Aula 07 - SEGURANÇA DA INFORMAÇÃO SEGUNDO A NBR ISO IEC

Prévia do material em texto

1.
4-3-1-2-5.
4-3-5-2-1.
2-3-1-5-4.
1-2-4-3-5.
5-1-4-3-2.
2.
Aceitação de risco
Limitação de risco
Suposição de risco
Prevenção de risco
Transferência de risco
3.
apresentar uma declaração de aplicabilidade dos controles de segurança da informação, além de definir como será o 
processo de gestão de riscos.
conter o registro dos incidentes de segurança da organização.
ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a organização.
revelar informações sensíveis da organização.
conter uma declaração de comprometimento elaborada por todos aqueles que atuam na organização, inclusive pela direção.
4.
O plano de continuidade do negócio.
O serviço de iluminação
O equipamento de comunicação
A reputação da organização
A base de dados e arquivos
5.
Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a evitar a sua repetição
Devem ser executadas para garantir as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua 
repetição
Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua 
repetição
Devem ser executadas somente para eliminar o resultado da não-conformidade com os requisitos do SGSI de forma a evitar 
Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas.
1) Comitê de segurança da informação.
2) Controle.
3) Funções de software e hardware.
4) Deve ser analisado criticamente.
5) Política.
( ) Controle.
( ) Firewall.
( ) estrutura organizacional.
( ) Permissão de acesso a um servidor.
( ) Ampla divulgação das normas de segurança da informação.
A combinação correta entre as duas colunas é:
Marque a alternativa que NÃO representa uma alternativa a mitigação de risco:
De acordo com as normas ABNT NBR 27001, 27002 e 27005, o documento da política de segurança da 
informação deve:
A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da 
informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é 
a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, 
e de acordo com a Norma, um exemplo de ativo do tipo intangível é
Quando devem ser executadas as ações corretivas?
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
a sua repetição
Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de forma a evitar a sua repetição
6.
Gestão da Continuidade do Negócio
Controle de Acesso
Gestão de Incidentes de Segurança da Informação
Gerenciamento das Operações e Comunicações
Segurança Física e do Ambiente.
7.
Prevenção, proteção e reação
Flexibilidade, agilidade e conformidade
Integridade, confidencialidade e disponibilidade
Integridade, prevenção e proteção
Autenticidade, originalidade e abrangência
8.
Não-Repúdio;
Autenticidade;
Auditoria;
Confidencialidade;
Integridade;
1.
Análise/avaliação sistemática dos riscos de segurança da informação
Análise/revisão sistemática dos ativos de segurança da informação
Análise/orientação sistemática dos cenários de segurança da informação
Identificação/avaliação sistemática dos eventos de segurança da informação
Análise/avaliação sistemática dos incidentes de segurança da informação
2.
Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais
Análise de vulnerabilidades, requisitos legais e classificação da informação
Classificação da informação, requisitos de negócio e análise de risco
Requisitos de negócio, Análise de risco, Requisitos legais
Análise de risco, análise do impacto de negócio (BIA), classificação da informação
A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades 
do negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e 
assegurar a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a 
que tipo de ação de Segurança?
Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de 
informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os 
danos e maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser 
caracterizada por três princípios básicos:
Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua 
senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade 
de segurança?
Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma:
Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da informação, através 
de três fontes principais:
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
3.
I, II e III
Apenas I e II
Apenas I
Apenas III
Apenas I e III
 
4.
Somente as asserções I e III estão corretas
Somente as asserções II e III estão corretas
Somente a asserção II está correta
Somente a asserção III está correta
Somente as asserções I e II estão corretas
O grande objetivo da norma NBR ISO/IEC 27002  é estabelecer diretrizes e princípios para iniciar, 
implementar, manter e melhorar a gestão de segurança de informação em uma empresa. Analise as 
afirmativas abaixo:
I-A norma NBR ISO/IEC 27002 deve ser aplicada a todos os tipos de organizações seja, por exemplo, 
empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos.
II-A norma especifica os requisitos para implementação de controles de segurança adaptados as 
particularidades de cada organização.
III-A norma NBR ISO/IEC 27002 poderá ser consultada por você como um guia prático, que o auxiliará a 
desenvolver os procedimentos de segurança da informação da empresa e as práticas mais eficazes de 
gestão de segurança.
 
Assinale a opção que contenha apenas afirmações corretas:
Sobre a segurança da informação no ambiente corporativo, leia as asserções a seguir:
I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, 
qual a real necessidade da mesma, pois, dessa forma, implantações de mecanismos de segurança não 
serão adotados, inadequadamente.
II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre 
segurança da informação, revisar os resultados e tomar as medidas necessárias, treinar e educar seus 
funcionários sobre o assunto.
III. Antigamente a atenção dada à segurança da informação estava focada apenas nas pessoas. 
Atualmente, notamos que o desafio está na tecnologia.
Após a leitura, analise a alternativas e assinale a correta.
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
javascript:duvidas('3119571','7153','4','5679486','4');
5.
Realizar a análise quantitativa do risco
Identificar os riscos
Planejar o gerenciamento de risco
Realizar a análise qualitativa do risco
Gerenciar as respostas aos riscos
6.
Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR 
ISO/IEC 27001.
Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 
27001.
Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001.
Para determinar se os objetivosde riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001.
7.
Um incidente de segurança da informação é indicado por um evento de segurança da informação esperado, que tenha uma 
grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais de segurança e 
uma seção introdutória que aborda a questões de contingência.
Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos 
identificados exclusivamente por meio da classificação das informações.
Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um Sistema de Gestão de 
Segurança da Informação (SGSI), proporcionando os fundamentos sobre os quais toda a família está baseada e se integra.
A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um risco. Inclui a análise, o 
tratamento e a comunicação de riscos e
8.
NBR ISO/IEC 27052
NBR ISO/IEC 27002
NBR ISO/IEC 7002
NBR ISO/IEC 28002
NBR ISO/IEC 27012
1.
ISO/IEC 27001
ISO/IEC 27005
ISO/IEC 27003
ISO/IEC 27004
Os processos que envolvem a gestão de risco são, exceto:
Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares?
Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar:
O grande objetivo da norma é estabelecer diretrizes e princípios para iniciar, implementar, manter e 
melhorar a gestão de segurança de informação em uma empresa.A norma deve ser aplicada a todos os 
tipos de organizações seja, por exemplo, empreendimentos comerciais, agências governamentais ou 
mesmo organizações sem fins lucrativos. A norma especifica os requisitos para implementação de controles
de segurança adaptados as particularidades de cada organização.
Essa descrição está relacionada com qual norma?
Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ?
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
ISO/IEC 27002
2.
Gerenciamento das Operações e Comunicações
Segurança em Recursos Humanos
Segurança Física e do Ambiente
Controle de Acesso
Desenvolvimento e Manutenção de Sistemas
3.
Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR 
ISO/IEC 27001.
Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 
27001.
Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001.
Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001.
4.
Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo.
A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.
Os riscos residuais são conhecidos antes da comunicação do risco.
Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de 
tratamento do risco pelos gestores da organização.
Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.
5.
Apenas II
Apenas I
Apenas  I e III
I, II e III
Apenas III
6.
A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos de processamento de 
dados e aos processos de negócios com base nos requisitos de negócio e na segurança da informação levando em consideração 
as políticas para autorização e disseminação da informação. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo 
de ação de Segurança?
Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares?
Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação.
Sobre NBR ISO/IEC 27002 analise as opções abaixo:
I- O grande objetivo da norma é estabelecer diretrizes e princípios para iniciar, implementar, manter e 
melhorar a gestão de segurança de informação em uma empresa.
II-A norma NBR ISO/IEC 27002  não deve ser aplicada a todos os tipos de organizações.
III-A norma NBR ISO/IEC 27002 poderá ser consultada por você como um guia prático, que o auxiliará a 
desenvolver os procedimentos de segurança da informação da empresa e as práticas mais eficazes de 
gestão de segurança.
Assinale a opção que contenha apenas afirmações corretas:
A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e interferências com 
as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de 
Segurança:
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
Segurança dos Ativos.
Gerenciamento das Operações e Comunicações.
Controle de Acesso.
Segurança em Recursos Humanos.
Segurança Física e do Ambiente.
7.
Não permitir a interrupção das atividades do negócio, proteger os processos críticos contra efeitos de falhas ou desastres 
significativos e assegurar a sua retomada em tempo hábil, se for o caso
Assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de informação sejam 
comunicados, permitindo a tomada de ação corretiva em tempo hábil
Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação e detectar e 
resolver incidentes de segurança da informação em tempo hábil
Resolver de forma definitiva os problemas causados por incidentes de segurança da informação estabelecendo e 
executando as ações necessárias para minimizar efeitos causados aos dados dos sistemas de informação e comunicação.
8.
implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas 
de maior porte reconhecidas no mercado.
implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos 
funcionários e padrões comerciais.
implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de 
TI.
implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de 
segurança reconhecidas no mercado.
implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança 
dos Gerentes de TI.
A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002 tem como objetivo apresentar 
recomendações para:
Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada:
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#