Baixe o app para aproveitar ainda mais
Prévia do material em texto
Prova Impressa GABARITO | Avaliação I - Individual (Cod.:739512) Peso da Avaliação 1,50 Prova 47104430 Qtd. de Questões 10 Acertos/Erros 9/0 Canceladas 1 Nota 10,00 A avaliação de risco é o processo de comparação dos resultados da análise de risco com critérios de risco previamente definidos, com o objetivo de determinar se o risco é ou não aceitável (ISO/IEC 27005, 2018). A avaliação de riscos é um componente essencial de um processo de gerenciamento de riscos em toda a organização (NIST, 2012). A visão do ciclo de vida do processo de gerenciamento de riscos pela norma ISO/IEC 27005 tem seis grupos principais de atividades. Com base no exposto, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Definição do contexto. ( ) Probabilidade de risco. ( ) Análise/Avaliação de riscos. ( ) Impacto do risco. Assinale a alternativa que apresenta a sequência CORRETA: FONTE: ISO/IEC. 27005:2018, Information Security Risk Management. 2018. Disponível em: https://www.iso.org/standard/75281.html. Acesso em: 10 maio 2021. NIST (National Institute of Standards and Technology). Guide for Conducting Risk Assessments - Information Security. 2012. Disponível em: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf. Acesso em: 10 maio 2021. A V - V - V - F. B V - F - F - V. C F - V - V - F. D V - F - V - F. A gestão ou análise do risco deve em grande parte seguir uma estratégia de governança corporativa, que inclui tratar um ciclo de planejamento, execução, checagem e avaliação, do inglês PDCA. Visando identificar esta sigla, analise as opções a seguir: I- PLAN. II- DO. III- ALL. IV- CHECK. Assinale a alternativa CORRETA: A As opções I, II e IV estão corretas. VOLTAR A+ Alterar modo de visualização 1 2 B As opções III e IV estão corretas. C Somente a opção III está correta. D Somente a opção I está correta. A série de normas ISO/IEC 27000 (do inglês, International Organization for Standardization) estabelece as condições necessárias para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação. Com base nas principais normas da série ISO/IEC 27000, classifique V para as opções verdadeiras e F para as falsas: ( ) ISO/IEC 27002. ( ) ISO/IEC 27004. ( ) ISO/IEC 27006. ( ) ISO/IEC 27007. Assinale a alternativa que apresenta a sequência CORRETA: A F - F - V - F. B V - F - V - F. C V - V - V - F. D F - F - F - V. O "risk management" é o processo pelo qual medimos ou estimamos o risco e depois desenvolvemos estratégias para governar. Na área de Tecnologia da Informação (TI) consideramos isto através da aplicação de métodos neste sentido. Com base no exposto, assinale a alternativa CORRETA: A Gerenciamento de riscos. B Tríade de segurança da informação. C Risco comercial. D Gestão de Segurança da Informação. A avaliação de risco é o processo de comparação dos resultados da análise de risco com critérios de risco previamente definidos, com o objetivo de determinar se o risco é ou não aceitável (ISO/IEC 27005, 2018). Trata-se de um componente essencial de um processo de gerenciamento de riscos em toda a organização (NIST, 2012). A visão do ciclo de vida do processo de gerenciamento de riscos pela norma ISO/IEC 27005 tem seis grupos principais de atividades. Com base nesses grupos, analise as opções a seguir: I- Tratamento do risco. 3 4 5 II- Aceitação do risco. III- Comunicação do risco. IV- Transmissão do risco. Assinale a alternativa CORRETA: FONTE: ISO/IEC. 27005:2018, Information Security Risk Management. 2018. Disponível em: https://www.iso.org/standard/75281.html. Acesso em: 10 maio 2020. NIST (National Institute of Standards and Technology). Guide for Conducting Risk Assessments - Information Security. 2012. Disponível em: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf. Acesso em: 10 maio 2021. A As opções I, II e III estão corretas. B Somente a opção I está correta. C As opções I e IV estão corretas. D Somente a opção II está correta. Em segurança da informação, antes de executar o tratamento do risco, é necessário que sejam avaliados os critérios com relação à aceitação do risco. Para cada risco identificado deve se tomar uma decisão. As decisões são descritas pela norma ISO/IEC 17799 (2000), que descreve um conjunto de práticas orientadas para a gestão da segurança da informação. Com base nessas decisões, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Não deixar sem resposta o risco. ( ) Aplicar controles para reduzir os riscos. ( ) Não permitir ações que podem causar risco. ( ) Avaliar as formas de geração do risco. Assinale a alternativa que apresenta a sequência CORRETA: A V - F - V - V. B V - F - F - V. C F - V - V - F. D F - V - V - V. Em sistemas de tecnologia da informação, uma estimativa de impacto pode ser obtida avaliando a perda em termos de integridade (exemplo: o recurso afetado foi alterado ou destruído), confidencialidade (exemplo: o recurso se torna conhecido pelo atacante) e disponibilidade (exemplo: acesso ao recurso negado). A norma ISO/IEC 27001 associa uma escala de valores de risco para cada um dos itens de segurança da informação. Com base nessa escala, classifique V para as opções verdadeiras e F para as falsas: ( ) Risco nulo. ( ) Risco baixo. 6 7 ( ) Risco médio. ( ) Risco alto. Assinale a alternativa que apresenta a sequência CORRETA: A F - F - V - F. B F - V - V - V. C F - F - F - V. D V - V - V - F. O Nist descreve uma perspectiva de um processo de gestão de risco. A abordagem é compatível com o processo definido por ISO/IEC 27005. Com base nas quatro etapas do processo de gerenciamento de risco definido pela norma SP (do inglês, Special Publication) 800-30 do Nist, classifique V para as opções verdadeiras e F para as falsas: ( ) Estruturação. ( ) Processamento. ( ) Avaliação. ( ) Monitoramento. Assinale a alternativa que apresenta a sequência CORRETA: A F - V - V - V. B V - F - F - F. C V - F - V - V. D F - V - V - F. A segurança da informação é obtida com a implementação de controles, que deverão ser monitorados, analisados e consecutivamente melhorados, com o intuito de atender aos objetivos do negócio, mitigando os riscos e garantindo os preceitos de segurança da organização: confidencialidade, integridade e disponibilidade (CID), a tríade de segurança da informação (SÊMOLA, 2014). Com relação às respectivas definições dos chamados "três pilares da segurança da informação", assinale a alternativa INCORRETA: FONTE: SÊMOLA, M. Gestão da segurança da informação - uma visão executiva. Rio de Janeiro. Editora Elsevier. 2. ed. 2014. A As informações precisam estar sempre disponíveis para consultas dos colaboradores, pois qualquer ausência pode dificultar ou mesmo inviabilizar decisões, contratos, vendas, além de prejudicar a relação com o cliente. B O objetivo da segurança da informação, nesse caso, é garantir que as informações se mantenham livres de qualquer alteração, conforme foram criadas. C As empresas já entenderam que os dados são verdadeiros ativos, por isso estão cada vez mais preocupadas com os pilares da segurança da informação. 8 9 D O objetivo é restringir o acesso às informações. Isso evita que ações maliciosas, comoespionagem e ciberataques, exponham qualquer conteúdo confidencial. Atenção: Esta questão foi cancelada, porém a pontuação foi considerada. A série de normas ISO/IEC 27000 (do inglês, International Organization for Standardization) preconiza as condições necessárias para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação. Com base no exposto, analise as sentenças a seguir: I- ISO/IEC 27000 - apresenta uma visão geral das normas e vocabulário. II- ISO/IEC 27002 - apresenta um conjunto de controles e objetivos de controle de segurançada informação. III- ISO/IEC 27006 - apresenta recomendações para o processo de auditoria e certificação em segurança da informação. IV- ISO/IEC 27020 - apresenta linhas gerais para a implementação do sistema de gestão de segurança da informação. Assinale a alternativa CORRETA: A As sentenças II e V estão corretas. B As sentenças I, II e III estão corretas. C As sentenças II, IV e V estão corretas. D As sentenças I, II e V estão corretas. 10 Imprimir
Compartilhar