GESTÃO DE SEGURANÇA DA INFORMAÇÃO - Aula 7

A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é. O serviço de iluminação. O plano de continuidade do negócio. A base de dados e arquivos. O equipamento de comunicação. A reputação da organização.

A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança: Segurança Física e do Ambiente. Segurança dos Ativos. Segurança em Recursos Humanos. Controle de Acesso. Gerenciamento das Operações e Comunicações.

Quando devem ser executadas as ações corretivas?. Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de forma a evitar a sua repetição. Devem ser executadas somente para eliminar o resultado da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição. Devem ser executadas para garantir as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição. Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição. Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a evitar a sua repetição.

Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação. Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. Os riscos residuais são conhecidos antes da comunicação do risco. Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.

A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio: Determina que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. A orientação da organização para assegurar que funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. Uma orientação de como a organização deve proceder para estabelecer a política de segurança da informação. É o conjunto de princípios e objetivos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações. São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço tem que atender.

Dada as assertivas, marque a opção correta: I- O risco tem duas dimensões: (i) probabilidade de ocorrência e (ii) impacto sobre o projeto. II- Dificilmente as chances de um risco ser totalmente eliminado é real. III- A gestão de riscos só visa o monitoramento para detecção de ameaças. Apenas II correta. Apenas III correta. Apenas II e III corretas. Apenas I e II corretas. Apenas I correta.

Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ?. ISO/IEC 27003. ISO/IEC 27002. ISO/IEC 27004. ISO/IEC 27001. ISO/IEC 27005.

Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares?. Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.

A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos de processamento de dados e aos processos de negócios com base nos requisitos de negócio e na segurança da informação levando em consideração as políticas para autorização e disseminação da informação. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança?. Gerenciamento das Operações e Comunicações. Segurança em Recursos Humanos. Segurança Física e do Ambiente. Desenvolvimento e Manutenção de Sistemas. Controle de Acesso.

Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três princípios básicos: Integridade, prevenção e proteção. Prevenção, proteção e reação. Integridade, confidencialidade e disponibilidade. Autenticidade, originalidade e abrangência. Flexibilidade, agilidade e conformidade.

A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002 tem como objetivo apresentar recomendações para: Assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil. Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. Não permitir a interrupção das atividades do negócio, proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil, se for o caso. Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação e detectar e resolver incidentes de segurança da informação em tempo hábil. Resolver de forma definitiva os problemas causados por incidentes de segurança da informação estabelecendo e executando as ações necessárias para minimizar efeitos causados aos dados dos sistemas de informação e comunicação.

De acordo com as normas ABNT NBR 27001, 27002 e 27005, o documento da política de segurança da informação deve: conter o registro dos incidentes de segurança da organização. revelar informações sensíveis da organização. ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a organização. apresentar uma declaração de aplicabilidade dos controles de segurança da informação, além de definir como será o processo de gestão de riscos. conter uma declaração de comprometimento elaborada por todos aqueles que atuam na organização, inclusive pela direção.

Segundo a norma ABNT NBR 27002 é essencial que a organização identifique os requisitos de segurança da informação. Assinale a opção correta. A segurança da informação é alcançada por meio da adoção de um conjunto de tecnologias adequadas. Os requisitos de segurança da informação de uma organização são obtidos por três fontes principais, sendo a análise de riscos uma delas. Visando reduzir os riscos a um nível aceitável, a seleção de controles apropriados para implementação da segurança da informação é efetuada imediatamente após a identificação dos fatores de risco. A cultura organizacional não influencia a adoção de abordagem e estrutura para implementação, monitoramento e melhoria da segurança da informação. No escopo legal da segurança da informação, há três controles essenciais para uma organização: o documento da política de segurança da informação, a atribuição de responsabilidades pela segurança da informação e o processamento correto das aplicações.

Os processos que envolvem a gestão de risco são, exceto: Planejar o gerenciamento de risco. Realizar a análise qualitativa do risco. Realizar a análise quantitativa do risco. Identificar os riscos. Gerenciar as respostas aos riscos.

Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma: Análise/revisão sistemática dos ativos de segurança da informação. Análise/avaliação sistemática dos incidentes de segurança da informação. Análise/avaliação sistemática dos riscos de segurança da informação. Análise/orientação sistemática dos cenários de segurança da informação. Identificação/avaliação sistemática dos eventos de segurança da informação.

A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de Segurança?. Segurança Física e do Ambiente. Gestão da Continuidade do Negócio. Gestão de Incidentes de Segurança da Informação. Controle de Acesso. Gerenciamento das Operações e Comunicações.

Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais: Requisitos de negócio, Análise de risco, Requisitos legais. Análise de vulnerabilidades, requisitos legais e classificação da informação. Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais. Classificação da informação, requisitos de negócio e análise de risco. Análise de risco, análise do impacto de negócio (BIA), classificação da informação.

Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar: Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os quais toda a família está baseada e se integra. A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um risco. Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos. Um incidente de segurança da informação é indicado por um evento de segurança da informação esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais de segurança e uma seção introdutória que aborda a questões de contingência. Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados exclusivamente por meio da classificação das informações.

Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas. 1) Comitê de segurança da informação. 2) Controle. 3) Funções de software e hardware. 4) Deve ser analisado criticamente. 5) Política. ( ) Controle. ( ) Firewall. ( ) estrutura organizacional. ( ) Permissão de acesso a um servidor. ( ) Ampla divulgação das normas de segurança da informação. A combinação correta entre as duas colunas é: 2-3-1-5-4. 1-2-4-3-5. 5-1-4-3-2. 4-3-5-2-1. 4-3-1-2-5.

A norma ISO 27002 estabelece um referencial para as organizações desenvolverem, implementarem avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Em relação a Análise de Risco utilizada por esta norma complete as lacunas: A partir da análise/avaliação de riscos levando-se em conta os objetivos e _________________ globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades. É realizada ainda uma estimativa de ocorrência das ____________ e do impacto potencial ao negócio. oportunidades, vulnerabilidades. determinações, ações. estratégias, ameaças. especulações, ameaças. oportunidades, ações.

Um Firewall pode ser definido como uma coleção de componentes, colocada entre duas redes, que coletivamente possua propriedades que: garantem que apenas o tráfego de fora para dentro da rede deve passar por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação. independentemente da política de segurança adotada, tem como objetivo principal impedir a entrada de vírus em um computador, via arquivos anexados a e-mails. garantem que todo o tráfego de dentro para fora da rede e vice-versa deve ser bloqueado, independentemente da política de segurança adotada. Todo firewall deve ser à prova de violação. garantem que todo o tráfego de dentro para fora da rede, e vice-versa, passe por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação. garantem que apenas o tráfego de dentro para fora da rede deve passar por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação.

Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada: implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais. implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI. implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI.

Para a implementação de uma regulamentação de monitoramento eletrônico, necessitamos atentar a alguns pontos, EXCETO: Os colaboradores poderão utilizar a internet corporativa para atividades lícitas em seu horário de descanso. Caso ocorra a divulgação de quaisquer informações confidenciais da empresa, estarão sujeitos às sanções cabíveis. Os colaboradores estão cientes que podem copiar ferramentas disponibilizados pela empresa para uso externo. Ciência por parte dos colaboradores acerca dos sistemas de monitoramento implantados. Colaboradores deverão estar cientes de que a empresa poderá a vir inspecionar todo o e qualquer arquivo trafegado na rede.

Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes?. Manuais. Relatório Estratégico. Procedimentos. Normas. Diretrizes.

Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança?. Confidencialidade. Auditoria. Integridade. Não-Repúdio. Autenticidade.

Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são definidas as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à sua gestão de acordo com a visão estratégica da alta direção?. Diretrizes. Relatório Estratégico. Procedimentos. Manuais. Normas.

Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta um conjunto típico destes documentos?. Manuais; Normas e Procedimentos. Manuais; Normas e Relatórios. Diretrizes; Manuais e Procedimentos. Diretrizes; Normas e Relatórios. Diretrizes; Normas e Procedimentos.

A gestão da continuidade do negócio está associada, a não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos. Analise: I. Registros importantes devem ser protegidos contra perda, destruição e falsificação, de acordo com os requisitos regulamentares, estatutários, contratuais e do negócio; II. Os planos de continuidade do negócio devem ser testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade; III. Deve ser desenvolvida e implementada uma política para o uso de controles criptográficos para a proteção da informação. IV. Devem ser identificados os eventos que podem causar interrupções aos processos de negócio, junto à probabilidade e impacto de tais interrupções e as conseqüências para a segurança de informação; Quanto aos controles relacionados à gestão da continuidade do negócio, marque a opção correta: I e III, somente. II e IV, somente. I, II e IV, somente. I e II, somente. I, II e III, somente.

Marque a alternativa que NÃO representa uma alternativa a mitigação de risco: Prevenção de risco. Suposição de risco. Limitação de risco. Transferência de risco. Aceitação de risco.