Avaliação On-line - Gestão da Segurança da Informação (ISO 27001 e 27002)

Prévia do material em texto

1) De acordo com a norma ISO/NBR 27002, o conceito de gestão de risco é o processo de identificação de vulnerabilidade e ameaças envolvendo informações estratégicas para o negócio de uma empresa, bem como as medidas tomadas para mitigar o risco.
Considerando uma adequada gestão de riscos para a segurança da informação, analise as afirmações a seguir
I. Recomenda-se estabelecer regras para o uso aceitável de ativos associados aos recursos de processamento da informação.
II. Recomenda-se efetuar, criticamente, a análise de riscos de segurança, uma vez que esta considera ameaças, vulnerabilidades e impactos em função dos negócios da organização.
III. Recomenda-se estabelecer responsabilidades e procedimentos de gestão para assegurar respostas rápidas e efetivas a incidentes de segurança.
É correto o que se afirma em
Resposta:
II e III, apenas.
2) Na área da segurança da informação, pode ser necessário garantir a integridade de uma mensagem. Assim como boa prática no desenvolvimento de software seguro, ao salvarmos senhas em banco de dados não podemos armazenar a senha digitada e sim um valor que garanta a integridade e a autenticação da mesma.
Para garantia de integridade e autenticação sem a utilização de chaves de criptografia assinale o procedimento mais adequado:
Resposta:
Funções de hash
3) Na norma NBR ISO/IEC 27002, a seção 13 trata a Gestão de incidentes de segurança da informação. A Gestão de Incidentes deve estabelecer todos os procedimentos formais de registro, sendo que os funcionários (assim como os terceiros e fornecedores) devem estar conscientes sobre tais processos, para conseguirem notificar a tempo e garantir que os eventos de segurança de informação sejam corrigidos o mais rápido possível.
Sobre a Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002, analise:
I - A Gestão de Incidentes tem como objetivo apresentar recomendações para assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil.
PORQUE
II - Um incidente de segurança é um evento de segurança ou um conjunto deles, confirmado ou sob suspeita de impactar a disponibilidade, integridade, confidencialidade ou a autenticidade de um ativo de informação, assim como qualquer violação da Política de Segurança da Informação e Comunicações.
A respeito dessas asserções, assinale a opção correta.
Resposta:
As asserções I e II são proposições verdadeiras, mas a opção II não justifica a Primeira. A proposição II complementa a afirmativa da primeira.
4) A norma ISO 27001 tem como principal objetivo estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. 
Conforme trecho apresentado, assinale a alternativa que descreve corretamente a política de segurança da informação.
Resposta:
Conjunto de regras gerais que direcionam a segurança da informação e são suportadas por normas e procedimentos.
5) A NBR ISO/IEC 27001 especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização. Também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização.
Os requisitos definidos nesta norma são genéricos e são pretendidos para serem aplicáveis a todas as organizações, independentemente do tipo, tamanho ou natureza. A exclusão de quaisquer dos requisitos especificados nas Seções 4 a 10 não é aceitável quando a organização busca a conformidade com esta norma.
Considerando as informações acima, avalie as asserções a seguir e a relação proposta entre elas:
I - A implementação de um SGSI independe da estrutura ou dos objetivos da empresa, devendo esta atender a todos os requisitos de segurança de recursos humanos e gerenciamento de riscos definidos pela norma.
PORQUE 
II - É importante que um sistema de gestão da segurança da informação seja parte de, e esteja integrado com, os processos da organização e com a estrutura de administração global, e que a segurança da informação seja considerada no projeto dos processos, sistemas de informação e controles.
A respeito dessas asserções, assinale a opção correta.
Resposta:
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa correta da I.
6) A norma ISO 27001 define que a classificação da informação é um processo focado em garantir o nível adequado de proteção de dados, de acordo com a sensibilidade do dado. Como base para essa distinção, deve ser tomado o valor, a criticidade e os requisitos legais que envolvem uma informação.
O objetivo de classificarmos a informação é evitar que ela seja acessada por pessoas não autorizadas e que possam, de alguma forma, utilizar esta informação para prejudicar a empresa, seja por vontade própria ou involuntariamente.
Considerando o texto apresentado e a classificação da informação, avalie as afirmações a seguir 
I - A informação deve ser classificada em termos do seu valor, sensibilidade, requisitos legais e criticidade para a organização.
II - A classificação das informações precisa levar em consideração as necessidades de compartilhamento ou restrição, e os respectivos impactos nos negócios, associados com tais necessidades.
III - É responsabilidade do proprietário do ativo definir a classificação das informações, analisando-a criticamente, assegurando sua atualidade e adequação de nível.
É correto o que se afirma em
Resposta:
I, II e III
7) A legislação que ganhou o apelido de "Lei Carolina Dieckmann", a Lei nº 12.737/2012, também conhecida como Lei dos Crimes Cibernéticos, dispõe sobre a tipificação criminal de delitos informáticos. O artigo 154-A dessa lei diz: “Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita. Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa”.
O texto do artigo mostra a intenção do legislador de tutelar valores protegidos pela constituição. Identifique qual bem jurídico protegido pelo artigo da Lei de Crimes Cibernéticos?
Resposta:
Privacidade
8) De acordo com a ISO27001, norma que define os requisitos de um sistema de gestão de segurança da informação, um requisito primordial para a implantação de um sistema de gestão de segurança da informação é a Análise de Riscos. A análise de risco ajuda a empresa a delinear um orçamento adequado para um programa de segurança e os componentes de segurança que formam esse programa.
São definidas como atividades do processo de identificação de riscos:
I - Estimar os níveis de riscos;
II - Identificar os impactos que perdas de confidencialidade integridade e disponibilidade podem causar aos ativos;
III - Identificar as ameaças para esses ativos;
É correto o que se afirma em
Resposta:
II e III
9) A Norma ISO 27002 recomenda que, na classificação da informação, a empresa deve levar em consideração o seu valor, requisitos legais, sensibilidade e criticidade, bem como os controles de proteção necessários (compartilhamento ou restrição de acesso) à informação.
Com relação à tal norma, avalie as asserções a seguir e a relação proposta entre elas.
I. O intuito de classificarmos a informação é evitar que ela seja acessada por pessoas não autorizadas e que possam, de alguma forma, utilizarem esta informação inadequadamente, seja por vontade própria ou involuntariamente.
PORQUE
II. A classificação da informação é parte integrante do inventário de ativos de segurança de uma empresa, e identifica quais informações serão classificadas e quem é o responsável por elas dentro da organização.
A respeito dessas asserções, assinale a opção correta
Resposta:
As asserções I e II são proposições verdadeiras, e a II é umajustificativa correta da I.
10) Na Norma ISO 27002, a seção Conformidade tem como objetivo evitar a violação de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais, relacionadas à segurança da informação e de quaisquer requisitos de segurança. Para atingir ao objetivo da conformidade, a norma recomenda e convenciona certos controles. 
Considerando o trecho apresentado, avalie as afirmações a seguir:
I - Convém que a privacidade e a proteção das informações de identificação pessoal sejam asseguradas, conforme requerido por legislação e regulamentação pertinente, quando aplicável.
II - Convém que controles de criptografia sejam usados em conformidade com todas as leis, acordos, legislação e regulamentações pertinentes.
III - Convém que os recursos de processamento da informação sejam implementados com redundância suficiente para atender aos requisitos de segurança.
IV - Convém que a organização determine seus requisitos para a segurança da informação e a continuidade da gestão da segurança da informação em situações adversas, por exemplo, durante uma crise ou desastre.
É correto o que se afirma em
Resposta:
11) Trazido pela lei 12.695, de 2014, no Brasil, o chamado Marco Civil da internet, possui diversos princípios, garantias, direitos e deveres para o uso da internet.
Dessa forma, identifique nas alternativas abaixo, a qual princípio refere-se o texto a seguir.
"proíbe as operadoras de segmentar, limitar, bloquear ou cobrar, de forma diferenciada, por serviços ou produtos existentes na internet."
Resposta:
Preservação e garantia da neutralidade de rede.
12) Avalie as asserçõe a seguir e a relação proposta entre elas. 
I - A Norma ISO 27002 convenciona que a privacidade e a proteção das informações de identificação pessoal sejam asseguradas, conforme requerido por legislação e regulamentação pertinente, quando aplicável.
PORQUE
II - Pela lei 13.709, o cidadão passa a ser titular de seus dados. Regras passam a ser impostas aos setores público e privado, que se tornam responsáveis pelo ciclo de um dado pessoal na organização:, coleta, tratamento, armazenamento e exclusão da informação.
A respeito dessas asserções, assinale a opção correta.
Resposta:
As asserções I e II são proposições verdadeiras, e a II é uma justificativa correta da I
13) Você é um consultor e, é regularmente contratado pelo Ministério da Saúde para realizar análises e testes sobre determinada vacina, mas você terceiriza a coleta dos dados sobre a vacinas para trabalhadores temporários. Você não quer que os trabalhadores temporários tenham acesso aos seus relatórios sobre as análises.
Qual princípio da segurança da informação você tem que garantir em seus relatórios?
Resposta:
Confidencialidade
14) Malware é definido como um programa (software) nocivo ou mal-intencionado (do inglês: malware, abreviação de "malicious software"). Portanto, "Malware" é um termo geral, utilizado para se referir a uma variedade de formas de software hostil ou intruso.
Identifique nas alternativas abaixo o tipo de programa malicioso que, quando executado em um computador vítima, tem a função de monitorar e capturar informações digitadas e visualizadas.
Resposta:
spyware