Aula 7 - Teste - Segurança da Informação Segundo a NBR ISOIEC 27002 antiga ISO 17799

Prévia do material em texto

1a Questão
	
	
	
	
	Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação.
		
	
	Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo.
	
	Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização.
	
	Os riscos residuais são conhecidos antes da comunicação do risco.
	
	Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.
	 
	A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.
	Respondido em 29/05/2020 16:34:39
	
	
	Gabarito
Coment.
	
	 
	
	 2a Questão
	
	
	
	
	A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002 tem como objetivo apresentar recomendações para:
		
	
	Não permitir a interrupção das atividades do negócio, proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil, se for o caso
	
	Resolver de forma definitiva os problemas causados por incidentes de segurança da informação estabelecendo e executando as ações necessárias para minimizar efeitos causados aos dados dos sistemas de informação e comunicação.
	
	Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação.
	
	Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação e detectar e resolver incidentes de segurança da informação em tempo hábil
	 
	Assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil
	Respondido em 29/05/2020 16:34:23
	
Explicação:
O principal objetivo da ISO 27002 é estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Isso também inclui a seleção, a implementação e o gerenciamento de controles, levando em conta os ambientes de risco encontrados na empresa.
	
	
	 
	
	 3a Questão
	
	
	
	
	Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes?
		
	 
	Normas.
	
	Relatório Estratégico.
	
	Procedimentos.
	
	Diretrizes.
	
	Manuais.
	Respondido em 29/05/2020 16:14:24
	
	
	Gabarito
Coment.
	
	 
	
	 4a Questão
	
	
	
	
	Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são definidas as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à sua gestão de acordo com a visão estratégica da alta direção?
		
	
	Procedimentos.
	
	Manuais.
	 
	Diretrizes.
	
	Normas.
	
	Relatório Estratégico.
	Respondido em 29/05/2020 16:13:51
	
	
	Gabarito
Coment.
	
	 
	
	 5a Questão
	
	
	
	
	Sobre a segurança da informação no ambiente corporativo, leia as asserções a seguir:
I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a real necessidade da mesma, pois, dessa forma, implantações de mecanismos de segurança não serão adotados, inadequadamente.
II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança da informação, revisar os resultados e tomar as medidas necessárias, treinar e educar seus funcionários sobre o assunto.
III. Antigamente a atenção dada à segurança da informação estava focada apenas nas pessoas. Atualmente, notamos que o desafio está na tecnologia.
Após a leitura, analise a alternativas e assinale a correta.
		
	
	Somente as asserções I e III estão corretas
	
	Somente a asserção II está correta
	
	Somente as asserções II e III estão corretas
	 
	Somente as asserções I e II estão corretas
	
	Somente a asserção III está correta
	Respondido em 29/05/2020 16:15:40
	
Explicação:
I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a real necessidade da mesma, pois, dessa forma, implantações de mecanismos de segurança não serão adotados, inadequadamente.
II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança da informação, revisar os resultados e tomar as medidas necessárias, treinar e educar seus funcionários sobre o assunto.
III. Antigamente a atenção dada à segurança da informação estava focada apenas na tecnologia. Atualmente, notamos que o desafio vai além desta amplitude e engloba, também, a construção de uma relação de confiabilidade com os clientes e parceiros da empresa.
	
	
	 
	
	 6a Questão
	
	
	
	
	Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três princípios básicos:
		
	
	Prevenção, proteção e reação
	
	Flexibilidade, agilidade e conformidade
	 
	Integridade, confidencialidade e disponibilidade
	
	Integridade, prevenção e proteção
	
	Autenticidade, originalidade e abrangência
	Respondido em 29/05/2020 16:13:29
	
	
	 
	
	 7a Questão
	
	
	
	
	Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ?
		
	
	ISO/IEC 27004
	 
	ISO/IEC 27005
	
	ISO/IEC 27002
	
	ISO/IEC 27003
	
	ISO/IEC 27001
	Respondido em 29/05/2020 16:11:25
	
	
	Gabarito
Coment.
	
	 
	
	 8a Questão
	
	
	
	
	De acordo com as normas ABNT NBR 27001, 27002 e 27005, o documento da política de segurança da informação deve:
		
	
	revelar informações sensíveis da organização.
	
	apresentar uma declaração de aplicabilidade dos controles de segurança da informação, além de definir como será o processo de gestão de riscos.
	
	conter uma declaração de comprometimento elaborada por todos aqueles que atuam na organização, inclusive pela direção.
	 
	ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a organização.
	
	conter o registro dos incidentes de segurança da organização.
	
	 9a Questão
	
	
	
	
	Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança?
		
	
	Não-Repúdio;
	 
	Autenticidade;
	
	Auditoria;
	
	Integridade;
	
	Confidencialidade;
	Respondido em 29/05/2020 17:15:54
	
	
	Gabarito
Coment.
	
	 
	
	 10a Questão
	
	
	
	
	Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma:
		
	
	Análise/revisão sistemática dos ativos de segurança da informação
	 
	Análise/avaliação sistemática dos riscos de segurança da informação
	
	Análise/avaliação sistemática dos incidentes de segurança da informação
	
	Identificação/avaliação sistemática dos eventos de segurança da informação
	
	Análise/orientação sistemática dos cenários de segurança da informação
	 11a Questão
	
	
	
	Os processos que envolvem a gestão de risco são, exceto:
		
	
	Realizar a análise quantitativa do risco
	
	Identificar os riscos
	
	Planejar o gerenciamento de risco
	 
	Gerenciar as respostas aos riscos
	
	Realizar a análise qualitativa do risco
	Respondido em 29/05/2020 17:44:29
	
	
	 
	
	 12a Questão
	
	
	
	
	Marque a alternativa que NÃO representa uma alternativa a mitigação de risco:
		
	
	Transferência de risco
	
	Limitação de risco
	 
	Aceitação de risco
	
	Suposição de risco
	
	Prevençãode risco
	 13a Questão
	
	
	
	Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares?
		
	
	Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
	 
	Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001.
	Respondido em 29/05/2020 17:45:54
	
	
	Gabarito
Coment.
	
	 
	
	 14a Questão
	
	
	
	
	A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é:
		
	
	A base de dados e arquivos
	
	O plano de continuidade do negócio.
	
	O equipamento de comunicação
	
	O serviço de iluminação
	 
	A reputação da organização
	Respondido em 29/05/2020 17:44:21
	
	
	 
	
	 15a Questão
	
	
	
	
	O grande objetivo da norma é estabelecer diretrizes e princípios para iniciar, implementar, manter e melhorar a gestão de segurança de informação em uma empresa. A norma deve ser aplicada a todos os tipos de organizações seja, por exemplo, empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos. A norma especifica os requisitos para implementação de controles de segurança adaptados as particularidades de cada organização.
Essa descrição está relacionada com qual norma?
		
	
	NBR ISO/IEC 7002
	
	NBR ISO/IEC 28002
	 
	NBR ISO/IEC 27002
	
	NBR ISO/IEC 27052
	
	NBR ISO/IEC 27012
	Respondido em 29/05/2020 17:43:39
	
Explicação:
NBR ISO/IEC 27002
	 16a Questão
	
	
	
	Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta um conjunto típico destes documentos?
		
	
	Diretrizes; Normas e Relatórios
	 
	Diretrizes; Normas e Procedimentos
	
	Manuais; Normas e Procedimentos
	
	Manuais; Normas e Relatórios
	
	Diretrizes; Manuais e Procedimentos
	Respondido em 29/05/2020 17:38:17
	
	
	 
	
	 17a Questão
	
	
	
	
	Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada:
		
	
	implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI.
	
	implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI.
	 
	implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado.
	
	implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado.
	
	implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais.
	
	 18a Questão
	
	
	
	
	Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais:
		
	
	Análise de vulnerabilidades, requisitos legais e classificação da informação
	
	Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais
	
	Análise de risco, análise do impacto de negócio (BIA), classificação da informação
	 
	Requisitos de negócio, Análise de risco, Requisitos legais
	
	Classificação da informação, requisitos de negócio e análise de risco
	 19a Questão
	
	
	
	A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio:
		
	
	São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço tem que atender.
	
	A orientação da organização para assegurar que funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos.
	 
	É o conjunto de princípios e objetivos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.
	
	Determina que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização.
	
	Uma orientação de como a organização deve proceder para estabelecer a política de segurança da informação.
	20ª Questão
	
	
	
	Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas.
1) Comitê de segurança da informação.
2) Controle.
3) Funções de software e hardware.
4) Deve ser analisado criticamente.
5) Política.
( ) Controle.
( ) Firewall.
( ) estrutura organizacional.
( ) Permissão de acesso a um servidor.
( ) Ampla divulgação das normas de segurança da informação.
A combinação correta entre as duas colunas é:
		
	 
	4-3-1-2-5.
	
	2-3-1-5-4.
	
	4-3-5-2-1.
	
	5-1-4-3-2.
	
	1-2-4-3-5.
	Respondido em 29/05/2020 20:57:07
	
	
	Gabarito
Coment.
	
	 
	
	 21a Questão
	
	
	
	
	Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar:
		
	
	Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais de segurança e uma seção introdutória que aborda a questões de contingência.
	
	Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados exclusivamente por meio da classificação das informações.
	
	A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um risco. Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos.
	 
	Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os quais toda a família está baseada e se integra.
	
	Um incidente de segurança da informação é indicado por um evento de segurança da informação esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
	
	 22a Questão
	
	
	
	
	A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança:
		
	
	Segurança dos Ativos.
	 
	Segurança Física e do Ambiente.
	
	Segurança em Recursos Humanos.
	
	Controle de Acesso.
	
	Gerenciamento das Operações e Comunicações.
	 23a Questão
	
	
	
	A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos de processamento de dados e aos processos de negócios com base nos requisitos de negócio e na segurança da informação levando em consideração as políticas para autorização e disseminação da informação. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a quetipo de ação de Segurança?
		
	
	Desenvolvimento e Manutenção de Sistemas
	
	Segurança em Recursos Humanos
	
	Segurança Física e do Ambiente
	
	Gerenciamento das Operações e Comunicações
	 
	Controle de Acesso