quiz gestão de segurança da informação

Prévia do material em texto

· 
	A descrição “As responsabilidades e obrigações pela segurança da informação que permaneçam válidas após um encerramento ou mudança da contratação devem ser definidas, comunicadas aos funcionários ou partes externas e cumpridas” corresponde a qual objetivo de controle do Anexo A da norma ABNT 27001:2013?
		Resposta Selecionada:
	 
Responsabilidades pelo encerramento ou mudança da contratação (A.7.3.1).
	Respostas:
	 
Responsabilidades pelo encerramento ou mudança da contratação (A.7.3.1).
	
	Responsabilidades da Direção (A.7.2.1).
	
	Termos e condições de contratação (A.7.1.2).
	
	Seleção (A.7.1.1).
	
	Termos e condições de contratação (A.7.1.2).
	Comentário da resposta:
	Pode ser necessário que, após a cessação ou mudança de emprego, algumas responsabilidades de segurança da informação continuem a ser aplicadas ao pessoal envolvido. Dessa forma, os aspectos de segurança da saída de uma pessoa da organização ou mudanças significativas de funções dentro dela devem ser gerenciados.
· Pergunta 2
0 em 1 pontos
	
	
	
	Em relação ao objetivo Restrição de Acesso à Informação, para que possa atender aos critérios de restrição de acesso, é interessante que se considere os seguintes itens, de acordo com ISO 27002:
	
	
	
	
		Resposta Selecionada:
	 
o uso de procedimentos para identificação, autenticação e autorização de programas utilitários e segregação dos programas utilitários de aplicativos de software.
	Respostas:
	impor o uso de IDs de usuário e senhas individuais para garantir a responsabilidade e permitir que os usuários selecionem e atualizem suas próprias senhas e forneça um processo de validação para permitir erros de entrada.
	
	o uso de procedimentos para identificação, autenticação e autorização de programas utilitários e segregação dos programas utilitários de aplicativos de software.
	
	os objetos de ameaças, tanto acidentais como deliberadas, considerando que os processos, sistemas, redes e pessoas têm vulnerabilidades inerentes.
	
	 
fornecer menus para controlar o acesso às funções do sistema de aplicativos e controlar quais dados um determinado usuário pode acessar.
	
	limitar a disponibilidade de utilitários, por exemplo, para o tempo da emenda aprovada e registrar o uso de programas utilitários.
	Comentário da resposta:
	De acordo com a ISO 27002:2013, convém que o acesso à informação e às funções dos sistemas de aplicações seja restrito, de acordo com a política de controle de acesso. Para isso, convém que menus para controlar o acesso às funções do sistema de aplicativos e controlar quais dados um determinado usuário pode acessar sejam fornecidos sejam implementados.
	
	
	
· Pergunta 3
0 em 1 pontos
	
	
	
	Algumas seções da Norma ABNT 27001 referem-se à organização da segurança da informação e discutem a análise de risco, resultando em controles mais relacionados à documentação do que controles técnicos ou segurança física da organização. Identifique qual dos controles não se aplica à segurança física, mas sim documental:
	
	
	
	
		Resposta Selecionada:
	 
Segurança de equipamentos e ativos fora das dependências da organização (A.11.2.6).
	Respostas:
	Segurança do cabeamento (A.11.2.3).
	
	Segurança de equipamentos e ativos fora das dependências da organização (A.11.2.6).
	
	Reutilização e alienação seguras de equipamentos (A.11.2.7).
	
	Equipamento de usuário sem monitoração (A.11.2.8).
	
	 
Política de mesa limpa e tela limpa (A.11.2.9).
	Comentário da resposta:
	A política de mesa limpa e tela limpa visa adotar procedimentos para evitar o comprometimento com informações pessoais e organizacionais em uma área de trabalho.  Um documento perdido contendo informação sobre o prazo de um contrato/proposta pode causar a perda de uma licitação e redução na receita esperada.
	
	
	
· Pergunta 4
1 em 1 pontos
	
	
	
	Segurança física é parte da segurança da informação, pois todos os ativos do negócio também devem ser fisicamente protegidos. Por outro lado, a segurança física é mais antiga do que a segurança da informação. Assim sendo, é objetivo de um dos controles da seção de segurança física e do meio ambiente:
	
	
	
	
		Resposta Selecionada:
	 
garantir que a segurança da informação está projetada e implementada no ciclo de vida de desenvolvimento dos sistemas de informação.
	Respostas:
	 
garantir que a segurança da informação está projetada e implementada no ciclo de vida de desenvolvimento dos sistemas de informação.
	
	assegurar a proteção dos dados usados para teste.
	
	prevenir o acesso físico não autorizado, danos e interferências nos recursos de processamento das informações e nas informações da organização.
	
	garantir a operação segura e correta dos recursos de processamento da informação.
	
	garantir que a segurança da informação integre todo o ciclo de vida dos sistemas de informação, incluindo os requisitos para sistemas de informação fornecedores de serviços para as redes públicas.
	Comentário da resposta:
	O anexo A.11. Segurança Física e do Ambiente da Norma 27001:2013 é composta por 15 controles e separado em duas seções:  A.11.1 Áreas seguras e A.11.2 – Equipamentos.  O objetivo “Prevenir o acesso físico não autorizado, danos e interferências nos recursos de processamento das informações e nas informações da organização” se refere à seção A.11.1.
	
	
	
· Pergunta 5
1 em 1 pontos
	
	
	
	De acordo com a ABNT 27005, o processo de gestão de riscos de segurança da informação consiste em:
	
	
	
	
		Resposta Selecionada:
	 
definição do contexto, processo de avaliação de riscos, tratamento do risco, aceitação do risco, comunicação e consulta do risco e monitoramento e análise crítica de riscos.
	Respostas:
	avaliar um tratamento do risco, decidir se os níveis de risco residual são aceitáveis, gerar um novo tratamento do risco se os níveis de risco não forem aceitáveis e avaliar a eficácia do tratamento.
	
	 
definição do contexto, processo de avaliação de riscos, tratamento do risco, aceitação do risco, comunicação e consulta do risco e monitoramento e análise crítica de riscos.
	
	avaliação de riscos, tratamento do risco e aceitação do risco.
	
	definição do contexto, processo de avaliação de riscos, tratamento do risco, aceitação do risco, comunicação e consulta do risco e monitoramento e análise crítica de riscos.
	
	identificação dos riscos, análise qualitativa, análise quantitativa e plano de ação.
	Comentário da resposta:
	De acordo com a ABNT 27005, o processo de gestão de riscos de segurança da informação consiste na definição do contexto (Seção 7), processo de avaliação de riscos (Seção 8), tratamento do risco (Seção 9), aceitação do risco (Seção 10), comunicação e consulta do risco (Seção 11) e monitoramento e análise crítica de riscos (Seção 12).
	
	
	
· Pergunta 6
1 em 1 pontos
	
	
	
	O uso de ativos de negócio é sujeito a certas regras. Essas regras podem ser providas em um manual e podem, por exemplo, incluir instruções de como usar equipamentos móveis quando fora da organização. A qual controle esta afirmação estaria vinculada?
	
	
	
	
		Resposta Selecionada:
	 
Uso aceitável dos ativos (A.8.1.3).
	Respostas:
	Inventário dos ativos (A.8.1.1).
	
	Proprietário dos ativos (A.8.1.2).
	
	 
Uso aceitável dos ativos (A.8.1.3).
	
	Devolução de ativos (A.8.1.4).
	
	Classificação da informação (A.8.2.1).
	Comentário da resposta:
	No detalhamento do controle A.8.1.3 – Uso aceitável dos ativos está descrito que “convém que funcionários e partes externas que usam ou têm acesso aos ativos da organização estejam conscientes dos requisitos de segurança da informação dos ativos da organização, associados à informação e aos recursos de processamento da informação. Convém que eles sejam responsáveis pelo uso de qualquer recurso de processamento da informação e que tal uso seja realizado sob sua responsabilidade (ABNT 27002, p. 30)”.
	
	
	
· Pergunta 7
0 em 1 pontos
	
	
	
	As organizações não são obrigadas a implementar todos os 114 controles da ISO 27001. Eles são simplesmente uma lista depossibilidades que você deve considerar com base nos requisitos de sua organização. Já as seguintes seções são obrigatórias:
	
	
	
	
		Resposta Selecionada:
	 
políticas de segurança da informação, organização da segurança da informação, gestão de ativos e controle de acesso.
	Respostas:
	 
contexto da organização, liderança, planejamento, apoio, operação, avaliação do desempenho e melhoria.
	
	políticas de segurança da informação, organização da segurança da informação, gestão de ativos e controle de acesso.
	
	introdução, Escopo, referência normativa, contexto da organização, liderança, planejamento, apoio, operação, avaliação do desempenho e melhoria.
	
	escopo, referência normativa, termos e definições, organização deste documento, contextualização, visão geral.
	
	introdução, contexto da organização, liderança, planejamento, apoio, operação, avaliação do desempenho e melhoria.
	Comentário da resposta:
	A ISO / IEC 27001 é dividia em 11 seções e o Anexo A. As seções de 0 a 3 são introdutórias (e não são obrigatórias para a implementação), enquanto as seções de 4 a 10 são obrigatórias: contexto da organização, liderança, planejamento, apoio, operação, avaliação do desempenho e melhoria.
	
	
	
· Pergunta 8
0 em 1 pontos
	
	
	
	A gestão de risco se inicia com o levantamento de todas as informações sobre a organização relevantes para a definição do contexto da gestão, com o objetivo de se especificar os critérios básicos, o escopo e os limites do processo de gestão de riscos de segurança da informação e a organização responsável pelo processo. O risco é definido na norma:
	
	
	
	
		Resposta Selecionada:
	 
ISO/IEC 27005
	Respostas:
	ISO/IEC 27001
	
	ISO/IEC 27002
	
	 
ISO / IEC 31000
	
	ISO/IEC 27005
	
	ISO/IEC 27003
	Comentário da resposta:
	O risco é definido na ISO / IEC 31000 como o efeito da incerteza sobre os objetivos, podendo ter efeitos positivos e negativos sobre os objetivos de negócios: um desvio do que é esperado pode muito bem ser uma mudança positiva.
	
	
	
· Pergunta 9
1 em 1 pontos
	
	
	
	“Com base em seu escopo de negócios, uma organização deve identificar e documentar todas as leis aplicáveis e requisitos contratuais que eles precisam cumprir. As leis devem ser aplicáveis não apenas ao país em que sua organização está localizada, mas também aos países onde seus produtos e serviços serão vendidos, bem como da perspectiva do cliente e do fornecedor. Sempre que ocorrerem alterações em quaisquer leis ou obrigações contratuais, as organizações devem identificar e revisar os documentos relevantes.”
A que controle da norma esta explicação se refere?
	
	
	
	
		Resposta Selecionada:
	 
Identificação da legislação aplicável e de requisitos contratuais.
	Respostas:
	 
Identificação da legislação aplicável e de requisitos contratuais.
	
	Direitos de propriedade intelectual.
	
	Proteção de registros.
	
	Proteção e privacidade de informações de identificação de pessoal.
	
	Regulamentação de controles de criptografia.
	Comentário da resposta:
	A norma ABNT 27001:2013 define no controle A.18.1.1 – Identificação da legislação aplicável e de requisitos contratuais, o cumprimento dos requisitos legais e contratuais relevantes. Estes devem estar devidamente identificados, documentados e atualizados para cada sistema de informação da organização.
	
	
	
· Pergunta 10
1 em 1 pontos
	
	
	
	A segurança em processos de desenvolvimento e de suporte tem como objetivo garantir que a segurança da informação está projetada e implementada no ciclo de vida de desenvolvimento dos sistemas de informação. Podemos citar como controle dessa seção do Anexo A.14.2 -Segurança em processos de desenvolvimento e de suporte:
	
	
	
	
		Resposta Selecionada:
	 
política de desenvolvimento seguro.
	Respostas:
	 
política de desenvolvimento seguro.
	
	equipamento de usuário sem monitoração.
	
	análise e especificação dos requisitos de segurança da informação.
	
	gestão de capacidade.
	
	monitoramento e análise crítica de serviços com fornecedores.
	Comentário da resposta:
	Esta é uma política que deve ser desenvolvida e aplicada internamente na organização aos departamentos envolvidos no processo de desenvolvimento de sistemas de software, pois trata-se de um controle com o objetivo de se definir regras para a atividade de desenvolvimento de software realizadas dentro da organização.