Avaliação On-line - Gestão da Segurança da Informação (ISO 27001 e 27002)

Prévia do material em texto

Avaliação On-line - Gestão da Segurança da Informação (ISO 27001 e 27002)
A norma ABNT NBR ISO/IEC 27002 estabelece que as empresas tenham um documento que descreva a sua política de segurança da informação.
Avalie os seguintes itens que podem fazer parte da norma mencionada:
I. Definição da segurança da informação, seu escopo e importância.
II. Breve explanação das políticas, princípios, normas e requisitos de conformidade de segurança da informação.
III. Definição das responsabilidades gerais e específicas na gestão da segurança da informação.
É correto o que se afirma em
SUA RESPOSTA ESTÁ INCORRETA
Todos os itens devem constar no documento de politica de segurança da informação
· Resposta correta
I, II e III.
· 
I e III, apenas.
· 
III, apenas.
· Sua resposta (incorreta)
I e II, apenas.
· 
II, apenas.
A NBR ISO/IEC 27001 especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização. Também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização.
Os requisitos definidos nesta norma são genéricos e são pretendidos para serem aplicáveis a todas as organizações, independentemente do tipo, tamanho ou natureza. A exclusão de quaisquer dos requisitos especificados nas Seções 4 a 10 não é aceitável quando a organização busca a conformidade com esta norma.
Considerando as informações acima, avalie as asserções a seguir e a relação proposta entre elas:
I -  A implementação de um SGSI independe da estrutura ou dos objetivos da empresa, devendo esta atender a todos os requisitos de segurança de recursos humanos e gerenciamento de riscos definidos pela norma.
PORQUE 
II - É importante que um sistema de gestão da segurança da informação seja parte de, e esteja integrado com, os processos da organização e com a estrutura de administração global, e que a segurança da informação seja considerada no projeto dos processos, sistemas de informação e controles.
A respeito dessas asserções, assinale a opção correta.
SUA RESPOSTA ESTÁ CORRETA
Correta. As proposições são verdadeiras. Mas uma proposição não é justificativa da outra.
é justificativa da outra.
· 
As asserções I e II são proposições falsas.
· 
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
· Resposta correta
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa correta da I.
· 
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
· 
As asserções I e II são proposições verdadeiras, e a II é uma justificativa correta da I.
Trazido pela lei 12.695, de 2014, no Brasil, o chamado Marco Civil da internet, possui diversos princípios, garantias, direitos e deveres para o uso da internet.
Dessa forma, identifique nas alternativas abaixo, a qual princípio refere-se o texto a seguir.
"proíbe as operadoras de segmentar, limitar, bloquear ou cobrar, de forma diferenciada, por serviços ou produtos existentes na internet."
SUA RESPOSTA ESTÁ CORRETA
Alternativa Correta. Todos os dados que trafegam na rede são neutros, ou seja, não pode haver discriminação.
Alternativa Correta..
· 
Preservação da natureza participativa da rede.
· 
Proteção contra monopólio de operadoras de internet 
· 
Direito de acesso à internet a todos.
· 
Proteção da Privacidade de acesso
· Resposta correta
Preservação e garantia da neutralidade de rede.
De acordo com a ISO27001, norma que define os requisitos de um sistema de gestão de segurança da informação, um requisito primordial para a implantação de um sistema de gestão de segurança da informação é a Análise de Riscos.  A análise de risco ajuda a empresa a delinear um orçamento adequado para um programa de segurança e os componentes de segurança que formam esse programa.
São definidas como atividades do processo de identificação de riscos:
I - Estimar os níveis de riscos;
II - Identificar os impactos que perdas de confidencialidade integridade e disponibilidade podem causar aos ativos;
III - Identificar as ameaças para esses ativos;
É correto o que se afirma em
SUA RESPOSTA ESTÁ CORRETA
Resposta Correta. As duas atividades fazem parte do processo de identificação de riscos
identificação de riscos
· 
I, apenas.
· 
I, II e III.
· Resposta correta
II e III, apenas.
· 
III, apenas.
· 
I e II, apenas.
Na norma NBR ISO/IEC 27002, a seção 13 trata a Gestão de incidentes de segurança da informação. A Gestão de Incidentes deve estabelecer todos os procedimentos formais de registro, sendo que os funcionários (assim como os terceiros e fornecedores) devem estar conscientes sobre tais processos, para conseguirem notificar a tempo e garantir que os eventos de segurança de informação sejam corrigidos o mais rápido possível.
Sobre a Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002, analise:
II - Um incidente de segurança é um evento de segurança ou um conjunto deles, confirmado ou sob suspeita de impactar a disponibilidade, integridade, confidencialidade ou a autenticidade de um ativo de informação, assim como qualquer violação da Política de Segurança da Informação e Comunicações.
A respeito dessas asserções, assinale a opção correta.
SUA RESPOSTA ESTÁ INCORRETA
As asserções I e II são proposições verdadeiras, mas a opção II não justifica a Primeira. A proposição II complementa a afirmativa da primeira.
s asserções I e II complementa a afirmativa da primeira.
· 
As asserções I e II são proposições falsas.
· 
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
· Resposta correta
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
· 
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
· Sua resposta (incorreta)
As asserções I e II são proposições verdadeiras, e a II é uma justificativa correta da I.
A norma NBR ISO/IEC 27002 é o Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo “estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização”.
Considerando o trecho apresentado, avalie as afirmações a seguir.
I – para definição de uma estratégia de continuidade de negócios, deve-se ter como meta o tempo esperado de recuperação que, por sua vez, é derivado dos períodos máximos toleráveis de interrupção;
II – os requisitos para controles de segurança de novos sistemas de informação ou melhorias em sistemas existentes devem constar nas especificações de requisitos de negócios dos sistemas;
III – entre os objetivos de controle de manuseio de mídias inclui-se o controle de descarte de mídias, sendo previstas, nessas normas, diretrizes de implementação para o descarte de forma segura e protegida.
É correto o que afirma em
SUA RESPOSTA ESTÁ CORRETA
Alternativa correta
correta
· Resposta correta
I, II e III. 
· 
II, apenas.
· 
I e III, apenas. 
· 
III, apenas.
· 
I e II, apenas. 
Esse princípio base da segurança da informação, garante que as informações estejam em um formato verdadeiro e correto para seus propósitos originais. Assim, o receptor da informação detém as mesmas informações que o seu criador. Esse princípio pode ser garantido por política de controles de acesso, procedimentos seguros de backup e/ou adotar na infraestrutura de TI sistemas com configuração redundante.
O trecho acima refere-se qual principio básico da segurança da informação?
SUA RESPOSTA ESTÁ CORRETA
Integridade refere-se ao princípio que somente pessoas autorizadas podem alterar o conteúdo da informação.
alterar o conteúdo da informação.
· 
confidencialidade.
· 
disponibilidade.
· Resposta correta
integridade.
· 
testabilidade.
· 
desempenho.
Referente à Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados Pessoais), analise as afirmativas abaixo:
I - Dado pessoal é uma informação relacionada à pessoa natural identificada ou identificável.
II - A lei aplica-se exclusivamente a dados pessoais coletadospor meio digital.
III - A Lei Geral de Proteção de Dados considera como dados pessoais sensíveis os dados sobre contas bancárias e numeração de documentos
IV - A referida lei não se aplica ao tratamento de dados pessoais realizado por pessoa natural para fins econômicos.
É correto apenas o que se afirma em
· SUA RESPOSTA ESTÁ CORRETA
· Alternativa Correta. Quanto ao dado pessoal sensível, a LGPD apresenta taxativamente o seu conceito, sendo: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural
· Resposta correta
I.
· 
I, II e III
· 
II e IV
· 
III e IV
· 
III.
A  norma ISO 27001 define que a classificação da informação é um processo focado em garantir o nível adequado de proteção de dados, de acordo com a sensibilidade do dado. Como base para essa distinção, deve ser tomado o valor, a criticidade e os requisitos legais que envolvem uma informação.
O objetivo de classificarmos a informação é evitar que ela seja acessada por pessoas não autorizadas e que possam, de alguma forma, utilizar esta informação para prejudicar a empresa, seja por vontade própria ou involuntariamente.
Considerando o texto apresentado e a classificação da informação, avalie as afirmações a seguir 
 
I - A informação deve ser classificada em termos do seu valor, sensibilidade, requisitos legais e criticidade para a organização.
II - A classificação das informações precisa levar em consideração as necessidades de compartilhamento ou restrição, e os respectivos impactos nos negócios, associados com tais necessidades.
III - É responsabilidade do proprietário do ativo definir a classificação das informações, analisando-a criticamente, assegurando sua atualidade e adequação de nível.
É correto o que se afirma em
· SUA RESPOSTA ESTÁ CORRETA
· Todas as afirmativas estão corretas
· 
I, apenas.
· Resposta correta
I, II e III.
· 
II e III, apenas.
· 
III, apenas.
· 
I e II, apenas.
De acordo com a norma ISO/NBR 27002,  o conceito de gestão de risco é o processo de identificação de vulnerabilidade e ameaças envolvendo informações estratégicas para o negócio de uma empresa, bem como as medidas tomadas para mitigar o risco.
Considerando uma adequada gestão de riscos para a segurança da informação, analise as afirmações a seguir
I. Recomenda-se estabelecer regras para o uso aceitável de ativos associados aos recursos de processamento da informação.
II. Recomenda-se efetuar, criticamente, a análise de riscos de segurança, uma vez que esta considera ameaças, vulnerabilidades e impactos em função dos negócios da organização.
III. Recomenda-se  estabelecer responsabilidades e procedimentos de gestão para assegurar respostas rápidas e efetivas a incidentes de segurança.
É correto o que se afirma em
· SUA RESPOSTA ESTÁ INCORRETA
· Afirmativa incorreta. As afirmativas II e III estão corretas e referem-se a gestão de riscos. Somente a alternativa I refere-se a gestão de ativos.
· Sua resposta (incorreta)
I, II e III.
· 
III, apenas.
· Resposta correta
II e III, apenas.
· 
I, apenas.
· 
I e II, apenas.
A legislação que ganhou o apelido de "Lei Carolina Dieckmann", a Lei nº 12.737/2012, também conhecida como Lei dos Crimes Cibernéticos, dispõe sobre a tipificação criminal de delitos informáticos. O artigo 154-A dessa lei diz: “Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita. Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa”.
O texto do artigo mostra a intenção do legislador de tutelar valores protegidos pela constituição. Identifique qual bem jurídico protegido pelo artigo da Lei de Crimes Cibernéticos?
SUA RESPOSTA ESTÁ CORRETA
Afirmativa correta. A Privacidade é um aspecto que é protegido pela legislação.
· Acesso livre e total a informação.
· Resposta correta
Privacidade.
· 
Equipamentos e sistemas computadorizados.
· 
Politica de Dados Seguros.
· 
Conexão segura entre computadores.
Trazido pela lei 12.695, de 2014, no Brasil, o chamado Marco Civil da internet, possui diversos princípios, garantias, direitos e deveres para o uso da internet.
Dessa forma, identifique nas alternativas abaixo, a qual princípio refere-se o texto a seguir.
"proíbe as operadoras de segmentar, limitar, bloquear ou cobrar, de forma diferenciada, por serviços ou produtos existentes na internet."
SUA RESPOSTA ESTÁ INCORRETA
Alternativa Incorreta. Todos os dados que trafegam na rede são neutros, ou seja, não pode haver discriminação.
· Preservação da natureza participativa da rede.
· 
Proteção contra monopólio de operadoras de internet 
· 
Direito de acesso à internet a todos.
· Resposta correta
Preservação e garantia da neutralidade de rede.
· 
Proteção da Privacidade de acesso
Esse princípio base da segurança da informação, garante que as informações estejam em um formato verdadeiro e correto para seus propósitos originais. Assim, o receptor da informação detém as mesmas informações que o seu criador. Esse princípio pode ser garantido por política de controles de acesso, procedimentos seguros de backup e/ou adotar na infraestrutura de TI sistemas com configuração redundante.
O trecho acima refere-se qual principio básico da segurança da informação?
SUA RESPOSTA ESTÁ INCORRETA
Não é considerado principio básico para segurança da informação
· confidencialidade.
· 
disponibilidade.
· Resposta correta
integridade.
· 
desempenho.
· 
testabilidade.
Você é um consultor e, é regularmente contratado pelo Ministério da Saúde para realizar análises e testes sobre determinada vacina, mas você terceiriza a coleta dos dados sobre a vacinas para trabalhadores temporários. Você não quer que os trabalhadores temporários tenham acesso aos seus relatórios sobre as análises.
Qual princípio da segurança da informação você tem que garantir em seus relatórios?
SUA RESPOSTA ESTÁ CORRETA
Principio que garante o acesso as informações somente a pessoas autorizadas.
· 
Criptografia
· 
Duplicidade
· 
Integridade
· 
Disponibilidade
· Resposta correta
Confidencialidade
A segurança da informação diz respeito à proteção de um conjunto de informações, no sentido de preservar o valor que possui para um indivíduo ou uma organização.
Considerando o trecho apresentado, avalie as asserções a seguir e a relação proposta entre elas.
I) Dentre os diversos aspectos relativos à segurança de sistemas de informação, um importante item refere-se a utilização de firewalls para oferecer proteção contra ataques.
PORQUE
II) Sendo originadas de dentro ou de fora da rede, as ameaças são neutralizadas pela utilização de firewalls , que protegem as redes corporativas com seus mecanismos de política de segurança.
A respeito dessas asserções, assinale a opção correta.
SUA RESPOSTA ESTÁ CORRETA
Tecnologia de firewalls somente protegem contra ataques externos. São utilizados para restringir acessos não autorizados a rede interna da organização.
· As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa correta da I.
· 
As asserções I e II são proposições falsas.
· 
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
· Resposta correta
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
· 
As asserções I e II são proposições verdadeiras, e a II é uma justificativa correta da I.
A norma ABNT NBR ISO/IEC 27002 estabelece que as empresas tenham um documento que descreva a sua política de segurança da informação.
Avalie os seguintes itens que podem fazer parte da norma mencionada:
I. Definição da segurança da informação, seu escopo e importância.
II. Breve explanação das políticas, princípios, normas e requisitos de conformidade de segurança da informação.III. Definição das responsabilidades gerais e específicas na gestão da segurança da informação.
É correto o que se afirma em
SUA RESPOSTA ESTÁ CORRETA
Todos os itens devem constar no documento de politica de segurança da informação
· sta correta
I, II e III.
· 
I e III, apenas.
· 
III, apenas.
· 
II, apenas.
· 
I e II, apenas.
Na área da segurança da informação, pode ser necessário garantir a integridade de uma mensagem. Assim como boa prática no desenvolvimento de software seguro, ao salvarmos senhas em banco de dados não podemos armazenar a senha digitada e sim um valor que garanta a integridade e a autenticação da mesma.
Para garantia de integridade e autenticação sem a utilização de chaves de criptografia assinale o procedimento mais adequado:
SUA RESPOSTA ESTÁ CORRETA
Correta. As funções HASH é um algoritmo matemático que transforma qualquer bloco de dados em uma série de caracteres de comprimento fixo
· 
Chave Privada
· Resposta correta
Funções de HASH
· 
Criptografia Simétrica
· 
Criptografia Assimétrica
· 
Esteganografia
A NBR ISO/IEC 27001 especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização. Também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização.
Os requisitos definidos nesta norma são genéricos e são pretendidos para serem aplicáveis a todas as organizações, independentemente do tipo, tamanho ou natureza. A exclusão de quaisquer dos requisitos especificados nas Seções 4 a 10 não é aceitável quando a organização busca a conformidade com esta norma.
Considerando as informações acima, avalie as asserções a seguir e a relação proposta entre elas:
I -  A implementação de um SGSI independe da estrutura ou dos objetivos da empresa, devendo esta atender a todos os requisitos de segurança de recursos humanos e gerenciamento de riscos definidos pela norma.
PORQUE 
II - É importante que um sistema de gestão da segurança da informação seja parte de, e esteja integrado com, os processos da organização e com a estrutura de administração global, e que a segurança da informação seja considerada no projeto dos processos, sistemas de informação e controles.
A respeito dessas asserções, assinale a opção correta.
SUA RESPOSTA ESTÁ INCORRETA
Incorreta. As proposições são verdadeiras.
· As asserções I e II são proposições falsas.
· Sua resposta (incorreta)
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
· Resposta correta
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa correta da I.
· 
As asserções I e II são proposições verdadeiras, e a II é uma justificativa correta da I.
· 
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
A norma ISO 27001 tem como principal objetivo estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. 
Conforme trecho apresentado, assinale a alternativa que descreve corretamente a política de segurança da informação.
SUA RESPOSTA ESTÁ CORRETA
Alternativa correta.
· Normas de autenticação e autorização para o uso de recursos que utilizam a informação.
· 
Normas para a criação de senhas.
· 
Normas de segurança para utilização dos recursos computacionais que manipulam a informação.
· 
Normas e procedimentos que definem os elementos da informação que devem ser assegurados.
· Resposta correta
Conjunto de regras gerais que direcionam a segurança da informação e são suportadas por normas e procedimentos.
A Norma ISO 27002,  define como etapa recomendada durante o estabelecimento de um Sistema de Gestão de Segurança da Informação (SGSI) a análise de riscos.
A análise de risco da informação possui três fases principais: identificar riscos, quantificar o impacto de possíveis ameaças e conseguir um equilíbrio financeiro entre o impacto do risco e o custo da contramedida.
Conforme trecho apresentado, analise as afirmações a seguir que durante a fase de identificação de riscos, a organização deve identificar:
I. Os ativos e seus proprietários que abrangem o Sistema de Gestão de Segurança da Informação.
II. As ameaças aos ativos que abrangem o Sistema de Gestão de Segurança da Informação .
III. Os ativos e as vulnerabilidades que podem ser exploradas pelas ameaças.
IV. Os impactos  podem causar aos ativos e que podem gerar perdas dos princípios da segurança da informação: confidencialidade, integridade e disponibilidade.
É correto o que se afirma em
SUA RESPOSTA ESTÁ CORRETA
Alternativa correta. Todos os itens devem ser realizados na identificação de riscos nos ativos da organização.
· 
I, II e IV, apenas.
· 
I, III e IV, apenas.
· 
I, II e III, apenas.
· Resposta correta
I, II, III e IV.
· 
II, III e IV, apenas.
image1.wmf