Baixe o app para aproveitar ainda mais
Prévia do material em texto
02/11/2017 Conteúdo Interativo http://estacio.webaula.com.br/Classroom/index.html?id=1545639&classId=798894&topicId=2557456&p0=03c7c0ace395d80182db07ae2c30f034… 1/3 CCT0185_EX_A8_201501303465 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 8a aula Lupa Vídeo PPT MP3 Exercício: CCT0185_EX_A8_201501303465 Matrícula: 201501303465 Aluno(a): HUELITON RODRIGUES BARROS DA SILVA Data: 04/10/2015 11:23:25 (Finalizada) 1a Questão (Ref.: 201502074559) Fórum de Dúvidas (4) Saiba (1) Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de: Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis. Definir e medir a eficácia dos controles ou grupos de controle selecionados. Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização. Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações. 2a Questão (Ref.: 201501393161) Fórum de Dúvidas (1 de 4) Saiba (1) A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a que tipo de proteção ? Limitação. Reação. Recuperação . Preventiva. Correção. 3a Questão (Ref.: 201501393163) Fórum de Dúvidas (1 de 4) Saiba (1) No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada como um Problema de Segurança: A perda de qualquer aspecto de segurança importante para a organização. Uma inundação. HUELITON Realce HUELITON Realce 02/11/2017 Conteúdo Interativo http://estacio.webaula.com.br/Classroom/index.html?id=1545639&classId=798894&topicId=2557456&p0=03c7c0ace395d80182db07ae2c30f034… 2/3 Restrição Financeira. Uma tempestade. Uma Operação Incorreta ou Erro do usuário. 4a Questão (Ref.: 201501599683) Fórum de Dúvidas (1 de 4) Saiba (1) A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase "Plan" é: O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI. A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação. A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. Gabarito Comentado 5a Questão (Ref.: 201502063552) Fórum de Dúvidas (1 de 4) Saiba (1) O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check- Act. Podemos dizer que a empresa deve implementar na etapa Do: A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento e identificar os incidentes de segurança da informação. Selecionar objetivos de controle e controles para o tratamento de riscos. A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI. O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. Gabarito Comentado 6a Questão (Ref.: 201501957193) Fórum de Dúvidas (1 de 4) Saiba (1) Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. 02/11/2017 Conteúdo Interativo http://estacio.webaula.com.br/Classroom/index.html?id=1545639&classId=798894&topicId=2557456&p0=03c7c0ace395d80182db07ae2c30f034… 3/3 III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: I e III. II e III. III e IV. I e II. II. Gabarito Comentado
Compartilhar