Baixe o app para aproveitar ainda mais
Prévia do material em texto
GESTÃO DE SEGURANÇA DA INFORMAÇÃO Lupa Calc. CCT0761_A7_202104015089_V1 Aluno: RAIMUNDO UBIRANI NOGUEIRA JUNIOR Matr.: 202104015089 Disc.: GEST. SEG. INFORMAÇ. 2021.2 EAD (GT) / EX Prezado (a) Aluno(a), Você fará agora seu TESTE DE CONHECIMENTO! Lembre-se que este exercício é opcional, mas não valerá ponto para sua avaliação. O mesmo será composto de questões de múltipla escolha. Após responde cada questão, você terá acesso ao gabarito comentado e/ou à explicação da mesma. Aproveite para se familiarizar com este modelo de questões que será usado na sua AV e AVS. 1. Os processos que envolvem a gestão de risco são, exceto: Realizar a análise quantitativa do risco Identificar os riscos Planejar o gerenciamento de risco Gerenciar as respostas aos riscos Realizar a análise qualitativa do risco 2. A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança: Segurança em Recursos Humanos. Segurança dos Ativos. Segurança Física e do Ambiente. Controle de Acesso. Gerenciamento das Operações e Comunicações. Gabarito Comentado 3. A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de Segurança? Gerenciamento das Operações e Comunicações Controle de Acesso Gestão da Continuidade do Negócio Gestão de Incidentes de Segurança da Informação Segurança Física e do Ambiente. 4. Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ? ISO/IEC 27002 ISO/IEC 27005 ISO/IEC 27004 ISO/IEC 27003 ISO/IEC 27001 Gabarito Comentado 5. Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação. A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. Os riscos residuais são conhecidos antes da comunicação do risco. Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. Gabarito Comentado 6. Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação. Os riscos residuais são conhecidos antes da comunicação do risco. Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. Gabarito Comentado 7. Marque a alternativa que NÃO representa uma alternativa a mitigação de risco: Prevenção de risco Suposição de risco Transferência de risco Limitação de risco Aceitação de risco 8. Sobre a segurança da informação no ambiente corporativo, leia as asserções a seguir: I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a real necessidade da mesma, pois, dessa forma, implantações de mecanismos de segurança não serão adotados, inadequadamente. II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança da informação, revisar os resultados e tomar as medidas necessárias, treinar e educar seus funcionários sobre o assunto. III. Antigamente a atenção dada à segurança da informação estava focada apenas nas pessoas. Atualmente, notamos que o desafio está na tecnologia. Após a leitura, analise a alternativas e assinale a correta. Somente as asserções II e III estão corretas Somente a asserção III está correta Somente a asserção II está correta Somente as asserções I e II estão corretas Somente as asserções I e III estão corretas Explicação: I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a real necessidade da mesma, pois, dessa forma, implantações de mecanismos de segurança não serão adotados, inadequadamente. II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança da informação, revisar os resultados e tomar as medidas necessárias, treinar e educar seus funcionários sobre o assunto. III. Antigamente a atenção dada à segurança da informação estava focada apenas na tecnologia. Atualmente, notamos que o desafio vai além desta amplitude e engloba, também, a construção de uma relação de confiabilidade com os clientes e parceiros da empresa. GESTÃO DE SEGURANÇA DA INFORMAÇÃO 7a aula Lupa Exercício: CCT0761_EX_A7_201803310804_V1 21/04/2020 Aluno(a): ULISSES VALENTE SILVEIRA 2021.2 EAD Disciplina: CCT0761 - GESTÃO DE SEGURANÇA DA INFORMAÇÃO 201803310804 1 Questão Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Respondido em 21/04/2020 09:20:10 2 Questão Segundo a norma ABNT NBR 27002 é essencial que a organização identifique os requisitos de segurança da informação. Assinale a opção correta. Visando reduzir os riscos a um nível aceitável, a seleção de controles apropriados para implementação da segurança da informação é efetuada imediatamente após a identificação dos fatores de risco. No escopo legal da segurança da informação, há três controles essenciais para uma organização: o documento da política de segurança da informação, a atribuição de responsabilidades pela segurança da informação e o processamento correto das aplicações. Os requisitos de segurança da informação de uma organização são obtidos por três fontes principais, sendo a análise de riscos uma delas. A segurança da informação é alcançada por meio da adoção de um conjunto de tecnologias adequadas. A cultura organizacional não influencia a adoção de abordagem e estrutura para implementação, monitoramento e melhoria da segurança da informação. Respondido em 21/04/2020 09:20:00 3 Questão Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação.Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. Os riscos residuais são conhecidos antes da comunicação do risco. Respondido em 21/04/2020 09:20:03 Gabarito Comentado 4 Questão A norma ISO 27002 estabelece um referencial para as organizações desenvolverem, implementarem avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Em relação a Análise de Risco utilizada por esta norma complete as lacunas: A partir da análise/avaliação de riscos levando-se em conta os objetivos e _________________ globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades. É realizada ainda uma estimativa de ocorrência das ____________ e do impacto potencial ao negócio. oportunidades, ações estratégias, ameaças oportunidades, vulnerabilidades determinações, ações especulações, ameaças Respondido em 21/04/2020 09:20:05 5 Questão A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança: Gerenciamento das Operações e Comunicações. Segurança dos Ativos. Segurança Física e do Ambiente. Segurança em Recursos Humanos. Controle de Acesso. Respondido em 21/04/2020 09:20:08 Gabarito Comentado 6 Questão Os processos que envolvem a gestão de risco são, exceto: Realizar a análise quantitativa do risco Planejar o gerenciamento de risco Identificar os riscos Realizar a análise qualitativa do risco Gerenciar as respostas aos riscos Respondido em 21/04/2020 09:20:11 7 Questão Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes? Relatório Estratégico. Procedimentos. Normas. Diretrizes. Manuais. Respondido em 21/04/2020 09:20:13 Gabarito Comentado 8 Questão A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é O equipamento de comunicação A reputação da organização O serviço de iluminação A base de dados e arquivos O plano de continuidade do negócio. INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO 7a aula Lupa Exercício: EEX0007_EX_A7_202003418889_V2 27/04/2020 Aluno(a): LILIANE BERNARDES DE LIMA 2021.2 EAD Disciplina: EEX0007 - INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO 202003418889 1 Questão Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança? Auditoria; Confidencialidade; Autenticidade; Não-Repúdio; Integridade; Respondido em 27/04/2020 17:43:00 Gabarito Comentado 2 Questão Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são definidas as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à sua gestão de acordo com a visão estratégica da alta direção? Procedimentos. Manuais. Normas. Relatório Estratégico. Diretrizes. Respondido em 27/04/2020 17:43:15 Gabarito Comentado 3 Questão Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar: Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os quais toda a família está baseada e se integra. A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um risco. Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos. Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais de segurança e uma seção introdutória que aborda a questões de contingência. Um incidente de segurança da informação é indicado por um evento de segurança da informação esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados exclusivamente por meio da classificação das informações. Respondido em 27/04/2020 17:44:13 4 Questão A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de Segurança? Gestão da Continuidade do Negócio Gerenciamento das Operações e Comunicações Controle de Acesso Gestão de Incidentes de Segurança da Informação Segurança Física e do Ambiente. Respondido em 27/04/2020 17:43:56 5 Questão A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002 tem como objetivo apresentar recomendações para: Resolver de forma definitiva os problemas causados por incidentes de segurança da informação estabelecendo e executando as ações necessárias para minimizar efeitos causados aos dados dos sistemas de informação e comunicação. Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação e detectar e resolver incidentes de segurança da informação em tempo hábil Não permitir a interrupção das atividades do negócio, proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil, se for o caso Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. Assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil Respondido em 27/04/2020 17:43:49 Explicação: O principal objetivo da ISO 27002 é estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Isso também inclui a seleção, a implementação e o gerenciamento de controles, levando em conta os ambientes de risco encontrados na empresa. 6 Questão O grande objetivo da norma NBR ISO/IEC 27002 é estabelecer diretrizes e princípiospara iniciar, implementar, manter e melhorar a gestão de segurança de informação em uma empresa. Analise as afirmativas abaixo: I-A norma NBR ISO/IEC 27002 deve ser aplicada a todos os tipos de organizações seja, por exemplo, empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos. II-A norma especifica os requisitos para implementação de controles de segurança adaptados as particularidades de cada organização. III-A norma NBR ISO/IEC 27002 poderá ser consultada por você como um guia prático, que o auxiliará a desenvolver os procedimentos de segurança da informação da empresa e as práticas mais eficazes de gestão de segurança. Assinale a opção que contenha apenas afirmações corretas: I, II e III Apenas I e II Apenas III Apenas I Apenas I e III Respondido em 27/04/2020 17:43:57 Explicação: Todas estão corretas 7 Questão A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio: Determina que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. A orientação da organização para assegurar que funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. É o conjunto de princípios e objetivos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações. Uma orientação de como a organização deve proceder para estabelecer a política de segurança da informação. São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço tem que atender. Respondido em 27/04/2020 17:43:53 Gabarito Comentado 8 Questão Sobre NBR ISO/IEC 27002 analise as opções abaixo: I- O grande objetivo da norma é estabelecer diretrizes e princípios para iniciar, implementar, manter e melhorar a gestão de segurança de informação em uma empresa. II-A norma NBR ISO/IEC 27002 não deve ser aplicada a todos os tipos de organizações. III-A norma NBR ISO/IEC 27002 poderá ser consultada por você como um guia prático, que o auxiliará a desenvolver os procedimentos de segurança da informação da empresa e as práticas mais eficazes de gestão de segurança. Assinale a opção que contenha apenas afirmações corretas: I, II e III Apenas I Apenas II Apenas I e III Apenas III Respondido em 27/04/2020 17:43:48 Explicação: O certo seria: A norma NBR ISO/IEC 27002 deve ser aplicada a todos os tipos de organizações seja, por exemplo, empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO 7a aula Lupa Exercício: EEX0007_EX_A7_202002183349_V1 17/05/2020 Aluno(a): RICARDO CORREA LEMOS 2021.2 EAD Disciplina: EEX0007 - INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO 202002183349 1 Questão Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ? ISO/IEC 27002 ISO/IEC 27005 ISO/IEC 27004 ISO/IEC 27003 ISO/IEC 27001 Respondido em 17/05/2020 16:50:14 Gabarito Comentado 2 Questão O grande objetivo da norma é estabelecer diretrizes e princípios para iniciar, implementar, manter e melhorar a gestão de segurança de informação em uma empresa.A norma deve ser aplicada a todos os tipos de organizações seja, por exemplo, empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos. A norma especifica os requisitos para implementação de controles de segurança adaptados as particularidades de cada organização. Essa descrição está relacionada com qual norma? NBR ISO/IEC 28002 NBR ISO/IEC 27002 NBR ISO/IEC 27052 NBR ISO/IEC 7002 NBR ISO/IEC 27012 Respondido em 17/05/2020 16:53:38 Explicação: NBR ISO/IEC 27002 3 Questão Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação. Os riscos residuais são conhecidos antes da comunicação do risco. A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. Respondido em 17/05/2020 17:00:54 Gabarito Comentado 4 Questão A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio: É o conjunto de princípios e objetivos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações. São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço tem que atender. A orientação da organização para assegurar que funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. Uma orientação de como a organização deve proceder para estabelecer a política de segurança da informação. Determina que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Respondido em 17/05/2020 17:01:36 Gabarito Comentado 5 Questão Sobre a segurança da informação no ambiente corporativo, leia as asserções a seguir: I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a real necessidade da mesma, pois, dessa forma, implantações de mecanismos de segurança não serão adotados, inadequadamente. II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança da informação, revisar os resultados e tomar as medidas necessárias, treinar e educar seus funcionários sobre o assunto. III. Antigamente a atenção dada à segurança da informação estava focada apenas nas pessoas. Atualmente, notamos que o desafio está na tecnologia. Após a leitura, analise a alternativas e assinale a correta. Somente a asserção III está correta Somente as asserções I e III estão corretas Somente as asserções I e II estão corretas Somente a asserção II está correta Somente as asserções II e III estão corretas Respondido em 17/05/2020 17:03:11 Explicação: I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a real necessidade da mesma, pois, dessa forma, implantações de mecanismos de segurança não serão adotados, inadequadamente. II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança da informação, revisaros resultados e tomar as medidas necessárias, treinar e educar seus funcionários sobre o assunto. III. Antigamente a atenção dada à segurança da informação estava focada apenas na tecnologia. Atualmente, notamos que o desafio vai além desta amplitude e engloba, também, a construção de uma relação de confiabilidade com os clientes e parceiros da empresa. 6 Questão A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é A reputação da organização O plano de continuidade do negócio. A base de dados e arquivos O equipamento de comunicação O serviço de iluminação Respondido em 17/05/2020 17:03:42 7 Questão Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três princípios básicos: Autenticidade, originalidade e abrangência Flexibilidade, agilidade e conformidade Prevenção, proteção e reação Integridade, confidencialidade e disponibilidade Integridade, prevenção e proteção Respondido em 17/05/2020 17:04:25 8 Questão Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar: Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os quais toda a família está baseada e se integra. A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um risco. Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos. Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados exclusivamente por meio da classificação das informações. Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais de segurança e uma seção introdutória que aborda a questões de contingência. Um incidente de segurança da informação é indicado por um evento de segurança da informação esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO 7a aula Lupa Exercício: EEX0007_EX_A7_202003418889_V1 27/04/2020 Aluno(a): LILIANE BERNARDES DE LIMA 2021.2 EAD Disciplina: EEX0007 - INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO 202003418889 1 Questão A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é: O serviço de iluminação A reputação da organização O equipamento de comunicação A base de dados e arquivos O plano de continuidade do negócio. Respondido em 27/04/2020 17:39:53 2 Questão Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada: implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI. implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI. implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais. Respondido em 27/04/2020 17:40:04 Gabarito Comentado 3 Questão Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação. A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. Os riscos residuais são conhecidos antes da comunicação do risco. Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. Respondido em 27/04/2020 17:40:32 Gabarito Comentado 4 Questão Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três princípios básicos: Autenticidade, originalidade e abrangência Integridade, prevenção e proteção Prevenção, proteção e reação Integridade, confidencialidade e disponibilidade Flexibilidade, agilidade e conformidade Respondido em 27/04/2020 17:40:27 5 Questão Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas. 1) Comitê de segurança da informação. 2) Controle. 3) Funções de software e hardware. 4) Deve ser analisado criticamente. 5) Política. ( ) Controle. ( ) Firewall. ( ) estrutura organizacional. ( ) Permissão de acesso a um servidor. ( ) Ampla divulgação das normas de segurança da informação. A combinação correta entre as duas colunas é: 1-2-4-3-5. 4-3-5-2-1. 2-3-1-5-4. 4-3-1-2-5. 5-1-4-3-2. Respondido em 27/04/2020 17:40:52 Gabarito Comentado 6 Questão Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes? Manuais. Diretrizes. Normas. Relatório Estratégico. Procedimentos. Respondido em 27/04/2020 17:42:02 Gabarito Comentado 7 Questão Quando devem ser executadas as ações corretivas? Devem ser executadas para garantir as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas somente para eliminar o resultado da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição Respondido em 27/04/2020 17:41:58 Gabarito Comentado 8 Questão Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da políticageral. Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta um conjunto típico destes documentos? Manuais; Normas e Procedimentos Diretrizes; Normas e Procedimentos Diretrizes; Manuais e Procedimentos Diretrizes; Normas e Relatórios Manuais; Normas e Relatórios INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO 7a aula Lupa Exercício: EEX0007_EX_A7_202002183349_V1 17/05/2020 Aluno(a): RICARDO CORREA LEMOS 2021.2 EAD Disciplina: EEX0007 - INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO 202002183349 1 Questão Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ? ISO/IEC 27002 ISO/IEC 27005 ISO/IEC 27004 ISO/IEC 27003 ISO/IEC 27001 Respondido em 17/05/2020 16:50:14 Gabarito Comentado 2 Questão O grande objetivo da norma é estabelecer diretrizes e princípios para iniciar, implementar, manter e melhorar a gestão de segurança de informação em uma empresa.A norma deve ser aplicada a todos os tipos de organizações seja, por exemplo, empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos. A norma especifica os requisitos para implementação de controles de segurança adaptados as particularidades de cada organização. Essa descrição está relacionada com qual norma? NBR ISO/IEC 28002 NBR ISO/IEC 27002 NBR ISO/IEC 27052 NBR ISO/IEC 7002 NBR ISO/IEC 27012 Respondido em 17/05/2020 16:53:38 Explicação: NBR ISO/IEC 27002 3 Questão Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação. Os riscos residuais são conhecidos antes da comunicação do risco. A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. Respondido em 17/05/2020 17:00:54 Gabarito Comentado 4 Questão A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio: É o conjunto de princípios e objetivos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações. São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço tem que atender. A orientação da organização para assegurar que funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. Uma orientação de como a organização deve proceder para estabelecer a política de segurança da informação. Determina que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Respondido em 17/05/2020 17:01:36 Gabarito Comentado 5 Questão Sobre a segurança da informação no ambiente corporativo, leia as asserções a seguir: I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a real necessidade da mesma, pois, dessa forma, implantações de mecanismos de segurança não serão adotados, inadequadamente. II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança da informação, revisar os resultados e tomar as medidas necessárias, treinar e educar seus funcionários sobre o assunto. III. Antigamente a atenção dada à segurança da informação estava focada apenas nas pessoas. Atualmente, notamos que o desafio está na tecnologia. Após a leitura, analise a alternativas e assinale a correta. Somente a asserção III está correta Somente as asserções I e III estão corretas Somente as asserções I e II estão corretas Somente a asserção II está correta Somente as asserções II e III estão corretas Respondido em 17/05/2020 17:03:11 Explicação: I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a real necessidade da mesma, pois, dessa forma, implantações de mecanismos de segurança não serão adotados, inadequadamente. II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança da informação, revisar os resultados e tomar as medidas necessárias, treinar e educar seus funcionários sobre o assunto. III. Antigamente a atenção dada à segurança da informação estava focada apenas na tecnologia. Atualmente, notamos que o desafio vai além desta amplitude e engloba, também, a construção de uma relação de confiabilidade com os clientes e parceiros da empresa. 6 Questão A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é A reputação da organização O plano de continuidade do negócio. A base de dados e arquivos O equipamento de comunicação O serviço de iluminação Respondido em 17/05/2020 17:03:42 7 Questão Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três princípios básicos: Autenticidade, originalidade e abrangência Flexibilidade, agilidade e conformidade Prevenção, proteção e reação Integridade, confidencialidade e disponibilidade Integridade, prevenção e proteção Respondido em 17/05/2020 17:04:25 8 Questão Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar: Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os quais toda a família está baseada e se integra. A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um risco. Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos. Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados exclusivamente por meio da classificação das informações. Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais de segurança e uma seção introdutória que aborda a questões de contingência. Um incidente de segurança da informação é indicado por um evento de segurança da informação esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. Respondido em 17/05/2020 17:04:28 GESTÃO DE SEGURANÇA DA INFORMAÇÃO7a aula Lupa Exercício: CCT0761_EX_A7_201904088911_V1 08/03/2021 Aluno(a): MILTON ANGELO DE PAULA 2021.2 EAD Disciplina: CCT0761 - GESTÃO DE SEGURANÇA DA INFORMAÇÃO 201904088911 1 Questão Marque a alternativa que NÃO representa uma alternativa a mitigação de risco: Suposição de risco Limitação de risco Aceitação de risco Transferência de risco Prevenção de risco Respondido em 08/03/2021 09:34:35 2 Questão Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes? Normas. Procedimentos. Manuais. Relatório Estratégico. Diretrizes. Respondido em 08/03/2021 09:34:39 Gabarito Comentado 3 Questão A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio: Uma orientação de como a organização deve proceder para estabelecer a política de segurança da informação. É o conjunto de princípios e objetivos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações. Determina que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. A orientação da organização para assegurar que funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço tem que atender. Respondido em 08/03/2021 09:34:44 Gabarito Comentado 4 Questão A norma ISO 27002 estabelece um referencial para as organizações desenvolverem, implementarem avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Em relação a Análise de Risco utilizada por esta norma complete as lacunas: A partir da análise/avaliação de riscos levando-se em conta os objetivos e _________________ globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades. É realizada ainda uma estimativa de ocorrência das ____________ e do impacto potencial ao negócio. oportunidades, ações especulações, ameaças oportunidades, vulnerabilidades estratégias, ameaças determinações, ações Respondido em 08/03/2021 09:34:48 5 Questão A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de Segurança? Gestão de Incidentes de Segurança da Informação Gestão da Continuidade do Negócio Controle de Acesso Gerenciamento das Operações e Comunicações Segurança Física e do Ambiente. Respondido em 08/03/2021 09:34:53 6 Questão A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos de processamento de dados e aos processos de negócios com base nos requisitos de negócio e na segurança da informação levando em consideração as políticas para autorização e disseminação da informação. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança? Desenvolvimento e Manutenção de Sistemas Segurança Física e do Ambiente Controle de Acesso Gerenciamento das Operações e Comunicações Segurança em Recursos Humanos Respondido em 08/03/2021 09:34:55 7 Questão Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são definidas as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à sua gestão de acordo com a visão estratégica da alta direção? Diretrizes. Manuais. Normas. Relatório Estratégico. Procedimentos. Respondido em 08/03/2021 09:35:00 Gabarito Comentado 8 Questão Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ? ISO/IEC 27001 ISO/IEC 27004 ISO/IEC 27005 ISO/IEC 27002 ISO/IEC 27003 INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO 7a aula Lupa Exercício: EEX0007_EX_A7_202002183349_V1 17/05/2020 Aluno(a): RICARDO CORREA LEMOS 2021.2 EAD Disciplina: EEX0007 - INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO 202002183349 1 Questão Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ? ISO/IEC 27002 ISO/IEC 27005 ISO/IEC 27004 ISO/IEC 27003 ISO/IEC 27001 Respondido em 17/05/2020 16:50:14 Gabarito Comentado 2 Questão O grande objetivo da norma é estabelecer diretrizes e princípios para iniciar, implementar, manter e melhorar a gestão de segurança de informação em uma empresa.A norma deve ser aplicada a todos os tipos de organizações seja, por exemplo, empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos. A norma especifica os requisitos para implementação de controles de segurança adaptados as particularidades de cada organização. Essa descrição está relacionada com qual norma? NBR ISO/IEC 28002 NBR ISO/IEC 27002 NBR ISO/IEC 27052 NBR ISO/IEC 7002 NBR ISO/IEC 27012 Respondido em 17/05/2020 16:53:38 Explicação: NBR ISO/IEC 27002 3 Questão Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação. Os riscos residuais são conhecidos antes da comunicação do risco. A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. Respondido em 17/05/2020 17:00:54 Gabarito Comentado 4 Questão A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio: É o conjunto de princípios e objetivos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações. São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço tem que atender. Aorientação da organização para assegurar que funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. Uma orientação de como a organização deve proceder para estabelecer a política de segurança da informação. Determina que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Respondido em 17/05/2020 17:01:36 Gabarito Comentado 5 Questão Sobre a segurança da informação no ambiente corporativo, leia as asserções a seguir: I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a real necessidade da mesma, pois, dessa forma, implantações de mecanismos de segurança não serão adotados, inadequadamente. II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança da informação, revisar os resultados e tomar as medidas necessárias, treinar e educar seus funcionários sobre o assunto. III. Antigamente a atenção dada à segurança da informação estava focada apenas nas pessoas. Atualmente, notamos que o desafio está na tecnologia. Após a leitura, analise a alternativas e assinale a correta. Somente a asserção III está correta Somente as asserções I e III estão corretas Somente as asserções I e II estão corretas Somente a asserção II está correta Somente as asserções II e III estão corretas Respondido em 17/05/2020 17:03:11 Explicação: I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a real necessidade da mesma, pois, dessa forma, implantações de mecanismos de segurança não serão adotados, inadequadamente. II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança da informação, revisar os resultados e tomar as medidas necessárias, treinar e educar seus funcionários sobre o assunto. III. Antigamente a atenção dada à segurança da informação estava focada apenas na tecnologia. Atualmente, notamos que o desafio vai além desta amplitude e engloba, também, a construção de uma relação de confiabilidade com os clientes e parceiros da empresa. 6 Questão A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é A reputação da organização O plano de continuidade do negócio. A base de dados e arquivos O equipamento de comunicação O serviço de iluminação Respondido em 17/05/2020 17:03:42 7 Questão Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três princípios básicos: Autenticidade, originalidade e abrangência Flexibilidade, agilidade e conformidade Prevenção, proteção e reação Integridade, confidencialidade e disponibilidade Integridade, prevenção e proteção Respondido em 17/05/2020 17:04:25 8 Questão Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar: Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os quais toda a família está baseada e se integra. A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um risco. Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos. Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados exclusivamente por meio da classificação das informações. Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais de segurança e uma seção introdutória que aborda a questões de contingência. Um incidente de segurança da informação é indicado por um evento de segurança da informação esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
Compartilhar