividades da instituição ou empresa: Governança. Gestão. Compliance. Conformidade. Análise de risco. =============================================================================================== Ação fundamental para o GRC e considerada o ponto de partida para a implementação do Compliance nas organizações: Conscientização da organização em SI. Análise de risco. Classificação da informação. Auditoria periódica. Continuidade de negócio. =============================================================================================== Qual e regulamentação brasileira que estabelece princípios, garantias, direitos e deveres para uso da internet no Brasil: Código Penal, art, 151 Código de Defesa do Consumidor, art 43 e 44 Lei 12.527 Constituição Federal, art, 5° Lei 12.965 =============================================================================================== Como forma de mitigar os riscos, vários bancos e operadoras de cartão de crédito (Visa, Mastercard e American Express, entre outras) formaram um conselho para criar e recomendar melhores práticas de segurança de dados a serem seguidas pelos estabelecimentos comerciais que aceitam cartão de credito como forma de pagamento. O resultado deste trabalho foi criado do padrão: PCI-DSS HIPAA SOX PCI-DSI CMMI =============================================================================================== Documento exigido pela NBR ISSO / IEC 27001 no qual a empresa tem que relacionar quais controles são aplicáveis e justificar os que não são aplicáveis ao seu SGSI: Política de segurança Normas de segurança Analise de risco Analise de vulnerabilidade Declaração de aplicabilidade =============================================================================================== Norma que se trata da implementação, operacionalização, monitoração, revisão, manutenção e melhoria de um SGSI: ISO 27004 ISO 27003 ISO 27005 ISO 27002 ISO 27001 =============================================================================================== Você é o compliance officer do banco ABC, neste caso qual a regulamentação que deve utilizar? SOX COBIT Acordo de Basileia FISMA HIPPA =============================================================================================== Maria necessita implementar a gestão de risco na organização em que trabalha e para isso deseja adotar as melhores práticas no assunto e seguir a orientação de norma no assunto. Neste caso, Maria deseja utilizar uma norma específica para tratar da questão em sua organização. Qual das opções abaixo representa esta norma? ISO 27003 ISO 27005 ISO 27002 ISO 27000 ISO 27001 =============================================================================================== Norma da família 27K que fornece as diretrizes para o processo de gestão de riscos de segurança da informação: ISO 27007 ISO 27005 ISO 27004 ISO 27006 ISO 27003 =============================================================================================== Norma da família 27K que fornece técnicas de segurança de rede: ISO 27031 ISO 27034 ISO 27032 ISO 27033 ISO 27035 =============================================================================================== Foi projetada para ser utilizada como uma referência na seleção de controles de segurança (SGSI). Serve de orientação para as organizações implementarem controles de segurança da informação comumente aceitos. Estamos falando da norma: ISO 27001 ISO 27003 ISO 27004 ISO 27002 ISO 27000 =============================================================================================== A norma ISO 27002 serve de orientação para as organizações implementarem controles de segurança da informação comumente aceitos. Não faz parte dos controles desta norma: Segurança em processo de desenvolvimento Implementação de um SGSI Segurança física do ambiente Segurança nas operações Controle de acesso =============================================================================================== Risco legal ou de sanções regulatórias, de perda financeira ou perda de reputação que uma instituição pode sofrer como resultado de falhas no cumprimento de leis, regulamentações, códigos de conduta e das boas práticas. Neste caso estamos falando de: Risco de negócio Risco de compliance Risco assumido Risco tratado Risco percebido =============================================================================================== Auxilia as organizações na implementação dos controles de segurança. Tem como principal objetivo implementar um sistema de gestão de segurança da informação. Neste caso estamos nos referindo a norma: ISO 27003 ISO 27000 ISO 27004 ISO 27002 ISO 27001 ===============================================================================================No padrão PCI-DSS, qual dos requerimentos abaixo, pertence a seção "Construir e manter uma rede segura? Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão. Desenvolver e manter sistemas e aplicativos seguros Restringir o acesso físico aos dados do portador do cartão Manter uma política que aborde a segurança da informação Proteger os dados armazenados do portador de cartão =============================================================================================== Segundo a _________________todos aqueles que trabalham em um hospital e tem acesso ao no mesmo. Pipeda, integridade FISMA, integridade GLB, confiabilidade Ferpa, disponibilidade HIPPA, confidencialidade =============================================================================================== Sobre PCI-DSS, analise as opções abaixo escolha a opção que é um requerimento da seção denominada "Construir e manter uma rede segura ": Manter uma política que aborde a segurança da informação Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão Proteger os dados armazenados do portador de cartão Restringir o acesso físico aos dados do portador do cartão Desenvolver e manter sistemas e aplicativos seguros =============================================================================================== Regulamenta onde são discutidas questões relacionadas à indústria bancaria, visando a melhorar a qualidade da supervisão bancária e fortalecer a segurança do sistema bancário internacional: SOX NIST FISMA Acordo de Basiléia HIPAA =============================================================================================== Sobre PCI-DSS, analise as opções abaixo escolha a opção que é um requerimento da seção denominada "Implementar medidas de controle de acesso rigorosas": Restringir o acesso físico aos dados do portador do cartão Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão Proteger os dados armazenados do portador de cartão Desenvolver e manter sistemas e aplicativos seguros Manter uma política que aborde a segurança da informação =============================================================================================== Sobre PCI-DSS, analise as opções abaixo escolha a opção que é um requerimento da seção denominada " Manter um Programa de Gerenciamento de Vulnerabilidades": Manter uma política que aborde a segurança da informação. Proteger os dados armazenados do portador de cartão. Restringir o acesso físico aos dados do portador do cartão. Desenvolver e manter sistemas e aplicativos seguros. Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão. =============================================================================================== Ela torna os Diretores Executivos e Diretores Financeiros explicitamente responsáveis por estabelecer e monitorar a eficácia dos controles internos em relação aos relatórios financeiros e a divulgação de informações. É aplicável a todas as empresas, sejam elas americanas ou estrangeiras, que tenham ações registradas na SEC (Securities and Exchange Comission, o equivalente americano da CVM brasileira). Estamos nos referindo a: A Norma ISO 27002 A lei SOX A Lei Grahm -Leach- Billey Acordo de basileia A Lei de Proteção à Privacidade da Informação de Pacientes (HIPAA) =============================================================================================== Seu objetivo é oferecer um conjunto de requisitos técnicos e operacionais para a proteção dos dados do portador do cartão durante o processo de pagamento realizado pelo cliente. É aplicável a todas as entidades envolvidas nos processos de pagamento do cartão e também todas as entidades que armazenam, processam ou transmitem os dados do portador do cartão (CHD) e/ou dados de autenticação confidenciais (SAD): Acordo de Basileia SOX PCI-DSS COBIT HIPAA Ação fundamental e considerada o ponto de partida para a implementação do Compliance nas organizações: continuidade de negócio conscientização da organização em SI análise de risco classificação da informação auditoria periódica =============================================================================================== Se considerarmos as diferentes ações de implementação da segurança da informação em uma organização e sua abrangência organizacional, percebemos a importância da estruturação e do planejamento das ações de segurança em curso de forma a permitir que esta organização possa monitorar a eficácia e eficiência destas ações. Neste sentido qual é a norma que trata especificamente sobre governança de segurança? ISO 27005 ISO 27000 ISO 27001 ISO 27002 ISO 27014 =============================================================================================== Norma aplicável a empresas que já implementaram um SGSI e que necessita de diretrizes para o desenvolvimento e uso de métricas e medições a fim de avaliar a eficácia do sistema: ISO 27005 ISO 27004 ISO 27007 ISO 27006 ISO 27003 ===============================================================================================
Compartilhar