av2_simuladoV.3_2015-l

Prévia do material em texto

GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Simulado:  Fechar
Aluno(a): Matrícula:
Desempenho: 5,0 de 8,0 Data: 05/2015 (Finalizada)
  1a Questão (Ref.: 201107201447)
A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o
SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua
gestão e utiliza como modelo o Plan­Do­Check­Act (PDCA), aplicado para estruturar todos os processos do
SGSI, explique a etapa "Check" do PDCA:
Sua Resposta: Verificação
Compare com a sua resposta: Check (monitorar e analisar criticamente o SGSI): ­ A organização deve
implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de
processamento, identificar as tentativas e violações de segurança bem­sucedida, e os incidente de segurança
da informação. ­ Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os
resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões.
Deve ser realizado também a análise crítica das análises/avaliações de risco a intervalos regulares e ainda
realizadas auditorias regularmente. Em função dos resultados das atividades de monitoramento e análise crítica
os planos de segurança devem ser atualizados.
  2a Questão (Ref.: 201107201448)
A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o
SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua
gestão e utiliza como modelo o Plan­Do­Check­Act (PDCA), aplicado para estruturar todos os processos do
SGSI, explique a etapa "Act" do PDCA:
Sua Resposta: ativação
Compare com a sua resposta: Act (Manter e melhorar o SGSI): ­ A organização deve implementar as melhorias
identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom
funcionamento do SGSI.
  3a Questão (Ref.: 201107295394) Pontos: 1,0  / 1,0
Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da
informação, através de três fontes principais:
Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais
Análise de risco, análise do impacto de negócio (BIA), classificação da informação
  Requisitos de negócio, Análise de risco, Requisitos legais
Classificação da informação, requisitos de negócio e análise de risco
Análise de vulnerabilidades, requisitos legais e classificação da informação
  4a Questão (Ref.: 201107673550) Pontos: 0,0  / 1,0
Uma organização governamental adotou as seguintes diretrizes em relação às cópias de segurança: 
Definição e formalização de uma política de cópias de segurança (backups) que inclua o código­fonte e a base
de dados com base nas necessidades de negócio, incluindo procedimentos regulares de recuperação e
observando as recomendações contidas no controle adequado da Norma NBR ISO/IEC 27002. 
Considerando a necessidade de proteger o sigilo das informações, deve­se avaliar a conveniência de
criptografar os dados gravados nas mídias das cópias de segurança, conforme recomenda a diretriz para
implementação do controle adequado da Norma NBR ISO/IEC 27002. 
Estas diretrizes se referem à seção da Norma que possui em uma de suas categorias, o controle Cópias de
Segurança. Qual é esta seção?
  10 ­ Gerenciamento das Operações e Comunicações, que é a maior seção da Norma, e trata das
operações dos serviços tecnológicos da organização.
11 ­ Controle de Acesso, que fornece diretrizes para áreas seguras da organização.
9 ­ Segurança Física e do Ambiente, que trata do controle do acesso lógico às informações da
organização
12 ­ Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação, que trata das medidas a
serem tomadas para prevenir a interrupção das atividades e proteger os processos críticos contra
defeitos, falhas ou desastres significativos da organização.
  14 ­ Gestão da Continuidade do Negócio, que é a maior seção da Norma, e fornece diretrizes para a
segurança dos aplicativos, arquivos de sistema, processos de desenvolvimento e suporte e gestão de
vulnerabilidades técnicas.
 Gabarito Comentado.
  5a Questão (Ref.: 201107128285) Pontos: 0,0  / 1,0
Um Firewall pode ser definido como uma coleção de componentes, colocada entre duas redes, que
coletivamente possua propriedades que:
garantem que apenas o tráfego de dentro para fora da rede deve passar por ele. Somente o tráfego
autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de
violação.
garantem que todo o tráfego de dentro para fora da rede e vice­versa deve ser bloqueado,
independentemente da política de segurança adotada. Todo firewall deve ser à prova de violação.
  garantem que apenas o tráfego de fora para dentro da rede deve passar por ele. Somente o tráfego
autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de
violação.
  garantem que todo o tráfego de dentro para fora da rede, e vice­versa, passe por ele. Somente o
tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à
prova de violação.
independentemente da política de segurança adotada, tem como objetivo principal impedir a entrada de
vírus em um computador, via arquivos anexados a e­mails.
  6a Questão (Ref.: 201107109525) Pontos: 0,0  / 1,0
Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são
definidas as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à
sua gestão de acordo com a visão estratégica da alta direção?
  Diretrizes.
  Procedimentos.
Manuais.
Relatório Estratégico.
Normas.
 Gabarito Comentado.
  7a Questão (Ref.: 201107109200) Pontos: 1,0  / 1,0
A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do
negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a
sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de
Segurança?
  Gestão da Continuidade do Negócio
Segurança Física e do Ambiente.
Gerenciamento das Operações e Comunicações
Controle de Acesso
Gestão de Incidentes de Segurança da Informação
  8a Questão (Ref.: 201107109196) Pontos: 1,0  / 1,0
A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos de
processamento de dados e aos processos de negócios com base nos requisitos de negócio e na segurança da
informação levando em consideração as políticas para autorização e disseminação da informação. Neste caso a
NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança?
Gerenciamento das Operações e Comunicações
  Controle de Acesso
Segurança em Recursos Humanos
Desenvolvimento e Manutenção de Sistemas
Segurança Física e do Ambiente
  9a Questão (Ref.: 201107641639) Pontos: 1,0  / 1,0
Qual o nome do código malicioso que tem o intuito de após uma invasão, permitir posteriormente o acesso à
máquina invadida para o atacante ?
  Backdoor
Rootkit
Spam
Worm
0Day
  10a Questão (Ref.: 201107660774) Pontos: 1,0  / 1,0
Referente ao processo de Gestão de incidentes, qual é a sequência na ordem que compõem o processo de
gestão de incidentes ?
Incidente, impacto, ameaça e recuperação
Incidente, recuperação, impacto e ameaça
  Ameaça, incidente, impacto e recuperação
Impacto, ameaça, incidente e recuperação
Ameaça, impacto, incidente e recuperação
 Gabarito Comentado.