Revisão Prova 01

Prévia do material em texto

Pontifícia Universidade Católica de Minas Gerais - Campus Betim
ICEI - Instituto de Ciências Exatas e Informática
Curso de Sistemas de Informação
Professor: Pedro Ivo
Disciplina: Segurança de Sistemas da Informação
Alunos: Yasmin Gonçalves / Gustavo Guilherme / André Valverde /
Rodrigo Xavier
01) Técnicas Gerais de Atenuação julgue os itens com V ou F.
(V) A prevenção tem por finalidade impedir a execução do ataque detectado.
(F) Reação tem por finalidade impedir a execução do ataque detectado.
(V) HIDS também chamada de tecnologia passiva.
(F) O HIPS, tem como objetivo barrar ou impedir o dano através do bloqueio da
ameaça.
(V) WSUS é uma ferramenta da MS para gerenciar atualizações de patches de
segurança para sistemas da Microsoft
02) De acordo com ABNT são todos os grupos de características abaixo são
objetivos da normalização, exceto:
a) Comunicação, segurança e proteção ao consumidor;
b) Comunicação, eliminação de barreiras comerciais e proteção ao consumidor;
c) Comunicação, Eliminação de barreira aduaneira, e proteção ao consumidor;
d) Centralização, Segurança e eliminação de barreiras aduaneiras
e) Proteção ao consumidor, Comunicação e Padronização;
03) Um fator importante em um processo de classificação da informação é o nível de
ameaça conhecido que cada informação tem. Quando uma informação é classificada
como aquela que a organização não tem interesse em divulgar, cujo acesso por parte
de indivíduos externos a ela deve ser evitado, porém caso seja disponibilizada não
causará danos sérios à organização, podemos afirmar que ela possui qual nível de
segurança?
a) Pública Confidencial. b) Secreta. c) Confidencial. d) Interna. e) Irrestrito.
04) Quando uma informação é classificada como pública, podendo ser utilizada
sem causar nenhum dano à organização, podemos afirmar que ela possuiu o
nível de segurança?
a) Confidencial. b) Irrestrito. c) Interna. d) Secreta e) Nenhuma das opções.
05) Julgue os itens abaixo em Verdadeiro (V) ou Falso (F).
(V) A gestão e o tratamento dos ativos de uma organização devem se dar de acordo com o
esquema de classificação da informação adotada pela organização, a fim de assegurar que a
informação receba um nível adequado de proteção.
(V) Uma política de segurança da informação deve ser apoiada em tópicos específicos que
incluam a classificação e o tratamento da informação, a proteção e a privacidade da
informação de identificação pessoal.
(F) A fim de melhorar a interoperabilidade de dados, as informações compartilhadas entre
organizações devem manter a mesma classificação e rotulação.
(V) Na classificação e rotulação de ativos de informação, os rótulos utilizados
devem ser de difícil reconhecimento, com o objetivo de dificultar seu roubo por
pessoas internas e externas à organização.
06) A Política de Segurança da Informação é o documento de alto nível que divulga
as diretrizes de segurança da informação, as quais devem alinhar-se com os
objetivos da organização, devendo ser conhecida por todos os funcionários. De
acordo com a norma NBR ISO/IEC 17799:2005, a política de segurança deve conter:
a) a relação dos contratos assinados com prestadores de serviços;
b) os procedimentos de recuperação de um sistema em caso de desastre;
c) as assinaturas da direção e de todos os funcionários da organização;
d) as responsabilidades dos diretores e gerentes dos processos de
negócio da organização;
e) as consequências das violações na política de segurança da
informação.
07) Julgue os itens em certo ou errado de acordo com a Família ISO/IEC 27000
a) Devido a questões econômicas, a norma NBR ISO/IEC 27001:2006 não cobre empresas
de pequeno porte..
( ) Certo (X) errado
b) A NBR ISO/IEC 27001:2006 adota o modelo de melhoria contínua PDCA, que apresenta
as seguintes etapas: PLAN → estabelecer o SGSI; DO → implementar e operar o SGSI;
CHECK → monitorar e analisar criticamente o SGSI; e ACT → manter e melhorar o SGSI.
(X) Certo ( ) errado
c) Considerando o que dispõe a NBR ISO/IEC 27001, julgue os próximos itens. A
exclusão de controles considerados necessários deve ser justificada por meio do
fornecimento de evidências a respeito da aceitação dos riscos pelas pessoas
responsáveis.
(X) Certo ( ) errado
d) Julgue os itens subsequentes no que se refere ao sistema de gestão de segurança da
informação (SGSI). Em um SGSI (sistema de gestão de segurança da informação), os riscos
devem ser analisados e avaliados. Uma das opções do tratamento de riscos do SGSI é
transferir os riscos para as seguradoras.
(X) Certo ( ) errado
e) A NBR ISO/IEC 27002 foi preparada para prover requisitos que estabeleçam um sistema
de gestão de segurança da informação (SGSI), ao passo que a ISO/IEC 27001 foi projetada
para organizações que usem a norma como uma referência para selecionar controles no
processo de implementação do SGSI.
( ) Certo (X) errado
f) A NBR ISO/IEC 27001 trata de auditoria interna no SGSI, com intervalos planejados
conduzidos pela organização; já a NBR ISO/IEC 27002 trata de atividades e requisitos de
auditoria que envolvem a verificação dos sistemas operacionais, com o objetivo de minimizar
interrupções nos processos de negócio.
(X) Certo ( ) errado
g) O objetivo principal da norma ISO/IEC 27002 é implantar um sistema de gestão da
segurança da informação (SGSI).
( ) Certo (X) errado
08) Explique como é definido e escrito o Tópico de Diretrizes do Documento da Política
de Segurança da Informação.
Um documento de diretrizes de Política de Segurança da Informação, deve abranger o
máximo possível de detalhes sobre os seus tópicos. Para se ter um documento do tipo, deve
ser criado uma política de segurança da informação empresarial. Tem como definição um ter
várias padronizações de ações e diretrizes que devem ser seguidas por colaboradores e
gestores de todos os níveis da organização. Tendo isso em vista, a PSI precisa detalhar como
por exemplo aspectos de definição dos níveis de acesso; como, por exemplo, quem pode ou
não, acessar algo ou monitoramento e controle das ações dos colaboradores.
09) Diferencie, no âmbito do Documento de PSI:
a) Normas, Diretrizes, Procedimentos e Instruções.
● Normas:
De acordo com o Documento de PSI, uma norma
é uma regra que a organização deve seguir.
● Diretrizes:
A diretriz é uma orientação, uma espécie de guia
para servir de orientação para a organização.
● Procedimentos:
Procedimento é a maneira de executar
determinado processo. Ou seja, é uma espécie de passo-a-passo.
● Instruções:
Instruções são comandos que devem ser
seguidos na ordem correta, para a execução de algum procedimento,
seguindo uma norma exigida pelo documento de PSI