Baixe o app para aproveitar ainda mais
Prévia do material em texto
Revisar envio do teste: Clique aqui para iniciar o QuizSSGICAS5DA_2301-2301-695434 2301-GESTÃO DE SEGURANÇA DA INFORMAÇÃO Quiz REVISAR ENVIO DO TESTE: CLIQUE AQUI PARA INICIAR O QUIZ Usuário Curso Teste Iniciado Enviado 2301-GESTÃO DE SEGURANÇA DA INFORMAÇÃO Clique aqui para iniciar o Quiz 23/03/23 07:46 23/03/23 09:12 Data de vencimento 29/03/23 23:59 Status Completada Resultado da tentativa 5 em 10 pontos Tempo decorrido 1 hora, 25 minutos Resultados exibidos Todas as respostas, Respostas enviadas, Respostas corretas, Comentários Pergunta 1 Resposta Selecionada: Respostas: Comentário da resposta: A gestão de risco se inicia com o levantamento de todas as informações sobre a organização relevantes para a definição do contexto da gestão, com o objetivo de se especificar dos critérios básicos; o escopo e os limites do processo de gestão de riscos de segurança da informação; e a organização responsável pelo processo (ABNT, 2019). O processo de avaliação de risco de segurança da informação: é executado, geralmente, em duas ou mais iterações e composto pelas atividades de identificação dos riscos, análise dos riscos e avaliação dos riscos, gerando uma lista de riscos priorizados ao final. é executado, geralmente, em duas ou mais iterações e composto pelas atividades de identificação dos riscos, análise dos riscos e avaliação dos riscos, gerando uma lista de riscos priorizados ao final. tem como principal entrega o plano de tratamento do risco e os riscos residuais, sujeitos à decisão de aceitação por parte dos gestores da organização. é executado, geralmente, em duas ou mais iterações e composto pelas atividades de definição do contexto, identificação dos riscos, análise dos riscos e avaliação dos riscos, gerando uma lista de riscos priorizados ao final. é executado, geralmente, em duas ou mais iterações e composto pelas atividades de identificação dos riscos, análise dos riscos e avaliação dos riscos, gerando um plano de ação ao final. é de responsabilidade do gerente de segurança da informação. O processo de gestão de riscos de segurança da informação é um processo adaptado da ISO NBR ISO 31000, e inicia-se com a definição do contexto organizacional. É executado de forma iterativa, inicialmente para a identificação de riscos potenciais mais altos, a segunda iteração para tratativa desses riscos e assim sucessivamente. É composto pelas atividades de identificação, análise e avaliação dos riscos e tem como objetivo gerar uma lista de riscos priorizados. Pergunta 2 Resposta Selecionada: Respostas: O fato de um usuário ser autorizado a acessar uma rede não significa que ele também possa usar todos os sistemas de informação conectados a essa rede. Qual é controle que diz respeito a essa afirmação? Gestão de Acesso. Controles de redes. Acordos para transferência de informações. Sala de Aula Tutoriais 1 em 1 pontos 0 em 1 pontos https://senacsp.blackboard.com/webapps/blackboard/execute/courseMain?course_id=_205163_1 https://senacsp.blackboard.com/webapps/blackboard/content/listContent.jsp?course_id=_205163_1&content_id=_9202814_1&mode=reset https://www.ead.senac.br/ https://senacsp.blackboard.com/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_260_1 https://senacsp.blackboard.com/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_210_1 https://senacsp.blackboard.com/webapps/login/?action=logout Comentário da resposta: Segregação de redes. Gestão de Acesso. Segurança dos serviços de rede. Qualquer acordo de SLA de rede deve conter a definição necessária para a segurança dos serviços de rede, onde os mecanismos de segurança, os níveis de serviço e requisitos de gerenciamento de todos os serviços de rede devem ser identificados e incluídos, servindo para serviços de rede oferecidos internamente ou para terceirizados. Pergunta 3 Resposta Selecionada: Respostas: Comentário da resposta: Qualquer informação crítica para os negócios (seja na forma física papel ou mídia de armazenamento) deve ser mantida no armário e usuários não autorizados não devem ter acesso para usar fotocopiadoras e scanners. Esta é uma diretriz de que controle? Política de mesa limpa e tela limpa. Política de mesa limpa e tela limpa. Equipamento de usuário sem monitoração. Reutilização e ou descarte seguro de equipamentos. Segurança de equipamentos e ativos fora das dependências da Organização. Remoção de ativos. O controle A.11.2.9 – Política de mesa limpa e tela limpa visa assegurar que materiais sensíveis não sejam facilmente removidos, e que nenhuma informação deve ser deixada sobre uma mesa sem supervisão de alguém e, após o expediente, toda informação deve ser guardada em algo que possa ser trancado. Pergunta 4 Resposta Selecionada: Respostas: Comentário da resposta: A identificação dos requisitos de segurança de informação é fundamental para o processo de gestão de risco de uma organização. Segundo o autor, esses requisitos podem ter origem em três fontes distintas: Norma ABNT 27001, Norma ABNT 27002 e Norma ABNT 27005. avaliação dos riscos, política de segurança e requisitos legais. Norma ABNT 27001, Norma ABNT 27002 e Norma ABNT 27005. política de segurança da informação e objetivos, plano de tratamento de risco e Inventário de ativos. avaliação dos riscos, requisitos legais e conjunto de princípios, objetivos e requisitos de negócio. política de controle de acesso, metodologia de avaliação de risco e de tratamento de risco e avaliação dos riscos. Para uma organização, é essencial que ela identifique seus requisitos de segurança, sendo que estes se originam de três fontes principais: a avaliação dos riscos à organização, levando em conta a estratégia e os objetivos globais de negócio da organização; os requisitos legais, determinados por estatutos, regulamentos e contratos e o conjunto de princípios, objetivos e requisitos de negócio para o manuseio. Pergunta 5 Resposta Selecionada: Segurança física é parte da segurança da informação, pois todos os ativos do negócio também devem ser fisicamente protegidos. Por outro lado, a segurança física é mais antiga do que a segurança da informação. Assim sendo, é objetivo de um dos controles da seção de segurança física e do meio ambiente: prevenir o acesso físico não autorizado, danos e interferências nos recursos de processamento das informações e nas informações da organização. 1 em 1 pontos 0 em 1 pontos 0 em 1 pontos Respostas: Comentário da resposta: garantir que a segurança da informação está projetada e implementada no ciclo de vida de desenvolvimento dos sistemas de informação. assegurar a proteção dos dados usados para teste. prevenir o acesso físico não autorizado, danos e interferências nos recursos de processamento das informações e nas informações da organização. garantir a operação segura e correta dos recursos de processamento da informação. garantir que a segurança da informação integre todo o ciclo de vida dos sistemas de informação, incluindo os requisitos para sistemas de informação fornecedores de serviços para as redes públicas. O anexo A.11. Segurança Física e do Ambiente da Norma 27001:2013 é composta por 15 controles e separado em duas seções: A.11.1 Áreas seguras e A.11.2 – Equipamentos. O objetivo “Prevenir o acesso físico não autorizado, danos e interferências nos recursos de processamento das informações e nas informações da organização” se refere à seção A.11.1. Pergunta 6 Resposta Selecionada: Respostas: Comentário da resposta: Em relação ao objetivo Restrição de Acesso à Informação, para que possa atender aos critérios de restrição de acesso, é interessante que se considere os seguintes itens, de acordo com ISO 27002: fornecer menus para controlar o acesso às funções do sistema de aplicativos e controlar quais dados um determinado usuário pode acessar. impor o uso de IDs de usuário e senhas individuais para garantir a responsabilidade e permitir que os usuários selecionem e atualizem suas próprias senhas e forneça um processo de validaçãopara permitir erros de entrada. o uso de procedimentos para identificação, autenticação e autorização de programas utilitários e segregação dos programas utilitários de aplicativos de software. os objetos de ameaças, tanto acidentais como deliberadas, considerando que os processos, sistemas, redes e pessoas têm vulnerabilidades inerentes. fornecer menus para controlar o acesso às funções do sistema de aplicativos e controlar quais dados um determinado usuário pode acessar. limitar a disponibilidade de utilitários, por exemplo, para o tempo da emenda aprovada e registrar o uso de programas utilitários. De acordo com a ISO 27002:2013, convém que o acesso à informação e às funções dos sistemas de aplicações seja restrito, de acordo com a política de controle de acesso. Para isso, convém que menus para controlar o acesso às funções do sistema de aplicativos e controlar quais dados um determinado usuário pode acessar sejam fornecidos sejam implementados. Pergunta 7 Resposta Selecionada: Respostas: Comentário da resposta: Para que o controle de acesso funcione, é fundamental que os usuários conheçam suas responsabilidades em termos de manter as informações e os ativos seguros e protegidos. Para conseguir isso, os usuários devem ser responsáveis por suas próprias informações de autenticação, salvaguardando essas informações. Estamos nos referindo ao controle: uso da informação de autenticação secreta. uso da informação de autenticação secreta. restrição de acesso à informação. sistema de gerenciamento de senha. uso de programas utilitários privilegiados. controle de acesso ao código-fonte de programas. No uso do controle A.9.3.1 – Uso da informação de autenticação secreta, os usuários devem ser orientados a seguir as práticas da organização quanto ao uso da informação de autenticação secreta. Para que o 1 em 1 pontos 1 em 1 pontos controle de acesso funcione, é fundamental que os usuários conheçam suas responsabilidades em termos de manter as informações e os ativos seguros e protegidos. Pergunta 8 Resposta Selecionada: Respostas: Comentário da resposta: A Norma ISO 27002:2019 define que uma política de controle de acesso deve ser estabelecida, documentada e revisada com base nos requisitos de negócio e de segurança da informação, além de levar em consideração uma série de aspectos. Selecione a opção que que se caracteriza como um item a ser considerado pela política de controle de acesso. Controles para registro e cancelamento de usuário e provisionamento para acesso de usuário. Legislação pertinente e qualquer obrigação contratual relativa à proteção de acesso para dados ou serviços e gerenciamento de direitos de acesso em um ambiente distribuído e conectado à rede que reconhece todos os tipos de conexões disponíveis. Controles para registro e cancelamento de usuário e provisionamento para acesso de usuário. Restrição de acesso à informação e uso de programas utilitários privilegiados. Procedimentos seguros de entrada no sistema e Controle de acesso ao código-fonte de programas. Controles a ambientes físicos e controle de acesso aos sistemas de informação. São vários itens que devem ser considerados quando se define uma política: - requisitos de segurança de aplicações de negócios individuais; - política para disseminação e autorização da informação; - consistência entre os direitos de acesso e as políticas de classificação da informação de sistemas e redes; - legislação pertinente e qualquer obrigação contratual relativa à proteção de acesso para dados ou serviços; - gerenciamento de direitos de acesso em um ambiente distribuído e conectado à rede que reconhece todos os tipos de conexões disponíveis. Pergunta 9 Resposta Selecionada: Respostas: Comentário da resposta: Os controles para proteção dos dados de teste referem-se ao controle e à proteção dos dados usados no processo de teste, evitando o uso de dados operacionais que contenham informações pessoais ou confidenciais. Essa premissa pode ser alcançada implementando-se qual controle da norma ISO 27001? Ambiente seguro para desenvolvimento. Ambiente seguro para desenvolvimento. Teste de segurança do sistema. Teste de aceitação de sistemas. Proteção dos dados do usuário. Política de desenvolvimento seguro. O controle A.14.3.1 – Proteção dos dados do usuário define que os dados de teste devem ser selecionados com cuidado, protegidos e controlados. Pergunta 10 Resposta Selecionada: Respostas: A segurança em processos de desenvolvimento e de suporte tem como objetivo garantir que a segurança da informação está projetada e implementada no ciclo de vida de desenvolvimento dos sistemas de informação. Podemos citar como controle dessa seção do Anexo A.14.2 -Segurança em processos de desenvolvimento e de suporte: política de desenvolvimento seguro. política de desenvolvimento seguro. 0 em 1 pontos 0 em 1 pontos 1 em 1 pontos Quinta-feira, 23 de Março de 2023 09h12min25s BRT Comentário da resposta: equipamento de usuário sem monitoração. análise e especificação dos requisitos de segurança da informação. gestão de capacidade. monitoramento e análise crítica de serviços com fornecedores. Esta é uma política que deve ser desenvolvida e aplicada internamente na organização aos departamentos envolvidos no processo de desenvolvimento de sistemas de software, pois trata-se de um controle com o objetivo de se definir regras para a atividade de desenvolvimento de software realizadas dentro da organização. ← OK
Compartilhar