Gestão da segurança da informação (ISO 27001 e 27002)

Prévia do material em texto

QUESTÃO 01 
 
A legislação que ganhou o apelido de "Lei Carolina Dieckmann", a Lei nº 
12.737/2012, também conhecida como Lei dos Crimes Cibernéticos, dispõe 
sobre a tipificação criminal de delitos informáticos. O artigo 154-A dessa lei diz: 
“Invadir dispositivo informático alheio, conectado ou não à rede de 
computadores, mediante violação indevida de mecanismo de segurança e com 
o fim de obter, adulterar ou destruir dados ou informações sem autorização 
expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter 
vantagem ilícita. Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa”. 
O texto do artigo mostra a intenção do legislador de tutelar valores protegidos 
pela constituição. Identifique qual bem jurídico protegido pelo artigo da Lei de 
Crimes Cibernéticos? 
 
 
QUESTÃO 02 
A Norma ISO 27002, define como etapa recomendada durante o 
estabelecimento de um Sistema de Gestão de Segurança da Informação (SGSI) 
a análise de riscos. 
A análise de risco da informação possui três fases principais: identificar riscos, 
quantificar o impacto de possíveis ameaças e conseguir um equilíbrio financeiro 
entre o impacto do risco e o custo da contramedida. 
 
Conforme trecho apresentado, analise as afirmações a seguir que durante a fase 
de identificação de riscos, a organização deve identificar: 
 
I. Os ativos e seus proprietários que abrangem o Sistema de Gestão de 
Segurança da Informação. 
II. As ameaças aos ativos que abrangem o Sistema de Gestão de Segurança da 
Informação . 
III. Os ativos e as vulnerabilidades que podem ser exploradas pelas ameaças. 
IV. Os impactos podem causar aos ativos e que podem gerar perdas dos 
princípios da segurança da informação: confidencialidade, integridade e 
disponibilidade. 
 
É correto o que se afirma em 
 
QUESTÃO 03 
A segurança da informação diz respeito à proteção de um conjunto de 
informações, no sentido de preservar o valor que possui para um indivíduo ou 
uma organização. 
Considerando o trecho apresentado, avalie as asserções a seguir e a relação 
proposta entre elas. 
I) Dentre os diversos aspectos relativos à segurança de sistemas de informação, 
um importante item refere-se a utilização de firewalls para oferecer proteção 
contra ataques. 
PORQUE 
II) Sendo originadas de dentro ou de fora da rede, as ameaças são neutralizadas 
pela utilização de firewalls , que protegem as redes corporativas com seus 
mecanismos de política de segurança. 
 
 
A respeito dessas asserções, assinale a opção correta. 
 
 
QUESTÃO 04 
Trazido pela lei 12.695, de 2014, no Brasil, o chamado Marco Civil da internet, 
possui diversos princípios, garantias, direitos e deveres para o uso da internet. 
Dessa forma, identifique nas alternativas abaixo, a qual princípio refere-se o texto 
a seguir. 
"proíbe as operadoras de segmentar, limitar, bloquear ou cobrar, de forma 
diferenciada, por serviços ou produtos existentes na internet." 
 
 
QUESTÃO 05 
A norma NBR ISO/IEC 27002 é o Código de Prática para a Gestão de Segurança da 
Informação, que tem como objetivo “estabelecer diretrizes e princípios gerais para 
iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma 
organização”. 
 
Considerando o trecho apresentado, avalie as afirmações a seguir. 
I – para definição de uma estratégia de continuidade de negócios, deve-se ter como 
meta o tempo esperado de recuperação que, por sua vez, é derivado dos períodos 
máximos toleráveis de interrupção; 
II – os requisitos para controles de segurança de novos sistemas de informação ou 
melhorias em sistemas existentes devem constar nas especificações de requisitos de 
negócios dos sistemas; 
III – entre os objetivos de controle de manuseio de mídias inclui-se o controle de 
descarte de mídias, sendo previstas, nessas normas, diretrizes de implementação 
para o descarte de forma segura e protegida. 
É correto o que afirma em 
 
QUESTÃO 06 
De acordo com a Norma ISO 27001, uma vulnerabilidade é “uma fraqueza de um ativo 
que poderia ser potencialmente explorada por uma ou mais ameaças.” 
Como exemplo prático, toda vez que um dispositivo se conecta à internet, existe o 
risco de que um hacker tente explorar uma vulnerabilidade específica para tentar 
acessar sua rede e suas informações. 
 Considerando o texto apresentado sobre vulnerabilidade, analise a seguir as 
afirmativas. 
 
I. Não podem ser considerados tipos de vulnerabilidades, os erros ocorridos durante a 
instalação de hardwares. 
II. São exemplos de vulnerabilidades: acessos indevidos e vazamento de informações 
ocasionados por problemas e erros na instalação ou na configuração de softwares. 
III. Os princípios da segurança da informação são rompidos quando ocorre um erro de 
procedimento, falha de um agente ou má configuração dos aplicativos de segurança. 
 
É correto o que se afirma em 
 
 
QUESTÃO 07 
ISO/IEC 27001 é a norma que define os requisitos para um Sistema de Gestão 
da Segurança da Informação (SGSI). A ISO/IEC 27002 é um código de práticas 
com um conjunto completo de controles que auxiliam aplicação do Sistema de 
Gestão da Segurança da Informação. O SGSI inclui estrutura organizacional, 
políticas, atividades de planejamento, responsabilidades, práticas, 
procedimentos, processos e recursos. 
Em relação a essas normas, assinale a opção correta. 
 
 
QUESTÃO 08 
Você é um consultor e, é regularmente contratado pelo Ministério da Saúde para 
realizar análises e testes sobre determinada vacina, mas você terceiriza a coleta 
dos dados sobre a vacinas para trabalhadores temporários. Você não quer que 
os trabalhadores temporários tenham acesso aos seus relatórios sobre as 
análises. 
 
Qual princípio da segurança da informação você tem que garantir em seus 
relatórios? 
 
 
QUESTÃO 09 
O processo de criptografia está em transformar uma informação original em outra 
não inteligível num processo que pode ser revertido, ou seja, a informação 
poderá voltar à sua forma inicial desde que combinada com sua chave. Sem a 
chave, a decodificação não é possível, o que significa restrição de acesso, 
característica muito interessante para sistemas de segurança de informação. 
Identifique nas alternativas abaixo, qual processo de criptografia o parágrafo 
acima refere-se. 
 
 
QUESTÃO 10 
A norma ABNT NBR ISO/IEC 27002 estabelece que as empresas tenham um 
documento que descreva a sua política de segurança da informação. 
 
Avalie os seguintes itens que podem fazer parte da norma mencionada: 
I. Definição da segurança da informação, seu escopo e importância. 
II. Breve explanação das políticas, princípios, normas e requisitos de 
conformidade de segurança da informação. 
III. Definição das responsabilidades gerais e específicas na gestão da segurança 
da informação. 
 
É correto o que se afirma em