20 QUESTÕES DE SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

20 QUESTÕES DE SEGURANÇA DA INFORMAÇÃO
NBR ISO/IEC 27001:2013
Quando uma não conformidade ocorre, a organização:
Escolha uma:
a. precisa reter a informação documentada como evidência dos programas da auditoria e dos resultados da auditoria.
b. deve reagir à não conformidade, e conforme apropriado, tomar ações para controlar e corrigi-la e tratar com as consequências.
c. reassegura que o sistema de gestão da segurança da informação pode alcançar seus resultados pretendido.
d. aplica o processo de avaliação do risco de segurança da informação para identificar os riscos associados com a perda de confidencialidade, integridade e disponibilidade da informação dentro do escopo do sistema de gestão da segurança da informação.
e. determina a competência necessária das pessoas que realizam trabalho sob o seu controle e que afeta o desempenho da segurança da informação.
NBR ISO/IEC 27002:2013
NÃO é um controle da área de conformidade:
Escolha uma:
a.
proteção de registros.
b.
coleta de evidências.
c.
regulamentação de controles de criptografia.
d.
identificação da legislação aplicável e de requisitos contratuais.
e.
análise crítica independente da segurança da informação.
NBR ISO/IEC 27002:2013
Considere os controles a seguir.
I. Notificação de eventos de segurança da informação.
II. Disponibilidade dos recursos de processamento da informação.
III. Coleta de evidências.
IV. Avaliação e decisão dos eventos de segurança da informação.
Pode-se afirmar que:
Escolha uma:
a. I, II e III pertencem à gestão de incidentes de segurança da informação e IV pertence aos aspectos da segurança da informação na gestão da continuidade do negócio.
b. I e IV pertencem à gestão de incidentes de segurança da informação e II e III pertencem aos aspectos da segurança da informação na gestão da continuidade do negócio.
c. I pertence à gestão de incidentes de segurança da informação e II, III e IV pertencem aos aspectos da segurança da informação na gestão da continuidade do negócio.
d. I e III pertencem à gestão de incidentes de segurança da informação e II e IV pertencem aos aspectos da segurança da informação na gestão da continuidade do negócio.
e. I, III e IV pertencem à gestão de incidentes de segurança da informação e II pertence aos aspectos da segurança da informação na gestão da continuidade do negócio.
Considere os seguintes usos de controles criptográficos:
I. usando assinaturas digitais ou códigos de autenticação de mensagens (MAC) para verificar a autenticidade ou integridade de informações sensíveis ou críticas, armazenadas ou transmitidas.
II. usando a criptografia da informação para proteger informações sensíveis ou críticas, armazenadas ou transmitidas.
III. usando técnicas criptográficas para autenticar usuários e outros sistemas que requeiram acesso para transações com usuários de sistemas, entidades e recursos.
IV. usando técnicas de criptografia para obter evidência da ocorrência ou não ocorrência de um evento ou ação.
Esses controles asseguram, respectivamente:
Escolha uma:
a.
(I) integridade/autenticidade; (II) disponibilidade; (III) autenticação; (IV) conformidade.
b. (I) integridade/autenticidade; (II) confidencialidade; (III) autenticação; (IV) não repúdio.
c.
(I) confidencialidade; (II) disponibilidade; (III) não repúdio; (IV) disponibilidade.
d.
(I) conformidade; (II) não repúdio; (III) integridade; (IV) confidencialidade.
e.
(I) autenticidade; (II) integridade; (III) conformidade; (IV) não repúdio.
NÃO é um termo ou condição conveniente para a contratação de funcionários e partes externas:
Escolha uma:
a. a atribuição de responsabilidades pela classificação da informação e pelo gerenciamento dos ativos da organização, associados com a informação, com os recursos de processamento da informação e com os serviços de informação conduzidos pelos funcionários, fornecedores ou partes externas.
b. a definição das responsabilidades legais e direitos exclusivos dos funcionários, com relação às leis de direitos autorais e legislação de proteção de dados.
c. a previsão das ações a serem tomadas no caso de o funcionário ou partes externas, desrespeitar os requisitos de segurança da informação da organização.
d. todos os funcionários, fornecedores e partes externas que tenham acesso a informações sensíveis devem assinar um termo de confidencialidade ou de não divulgação, antes de lhes ser dado o acesso aos recursos de processamento da informação.
e. a especificação das responsabilidades dos funcionários ou partes externas, pelo tratamento da informação recebida de outras companhias ou partes interessadas.
NBR ISO/IEC 27001:2013
Sobre os objetivos da segurança da informação e planos para alcançá-los, considera as afirmações a seguir.
I. os objetivos de segurança da informação devem ser sempre mensuráveis.
II. os objetivos devem levar em conta os requisitos de segurança da informação aplicáveis, e os resultados da avaliação e tratamento dos riscos.
III. o planejamento deve prever como os resultados serão avaliados.
Está(ão) correta(s):
Escolha uma:
a. I, II e III.
b. I, apenas.
c. III, apenas.
d. II e III, apenas.
e. I e III, apenas.
São obrigações da organização relativas à avaliação de desempenho do SGSI, EXCETO:
Escolha uma:
a. tecer considerações acerca dos resultados da avaliação dos riscos e situação do plano de tratamento dos riscos.
b. analisar criticamente o sistema de gestão da segurança da informação da organização a intervalos planejados para assegurar a sua contínua adequação, pertinência e eficácia
c. determinar quando o monitoramento e a medição devem ser realizados.
d. conduzir auditorias externas a intervalos planejados para prover informações sobre o quanto o sistema de gestão da segurança da informação está em conformidade com esta Norma.
e. a definição dos critérios e o escopo da auditoria, para cada auditoria.
NBR ISO/IEC 27002:2013
“Convém que no mais alto nível a organização defina uma _____________________, que seja aprovada pela direção e estabeleça a abordagem da organização para gerenciar os objetivos de segurança da informação.”
A expressão que preenche corretamente a lacuna é:
Escolha uma:
a. declaração de aplicabilidade.
b. organização interna.
c. política de segurança da informação.
d. estrutura de controle.
e. classificação da informação.
NBR ISO/IEC 27002:2013
Respectivamente à segurança física de áreas seguras, é INCORRETO afirmar que:
Escolha uma:
a.
as normas para o trabalho em áreas seguras incluam o controle dos funcionários, fornecedores e partes externas que trabalham em tais áreas, cubram todas as atividades nestas áreas.
b.
todos os funcionários e partes externas tenham conhecimento da existência de áreas seguras ou das atividades nelas realizadas.
c.
as áreas seguras, não ocupadas, sejam fisicamente trancadas e periodicamente verificadas.
d.
não seja permitido o uso de máquinas fotográficas, gravadores de vídeo ou áudio ou de outros equipamentos de gravação, tais como câmeras em dispositivos móveis, salvo se for autorizado.
e.
seja evitado o trabalho não supervisionado em áreas seguras, tanto por motivos de segurança como para prevenir as atividades mal intencionadas.
Com relação às mídias removíveis, selecione a afirmativa correta. Convém que:
Escolha uma:
a. o conteúdo de qualquer meio magnético reutilizável seja destruído, caso venha a ser retirado da organização.
b. seja requerida a autorização para remoção de qualquer mídia da organização e mantido o registro dessa remoção como trilha de auditoria, quando necessário e prático.
c. sejam usadas, no caso em que a integridade ou confidencialidade dos dados sejam considerações importantes, cópias múltiplas de dados valiosos.
d. a transferência da informação contida na mídia seja monitorada, se houver uma necessidade do
negócio.
e. para mitigar o risco de degradar a mídia enquanto os dados armazenados ainda são necessários, as mídias removíveis sejam registradas.
Avalie as seguintes afirmações sobre a estrutura desta norma.
I. Ela contém 14 (quatorze) seções, as quais são apresentadas em ordem de importância.II. Cada seção principal contém um objetivo de controle, seguido de um ou mais controles que podem ser aplicados para se alcançar o objetivo de controle.
III. A relação dos controles encontra-se em ordem de prioridade.
IV. No total, a norma apresenta 35 objetivos de controle e 114 controles.
Está(ão) correta(s):
Escolha uma:
a. III e IV, apenas.
b. I, II, III e IV.
c. I e II, apenas.
d. II e IV, apenas.
e. I e IV, apenas.
São fontes de requisitos de segurança da informação, EXCETO:
Escolha uma:
a.
o arbítrio dos colaboradores da organização.
b.
os requisitos do negócio.
c.
leis, estatutos e cláusulas contratuais.
d.
o ambiente sociocultural.
e.
a avaliação de riscos.
NBR ISO/IEC 27002:2013
Convém, nos acordos estabelecidos com fornecedores, que os seguintes termos sejam considerados para inclusão, EXCETO:
Escolha uma:
a. uma lista explícita do pessoal da organização autorizado a acessar ou receber as informações do fornecedor ou as condições e procedimentos para autorização e remoção do pessoal da organização para acessar ou receber as informações do fornecedor.
b. direito de auditar os processos do fornecedor e os controles relacionados ao acordo.
c. requisitos regulamentares e legais, incluindo a proteção de dados, os direitos de propriedade intelectual e direitos autorais, e uma descrição sobre como isto será assegurado que os fornecedores cumprirão.
d. regras de uso aceitável da informação, incluindo o uso inaceitável, se necessário.
e. procedimentos e requisitos de gestão de incidentes (especialmente para notificação e colaboração
durante a correção de um incidente).
NBR ISO/IEC 27001:2013
Sobre a norma NBR ISO/IEC 27001:2013, pode-se afirmar que:
Escolha uma:
a. todas as etapas de planejamento encontram-se na seção 6 da referida norma.
b. ela determina que a uma declaração de aplicabilidade deve ser elaborada, especificando um plano para o tratamento dos riscos de segurança da informação.
c. o escopo do sistema de gestão da segurança da informação deve ser estabelecido antes dos respectivos limites e aplicabilidade.
d. ela considera que os riscos identificados são oportunidades de melhoria.
e. deixa claro que os recursos necessários para o estabelecimento, implementação, manutenção e melhoria contínua do sistema de gestão da segurança da informação são de natureza financeira.
NBR ISO/IEC 27002:2013
NÃO é um objetivo dos controles de acesso:
Escolha uma:
a.
limitar o acesso à informação e aos recursos de processamento da informação.
b.
assegurar o uso efetivo e adequado da criptografia para proteger a confidencialidade, autenticidade e/ou a integridade da informação.
c.
tornar os usuários responsáveis pela proteção das suas informações de autenticação.
d.
prevenir o acesso não autorizado aos sistemas e aplicações.
e.
assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas e serviços.
Leia este trecho relativo à segurança das operações.
“Atenção particular precisa ser dada a qualquer (I) ________________ que possua um ciclo de renovação longo ou custos alto, sendo responsabilidade dos (II) ___________________ monitorar a utilização dos recursos-chave dos sistemas. Convém que eles identifiquem as tendências de utilização, particularmente em relação (III) ____________________ ou às ferramentas de gestão de sistemas de informação.”
As palavras ou expressões que preenchem corretamente as lacunas são, respectivamente:
Escolha uma:
a. (I) recurso; (II) proprietários da informação; (III) às aplicações do negócio.
b. (I) ativo; (III) proprietários da informação; (III) aos recursos informatizados.
c.
(I) recurso; (II) gestores; (III) às aplicações do negócio.
d. (I) recurso; (II) gestores; (III) recursos protegidos.
e. (I) ativo; (II) custodiantes; (III) recursos protegidos.
NBR ISO/IEC 27002:2013
São diretrizes para a implementação de papéis e responsabilidades de segurança da informação, EXCETO:
Escolha uma:
a. Convém que a atribuição das responsabilidades pela segurança da informação seja feita em coformidade com as políticas de segurança da informação.
b. Convém que as responsabilidades pela proteção de cada ativo e pelo cumprimento de processos de segurança da informação específicos sejam claramente definidas.
c. Convém que as responsabilidades sejam complementadas, onde necessário, com orientações mais detalhadas para usuários específicos e riscos de conformidade da informação.
d. Convém que as responsabilidades pelas atividades do gerenciamento dos riscos de segurança da informação e, em particular, pela aceitação dos riscos residuais sejam definidas.
e. Convém que as responsabilidades locais para a proteção dos ativos e para realizar processos de segurança da informação específicos, sejam definidas.
NBR ISO/IEC 27002:2013
São objetivos da segurança nas comunicações:
Escolha uma:
a. garantir a proteção das informações em redes e dos recursos de processamento da informação que os apoiam e manter a segurança da informação transferida dentro da organização e com quaisquer entidades externas.
b. manter a segurança da informação transferida dentro da organização e com quaisquer entidades externas e garantir a operação segura e correta dos recursos de processamento da informação.
c. proteger contra a perda de dados e garantir a proteção das informações em redes e dos recursos de processamento da informação que os apoiam.
d. garantir a proteção das informações em redes e dos recursos de processamento da informação que os apoiem e assegurar a integridade dos sistemas operacionais.
e. manter a segurança da informação transferida dentro da organização e com quaisquer entidades externas e assegurar que as informações e os recursos de processamento da informação estão protegidos contra códigos maliciosos.
NBR ISO/IEC 27001:2013
NÃO é uma demonstração de liderança e comprometimento da alta direção:
Escolha uma:
a. assegurar que a política de segurança da informação e os objetivos de segurança da informaçao estão estabelecidos e são compatíveis com a direção estratégica da organização.
b. determinar a importância de uma gestão eficaz da gestão de riscos e da aderência aos requisitos do sistema de gestão da segurança da informação.
c. orientar e apoiar pessoas que contribuam para eficácia do sistema de gestão da segurança da informação.
d. apoiar outros papéis relevantes da gestão para demostrar como sua liderança se aplica às áreas sob sua responsabilidade.
e. garantir a integração dos requisitos do sistema de gestão da segurança da informação dentro dos processos da organização.
NBR ISO/IEC 27002:2013
Considere os grupos de controles a seguir:
I. Requisitos de segurança de sistemas de informação.
II. Gestão de vulnerabilidades técnicas.
III. Segurança em processos de desenvolvimento e de suporte.
IV. Dados para teste.
Fazem parte da seção de aquisição, desenvolvimento e manutenção de sistemas os grupos:
Escolha uma:
a.
I, II, III e IV.
b.
I, II e III, apenas.
c.
II, III e IV, apenas.
d.
I, III e IV, apenas.
e.
I, II e IV, apenas.