Baixe o app para aproveitar ainda mais
Prévia do material em texto
2/14/23, 3:11 AM Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2813555/6017546 1/6 Políticas de segurança e classificação da informação Professor(a): Marcia Maria Savoine (Mestrado acadêmico) 1) 2) Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final. Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas. Você pode responder as questões consultando o material de estudos, mas lembre-se de cumprir o prazo estabelecido. Boa prova! É importante que uma política de segurança de informação seja organizada em uma estrutura hierárquica, apresentando seus elementos categorizados. A respeito de tais categorias (regulamentos, procedimentos, diretrizes e normas), considere as afirmações: I. Regulamentos não são obrigatórios, porém, ao serem desenvolvidos na organização, seu não cumprimento pode levar a penalidades disciplinares. II. Procedimentos devem ser descritivos vagos e superficiais a respeito de práticas cotidianas. III. Diretrizes são obrigatórias e têm caráter consultivo. IV. Normas estabelecem parâmetros a serem observados. Assinale a alternativa correta: Alternativas: As afirmações I, II e III são verdadeiras. Somente a afirmação II é verdadeira. Somente a afirmação III é verdadeira. Somente a afirmação IV é verdadeira. CORRETO Somente a afirmação I é verdadeira. Código da questão: 58725 Sobre a pesquisa realizada pela Identity Defined Security Alliance (IDSA), aliança que auxilia as empresas mundiais a estabelecer o gerenciamento seguro das identidades, considere as seguintes afirmações e classifique-as em verdadeiras (V) ou falsas (F): ( ) Organizações reativas trabalham em resolver os problemas de segurança já acontecidos. ( ) Organizações proativas trabalham em prevenir que ocorram os problemas de segurança. ( ) Ataques por violações relacionadas à identidade, chamados de phishing, são tão comuns quanto spyware ou ataques DDoS. ( ) As empresas reativas experimentaram violações sobre o phishing, porém com menos credenciais roubadas. ( ) Treinamento em segurança da informação não ajuda a reduzir o risco de uma violação de dados, chamada de phishing. Assinale a alternativa que contenha a sequência correta: Alternativas: F – F – F – V – V. V – V – V – F – F. CORRETO V – F – V – F – V. F – F – V – V – F. F – V – F – V – F. Resolução comentada: a afirmação I está errada porque regulamentos são obrigatórios. A afirmação II está errada porque faz referência à forma específica de executar uma atividade ou um processo, e isto não pode ser vago ou superficial, e sim direto e exato. A afirmação III está errada porque não é obrigatório desenvolver diretrizes, pois elas têm caráter somente de consulta em caso de dúvida. E a afirmação IV está correta, pois as normas realmente descrevem parâmetros a serem observados. Resolução comentada: 2/14/23, 3:11 AM Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2813555/6017546 2/6 3) 4) 5) Código da questão: 58770 Em qual ano foi promulgado o Decreto nº 9.637, que instituiu a Política Nacional de Segurança da Informação e dispôs sobre a governança da segurança da informação, alterando todos os decretos anteriores? Alternativas: 2012. 1991. 2018. CORRETO 1998. 2000. Código da questão: 58766 A primeira __________ foi promulgada por meio do ____________ de 13 de junho de _________ pelo presidente Fernando Henrique Cardoso, que instituiu a Política de Segurança da Informação _____________ da Administração Pública Federal no Brasil. Assinale a alternativa que completa adequadamente as lacunas: Alternativas: Lei; direito; 1991; nos ministérios. Lei nº 8.159; ; Decreto; 2012; nas entidades. Estrutura; Decreto nº 9.637, 2000, nos órgãos. Classificação; Decreto nº 2.910; 1998; nos ministérios. PSI; Decreto nº 3.505; 2000; nos órgãos e entidades. CORRETO Código da questão: 58758 Uma política de segurança da informação deve ser sustentada por: diretrizes, normas, regras, procedimentos e instruções, isto de acordo com cada nível organizacional nas empresas. Leia e relacione as três colunas: as empresas proativas experimentam violações sobre o phishing, porém com menos credenciais roubadas, e não empresas reativas. O treinamento em segurança da informação ajuda a reduzir o risco de uma violação de dados, chamada de phishing, justamente porque os usuários entendem que não podem acessar links desconhecidos de e-mails e sites. Resolução comentada: em 2018, 18 anos depois do último decreto que instituiu a política de segurança da informação, Decreto nº 3.505, de 13 de junho de 2000, promulgado pelo presidente Fernando Henrique Cardoso. Resolução comentada: a primeira política de segurança da informação foi promulgada pelo presidente Fernando Henrique Cardoso por meio do Decreto nº 3.505 em 13 de junho de 2000, que instituiu a política de segurança da informação nos órgãos e entidades da Administração Pública Federal do Brasil. 2/14/23, 3:11 AM Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2813555/6017546 3/6 6) Assinale a alternativa que traz a associação correta entre as três colunas: Alternativas: I – A – X; II – B – W; III – C – Z CORRETO I – B – Z; II – C – W; III – A – X I – B – W; II – C – X; III – A – Z I – C – Z; II – B – W; III – A – X. I – B – X; II – C – W; III – A – Z Código da questão: 58722 Sobre a classificação da informação, com base na propriedade de confidencialidade, podemos afirmar que: I. A informação classificada como “pública” pode ser acessada por: usuários da organização; organizações, clientes e prestadoras de serviço; e o público em geral. Essa classificação se aplica, normalmente, às informações corporativas da organização que podem ser divulgadas para o público e para os clientes. As informações sem classificação serão consideradas “públicas”. II. A informação classificada como “interna organização” indica que esta somente deve ser acessada por usuários da organização ou de áreas organizacionais explicitadas. Ela se aplica, normalmente, a informações da organização que não possuem segredo de negócio ou que não comprometem a imagem da organização. Classificação: Informação Interna – Organização. Ou seja, internamente: qualquer usuário organização. Externamente: não autorizado. III. Os níveis de classificação permitem que a informação possa ser identificada como: (1) pública, (2) interna, (3) confidencial e (4) restrita. Nenhum dos relatórios de sistemas, relatórios elaborados no ambiente de automação de escritório e nenhuma das telas do sistema deverão indicar o nível de classificação da informação referente à tela ou ao relatório. Toda e qualquer outra forma de exposição da informação da organização pode ser classificada e não precisa ter explícito o seu nível de confidencialidade. Essa indicação do nível de classificação deve ser colocada em qualquer lugar de cada página do relatório ou na tela. No caso de correio eletrônico, não se deve colocar descrição alguma. IV. A informação classificada como “confidencial” indica que ela tem forte restrição de uso, um nível de confidencialidade maior que “interna” e somente pode ser acessada por usuários da organização ou da organização e por pessoal do parceiro (cliente, prestador de serviço, outro). A divulgação não autorizada dessa informação pode causar impacto (financeiro, de imagem ou operacional) ao negócio da organização e/ou ao negócio do parceiro. V. A informação classificada como “restrita organização” indica que ela somente pode ser acessada por usuário da informação da organização explicitamente indicado pelo nome ou por área organizacional a que pertence. A divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou comprometer a estratégia de negócio da organização. É obrigatória a indicação do grupo ou das pessoas que podem acessar essa informação. São verdadeiras: Resoluçãocomentada: nível estratégico trata sempre de política e diretrizes, e sua abrangência sempre será a utilização das informações em toda a organização e, caso tenha, suas filiais também. O nível tático trata sempre das normas e regras, e sua abrangência sempre será de aplicação a todos os usuários. E o nível operacional sempre tratará de procedimentos e instruções, e sua abrangência sempre será sobre as ações da organização com relação a cada usuário. 2/14/23, 3:11 AM Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2813555/6017546 4/6 7) Alternativas: II – V. I – II. I – III – V. I – II – III – IV. I – II – IV – V. CORRETO Código da questão: 58763 O gestor de TI de uma empresa de médio porte deseja melhorar a governança e a gestão de TI dessa empresa. Nesse caso, ele escolhe implantar um framework que venha orientar a organização na implementação, operação e melhoria dos processos de governança de TI. Assinale a alternativa correta, com o framework escolhido pelo gestor de TI de acordo com suas necessidades. Alternativas: ITIL v4. PMBOK. CMMI COSO Cobit 5. CORRETO Código da questão: 58726 Resolução comentada: a afirmação I é verdadeira, pois usuários da organização; organizações clientes e prestadoras de serviço; e o público em geral; já a II é correta, pois “interna organização” indica que esta somente deve ser acessada por usuários da organização ou de áreas organizacionais explicitadas (entende-se como áreas organizacionais explicitadas os departamentos que podem ter acesso à informação). E a III está errada, pois TODOS os relatórios de sistemas, relatórios elaborados no ambiente de automação de escritório e TODAS as telas do sistema deverão indicar o nível de classificação da informação referente à tela ou ao relatório. Toda e qualquer outra forma de exposição da informação da organização DEVE ser classificada e PRECISA ter explícito o seu nível de confidencialidade. Essa indicação do nível de classificação deve ser colocada no cabeçalho ou rodapé de cada página do relatório ou na tela. No caso de correio eletrônico, DEVE-SE colocar descrição COM DESTAQUE (negrito). A IV está correta, pois classificada como “confidencial” indica que tem forte restrição de uso, um nível de confidencialidade maior que “interna” e somente pode ser acessada por usuários: da organização; oupor pessoal parceiro (por parceiros, entende-se os terceirizados e fornecedores) . A divulgação não autorizada dessa informação pode causar impacto ao negócio da organização e/ou ao negócio do parceiro. E, por fim, a V é correta, pois classificada como “restrita ORGANIZAÇÃO” indica que somente pode ser acessada por usuário da informação da organização explicitamente indicado pelo nome ou por área organizacional a que pertence. A divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou comprometer sua estratégia de negócio. É obrigatória a indicação do grupo ou das pessoas que podem acessar essa informação. Resolução comentada: o Cobit 5 é um framework com foco em orientar a organização na implementação, operação e melhoria dos processos de governança de TI. A ITIL v4 é uma biblioteca com foco em práticas de gerenciamento dos serviços de TI. PMBOK é um guia de boas práticas para orientar as ações do gerenciamento de projetos. CMMI é um modelo voltado para a capacidade de maturidade de processos de software. COSO é guia com o objetivo de orientar as organizações quanto a princípios e melhores práticas de controle interno, para assegurar a produção de relatórios financeiros confiáveis e prevenir fraudes. 2/14/23, 3:11 AM Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2813555/6017546 5/6 8) 9) 10) Os critérios de controle para a classificação da informação devem ser desenvolvidos em consonância com as propriedades disponibilidade, confidencialidade e integridade. Considere as seguintes afirmações e classifique-as em (V) verdadeira ou (F) falsa: ( ) Com relação à integridade, os critérios são: registrada, controlada e normal. ( ) Com relação à confidencialidade, têm-se os critérios: confidencial, restrita, interna e pública. ( ) A propriedade confidencialidade se conecta à integridade, mas não à indisponibilidade. ( ) Com relação à indisponibilidade, têm-se os critérios: vital, crítica e comum. ( ) As propriedades confidencialidade e indisponibilidade comungam com os seguintes critérios: normal, pública e vital. Assinale a alternativa que contenha a sequência correta: Alternativas: F – V – F – V – F. V – V – F – V – F. CORRETO V – F – F – V – V. F – V – V – V – V. F – V – F – F – F. Código da questão: 58761 Os rótulos que são atribuídos às informações, após a classificação da informação, consistem em: Alternativas: Realizar um tratamento com o critério integridade. Definir os níveis de classificação que identificam o conteúdo daquela informação. CORRETO Estabelecer as propriedades de disponibilidade, confidencialidade e integridade das informações. Tratar as informações classificadas. Conjunto de ações referentes a recepção, classificação, utilização, armazenamento e descarte da informação. Código da questão: 58767 Em uma política de segurança da informação no nível operacional é onde são criados(as): Alternativas: Procedimentos e instruções. CORRETO Políticas. Resolução comentada: na propriedade integridade, os critérios são: registrada, controlada e normal. Na propriedade confidencialidade, os critérios são: confidencial, restrita, interna e pública. A propriedade confidencialidade se liga à integridade e também à disponibilidade, pois uma complementa a outra para a segurança da informação. Sobre a propriedade indisponibilidade, os critérios são: vital, crítica e comum. As propriedades confidencialidade e indisponibilidade não comungam com os critérios: normal, pública e vital. Resolução comentada: consiste em efetivar os níveis das informações já classificadas, identificando o tipo de conteúdo daquela informação. Por exemplo: confidencial, restrita, interna e pública, entre outros. 2/14/23, 3:11 AM Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2813555/6017546 6/6 Normas. Regras. Normas e regras. Código da questão: 58724 Resolução comentada: no nível operacional são descritos na política quais as instruções ou procedimentos que o usuário técnico tem que realizar para poder acessar informações do ambiente de tecnologia da organização. Arquivos e Links
Compartilhar