Políticas de segurança e classificação da informação

Prévia do material em texto

2/14/23, 3:11 AM Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2813555/6017546 1/6
Políticas de segurança e classificação da informação
Professor(a): Marcia Maria Savoine (Mestrado acadêmico)
1)
2)
Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A
Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final.
Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas.
Você pode responder as questões consultando o material de estudos, mas lembre-se de cumprir
o prazo estabelecido. Boa prova!
É importante que uma política de segurança de informação seja organizada em uma
estrutura hierárquica, apresentando seus elementos categorizados. A respeito de tais
categorias (regulamentos, procedimentos, diretrizes e normas), considere as afirmações:
I. Regulamentos não são obrigatórios, porém, ao serem desenvolvidos na organização, seu
não cumprimento pode levar a penalidades disciplinares.
II. Procedimentos devem ser descritivos vagos e superficiais a respeito de práticas
cotidianas.
III. Diretrizes são obrigatórias e têm caráter consultivo.
IV. Normas estabelecem parâmetros a serem observados.
Assinale a alternativa correta:
Alternativas:
As afirmações I, II e III são verdadeiras.
Somente a afirmação II é verdadeira.
Somente a afirmação III é verdadeira.
Somente a afirmação IV é verdadeira.  CORRETO
Somente a afirmação I é verdadeira.
Código da questão: 58725
Sobre a pesquisa realizada pela Identity Defined Security Alliance (IDSA), aliança que
auxilia as empresas mundiais a estabelecer o gerenciamento seguro das identidades,
considere as seguintes afirmações e classifique-as em verdadeiras (V) ou falsas (F):
( ) Organizações reativas trabalham em resolver os problemas de segurança já acontecidos.
( ) Organizações proativas trabalham em prevenir que ocorram os problemas de segurança.
( ) Ataques por violações relacionadas à identidade, chamados de phishing, são tão comuns
quanto spyware ou ataques DDoS.
( ) As empresas reativas experimentaram violações sobre o phishing, porém com menos
credenciais roubadas.
( ) Treinamento em segurança da informação não ajuda a reduzir o risco de uma violação
de dados, chamada de phishing.
Assinale a alternativa que contenha a sequência correta:
Alternativas:
F – F – F – V – V.
V – V – V – F – F.  CORRETO
V – F – V – F – V.
F – F – V – V – F.
F – V – F – V – F.
Resolução comentada:
a afirmação I está errada porque regulamentos são obrigatórios. A afirmação II está
errada porque faz referência à forma específica de executar uma atividade ou um
processo, e isto não pode ser vago ou superficial, e sim direto e exato. A afirmação
III está errada porque não é obrigatório desenvolver diretrizes, pois elas têm caráter
somente de consulta em caso de dúvida. E a afirmação IV está correta, pois as
normas realmente descrevem parâmetros a serem observados.
Resolução comentada:
2/14/23, 3:11 AM Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2813555/6017546 2/6
3)
4)
5)
Código da questão: 58770
Em qual ano foi promulgado o Decreto nº 9.637, que instituiu a Política Nacional de
Segurança da Informação e dispôs sobre a governança da segurança da informação,
alterando todos os decretos anteriores?
Alternativas:
2012.
1991.
2018.  CORRETO
1998.
2000.
Código da questão: 58766
A primeira __________ foi promulgada por meio do ____________ de 13 de junho de
_________ pelo presidente Fernando Henrique Cardoso, que instituiu a Política de Segurança
da Informação _____________ da Administração Pública Federal no Brasil.
Assinale a alternativa que completa adequadamente as lacunas:
Alternativas:
Lei; direito; 1991; nos ministérios.
Lei nº 8.159; ; Decreto; 2012; nas entidades.
Estrutura; Decreto nº 9.637, 2000, nos órgãos.
Classificação; Decreto nº 2.910; 1998; nos ministérios.
PSI; Decreto nº 3.505; 2000; nos órgãos e entidades.  CORRETO
Código da questão: 58758
Uma política de segurança da informação deve ser sustentada por: diretrizes, normas,
regras, procedimentos e instruções, isto de acordo com cada nível organizacional nas
empresas.
Leia e relacione as três colunas:
as empresas proativas experimentam violações sobre o phishing, porém com menos
credenciais roubadas, e não empresas reativas.
O treinamento em segurança da informação ajuda a reduzir o risco de uma violação
de dados, chamada de phishing, justamente porque os usuários entendem que não
podem acessar links desconhecidos de e-mails e sites.
Resolução comentada:
em 2018, 18 anos depois do último decreto que instituiu a política de segurança da
informação, Decreto nº 3.505, de 13 de junho de 2000, promulgado pelo presidente
Fernando Henrique Cardoso.
Resolução comentada:
a primeira política de segurança da informação foi promulgada pelo presidente
Fernando Henrique Cardoso por meio do Decreto nº 3.505 em 13 de junho de 2000,
que instituiu a política de segurança da informação nos órgãos e entidades da
Administração Pública Federal do Brasil.
2/14/23, 3:11 AM Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2813555/6017546 3/6
6)
Assinale a alternativa que traz a associação correta entre as três colunas:
Alternativas:
I – A – X; II – B – W; III – C – Z  CORRETO
I – B – Z; II – C – W; III – A – X
I – B – W; II – C – X; III – A – Z
I – C – Z; II – B – W; III – A – X.
I – B – X; II – C – W; III – A – Z
Código da questão: 58722
Sobre a classificação da informação, com base na propriedade de confidencialidade,
podemos afirmar que:
I. A informação classificada como “pública” pode ser acessada por: usuários da organização;
organizações, clientes e prestadoras de serviço; e o público em geral. Essa classificação se
aplica, normalmente, às informações corporativas da organização que podem ser
divulgadas para o público e para os clientes. As informações sem classificação serão
consideradas “públicas”.
II. A informação classificada como “interna organização” indica que esta somente deve ser
acessada por usuários da organização ou de áreas organizacionais explicitadas. Ela se
aplica, normalmente, a informações da organização que não possuem segredo de negócio
ou que não comprometem a imagem da organização. Classificação: Informação Interna –
Organização. Ou seja, internamente: qualquer usuário organização. Externamente: não
autorizado.
III. Os níveis de classificação permitem que a informação possa ser identificada como: (1)
pública, (2) interna, (3) confidencial e (4) restrita. Nenhum dos relatórios de sistemas,
relatórios elaborados no ambiente de automação de escritório e nenhuma das telas do
sistema deverão indicar o nível de classificação da informação referente à tela ou ao
relatório. Toda e qualquer outra forma de exposição da informação da organização pode
ser classificada e não precisa ter explícito o seu nível de confidencialidade. Essa indicação
do nível de classificação deve ser colocada em qualquer lugar de cada página do relatório
ou na tela. No caso de correio eletrônico, não se deve colocar descrição alguma.
IV. A informação classificada como “confidencial” indica que ela tem forte restrição de uso,
um nível de confidencialidade maior que “interna” e somente pode ser acessada por
usuários da organização ou da organização e por pessoal do parceiro (cliente, prestador de
serviço, outro). A divulgação não autorizada dessa informação pode causar impacto
(financeiro, de imagem ou operacional) ao negócio da organização e/ou ao negócio do
parceiro.
V. A informação classificada como “restrita organização” indica que ela somente pode ser
acessada por usuário da informação da organização explicitamente indicado pelo nome ou
por área organizacional a que pertence. A divulgação não autorizada dessa informação
pode causar sérios danos ao negócio e/ou comprometer a estratégia de negócio da
organização. É obrigatória a indicação do grupo ou das pessoas que podem acessar essa
informação.
São verdadeiras:
Resoluçãocomentada:
nível estratégico trata sempre de política e diretrizes, e sua abrangência sempre será
a utilização das informações em toda a organização e, caso tenha, suas filiais
também.
O nível tático trata sempre das normas e regras, e sua abrangência sempre será de
aplicação a todos os usuários.
E o nível operacional sempre tratará de procedimentos e instruções, e sua
abrangência sempre será sobre as ações da organização com relação a cada usuário.
2/14/23, 3:11 AM Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2813555/6017546 4/6
7)
Alternativas:
II – V.
I – II.
I – III – V.
I – II – III – IV.
I – II – IV – V.  CORRETO
Código da questão: 58763
O gestor de TI de uma empresa de médio porte deseja melhorar a governança e a
gestão de TI dessa empresa. Nesse caso, ele escolhe implantar um framework que venha
orientar a organização na implementação, operação e melhoria dos processos de
governança de TI. Assinale a alternativa correta, com o framework escolhido pelo gestor de
TI de acordo com suas necessidades.
Alternativas:
ITIL v4.
PMBOK.
CMMI
COSO
Cobit 5.  CORRETO
Código da questão: 58726
Resolução comentada:
a afirmação I é verdadeira, pois usuários da organização; organizações clientes e
prestadoras de serviço; e o público em geral; já a II é correta, pois “interna
organização” indica que esta somente deve ser acessada por usuários da
organização ou de áreas organizacionais explicitadas (entende-se como áreas
organizacionais explicitadas os departamentos que podem ter acesso à informação).
E a III está errada, pois TODOS os relatórios de sistemas, relatórios elaborados no
ambiente de automação de escritório e TODAS as telas do sistema deverão indicar o
nível de classificação da informação referente à tela ou ao relatório. Toda e qualquer
outra forma de exposição da informação da organização DEVE ser classificada e
PRECISA ter explícito o seu nível de confidencialidade. Essa indicação do nível de
classificação deve ser colocada no cabeçalho ou rodapé de cada página do relatório
ou na tela. No caso de correio eletrônico, DEVE-SE colocar descrição COM
DESTAQUE (negrito). A IV está correta, pois classificada como “confidencial” indica
que tem forte restrição de uso, um nível de confidencialidade maior que “interna” e
somente pode ser acessada por usuários: da organização; oupor pessoal parceiro
(por parceiros, entende-se os terceirizados e fornecedores) . A divulgação não
autorizada dessa informação pode causar impacto ao negócio da organização e/ou
ao negócio do parceiro. E, por fim, a V é correta, pois classificada como “restrita
ORGANIZAÇÃO” indica que somente pode ser acessada por usuário da informação
da organização explicitamente indicado pelo nome ou por área organizacional a que
pertence. A divulgação não autorizada dessa informação pode causar sérios danos
ao negócio e/ou comprometer sua estratégia de negócio. É obrigatória a indicação
do grupo ou das pessoas que podem acessar essa informação.
Resolução comentada:
o Cobit 5 é um framework com foco em orientar a organização na implementação,
operação e melhoria dos processos de governança de TI. A ITIL v4 é uma biblioteca
com foco em práticas de gerenciamento dos serviços de TI. PMBOK é um guia de
boas práticas para orientar as ações do gerenciamento de projetos. CMMI é um
modelo voltado para a capacidade de maturidade de processos de software. COSO é
guia com o objetivo de orientar as organizações quanto a princípios e melhores
práticas de controle interno, para assegurar a produção de relatórios financeiros
confiáveis e prevenir fraudes.
2/14/23, 3:11 AM Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2813555/6017546 5/6
8)
9)
10)
Os critérios de controle para a classificação da informação devem ser desenvolvidos em
consonância com as propriedades disponibilidade, confidencialidade e integridade.
Considere as seguintes afirmações e classifique-as em (V) verdadeira ou (F) falsa:
( ) Com relação à integridade, os critérios são: registrada, controlada e normal.
( ) Com relação à confidencialidade, têm-se os critérios: confidencial, restrita, interna e
pública.
( ) A propriedade confidencialidade se conecta à integridade, mas não à indisponibilidade.
( ) Com relação à indisponibilidade, têm-se os critérios: vital, crítica e comum.
( ) As propriedades confidencialidade e indisponibilidade comungam com os seguintes
critérios: normal, pública e vital.
Assinale a alternativa que contenha a sequência correta:
Alternativas:
F – V – F – V – F.
V – V – F – V – F.  CORRETO
V – F – F – V – V.
F – V – V – V – V.
F – V – F – F – F.
Código da questão: 58761
Os rótulos que são atribuídos às informações, após a classificação da informação,
consistem em:
Alternativas:
Realizar um tratamento com o critério integridade.
Definir os níveis de classificação que identificam o conteúdo daquela informação. 
CORRETO
Estabelecer as propriedades de disponibilidade, confidencialidade e integridade das
informações.
Tratar as informações classificadas.
Conjunto de ações referentes a recepção, classificação, utilização, armazenamento e
descarte da informação.
Código da questão: 58767
Em uma política de segurança da informação no nível operacional é onde são
criados(as):
Alternativas:
Procedimentos e instruções.  CORRETO
Políticas.
Resolução comentada:
na propriedade integridade, os critérios são: registrada, controlada e normal.
Na propriedade confidencialidade, os critérios são: confidencial, restrita, interna e
pública.
A propriedade confidencialidade se liga à integridade e também à disponibilidade,
pois uma complementa a outra para a segurança da informação.
Sobre a propriedade indisponibilidade, os critérios são: vital, crítica e comum.
As propriedades confidencialidade e indisponibilidade não comungam com os
critérios: normal, pública e vital.
Resolução comentada:
consiste em efetivar os níveis das informações já classificadas, identificando o tipo de
conteúdo daquela informação. Por exemplo: confidencial, restrita, interna e pública,
entre outros.
2/14/23, 3:11 AM Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2813555/6017546 6/6
Normas.
Regras.
Normas e regras.
Código da questão: 58724
Resolução comentada:
no nível operacional são descritos na política quais as instruções ou procedimentos
que o usuário técnico tem que realizar para poder acessar informações do ambiente
de tecnologia da organização.
Arquivos e Links