Baixe o app para aproveitar ainda mais
Prévia do material em texto
Lista de Exercícios - CESPE Gestão de Segurança da Informação (ABIN 2010 – Cargo 17 – Oficial – Redes) Com base no disposto na norma ABNT NBR ISO/IEC 27002:2005, julgue os itens que se seguem. 120 Os proprietários dos ativos organizacionais devem ser identificados, e a responsabilidade pela manutenção apropriada dos controles deve ser a eles atribuída. Os proprietários permanecem responsáveis pela proteção adequada dos ativos, mesmo que a implantação específica de controles seja delegada. 121 Funcionários, fornecedores e terceiros devem ser instruídos a averiguar, imediatamente, qualquer fragilidade na segurança de informação suspeita. 122 No âmbito da de segurança da informação, não existem riscos aceitáveis; por isso, todos os riscos devem ser controlados, evitados ou transferidos. 123 Para reaproveitar as mídias de armazenamento que contenham dados sensíveis, é suficiente formatá-las usando a função padrão de formatar. (ABIN 2010 – Cargo 9 – Oficial – Sistemas) A respeito de segurança da informação, julgue os próximos itens. 109 A norma ABNT NBR ISO/IEC 27002 apresenta critérios para a organização geral do sistema de gestão da segurança da informação. Por ser uma norma genérica, que apenas propõe diretrizes, não pode ser utilizada para fins de certificação, pois não apresenta controles específicos a serem tomados como base para a proteção de ativos em uma empresa. 110 A gestão da continuidade de negócios é um processo que deve ser realizado no caso de perdas no funcionamento rotineiro de um ambiente computacional. Por envolver excessivos recursos humanos, financeiros e de informação, uma empresa somente deve defini-lo caso tenham sido identificadas ameaças potenciais que possam ocasionar riscos imediatos ao negócio. (ANEEL 2010 – Analista – Área 3) Com relação às características e aos elementos de um modelo de sistema de gestão de segurança da informação (SGSI) de uma organização, segundo as normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, julgue os itens de 110 a 114. 110 Os objetivos de controle e os controles pertinentes e aplicáveis ao SGSI da organização devem ser selecionados exclusivamente com base nos resultados e conclusões dos processos de análise/avaliação de riscos e de decisões acerca de como controlar, evitar, transferir ou aceitar tais riscos. 111 A análise crítica do SGSI da organização deve ser efetuada periodicamente pela alta direção, considerando os resultados de auditorias externas, entre outras informações. Essa análise assegura a contínua pertinência, adequação e eficácia do SGSI, e produz versões atualizadas da análise/avaliação de riscos e do plano de tratamento de riscos. 112 A melhoria contínua do SGSI ocorre na forma de ações corretivas e preventivas, entre outras. Um exemplo de ação corretiva é a alteração na redação do documento da política de segurança da informação para melhorar sua compreensibilidade e eliminar ambiguidades que levaram a não conformidades no cumprimento dessa política. Um exemplo de ação preventiva é a adoção de novos controles de acesso ao ambiente físico. 113 A classificação, a aposição de rótulos e o tratamento de um ativo de informação, em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização, são efetuados pelos usuários desse ativo. 114 Para cada usuário ou grupos de usuários, deve ser efetuada uma política de controle de acesso com regras e direitos, com os controles de acesso lógico e físico bem integrados. Julgue os itens a seguir, a respeito das características e das ações relativas a uma organização que possui gestão de riscos e gestão de continuidade de negócios aderentes às normas ISO/IEC 27005 e NBR 15999. 115 Toda informação sobre ativos, ameaças, vulnerabilidades e cenários de risco levantada durante as análises/avaliações de risco deve ser comunicada por meio de uma wiki web acessível no escopo da intranet na organização. 116 A gestão de continuidade de negócios é complementar à gestão de riscos e tem como foco o desenvolvimento de uma resposta a uma interrupção causada por um incidente de difícil previsão, materializada na forma de um plano de continuidade de negócios. 117 Os processos de preparação e manutenção de resposta devem ser definidos segundo uma política de gestão de continuidade de negócios. 118 Um dos resultados da avaliação de riscos é a produção de uma declaração de atividades críticas. (TCU 2010 – AFCE – TI) Acerca da gestão de segurança da informação, julgue os itens a seguir com Prof. Thiago Fagury - www.fagury.com.br Lista de Exercícios - CESPE Gestão de Segurança da Informação base nas Normas NBR ISO/IEC 27001 e 27002. 176 Os requisitos do negócio para o processamento de informação, que uma organização tem de desenvolver para apoiar suas operações, estão entre as fontes principais de requisitos de segurança da informação. 177 A Norma NBR ISO/IEC 27001 estabelece o código de prática para a gestão da segurança da informação e a Norma NBR ISO/IEC 27002 trata dos requisitos dos sistemas de gestão de segurança da informação. 178 Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos do sistema de gestão da segurança da informação (SGSI), constata-se que, no SGSI, o do (fazer) equivale a executar as ações corretivas e preventivas para alcançar a melhoria contínua do SGSI. 179 Estão entre os objetivos da segurança da informação a garantia da continuidade do negócio, a minimização dos riscos para o negócio e a maximização do retorno sobre os investimentos. Julgue os itens subsequentes, relativos às Normas NBR ISO/IEC 15999 e 27005. 180 A norma NBR ISO/IEC 27005 prescreve que o gerenciamento de incidentes pode ser realizado iniciando- se com uma definição de contexto, seguido por uma análise e avaliação, tratamento, aceitação, comunicação, monitoramento e análise crítica dos incidentes. 181 A norma NBR ISO/IEC 15999 destina-se a orientar as empresas no que fazer a partir do momento em que acontecer algum incidente, oferecendo respostas às ameaças sofridas e seus impactos nas operações do negócio. (MPU 2010 – Cargo 24 – Analista de BD) Julgue os próximos itens, segundo a norma ABNT NBR ISO/IEC 27002:2005. 142 O termo integridade no escopo da referida norma diz respeito à salvaguarda da exatidão e integridade das informações e métodos de processamento utilizados para a manipulação da informação. 143 A referida norma, bem como suas atualizações correntes, apresenta um código de boas práticas para a gestão de segurança da informação, portanto, é adequada para usuários responsáveis por iniciar, implementar, manter e melhorar sistemas de gestão de segurança da informação. 144 O padrão atual da norma em questão constitui-se em uma revisão da primeira versão dessa norma publicada pela ISO/IEC, em 2000. À época, essa norma era cópia da norma britânica British Standard (BS) 7799-1:1999. 145 No que diz respeito aos aspectos de preservação da confidencialidade, a norma em apreço estabelece práticas adequadas para garantir que a informação esteja acessível a todas as pessoas interessadas em acessá-la. Considerando aspectos de composição da norma ABNT NBR ISO/IEC 27002:2005, julgue os itens subsequentes. 146 Como a norma mencionada estabelece um guia das melhores práticas para a gestão de segurança da informação, cabe ao gestor de cada organização avaliar os riscos do ambiente organizacional, determinar os requisitos específicos e entãoselecionar os controles apropriados à situação organizacional em questão. Verifica-se, então, que a avaliação de risco é fundamental no processo de estabelecimento dos controles de gestão de segurança, sendo recomendado que esse procedimento seja voltado aos aspectos subjetivos do gestor. 147 A seção da norma em questão que trata de compliance prevê aspectos para assegurar a conformidade com políticas de segurança da informação, normas, leis e regulamentos. 148 Para se implantar um sistema de gestão de segurança da informação adequado ao ambiente organizacional, é suficiente atender o previsto nas diversas seções da norma em apreço, a qual detalha também os padrões específicos, os quais são mandatórios e independem do ramo de atuação da organização. 149 A referida norma contém seções iniciais e doze seções principais acerca de diversos temas de segurança, como, por exemplo, a gestão de ativos. 150 A referida norma tem uma seção específica de gerenciamento de continuidade, que trata da criação e validação de um plano logístico acerca de como uma organização pode realizar ações no sentido de recuperar e restaurar, parcial ou completamente, os serviços interrompidos. Esse plano logístico, também denominado business continuity plan (BCP), não se aplica ao gestor público, pois este não pertence a uma organização de negócios. (MPU 2010 – Cargo 26 – Informática - Perito) Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos itens. Prof. Thiago Fagury - www.fagury.com.br Lista de Exercícios - CESPE Gestão de Segurança da Informação 141 A adoção de senhas de qualidade por parte dos usuários são recomendações para implantar uma política de uso de chaves e senhas. Alguns aspectos, citados na norma, característicos de senhas de qualidade são senhas fáceis de serem lembradas, que não sejam vulneráveis a ataques de dicionário e que sejam isentas de caracteres idênticos consecutivos. 142 Estimar a probabilidade de uma ameaça se concretizar dentro do ambiente computacional e identificar os impactos que um evento de segurança pode acarretar são atividades resultantes da análise/avaliação de riscos. 143 Os principais fatores críticos de sucesso apresentados na referida norma incluem política de segurança, abordagem e estrutura da segurança consistente com a cultura organizacional, comprometimento de todos os níveis gerenciais, entendimento dos requisitos de segurança e divulgação da segurança. 144 Controle é, segundo essa norma, qualquer sistema de processamento da informação, serviço ou infraestrutura, ou as instalações físicas que os abriguem. 145 Os controles necessários para se fazer uma adequada análise e avaliação de riscos devem ser retirados apenas da norma 27002, por ser completa e atual. Essa norma garante, em seu escopo, todas as ações de segurança necessárias para qualquer ambiente computacional. 146 Uma das recomendações adequadas para a gestão de ativos é que o requisito de rotulação e tratamento seguro da classificação da informação é fundamental para que sejam definidos os procedimentos de compartilhamento da informação, seja ela interna ou externa à organização. 147 A segurança de equipamentos descartados da organização segue as recomendações de outras normas relativas à reciclagem de resíduos sólidos e, por isso, não está prevista em uma recomendação específica da norma 27002. 148 Com o objetivo de otimizar o uso de um ambiente de desenvolvimento de software quanto aos procedimentos e responsabilidades operacionais relativos ao gerenciamento das operações e das comunicações, uma organização deve garantir que software em desenvolvimento e software em produção partilhem de sistemas e processadores em um mesmo domínio ou diretório, de modo a garantir que os testes sejam compatíveis com os resultados esperados no mundo real. 149 Os controles referentes à segurança de redes, que estabelecem que as redes devam ser gerenciadas e controladas e que os níveis e requisitos de gerenciamento sejam implementados, estão presentes no capítulo da norma que se refere ao controle de acessos. 150 O filtro de tráfego realizado por gateways no controle de conexões de uma rede deve ser feito por meio de restrições predefinidas em tabelas ou regras para aplicações, como, por exemplo, uso de correio eletrônico, acesso interativo e transferência de arquivos. (MPU 2010 – Cargo 27 – Suporte) Com relação à segurança da informação e à norma ABNT NBR ISO/IEC 27002:2005, julgue os itens que se seguem. 149 Vulnerabilidade, em segurança de sistemas computacionais, é uma falha no projeto, implementação ou configuração do sistema operacional, ou de outro software, que, quando explorada por um atacante, permite a violação da integridade de um computador. 150 Segundo a referida norma, por meio da gestão de ativos, é possível identificar as ameaças aos ativos e suas vulnerabilidades e realizar uma estimativa da probabilidade de ocorrência e do impacto potencial ao negócio. (TRT 21a – Cargo 11 – Analista de TI) Com relação às normas NBR ISO/IEC 27001 e 27002, referentes à gestão de segurança da informação, julgue os itens que se seguem. 101 O objetivo de controle Controles de Entrada Física estabelece que perímetros de segurança (barreiras, como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) devem ser utilizados para proteger as áreas que contenham informações e recursos de processamento da informação. 102 O objetivo de controle Análise Crítica dos Direitos de Acesso de Usuário estabelece que deve existir um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços. 103 O objetivo de controle Uso Aceitável dos Ativos estabelece que devem ser identificadas, documentadas e implementadas regras para que seja permitido o uso de informações e de ativos associados aos recursos de processamento da informação. 104 Incidente de segurança da informação é uma ocorrência identificada de um sistema, serviço ou rede que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação Prof. Thiago Fagury - www.fagury.com.br Lista de Exercícios - CESPE Gestão de Segurança da Informação previamente desconhecida, que possa ser relevante para a segurança da informação. 105 Um dos controles da política de segurança da informação estabelece que ela deve ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia. (Adaptada) Com referência à norma NBR ISO/IEC 27005 e a respeito de gestão de riscos, julgue os itens a seguir. 106 Os processos que fazem parte da análise/avaliação de riscos são identificação de riscos, estimativa de riscos e avaliação de riscos. (ANAC 2009 – Cargo 7 – TI) Com relação à norma ISO 27001, julgue os itens a seguir. 96 A norma em questão trata da definição de requisitos para um sistema de gestão de segurança da informação. 97 Na definição de um sistema de gestão de segurança da informação, deve-se definir o escopo, a política e a abordagem para a identificação de riscos, bem como identificar e avaliar alternativas para o tratamento dos mesmos. 98 Apesar de recomendável, a aceitação de riscos residuaisnão precisa necessariamente passar pela aprovação da gestão superior da organização. 99 Na implementação e operacionalização do sistema de gestão de segurança da informação, deve-se medir a eficácia dos controles propostos. 100 O sistema de gestão de segurança da informação é o sistema global de gestão, embasado em uma abordagem de risco, que permite definir, implementar, operacionalizar e manter a segurança da informação. A ISO 27001 estabelece uma abordagem de processos, baseada no ciclo PDCA. Considerando a figura acima, julgue os itens a seguir, a respeito de segurança da informação, segundo a ISO 27001. 111 Disponibilidade é a garantia de que a informação é acessível ou revelada somente a pessoas, entidades ou processos autorizados a acessá-la. 112 Um evento de segurança de informação é uma ocorrência em um sistema, serviço ou estado de rede que indica, entre outras possibilidades, um possível desvio em relação aos objetivos de segurança específicos da organização, e um incidente de segurança de informação é um evento único ou uma série de eventos indesejados de segurança da informação que possuem um impacto mediano sobre os negócios. 113 Para que receba um nível de proteção adequada, a informação deve ser classificada quanto a seu valor, requisitos legais, sensibilidade e criticidade. 114 A política de segurança da informação dispõe de regras relativas ao estabelecimento do fórum multifuncional para coordenação da segurança da informação. 115 Os controles para o gerenciamento da continuidade dos negócios têm a finalidade de neutralizar a possibilidade de interrupções nas atividades do negócio e proteger os processos de negócio críticos contra falhas diversas, não mantendo nenhuma relação com os controles de compliance, uma vez que, para a ISO, a informação é classificada quanto a seu valor e impacto para a organização, mas não quanto a requisitos legais. (ANATEL – Cargo 8 – Negócios) A figura acima, obtida na norma ABNT NBR ISO/IEC 27001:2006, apresenta um modelo de gestão da segurança da informação. Julgue os itens subsequentes acerca das informações apresentadas e dos conceitos de segurança da informação. 83 Considere as diferentes fases do ciclo de gestão no modelo da figura — plan, do, check e act. A definição de critérios para a avaliação e para a aceitação dos riscos de segurança da informação que ocorrem no escopo para o qual o modelo da figura está sendo estabelecido, implementado, operado, monitorado, analisado criticamente, mantido e melhorado ocorre, primariamente, durante a fase do. 84 A análise de vulnerabilidades aplicável no contexto da figura emprega técnicas automatizadas e manuais, que variam amplamente, sendo o tipo de ameaça sob análise um fator mais correlacionado a essa variação que o tipo do ativo sob análise. Prof. Thiago Fagury - www.fagury.com.br Lista de Exercícios - CESPE Gestão de Segurança da Informação 85 A classificação da informação é um objetivo de controle explicitamente enunciado pela norma ABNT NBR ISO/IEC 27001:2006 e que agrega dois controles, sendo um deles relacionado a recomendações para classificação e o outro, ao uso de rótulos. 86 A identificação de eventos que podem causar interrupções aos processos de negócio e das probabilidades e impactos de tais interrupções, associada às consequências para a segurança de informação, constitui atividade executada no âmbito da gestão de continuidade de negócios, embora se constitua, mais especificamente, atividade de análise de risco. 87 Acerca das normas ABNT NBR ISO/IEC 27001:2006 e ABNT NBR ISO/IEC 17799:2005, é correto afirmar que ambas apresentam orientações para a seleção de controles de segurança e enunciam menos de uma centena de controles. 88 Testes de mesa, testes de recuperação em local alternativo e ensaio geral são técnicas que podem ser empregadas na gestão da continuidade de negócios, conforme prescrição na norma ABNT NBR ISO/IEC 17799:2005. (ANTAQ 2009 – Cargo 9 – TI) Tendo como referência a figura acima, que propõe uma classificação de controles de segurança, julgue os itens de 73 a 78. 73 São exemplos de controles físicos: guardas armados, detecção de intrusão em redes de computadores e monitoramento de incêndio e umidade. 74 São exemplos de controles administrativos: as políticas de segurança, os procedimentos de classificação da informação e a identificação e autenticação de sistemas. 75 O desenvolvimento a de uma estrutura básica de um plano de continuidade do negócio constitui controle com foco administrativo; os ativos de processo contidos no plano referido, em geral, são críticos ao negócio da organização e apresentam objetivos de tempo de recuperação da ordem de poucos segundos. 76 A análise de vulnerabilidades, quando realizada no arcabouço de uma atividade de análise de riscos, é precedida, usualmente, da análise de ameaças, mas antecede a análise de controles, podendo cada controle inexistente ser traduzido em uma vulnerabilidade existente. 77 Se determinada parte de um ativo de informação é classificada como confidencial, é possível que o grau de sigilo atribuído a esse ativo seja secreto ou ultrassecreto, não devendo o ativo ser classificado como reservado. 78 As normas ABNT NBR ISO/IEC 27001:2006 e ABNT NBR ISO/IEC 17799:2005 enunciam um mesmo conjunto de mais de cento e trinta controles de segurança, os quais, por sua vez, são agrupados em mais de 30 objetivos de controle, sendo a primeira das normas de redação mais abstrata que a segunda e com estrutura de seções parcialmente correspondente à da norma ABNT NBR ISO 9001:2000. (TCU 2009 – AFCE-TI) Acerca do processo ilustrado na figura acima, que apresenta as principais atividades envolvidas na gestão de riscos, conforme a ABNT NBR ISO/IEC 27005, publicada em 2008, julgue os próximos itens. 167 Durante o início da adoção da gestão de riscos em uma organização, a aplicação de métodos quantitativos para cálculo do nível de risco ocorre principalmente durante a estimativa de riscos e tende a oferecer resultados mais confiáveis e eficazes comparativamente ao uso de métodos quantitativos, sobretudo quando os ativos no escopo apresentam elevada intangibilidade. Prof. Thiago Fagury - www.fagury.com.br Lista de Exercícios - CESPE Gestão de Segurança da Informação 168 A alta gestão da organização em escopo exerce maior influência sobre o ponto de decisão 1 que sobre o ponto de decisão 2, bem como contribui ativamente para prover informações quanto às fases de identificação de riscos, de definição do contexto e de análise crítica de riscos. A respeito do diagrama acima, que apresenta um modelo conceitual sistêmico da norma ABNT NBR ISO/IEC 27001, julgue os itens 169 e 170. 169 No modelo em apreço, o subsistema de planejamento do SGSI possui sobreposição de atividades com a fase de definição do contexto presente na norma ABNT NBR ISO/IEC 27005 bem como produz uma informação de saída similar àquela produzida durante o processo de aceitação do risco da mesma ABNT NBR ISO/IEC 27005. 170 Entre os documentos e registros cujo controle é demandado pela norma ABNT NBR ISO/IEC 27001, destacam-se como documentos a declaração da política de segurança, o relatório de análise/avaliação de risco e a declaração de aplicabilidade; além disso, destacam-se como registros os livros de visitantes, os relatórios deauditoria, as ocorrências de incidentes de segurança e outros registros, inclusive de não conformidade. (INMETRO 2009 – Cargo 5 – Desenvolvimento) A respeito dos conceitos de políticas, de normas e de modelos de segurança em TI, julgue os seguintes itens. 52 A análise crítica e periódica da política de segurança da informação de uma organização, conforme preconizada pelas normas NBR ISO/IEC 27001 e NBR ISO/IEC 17799, deve ser uma ação de responsabilidade dos gestores de segurança dessa organização. 53 Acerca de parâmetros para criação de políticas de gerenciamento de senhas considera-se que: para sítios com baixa necessidade de segurança, é indicado que um usuário empregue uma senha comum a todos os sítios; a exigência de que usuários nunca escrevam a senha em um papel, pois esta atitude pode tornar difícil a gerência de senhas, havendo outras formas de garantir segurança que permitam o registro de senhas escritas; o aumento da frequência de troca de senhas, o que tende a diminuir a força das senhas empregadas. 54 Em um conjunto de práticas de segurança física estabelecidas pela NBR ISO/IEC 17799 destaca-se: o uso de perímetros de segurança; a proteção contra ameaças do meio ambiente; a segurança do cabeamento de energia e telecomunicações; a manutenção de equipamentos e a autorização prévia quando da retirada de equipamentos, informações e software do sítio gerenciado. 55 A norma NBR ISO/IEC 27001 difere da NBR ISO/ IEC 17799 quanto ao estabelecimento de requisitos para certificação, o qual ocorre na primeira, e quanto a um detalhamento de código de prática, o qual ocorre na segunda. Por outro lado, o emprego do ciclo PDCA (Plan- Do-Check-Act) para a melhoria contínua de um sistema de gestão de segurança é descrito em ambas. 58 O arcabouço de organização dos requisitos da norma NBR ISO/IEC 27001 deriva da família de normas ISO 9000, especialmente no que se refere à gestão de documentação. (IPEA 2008 – Cargo 3 – Negócios) A ISO 17799 diz que a segurança da informação protege a informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócios. Relativos a segurança de informações, julgue os itens de 64 a 68. 64 A identificação dos requisitos de segurança da informação se dá por meio da avaliação dos riscos dos ativos de informação, pela legislação vigente ou por meio do conjunto de princípios, objetivos e requisitos para o processamento da informação. A organização deverá garantir que a segurança seja parte integrante dos sistemas de informação. 65 Quando a responsabilidade pelo processamento da informação é terceirizada para outra organização, o acordo de terceirização deve contemplar os controles de segurança e procedimentos para os sistemas de informação, rede de computadores e estações de trabalho excluídos os riscos, uma vez que estão contemplados em planos de continuidade do negócio. 66 As ameaças e vulnerabilidades mais freqüentes e controles implementados são insumos para o cálculo das probabilidades de ocorrência das falhas de segurança expressas em fatores exógenos sem levar em conta as potenciais conseqüências da perda de confidencialidade, Prof. Thiago Fagury - www.fagury.com.br Lista de Exercícios - CESPE Gestão de Segurança da Informação integridade ou disponibilidade da informação ou de outros ativos. 67 Sob o ponto de vista legal, os controles considerados essenciais são a proteção de dados e privacidade de informações pessoais; o documento de política de segurança da informação e os relatórios de incidente, não considerados os direitos de propriedade intelectual. 68 A segurança da informação é caracterizada pela preservação da confidencialidade, integridade e disponibilidade e se dá por meio de uma série de controles que podem ser políticas, práticas, procedimentos, estruturas organizacionais, excluídas as funções de software. (TCU 2008 – AFCE-TI – Adapt.) Considerando a necessidade de as organizações da administração pública federal adequarem suas infra-estruturas de TI e suas práticas gerenciais aos requisitos de normas, julgue os itens subseqüentes. 181 Se o administrador da segurança da informação de uma organização da administração pública decidir priorizar a implementação de controles, com o objetivo de realizar a gestão de incidentes de segurança da informação e sua melhoria contínua, ele estará implementando um controle essencial da norma 17799/2005. 182 Segundo a norma 17799/2005, no caso de desenvolvimento de software por mão-de-obra terceirizada, é necessário estabelecer controles adicionais para testar e detectar, antes da instalação desse software, a presença de código troiano. 183 Considerando-se que, em muitas organizações públicas, há urgência na adoção de controles visando-se à melhoria do atual nível de segurança da informação, um administrador de segurança da informação deve implementar, independentemente da análise e da avaliação de riscos de segurança da informação em curso, um conjunto de controles mínimos — controles primários —, os quais, segundo a norma 17799/2005, devem ser implementados em todos os casos. 184 As ameaças e perturbações da ordem pública que podem, eventualmente, afetar o funcionamento de uma organização pública federal, mesmo que apenas indiretamente relacionadas aos sistemas de tecnologia da informação e comunicação (TIC) dessas organizações, devem ser consideradas nas diretrizes de implementação de controle de proteção do meio ambiente e contra ameaças externas, conforme previsto na norma 17799/2005. MCT 2008 – Cargos Diversos 117 Segundo a norma ISO 27002, a análise de riscos deve ser repetida periodicamente, de modo a levar em conta quaisquer modificações que tenham influenciado os resultados de análise de riscos feita anteriormente. 119 Uma organização que deseje implantar um sistema de gestão de segurança da informação (SGSI) deve adotar como base a norma ABNT NBR ISO/IEC 27001:2006. 120 A seção 5 da norma ISO/IEC 27001 trata de como a informação deve ser classificada, de acordo com a sua necessidade de segurança e controle de acesso. 119A A norma ISO 27001 adota o modelo plan-do- check-act (PDCA), que éaplicado para estruturar todos os processos dos sistemas de gestão de segurança da informação — information security management system (ISMS). 120B Dependendo de seu tamanho ou natureza, uma organização pode considerar um ou mais requisitos da norma ISO 27001 como não-aplicáveis e, ainda assim, continuar em conformidade com essa norma internacional. Serpro 2010 57 A NBR 27001 corresponde à atualização da norma internacional ISO/IEC 17799. 58 Segundo a ABNT NBR ISO/IEC 27001, um sistema de gestão da segurança da informação apresenta o seguinte ciclo: estabelecimento, implementação e operação, monitoramento e revisão, manutenção e melhoria do sistema. Petrobras 2007 – Infra 137 A confidencialidade diz respeito à garantia de que a informação será acessada por qualquer um que dispuser de recursos tecnológicos apropriados, explicitamente ou não. 138 A integridade diz respeito à garantia de que a informação só será alterada ou deletada por quem tem autorização explícita para tal. 139 A disponibilidade diz respeito à garantia de que será possível a qualquer pessoa acessar a informação sempre que for necessário. Prof. ThiagoFagury - www.fagury.com.br Lista de Exercícios - CESPE Gestão de Segurança da Informação Banco da Amazônia 2009 51 Um incidente de segurança da informação refere- se a um ou mais riscos não desejados ou esperados que possuem significativa probabilidade de comprometer os ativos de informação e ameaçam a segurança da informação. Serpro 2008 - Redes 86 A declaração de aplicabilidade é um documento que deve detalhar os objetivos de controle e os controles a serem implementados para a segurança da informação. Os demais controles e objetivos de controle, não inclusos na declaração de aplicabilidade, devem fazer parte do documento de análise de GAP. 87 A definição de critérios para aceitação de riscos é uma das responsabilidades da alta administração, segundo a norma NBR ISO/IEC 27001. 88 O estabelecimento da política do sistema de gestão de segurança da informação (SGSI) é de responsabilidade da equipe de segurança da informação. 89 Para assegurar que os controles, objetivos de controle e processos sejam executados e implementados de forma eficaz, a norma NBR ISO/ IEC 27001 recomenda a realização de auditorias externas em intervalos regulares de, no máximo, seis meses. 90 A identificação de não-conformidades potenciais e suas causas é caracterizada como uma ação preventiva, segundo a norma NBR ISO/IEC 27001. 91 Entre as atividades contempladas na fase agir (act) está a necessidade de identificar não-conformidades potenciais e suas causas, objetivando alcançar a melhoria contínua do sistema de gestão de segurança da informação. 92 A norma NBR ISO/IEC 27001 recomenda a adoção de abordagem qualitativa para a realização da análise de risco. MPS 2010 101 Risco residual é aquele remanescente quando as medidas implementadas para modificar esse risco não conseguem eliminá-lo. 102 A declaração de aplicabilidade define os ambientes ou as unidades da organização alvo dos controles estabelecidos pelo sistema de gestão de segurança da informação (SGSI). 103 Integridade é a propriedade que garante que uma informação não será furtada da organização. Serpro 2008 – Desenvolvimento 56 Vulnerabilidades representam portas de entrada, fragilidade em ativos de informação que podem permitir a concretização de ameaças, colocando em risco esses ativos. 60 A norma ISO/IEC 17799 está voltada à criação de um Sistema de Gestão da Segurança da Informação mas seu conteúdo não é mais válido, pois foi substituída recentemente pela nova norma 27002. 61 Uma política de segurança da informação, preconizada pelas normas, é composta por critérios sugeridos para a gestão da segurança, configuração de ativos, etc., o que vai atribuir aos gestores a liberdade de escolher a forma mais inteligente, setorizada, de se adotar segurança. TCU 2007 140 Tendo em vista o ambiente de TI implantado em uma entidade, faz-se necessário que essa entidade disponha de critérios de aceitação para novos sistemas. 141 Os recursos e os ambientes de desenvolvimento, teste e produção devem interagir permanentemente para a obtenção da compatibilidade e da harmonia pretendida. 144 Todo evento de segurança da informação identificado no âmbito da organização corresponderá a uma ou mais violações da política de segurança da informação da organização. 149 Conforme os controles da NBR 17799, os processos de gestão de segurança de recursos humanos de uma organização envolvem o retorno dos ativos à organização após o encerramento do contrato de trabalho, bem como conscientização, educação e treinamento em segurança da informação, inclusive para terceiros. TCE/RN – 2009 82 O processo formal da avaliação de riscos motiva os requisitos específicos dos controles a serem implementados, servindo como guia para normas corporativas de segurança e práticas eficazes de gerenciamento de segurança. Prof. Thiago Fagury - www.fagury.com.br Lista de Exercícios - CESPE Gestão de Segurança da Informação (ABIN 2010 – Cargo 17) Julgue os próximos itens, relativos à salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado no âmbito da administração pública federal. 34 A preparação, impressão ou, se for o caso, reprodução de documento sigiloso efetuada em tipografias, impressoras, oficinas gráficas ou similares devem ser acompanhadas por pessoa oficialmente designada para tanto, sendo ela responsável pela garantia do sigilo durante a confecção do documento e pela eliminação de notas manuscritas, tipos, clichês, carbonos, provas ou qualquer outro recurso que possa dar origem a cópia não autorizada do todo ou parte. 35 Os equipamentos e sistemas utilizados para a produção de documentos com grau de sigilo secreto, confidencial e reservado só podem integrar redes de computadores que possuam sistemas de criptografia e segurança adequados à proteção dos documentos e que sejam física e logicamente isoladas de qualquer outra. 36 Os titulares de órgãos ou entidades públicos encarregados da preparação de planos, pesquisas e trabalhos de aperfeiçoamento ou de novo projeto, prova, produção, aquisição, armazenagem ou emprego de material sigiloso são os responsáveis pela expedição das instruções adicionais que se tornarem necessárias à salvaguarda dos assuntos a eles relacionados. 37 Os órgãos e entidades públicos e as instituições de caráter público, para dar conhecimento de minuta de contrato cujo objeto seja sigiloso ou cuja execução implique a divulgação de desenhos, plantas, materiais, dados ou informações de natureza sigilosa devem exigir dos interessados na contratação a assinatura de termo de compromisso de manutenção do sigilo. Acerca da Política de Segurança da Informação (PSI) nos órgãos e entidades da administração pública federal, instituída pelo Decreto n.º 3.505/2000, julgue os seguintes itens. 38 Os membros do Comitê Gestor da Segurança da Informação só podem participar de processos, no âmbito da segurança da informação, de iniciativa do setor privado, caso essa participação seja julgada imprescindível para atender aos interesses da defesa nacional, a critério do Comitê Gestor e após aprovação do Gabinete de Segurança Institucional da Presidência da República. 39 Entre os objetivos da PSI, insere-se o estímulo à participação competitiva do setor produtivo no mercado de bens e de serviços relacionados com a segurança da informação, incluindo-se a fabricação de produtos que incorporem recursos criptográficos. 40 Cabe à Secretaria de Defesa Nacional, assessorada pelo Comitê Gestor da Segurança da Informação e pelo Departamento de Pesquisa e Desenvolvimento Tecnológico da ABIN, estabelecer normas, padrões, níveis, tipos e demais aspectos relacionados ao emprego dos produtos que incorporem recursos criptográficos, de modo a assegurar-lhes confidencialidade, autenticidade e integridade, assim como a garantir a interoperabilidade entre os sistemas de segurança da informação. Gabaritos: ABIN 2010 – Cargo 17 120C 121E 122E 123E ABIN 2010 – Cargo 9 109X 110E ANEEL – Área 3 110E 11E 112C 113E 114C 115E 116C 117C 118E TCU 2010 – AFCE-TI 176C 177C 178E 179C 180E 181E MPU 2010 – Cargo 24 142C 143C 144C 145E 146E 147C 148E 149C 150E MPU 2010 – Cargo 26 141C 142C 143C 144E 145E 146C 147E 148E 149E 150C MPU 2010 – Cargo 27 149X 150X TRT21 – Cargo 11 101E 102E 103C 104E 105C 106C ANAC 200996C 97C 98E 99C 100E 111E 112E 113C 114E 115E ANATEL 2009 – Cargo 8 83E 84E 85C 86C 87E 88C ANTAQ 2009 – Cargo 9 73E 74E 75E 76C 77C 78X TCU 2009 – AFCE-TI 167E 168E 169C 170C Prof. Thiago Fagury - www.fagury.com.br Lista de Exercícios - CESPE Gestão de Segurança da Informação INMETRO 2009 – Cargo 5 52E 53C 54C 55E 58C IPEA 2008 – Cargo 3 64C 65E 66E 67E 68E TCU 2008 – AFCE-TI 181E 182C 183E 184C MCT 2008 117C 119C 120E 119A-C 120B-E SERPRO 2010 57E 58X PETROBRAS 2007 137E 138C 139E BANCO DA AMAZONIA 2009 51E SERPRO 2008 – REDES 86E 87C 88E 89E 90C 91E 92E MPS 2010 101C 102E 103E SERPRO 2008 – DESENV. 56C 60E 61E TCU 2007 140C 141E 144E 149C TCE-RN 2009 82C ABIN 2010 – CARGO 17 34 35 36 37 38 39 40 Prof. Thiago Fagury - www.fagury.com.br
Compartilhar