Quiz Gestão deSegurança da Informação (3)

Prévia do material em texto

Revisar envio do teste: Clique aqui para iniciar o QuizSSGICAS5DA_2301-2301-695434 2301-GESTÃO DE SEGURANÇA DA INFORMAÇÃO Quiz
REVISAR ENVIO DO TESTE: CLIQUE AQUI PARA INICIAR O QUIZ
Usuário
Curso
Teste
Iniciado
Enviado
2301-GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Clique aqui para iniciar o Quiz
23/03/23 07:46
23/03/23 09:12
Data de vencimento 29/03/23 23:59
Status Completada
Resultado da tentativa 5 em 10 pontos  
Tempo decorrido 1 hora, 25 minutos
Resultados exibidos Todas as respostas, Respostas enviadas, Respostas corretas, Comentários
Pergunta 1
Resposta
Selecionada:
Respostas:
Comentário
da resposta:
A gestão de risco se inicia com o levantamento de todas as informações sobre a organização relevantes para a definição do
contexto da gestão, com o objetivo de se especificar dos critérios básicos; o escopo e os limites do processo de gestão de
riscos de segurança da informação; e a organização responsável pelo processo (ABNT, 2019). O processo de avaliação de
risco de segurança da informação:
é executado, geralmente, em duas ou mais iterações e composto pelas atividades de identificação dos
riscos, análise dos riscos e avaliação dos riscos, gerando uma lista de riscos priorizados ao final.
é executado, geralmente, em duas ou mais iterações e composto pelas atividades de identificação dos
riscos, análise dos riscos e avaliação dos riscos, gerando uma lista de riscos priorizados ao final.
tem como principal entrega o plano de tratamento do risco e os riscos residuais, sujeitos à decisão de
aceitação por parte dos gestores da organização.
é executado, geralmente, em duas ou mais iterações e composto pelas atividades de definição do
contexto, identificação dos riscos, análise dos riscos e avaliação dos riscos, gerando uma lista de riscos
priorizados ao final.
é executado, geralmente, em duas ou mais iterações e composto pelas atividades de identificação dos
riscos, análise dos riscos e avaliação dos riscos, gerando um plano de ação ao final.
é de responsabilidade do gerente de segurança da informação.
O processo de gestão de riscos de segurança da informação é um processo adaptado da ISO NBR ISO
31000, e inicia-se com a definição do contexto organizacional. É executado de forma iterativa, inicialmente
para a identificação de riscos potenciais mais altos, a segunda iteração para tratativa desses riscos e assim
sucessivamente. É composto pelas atividades de identificação, análise e avaliação dos riscos e tem como
objetivo gerar uma lista de riscos priorizados.
Pergunta 2
Resposta Selecionada: 
Respostas:
O fato de um usuário ser autorizado a acessar uma rede não significa que ele também possa usar todos os sistemas de
informação conectados a essa rede. Qual é controle que diz respeito a essa afirmação?
Gestão de Acesso.
Controles de redes.
Acordos para transferência de informações.
Sala de Aula Tutoriais
1 em 1 pontos
0 em 1 pontos
https://senacsp.blackboard.com/webapps/blackboard/execute/courseMain?course_id=_205163_1
https://senacsp.blackboard.com/webapps/blackboard/content/listContent.jsp?course_id=_205163_1&content_id=_9202814_1&mode=reset
https://www.ead.senac.br/
https://senacsp.blackboard.com/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_260_1
https://senacsp.blackboard.com/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_210_1
https://senacsp.blackboard.com/webapps/login/?action=logout
 
Comentário da
resposta:
Segregação de redes.
Gestão de Acesso.
Segurança dos serviços de rede.
Qualquer acordo de SLA de rede deve conter a definição necessária para a segurança dos serviços de
rede, onde os mecanismos de segurança, os níveis de serviço e requisitos de gerenciamento de todos os
serviços de rede devem ser identificados e incluídos, servindo para serviços de rede oferecidos
internamente ou para terceirizados.
Pergunta 3
Resposta Selecionada: 
Respostas: 
Comentário da
resposta:
Qualquer informação crítica para os negócios (seja na forma física papel ou mídia de armazenamento) deve ser mantida no
armário e usuários não autorizados não devem ter acesso para usar fotocopiadoras e scanners. Esta é uma diretriz de que
controle?
Política de mesa limpa e tela limpa.
Política de mesa limpa e tela limpa.
Equipamento de usuário sem monitoração.
Reutilização e ou descarte seguro de equipamentos.
Segurança de equipamentos e ativos fora das dependências da Organização.
Remoção de ativos.
O controle A.11.2.9 – Política de mesa limpa e tela limpa visa assegurar que materiais sensíveis não sejam
facilmente removidos, e que nenhuma informação deve ser deixada sobre uma mesa sem supervisão de
alguém e, após o expediente, toda informação deve ser guardada em algo que possa ser trancado.
Pergunta 4
Resposta
Selecionada:
 
Respostas:
 
Comentário da
resposta:
A identificação dos requisitos de segurança de informação é fundamental para o processo de gestão de risco de uma
organização. Segundo o autor, esses requisitos podem ter origem em três fontes distintas:
Norma ABNT 27001, Norma ABNT 27002 e Norma ABNT 27005.
avaliação dos riscos, política de segurança e requisitos legais.
Norma ABNT 27001, Norma ABNT 27002 e Norma ABNT 27005.
política de segurança da informação e objetivos, plano de tratamento de risco e Inventário de ativos.
avaliação dos riscos, requisitos legais e conjunto de princípios, objetivos e requisitos de negócio.
política de controle de acesso, metodologia de avaliação de risco e de tratamento de risco e avaliação
dos riscos.
Para uma organização, é essencial que ela identifique seus requisitos de segurança, sendo que estes se
originam de três fontes principais: a avaliação dos riscos à organização, levando em conta a estratégia e os
objetivos globais de negócio da organização; os requisitos legais, determinados por estatutos, regulamentos
e contratos e o conjunto de princípios, objetivos e requisitos de negócio para o manuseio.
Pergunta 5
Resposta
Selecionada:
Segurança física é parte da segurança da informação, pois todos os ativos do negócio também devem ser fisicamente
protegidos. Por outro lado, a segurança física é mais antiga do que a segurança da informação. Assim sendo, é objetivo de
um dos controles da seção de segurança física e do meio ambiente:
prevenir o acesso físico não autorizado, danos e interferências nos recursos de processamento das
informações e nas informações da organização.
1 em 1 pontos
0 em 1 pontos
0 em 1 pontos
Respostas:
Comentário da
resposta:
garantir que a segurança da informação está projetada e implementada no ciclo de vida de
desenvolvimento dos sistemas de informação.
assegurar a proteção dos dados usados para teste.
prevenir o acesso físico não autorizado, danos e interferências nos recursos de processamento das
informações e nas informações da organização.
garantir a operação segura e correta dos recursos de processamento da informação.
garantir que a segurança da informação integre todo o ciclo de vida dos sistemas de informação,
incluindo os requisitos para sistemas de informação fornecedores de serviços para as redes públicas.
O anexo A.11. Segurança Física e do Ambiente da Norma 27001:2013 é composta por 15 controles e
separado em duas seções: A.11.1 Áreas seguras e A.11.2 – Equipamentos. O objetivo “Prevenir o acesso
físico não autorizado, danos e interferências nos recursos de processamento das informações e nas
informações da organização” se refere à seção A.11.1.
Pergunta 6
Resposta
Selecionada:
Respostas:
Comentário da
resposta:
Em relação ao objetivo Restrição de Acesso à Informação, para que possa atender aos critérios de restrição de acesso, é
interessante que se considere os seguintes itens, de acordo com ISO 27002:
fornecer menus para controlar o acesso às funções do sistema de aplicativos e controlar quais dados um
determinado usuário pode acessar.
impor o uso de IDs de usuário e senhas individuais para garantir a responsabilidade e permitir que os
usuários selecionem e atualizem suas próprias senhas e forneça um processo de validaçãopara permitir
erros de entrada.
o uso de procedimentos para identificação, autenticação e autorização de programas utilitários e
segregação dos programas utilitários de aplicativos de software.
os objetos de ameaças, tanto acidentais como deliberadas, considerando que os processos, sistemas,
redes e pessoas têm vulnerabilidades inerentes.
fornecer menus para controlar o acesso às funções do sistema de aplicativos e controlar quais dados um
determinado usuário pode acessar.
limitar a disponibilidade de utilitários, por exemplo, para o tempo da emenda aprovada e registrar o uso de
programas utilitários.
De acordo com a ISO 27002:2013, convém que o acesso à informação e às funções dos sistemas de
aplicações seja restrito, de acordo com a política de controle de acesso. Para isso, convém que menus
para controlar o acesso às funções do sistema de aplicativos e controlar quais dados um determinado
usuário pode acessar sejam fornecidos sejam implementados.
Pergunta 7
Resposta Selecionada: 
Respostas: 
Comentário da
resposta:
Para que o controle de acesso funcione, é fundamental que os usuários conheçam suas responsabilidades em termos de
manter as informações e os ativos seguros e protegidos. Para conseguir isso, os usuários devem ser responsáveis por suas
próprias informações de autenticação, salvaguardando essas informações. Estamos nos referindo ao controle:
uso da informação de autenticação secreta.
uso da informação de autenticação secreta.
restrição de acesso à informação.
sistema de gerenciamento de senha.
uso de programas utilitários privilegiados.
controle de acesso ao código-fonte de programas.
No uso do controle A.9.3.1 – Uso da informação de autenticação secreta, os usuários devem ser orientados
a seguir as práticas da organização quanto ao uso da informação de autenticação secreta. Para que o
1 em 1 pontos
1 em 1 pontos
controle de acesso funcione, é fundamental que os usuários conheçam suas responsabilidades em termos
de manter as informações e os ativos seguros e protegidos.
Pergunta 8
Resposta
Selecionada:
 
Respostas:
Comentário da
resposta:
A Norma ISO 27002:2019 define que uma política de controle de acesso deve ser estabelecida, documentada e revisada com
base nos requisitos de negócio e de segurança da informação, além de levar em consideração uma série de aspectos.
Selecione a opção que que se caracteriza como um item a ser considerado pela política de controle de acesso.
Controles para registro e cancelamento de usuário e provisionamento para acesso de usuário.
Legislação pertinente e qualquer obrigação contratual relativa à proteção de acesso para dados ou
serviços e gerenciamento de direitos de acesso em um ambiente distribuído e conectado à rede que
reconhece todos os tipos de conexões disponíveis.
Controles para registro e cancelamento de usuário e provisionamento para acesso de usuário.
Restrição de acesso à informação e uso de programas utilitários privilegiados.
Procedimentos seguros de entrada no sistema e Controle de acesso ao código-fonte de programas.
Controles a ambientes físicos e controle de acesso aos sistemas de informação.
São vários itens que devem ser considerados quando se define uma política:
- requisitos de segurança de aplicações de negócios individuais;
- política para disseminação e autorização da informação;
- consistência entre os direitos de acesso e as políticas de classificação da informação de sistemas e
redes;
- legislação pertinente e qualquer obrigação contratual relativa à proteção de acesso para dados ou
serviços;
- gerenciamento de direitos de acesso em um ambiente distribuído e conectado à rede que reconhece
todos os tipos de conexões disponíveis.
Pergunta 9
Resposta Selecionada: 
Respostas:
 
Comentário da
resposta:
Os controles para proteção dos dados de teste referem-se ao controle e à proteção dos dados usados no processo de teste,
evitando o uso de dados operacionais que contenham informações pessoais ou confidenciais. Essa premissa pode ser
alcançada implementando-se qual controle da norma ISO 27001?
Ambiente seguro para desenvolvimento.
Ambiente seguro para desenvolvimento.
Teste de segurança do sistema.
Teste de aceitação de sistemas.
Proteção dos dados do usuário.
Política de desenvolvimento seguro.
O controle A.14.3.1 – Proteção dos dados do usuário define que os dados de teste devem ser
selecionados com cuidado, protegidos e controlados.
Pergunta 10
Resposta Selecionada: 
Respostas: 
A segurança em processos de desenvolvimento e de suporte tem como objetivo garantir que a segurança da informação está
projetada e implementada no ciclo de vida de desenvolvimento dos sistemas de informação. Podemos citar como controle
dessa seção do Anexo A.14.2 -Segurança em processos de desenvolvimento e de suporte:
política de desenvolvimento seguro.
política de desenvolvimento seguro.
0 em 1 pontos
0 em 1 pontos
1 em 1 pontos
Quinta-feira, 23 de Março de 2023 09h12min25s BRT
Comentário da
resposta:
equipamento de usuário sem monitoração.
análise e especificação dos requisitos de segurança da informação.
gestão de capacidade.
monitoramento e análise crítica de serviços com fornecedores.
Esta é uma política que deve ser desenvolvida e aplicada internamente na organização aos departamentos
envolvidos no processo de desenvolvimento de sistemas de software, pois trata-se de um controle com o
objetivo de se definir regras para a atividade de desenvolvimento de software realizadas dentro da
organização.
← OK