Legislação e Marcos Regulatórios de Segurança da Informação

Prévia do material em texto

Questão 1/5 - Segurança em Sistemas de Informação 
A legislação brasileira aplicada à área de segurança da informação tem como base a 
constituição de 1988. O Título II, Capítulo I, Artigo 5º (Casa Civil, 2016) trata do assunto em 
seus incisos, de maneira ampla e geral. Já a legislação específica tem sido objeto de 
constante evolução, tendo como maior destaque nos últimos tempos a aplicação de 
regulamentos legais ao uso da Internet. Nesse aspecto, a maior repercussão e abrangência 
foi estabelecida com a recente promulgação da: 
 
Nota: 20.0 
 
A MP (medida provisória) 2.200-2/2001, que instituiu a ICP-Brasil (Infraestrutura de Chaves Públicas), iniciando o uso da certificação digital e 
assinatura eletrônica de documentos. 
 
 
B MP 2.026-7, que instituiu a modalidade de compras por meio de pregão eletrônico. 
 
 
C Lei 9.609/98, denominada “Lei do Software”, que dispõe sobre a proteção de propriedade intelectual de programa de computador, sua 
comercialização no país, etc. 
 
 
D Lei 12.737/12, conhecida como “Lei Carolina Dieckmann” devido ao vazamento de fotos íntimas da atriz de mesmo nome na internet. 
 
 
E Lei nº 12.965/14, o Marco Civil da Internet, que estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. 
 
Você acertou! 
Conteúdo apresentado no tema A Organização da Segurança da Informação, Aula 2, páginas 5, 6 e 7 da Rota de Aprendizagem (versão impressa). 
 
 
Questão 2/5 - Segurança em Sistemas de Informação 
Marcos regulatórios são leis e acordos internacionais que governam e servem de base para 
a definição e a aplicação das práticas de segurança da informação e de sistemas. Isso 
também implica em um aspecto de grande importância: a legalidade dessas medidas. Essa 
questão é de tamanha importância que alguns autores chegam mesmo a considerar a 
legalidade como um dos pilares da segurança da informação e dos sistemas. 
Com relação aos marcos regulatórios de maior abrangência ou impacto pode-se considerar 
que: 
I – A SOX (Sarbanes Oxley), promulgada em 2002 pelo Senado dos Estados Unidos, é 
uma lei voltada para as finanças, decorrente de problemas financeiros causados à 
economia mundial devido a fraudes contábeis, e que, portanto, não tem nenhum impacto 
na segurança da informação e dos sistemas. 
II – O HIPAA (Health Insurance Portability and Accountability Act ou Lei de Portabilidade e 
Responsabilidade de Seguros de Saúde), que estabelece regras para a proteção das 
informações de usuários de planos de saúde nos Estados Unidos, sem impacto nos demais 
países. 
III – O IFRS (International Financial Reporting Standards ou Padrão Internacional para 
Relatórios Financeiros) é um conjunto de recomendações do IASB (International 
Accounting Standards Board ou Comitê Internacional de Padrões Contábeis) que 
estabelece padrões para o tratamento e publicação de informações financeiras e contábeis, 
adotado principalmente por bancos, financeiras, seguradoras e agentes do mercado 
financeiro. 
IV - Os acordos de Basiléia são parte do complexo mecanismo de auto-regulamentação 
dos bancos centrais de diversos países, e estabelecem princípios de governança, 
transparência e auditoria, com impacto direto na segurança da informação e de sistemas. 
Assinale a única alternativa que confere com o material e com o que foi apresentado na 
aula: 
 
Nota: 20.0 
 
A Somente as afirmações I e III são corretas. 
 
 
B Somente as afirmações II e IV são corretas. 
 
 
C Somente as afirmações III e IV são corretas. 
 
Você acertou! 
Conteúdo apresentado no tema A Organização da Segurança da Informação, Aula 2, páginas 5 e 6 da Rota de Aprendizagem (versão impressa). 
 
 
D Somente as afirmações I e IV são corretas. 
 
 
E Todas as afirmações são corretas. 
 
 
Questão 3/5 - Segurança em Sistemas de Informação 
Para as TICs – Tecnologias da Informação e da Comunicação existem dois frameworks ou 
conjuntos de práticas voltadas para a governança e o ompliance: o ITIL e o COBIT. E as 
normas do grupo ABNT ISO/IEC 27000, que, uma vez observadas e colocadas em prática, 
colaboraram para atingir as metas de segurança da informação e de sistemas. 
Com relação a esses referenciais, podemos considerar que: 
 
Nota: 20.0 
 
A O ITIL é um conjunto de boas práticas para o gerenciamento de serviços e infraestrutura de TI e por isso auxilia na identificação de 
vulnerabilidades. 
 
Você acertou! 
Conteúdo apresentado no tema Organização da Segurança da Informação, Aula 2, páginas 14 a 16 da Rota de Aprendizagem (versão impressa). 
 
 
B O COBIT tem por objetivo ajudar a conhecer e administrar os serviços e ativos de TI e por isso é importante para classificar os riscos. 
 
 
C O ITIL é fundamental para a gestão dos processos de TI, isto é, do conjunto de serviços que a área de TI fornece, porém não tem qualquer 
influência na segurança da informação. 
 
 
D As normas ISO são destinadas apenas à certificação e por isso empregadas apenas em organizações globais. 
 
 
E Ambos, ITIL e COBIT, são geralmente utilizados apenas para a elaboração da Política de Segurança da Informação de grandes organizações. 
 
Questão 4/5 - Segurança em Sistemas de Informação 
A segurança da informação é a área de conhecimento humano que tem por finalidade 
planejar e operar processos, técnicas, ferramentas e mecanismos que possam prover a 
devida proteção à informação, mas não somente isso: devem preservar seu valor. 
No que se refere à definição de segurança da informação, é correto afirmar que: 
 
Nota: 20.0 
 
A A segurança da informação pode ser traduzida do termo security da língua inglesa, que refere-se aos sistemas confiáveis, construídos para reagir 
perante as falhas do software, do hardware ou dos usuários. 
 
 
B Intrusões, ataques, perda e roubo de informações são abordados pela segurança da informação, tradução do termo reliability, em inglês. 
 
 
C A área do conhecimento humano designada como segurança da informação não abrange a utilização correta da informação, desde que essa 
informação seja adequada aos propósitos específicos para os quais se destina. 
 
 
D Problemas causados aos negócios, ao meio ambiente, à infraestrutura ou até mesmo acidentes que tenham impacto nas pessoas ou representem 
risco à vida referem-se às questões de segurança (em inglês, safety) abrangidos pela segurança da informação. 
 
Você acertou! 
Conteúdo apresentado no tema Fundamentos de Segurança da Informação, Aula 1, páginas 5 e 6 da Rota de Aprendizagem (versão impressa). 
 
 
E De acordo com a norma ABNT NBR ISO/IEC 27002:2103 a segurança da informação implica em controlar a tecnologia da informação para 
estabelecer, implementar, monitorar, analisar criticamente e melhorar, quando necessário, os objetivos do negócio. 
 
 
Questão 5/5 - Segurança em Sistemas de Informação 
Para tornar efetiva a PSI e estabelecer os controles corretos é necessário conhecer e 
adequar a organização às estratégias de segurança da informação e de defesa. Essas 
estratégias, ou grande parte delas, são oriundas de estratégias militares de defesa e foram 
validadas por sua aplicação por milhares de vezes no decorrer da história da humanidade. 
Avalie as afirmações a seguir, que tratam das estratégias de segurança e defesa: 
( ) O cancelamento ou estorno de uma operação que requer a aprovação de um superior é 
um caso de aplicação do princípio do menor privilégio. 
( ) Os princípios da diversidade da defesa e da defesa em profundidade são equivalentes 
pois sempre atuam em um mesmo nível de proteção. 
( ) Simplicidade e obscuridade são estratégias opostas, uma vez que para reforçar a 
obscuridade é necessário utilizar mecanismos muito complexos. 
( ) Uma white list é uma relação de proibições ou restrições,isto é, do que não pode. Já o 
oposto, a black list, é a lista sem restrições ou com as permissões, isto é, do que pode¸ 
normalmente aplicada quando o universo de possibilidades é difícil de se dimensionar 
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as 
Verdadeiras) as afirmativas, de acordo com o conteúdo apresentado no material e em aula: 
 
Nota: 20.0 
 
A V-F-F-F 
 
Você acertou! 
Conteúdo apresentado no tema Organização da Segurança da Informação, Aula 2, páginas 9 a 12 da Rota de Aprendizagem (versão impressa). 
 
 
B F-V-V-F 
 
 
C F-F-V-V 
 
 
D F-V-V-V 
 
 
E V-V-V-F