Baixe o app para aproveitar ainda mais
Prévia do material em texto
Pontifícia Universidade Católica de Minas Gerais - Campus Betim ICEI - Instituto de Ciências Exatas e Informática Curso de Sistemas de Informação Professor: Pedro Ivo Disciplina: Segurança de Sistemas da Informação Alunos: Yasmin Gonçalves / Gustavo Guilherme / André Valverde / Rodrigo Xavier 01) Técnicas Gerais de Atenuação julgue os itens com V ou F. (V) A prevenção tem por finalidade impedir a execução do ataque detectado. (F) Reação tem por finalidade impedir a execução do ataque detectado. (V) HIDS também chamada de tecnologia passiva. (F) O HIPS, tem como objetivo barrar ou impedir o dano através do bloqueio da ameaça. (V) WSUS é uma ferramenta da MS para gerenciar atualizações de patches de segurança para sistemas da Microsoft 02) De acordo com ABNT são todos os grupos de características abaixo são objetivos da normalização, exceto: a) Comunicação, segurança e proteção ao consumidor; b) Comunicação, eliminação de barreiras comerciais e proteção ao consumidor; c) Comunicação, Eliminação de barreira aduaneira, e proteção ao consumidor; d) Centralização, Segurança e eliminação de barreiras aduaneiras e) Proteção ao consumidor, Comunicação e Padronização; 03) Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido que cada informação tem. Quando uma informação é classificada como aquela que a organização não tem interesse em divulgar, cujo acesso por parte de indivíduos externos a ela deve ser evitado, porém caso seja disponibilizada não causará danos sérios à organização, podemos afirmar que ela possui qual nível de segurança? a) Pública Confidencial. b) Secreta. c) Confidencial. d) Interna. e) Irrestrito. 04) Quando uma informação é classificada como pública, podendo ser utilizada sem causar nenhum dano à organização, podemos afirmar que ela possuiu o nível de segurança? a) Confidencial. b) Irrestrito. c) Interna. d) Secreta e) Nenhuma das opções. 05) Julgue os itens abaixo em Verdadeiro (V) ou Falso (F). (V) A gestão e o tratamento dos ativos de uma organização devem se dar de acordo com o esquema de classificação da informação adotada pela organização, a fim de assegurar que a informação receba um nível adequado de proteção. (V) Uma política de segurança da informação deve ser apoiada em tópicos específicos que incluam a classificação e o tratamento da informação, a proteção e a privacidade da informação de identificação pessoal. (F) A fim de melhorar a interoperabilidade de dados, as informações compartilhadas entre organizações devem manter a mesma classificação e rotulação. (V) Na classificação e rotulação de ativos de informação, os rótulos utilizados devem ser de difícil reconhecimento, com o objetivo de dificultar seu roubo por pessoas internas e externas à organização. 06) A Política de Segurança da Informação é o documento de alto nível que divulga as diretrizes de segurança da informação, as quais devem alinhar-se com os objetivos da organização, devendo ser conhecida por todos os funcionários. De acordo com a norma NBR ISO/IEC 17799:2005, a política de segurança deve conter: a) a relação dos contratos assinados com prestadores de serviços; b) os procedimentos de recuperação de um sistema em caso de desastre; c) as assinaturas da direção e de todos os funcionários da organização; d) as responsabilidades dos diretores e gerentes dos processos de negócio da organização; e) as consequências das violações na política de segurança da informação. 07) Julgue os itens em certo ou errado de acordo com a Família ISO/IEC 27000 a) Devido a questões econômicas, a norma NBR ISO/IEC 27001:2006 não cobre empresas de pequeno porte.. ( ) Certo (X) errado b) A NBR ISO/IEC 27001:2006 adota o modelo de melhoria contínua PDCA, que apresenta as seguintes etapas: PLAN → estabelecer o SGSI; DO → implementar e operar o SGSI; CHECK → monitorar e analisar criticamente o SGSI; e ACT → manter e melhorar o SGSI. (X) Certo ( ) errado c) Considerando o que dispõe a NBR ISO/IEC 27001, julgue os próximos itens. A exclusão de controles considerados necessários deve ser justificada por meio do fornecimento de evidências a respeito da aceitação dos riscos pelas pessoas responsáveis. (X) Certo ( ) errado d) Julgue os itens subsequentes no que se refere ao sistema de gestão de segurança da informação (SGSI). Em um SGSI (sistema de gestão de segurança da informação), os riscos devem ser analisados e avaliados. Uma das opções do tratamento de riscos do SGSI é transferir os riscos para as seguradoras. (X) Certo ( ) errado e) A NBR ISO/IEC 27002 foi preparada para prover requisitos que estabeleçam um sistema de gestão de segurança da informação (SGSI), ao passo que a ISO/IEC 27001 foi projetada para organizações que usem a norma como uma referência para selecionar controles no processo de implementação do SGSI. ( ) Certo (X) errado f) A NBR ISO/IEC 27001 trata de auditoria interna no SGSI, com intervalos planejados conduzidos pela organização; já a NBR ISO/IEC 27002 trata de atividades e requisitos de auditoria que envolvem a verificação dos sistemas operacionais, com o objetivo de minimizar interrupções nos processos de negócio. (X) Certo ( ) errado g) O objetivo principal da norma ISO/IEC 27002 é implantar um sistema de gestão da segurança da informação (SGSI). ( ) Certo (X) errado 08) Explique como é definido e escrito o Tópico de Diretrizes do Documento da Política de Segurança da Informação. Um documento de diretrizes de Política de Segurança da Informação, deve abranger o máximo possível de detalhes sobre os seus tópicos. Para se ter um documento do tipo, deve ser criado uma política de segurança da informação empresarial. Tem como definição um ter várias padronizações de ações e diretrizes que devem ser seguidas por colaboradores e gestores de todos os níveis da organização. Tendo isso em vista, a PSI precisa detalhar como por exemplo aspectos de definição dos níveis de acesso; como, por exemplo, quem pode ou não, acessar algo ou monitoramento e controle das ações dos colaboradores. 09) Diferencie, no âmbito do Documento de PSI: a) Normas, Diretrizes, Procedimentos e Instruções. ● Normas: De acordo com o Documento de PSI, uma norma é uma regra que a organização deve seguir. ● Diretrizes: A diretriz é uma orientação, uma espécie de guia para servir de orientação para a organização. ● Procedimentos: Procedimento é a maneira de executar determinado processo. Ou seja, é uma espécie de passo-a-passo. ● Instruções: Instruções são comandos que devem ser seguidos na ordem correta, para a execução de algum procedimento, seguindo uma norma exigida pelo documento de PSI
Compartilhar