De acordo com a norma NBR/ISO 27002, protegem as informações da organização e informam aos signatários das suas responsabilidades, para proteger, usar e divulgar a informação de maneira responsável e autorizada, os(as)
Com o objetivo de "prevenir a ocorrência de erros, perdas, modificação não autorizada ou mau uso de informações em aplicações", a norma NBR/ISO 27002 recomenda os controles apresentados a seguir, EXCETO:
A norma NBR/ISO 27002 recomenda que os requisitos para controles de segurança para novos sistemas de informação ou melhorias em sistemas existentes sejam especificados
Com relação à ISO 27002, assinale a opção correta.
Em relação às orientações da norma ISO 27002 quanto à criptografia, assinale a opção correta.
Para a NBR/ISO 27002:2005, convém que a análise crítica da política de segurança da informação leve em consideração os resultados da análise crítica pela direção. Convém ainda que as saídas da análise crítica pela direção incluam quaisquer decisões e ações relacionadas às melhorias:
I - do enfoque da organização para gerenciar a segurança da informação e seus processos.
II - dos controles e dos objetivos de controles.
III - na alocação de recursos e/ou de responsabilidades.
Pela norma, deve(m) ser considerada(s) a(s) melhoria(s)
Durante um treinamento sobre a NBR/ISO 27002:2005, um palestrante fez as afirmativas, a respeito das orientações descritas na norma, apresentadas a seguir.
I - A Norma define uma série de indicadores chaves de desempenho, relacionados à segurança, que devem ser avaliados e utilizados para melhoria dos processos.
II - Convém que, adicionalmente à notificação de eventos de segurança da informação e fragilidades, o monitoramento de sistemas, alertas e vulnerabilidades seja utilizado para a detecção de incidentes de segurança da informação.
III - Convém que os usuários sejam alertados para usar diferentes senhas de qualidade para cada um dos serviços, caso necessitem acessar múltiplos serviços, sistemas ou plataformas, e sejam requeridos para manter separadamente múltiplas senhas, já que o usuário estará assegurado de que um razoável nível de proteção foi estabelecido para o armazenamento da senha em cada serviço, sistema ou plataforma.
Está(ão) correta(s) a(s) afirmativas(s)
A respeito das normas de segurança da informação, julgue os
itens subseqüentes.
A norma ISO/IEC 17799 está voltada à criação de um Sistema de Gestão da Segurança da Informação mas seu conteúdo não é mais válido, pois foi substituída recentemente pela nova norma 27002.
Um órgão público responsável pelo controle externo do
Poder Executivo de uma unidade da Federação desenvolveu um
conjunto de processos de auditoria de conformidade na gestão da
segurança da informação. As organizações para as quais o órgão
presta serviço implementaram sistemas de gestão da segurança da
informação, por força de normas, em aderência aos modelos
desenvolvidos pela ABNT e ISO/IEC, especialmente os
prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez
que várias organizações a serem auditadas já passaram cerca de
dois anos implementando seus sistemas de gestão, um
questionário de avaliação preliminar foi aplicado pelo órgão de
controle externo nas organizações clientes. Diferentes controles
do sistema de segurança da informação foram avaliados pelos
respondentes, tanto os de natureza física e lógica quanto os
organizacionais. A partir do recebimento dos resultados do
questionário preliminar, os auditores efetuaram uma visita à
organização e produziram diversos julgamentos acerca da
possível adequação dos controles implementados aos modelos
das normas mencionadas.
Tendo como referência as informações contidas na situação
hipotética apresentada acima, julgue os itens a seguir, a respeito
do julgamento realizado pelos auditores.
Se a análise do plano de tratamento de riscos de uma das organizações, no escopo de seu centro de dados, revelou que, para a eliminação de todos os riscos identificados no escopo, foi adotada a redução por meio de controles, é correto afirmar que tal abordagem está coerente com a prática do gerenciamento de riscos de segurança.
Um órgão público responsável pelo controle externo do
Poder Executivo de uma unidade da Federação desenvolveu um
conjunto de processos de auditoria de conformidade na gestão da
segurança da informação. As organizações para as quais o órgão
presta serviço implementaram sistemas de gestão da segurança da
informação, por força de normas, em aderência aos modelos
desenvolvidos pela ABNT e ISO/IEC, especialmente os
prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez
que várias organizações a serem auditadas já passaram cerca de
dois anos implementando seus sistemas de gestão, um
questionário de avaliação preliminar foi aplicado pelo órgão de
controle externo nas organizações clientes. Diferentes controles
do sistema de segurança da informação foram avaliados pelos
respondentes, tanto os de natureza física e lógica quanto os
organizacionais. A partir do recebimento dos resultados do
questionário preliminar, os auditores efetuaram uma visita à
organização e produziram diversos julgamentos acerca da
possível adequação dos controles implementados aos modelos
das normas mencionadas.
Tendo como referência as informações contidas na situação
hipotética apresentada acima, julgue os itens a seguir, a respeito
do julgamento realizado pelos auditores.
Considere que o plano de classificação de ativos de uma das organizações auditadas valore os ativos usando uma metodologia mista, isto é, empregando ora a valoração qualitativa, ora a valoração quantitativa. Nesse caso, tal abordagem produz desconformidades com o prescrito em modelos da ABNT e da ISO/IEC, uma vez que se deve adotar um ou outro modelo, mas não ambos simultaneamente.
Norma que tem como objetivo fornecer recomendações para gestão da segurança da informação para uso por aqueles que são responsáveis pela introdução, implementação ou manutenção da segurança de suas organizações, prover base comum para o desenvolvimento de normas de segurança organizacional e das práticas efetivas de gestão de segurança e prover confiança nos relacionamentos entre organizações:
As Normas ISO são um conjunto de regras internacionais que auxiliam as empresas na gestão qualitativa de seus negócios. Para uma empresa se enquadrar dentro da Norma ISO 27002:2005, é preciso um amplo plano de segurança das informações. Um dos requisitos desta Norma é que as atividades essenciais de segurança assegurem, entre outras premissas para a obtenção da certificação ISO, a
De acordo com a NBR/ISO 27002, Segurança da Informação é a proteção da informação de vários tipos de ameaças para
Segundo a NBR/ISO 27002, o objetivo da proteção contra códigos maliciosos e códigos móveis é proteger a
A empresa Consultores Financeiros, em conformidade com o prescrito na NBR/ISO 27002, realiza, periodicamente, a análise crítica da Política de Segurança da Informação da empresa. A Norma sugere que as entradas para a análise crítica pela direção incluam diversas informações, entre elas,
A NBR/ISO 27002, em Gestão de Ativos, prescreve o seguinte controle para a Classificação da Informação: "Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização." Para implementação desse controle, a Norma recomenda, entre outras, a seguinte diretriz:
Sobre auditoria no sistema de segurança da informação, considere:
I. Um critério de auditoria pode ser uma norma ou um conjunto de políticas, procedimentos ou requisitos.
II. O programa de auditoria precisa garantir a melhoria contínua e, para tanto, utilizar o ciclo PDCA.
III. A utilização de uma metodologia de gestão de projetos associada à etapa de implementação do programa de auditorias gera resultados muito positivos.
IV. Os procedimentos de auditoria precisam ser definidos mas não devem fazer parte da política de segurança da informação.
Está correto o que consta em
Acerca da gestão de segurança da informação, julgue os itens a
seguir com base nas Normas NBR ISO/IEC 27001 e 27002.
Os requisitos do negócio para o processamento de informação, que uma organização tem de desenvolver para apoiar suas operações, estão entre as fontes principais de requisitos de segurança da informação.
Acerca da gestão de segurança da informação, julgue os itens a
seguir com base nas Normas NBR ISO/IEC 27001 e 27002.
A Norma NBR ISO/IEC 27001 estabelece o código de prática para a gestão da segurança da informação e a Norma NBR ISO/IEC 27002 trata dos requisitos dos sistemas de gestão de segurança da informação.
Acerca da gestão de segurança da informação, julgue os itens a
seguir com base nas Normas NBR ISO/IEC 27001 e 27002.
Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos do sistema de gestão da segurança da informação (SGSI), constata-se que, no SGSI, o do (fazer) equivale a executar as ações corretivas e preventivas para alcançar a melhoria contínua do SGSI.
Acerca da gestão de segurança da informação, julgue os itens a
seguir com base nas Normas NBR ISO/IEC 27001 e 27002.
Estão entre os objetivos da segurança da informação a garantia da continuidade do negócio, a minimização dos riscos para o negócio e a maximização do retorno sobre os investimentos.
A segurança da informação procura garantir a preservação da
confidencialidade, a integridade e a disponibilidade da informação.
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999, julgue os itens seguintes.
Um incidente de segurança da informação refere-se a um ou mais riscos não desejados ou esperados que possuem significativa probabilidade de comprometer os ativos de informação e ameaçam a segurança da informação.
A segurança da informação procura garantir a preservação da
confidencialidade, a integridade e a disponibilidade da informação.
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999, julgue os itens seguintes.
São exemplos de ativos de uma organização a informação e os processos de apoio, sistemas e redes. Os requisitos de segurança, em uma organização, são identificados por meio de análise sistemática dos riscos de segurança.
A segurança da informação procura garantir a preservação da
confidencialidade, a integridade e a disponibilidade da informação.
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999, julgue os itens seguintes.
Entre os ativos associados a sistemas de informação em uma organização, incluem-se as bases de dados e arquivos, os aplicativos e os equipamentos de comunicação (roteadores, secretárias eletrônicas etc.).
A segurança da informação procura garantir a preservação da
confidencialidade, a integridade e a disponibilidade da informação.
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999, julgue os itens seguintes.
Uma organização deve ser capaz de inventariar seus ativos, identificar seus respectivos valores e importâncias e indicar um proprietário responsável por eles. A informação deve ser classificada em termos de sua utilidade, adequabilidade e nível de segurança.
A segurança da informação procura garantir a preservação da
confidencialidade, a integridade e a disponibilidade da informação.
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999, julgue os itens seguintes.
É conveniente que, na classificação das informações e seu respectivo controle de proteção, considerem-se as necessidades de compartilhamento ou restrição de informações. Ao se tornar pública, uma informação frequentemente deixa de ser sensível ou crítica.
No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.
O acesso físico e lógico de terceiros aos recursos de processamento da informação da organização devem ser controlados. Um exemplo de acesso lógico é o acesso aos bancos de dados da organização.
No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.
A necessidade de conexão com terceiros deve considerar o tipo de acesso requerido, o valor da informação, os controles empregados por terceiros e as implicações desse acesso à segurança da informação da organização.
No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.
Recomenda-se que as responsabilidades de segurança sejam atribuídas nas fases de seleção de pessoal, incluídas em acordos informais de trabalho e monitoradas durante a vigência de cada contrato de trabalho.
No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.
Acordos de confidencialidade fazem parte de uma política de pessoal cujo objetivo é assegurar que não haja acesso a sistemas sensíveis por pessoas não autorizadas.
No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.
O documento da política de controle de acesso contém as políticas para autorização e distribuição de controle de acesso. É recomendável a existência de um procedimento formal de registro e cancelamento de usuário para obtenção de acesso a todos os sistemas de informação e serviços, com exceção dos sistemas multiusuários.
No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.
Privilégio é qualquer característica ou facilidade de um sistema de informação multiusuário que permita ao usuário sobrepor controles do sistema ou aplicação. A concessão e uso de privilégios deve ser restrito e controlado, e sua utilização inadequada é considerada fator de vulnerabilidade de sistemas.
No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.
As senhas fornecem um meio de validação da autoridade do usuário e o estabelecimento dos direitos de acesso para os recursos ou serviços de leitura da informação.
No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.
O controle de acesso à rede busca assegurar o uso de interfaces apropriadas entre a rede da organização e as redes de outras organizações ou redes públicas e controlar o acesso dos usuários aos serviços de informação. Também busca utilizar mecanismos de autenticação apropriados para usuários e equipamentos.
No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.
Os controles baseiam-se nos requisitos de segurança selecionados considerando-se as restrições de implementação, sua eficácia em relação aos riscos que serão reduzidos e às perdas potenciais, caso as falhas na segurança ocorram. Pode-se, ainda, considerar fatores financeiros, como prejuízos à reputação da organização.
No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.
O documento da política de segurança da informação estabelece as suas linhas mestras, expressa as preocupações da administração e é por ela aprovado e comunicado a todos os funcionários.
No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.
São exemplos de conteúdos que constam no documento de política da informação: conformidade com a legislação e cláusulas contratuais, requisitos na educação de segurança, gestão da continuidade do negócio e regras para controle de acesso.
No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.
Convém que a política de segurança da informação tenha um patrocinador responsável por sua manutenção e análise crítica e que esteja de acordo com um processo de submissão definido.
No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.
Alguns controles deverão salvaguardar sistemas operacionais e ferramentas de auditoria durante as auditorias de sistema. O escopo de verificação deve ser acordado e controlado.
No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.
Na revisão periódica da conformidade dos sistemas com as políticas e normas organizacionais de segurança, devem-se incluir sistemas de informação, provedores de sistemas, proprietários da informação, ativos de informação, usuários e administração.
No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.
Controles de ambiente e software devem se corretamente implementados para que a validação da conformidade técnica e científica assegure que os sistemas de informação sejam verificados em conformidade com as normas de segurança implementadas.
No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.
Quando o processo envolver a lei, civil ou criminal, as evidências apresentadas devem se conformar às regras para evidências estabelecidas pela lei, independemente do tribunal de justiça específico onde o caso será julgado. Para obter admissibilidade da evidência, recomenda-se que as organizações garantam que seus procedimentos operacionais estejam em conformidade com qualquer norma ou código de conduta publicado para produção de evidência admissível.
No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.
Gerenciamento de risco refere-se à análise das ameaças, impactos e vulnerabilidades da informação e das instalações de processamento da informação e da probabilidade de sua ocorrência. Análise de risco é o processo de identificação, controle e maximização ou eliminação dos riscos de segurança que possam, a um custo aceitável, afetar os sistemas de informação.
No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.
A análise crítica periódica dos riscos de segurança e dos controles implementados deve, entre outros, confirmar que os controles permanecem eficientes e adequados.
No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.
Análises críticas devem ser executadas em níveis de profundidade distintos e se apóiam nas análises de riscos anteriormente realizadas. As probabilidades de falhas são embasadas, entre outros, nas ameaças e vulnerabilidades mais frequentes e nos controles implementados.
No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.
A relevância de qualquer controle é determinada pelos riscos específicos a que os patrocinadores estão expostos.
A continuidade do negócio objetiva não permitir a interrupção das
atividades do negócio e proteger os processos críticos contra efeitos
de falhas ou desastres significativos. Com base nas normas
ISO 27001, ISO 27002, ISO 27005 e ISO 15999, julgue os itens
seguintes.
Pela combinação entre ações de prevenção e de recuperação, trata-se a interrupção causada por inconsistências e falhas da segurança que podem ser resultantes de controles de acesso, desastres naturais, acidentes, falhas de equipamentos e ações intencionais.
A continuidade do negócio objetiva não permitir a interrupção das
atividades do negócio e proteger os processos críticos contra efeitos
de falhas ou desastres significativos. Com base nas normas
ISO 27001, ISO 27002, ISO 27005 e ISO 15999, julgue os itens
seguintes.
O desenvolvimento e a manutenção da continuidade do negócio deve ser sustentado por um processo de gestão que permeie toda a organização. A gestão da continuidade do negócio deve estar incorporada aos processos e à estrutura da organização.
A continuidade do negócio objetiva não permitir a interrupção das
atividades do negócio e proteger os processos críticos contra efeitos
de falhas ou desastres significativos. Com base nas normas
ISO 27001, ISO 27002, ISO 27005 e ISO 15999, julgue os itens
seguintes.
A análise do risco é realizada sobre os eventos que possam causar interrupções nos processos do negócio e auxiliam na determinação de seus impactos em termos de escala de dano e em relação ao período de recuperação. Nessa análise, devem-se considerar os processos de negócio impactados, limitando-se aos recursos, sem considerar as instalações de processamento de dados.
A continuidade do negócio objetiva não permitir a interrupção das
atividades do negócio e proteger os processos críticos contra efeitos
de falhas ou desastres significativos. Com base nas normas
ISO 27001, ISO 27002, ISO 27005 e ISO 15999, julgue os itens
seguintes.
No caso de ocorrerem interrupções ou falhas em processos críticos, devem-se executar planos de continuidade para recuperar as operações do negócio, em conformidade com os requisitos de segurança da informação.
Julgue os próximos itens, segundo a norma ABNT NBR ISO/IEC
27002:2005.
O termo integridade no escopo da referida norma diz respeito à salvaguarda da exatidão e integridade das informações e métodos de processamento utilizados para a manipulação da informação.
Julgue os próximos itens, segundo a norma ABNT NBR ISO/IEC
27002:2005.
A referida norma, bem como suas atualizações correntes, apresenta um código de boas práticas para a gestão de segurança da informação, portanto, é adequada para usuários responsáveis por iniciar, implementar, manter e melhorar sistemas de gestão de segurança da informação.
Julgue os próximos itens, segundo a norma ABNT NBR ISO/IEC
27002:2005.
O padrão atual da norma em questão constitui-se em uma revisão da primeira versão dessa norma publicada pela ISO/IEC, em 2000. À época, essa norma era cópia da norma britânica British Standard (BS) 7799-1:1999.
Julgue os próximos itens, segundo a norma ABNT NBR ISO/IEC
27002:2005.
No que diz respeito aos aspectos de preservação da confidencialidade, a norma em apreço estabelece práticas adequadas para garantir que a informação esteja acessível a todas as pessoas interessadas em acessá-la.
Considerando aspectos de composição da norma ABNT NBR
ISO/IEC 27002:2005, julgue os itens subsequentes.
Como a norma mencionada estabelece um guia das melhores práticas para a gestão de segurança da informação, cabe ao gestor de cada organização avaliar os riscos do ambiente organizacional, determinar os requisitos específicos e então selecionar os controles apropriados à situação organizacional em questão. Verifica-se, então, que a avaliação de risco é fundamental no processo de estabelecimento dos controles de gestão de segurança, sendo recomendado que esse procedimento seja voltado aos aspectos subjetivos do gestor.
Considerando aspectos de composição da norma ABNT NBR
ISO/IEC 27002:2005, julgue os itens subsequentes.
A seção da norma em questão que trata de compliance prevê aspectos para assegurar a conformidade com políticas de segurança da informação, normas, leis e regulamentos.
Considerando aspectos de composição da norma ABNT NBR
ISO/IEC 27002:2005, julgue os itens subsequentes.
Para se implantar um sistema de gestão de segurança da informação adequado ao ambiente organizacional, é suficiente atender o previsto nas diversas seções da norma em apreço, a qual detalha também os padrões específicos, os quais são mandatórios e independem do ramo de atuação da organização.
Considerando aspectos de composição da norma ABNT NBR
ISO/IEC 27002:2005, julgue os itens subsequentes.
A referida norma contém seções iniciais e doze seções principais acerca de diversos temas de segurança, como, por exemplo, a gestão de ativos.
Considerando aspectos de composição da norma ABNT NBR
ISO/IEC 27002:2005, julgue os itens subsequentes.
A referida norma tem uma seção específica de gerenciamento de continuidade, que trata da criação e validação de um plano logístico acerca de como uma organização pode realizar ações no sentido de recuperar e restaurar, parcial ou completamente, os serviços interrompidos. Esse plano logístico, também denominado business continuity plan (BCP), não se aplica ao gestor público, pois este não pertence a uma organização de negócios.
Com relação à segurança da informação, julgue os itens a seguir.
Segundo a norma ISO/IEC 27002, uma ameaça é a causa potencial (agente) de um incidente indesejado, que pode resultar em dano para um sistema ou organização. A segurança da informação precisa prover mecanismos para impedir que as ameaças explorem as vulnerabilidades. Os tipos de ameaças definidos na referida norma são: naturais, físicas e intencionais.
Com relação à segurança da informação, julgue os itens a seguir.
Um ativo, segundo a norma ISO/IEC 27002, é qualquer elemento que tenha valor para a organização. Os ativos fornecem suporte aos processos de negócios, portanto, devem ser protegidos. Um dos agrupamentos que os ativos podem assumir é informações, hardware, software, ambiente físico e pessoas.
Com base no disposto na norma ABNT NBR ISO/IEC 27002:2005,
julgue os itens que se seguem.
Os proprietários dos ativos organizacionais devem ser identificados, e a responsabilidade pela manutenção apropriada dos controles deve ser a eles atribuída. Os proprietários permanecem responsáveis pela proteção adequada dos ativos, mesmo que a implantação específica de controles seja delegada.
Com base no disposto na norma ABNT NBR ISO/IEC 27002:2005,
julgue os itens que se seguem.
Funcionários, fornecedores e terceiros devem ser instruídos a averiguar, imediatamente, qualquer fragilidade na segurança de informação suspeita.
Com base no disposto na norma ABNT NBR ISO/IEC 27002:2005,
julgue os itens que se seguem.
No âmbito da de segurança da informação, não existem riscos aceitáveis; por isso, todos os riscos devem ser controlados, evitados ou transferidos.
Com base no disposto na norma ABNT NBR ISO/IEC 27002:2005,
julgue os itens que se seguem.
Para reaproveitar as mídias de armazenamento que contenham dados sensíveis, é suficiente formatá-las usando a função padrão de formatar.
A respeito de segurança da informação, julgue os próximos itens.
A norma ABNT NBR ISO/IEC 27002 apresenta critérios para a organização geral do sistema de gestão da segurança da informação. Por ser uma norma genérica, que apenas propõe diretrizes, não pode ser utilizada para fins de certificação, pois não apresenta controles específicos a serem tomados como base para a proteção de ativos em uma empresa.
Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos
itens.
A adoção de senhas de qualidade por parte dos usuários são recomendações para implantar uma política de uso de chaves e senhas. Alguns aspectos, citados na norma, característicos de senhas de qualidade são senhas fáceis de serem lembradas, que não sejam vulneráveis a ataques de dicionário e que sejam isentas de caracteres idênticos consecutivos.
Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos
itens.
Estimar a probabilidade de uma ameaça se concretizar dentro do ambiente computacional e identificar os impactos que um evento de segurança pode acarretar são atividades resultantes da análise/avaliação de riscos.
Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos
itens.
Os principais fatores críticos de sucesso apresentados na referida norma incluem política de segurança, abordagem e estrutura da segurança consistente com a cultura organizacional, comprometimento de todos os níveis gerenciais, entendimento dos requisitos de segurança e divulgação da segurança.
Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos
itens.
Controle é, segundo essa norma, qualquer sistema de processamento da informação, serviço ou infraestrutura, ou as instalações físicas que os abriguem.
Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos
itens.
Os controles necessários para se fazer uma adequada análise e avaliação de riscos devem ser retirados apenas da norma 27002, por ser completa e atual. Essa norma garante, em seu escopo, todas as ações de segurança necessárias para qualquer ambiente computacional.
Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos
itens.
Uma das recomendações adequadas para a gestão de ativos é que o requisito de rotulação e tratamento seguro da classificação da informação é fundamental para que sejam definidos os procedimentos de compartilhamento da informação, seja ela interna ou externa à organização.
Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos
itens.
A segurança de equipamentos descartados da organização segue as recomendações de outras normas relativas à reciclagem de resíduos sólidos e, por isso, não está prevista em uma recomendação específica da norma 27002.
Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos
itens.
Com o objetivo de otimizar o uso de um ambiente de desenvolvimento de software quanto aos procedimentos e responsabilidades operacionais relativos ao gerenciamento das operações e das comunicações, uma organização deve garantir que software em desenvolvimento e software em produção partilhem de sistemas e processadores em um mesmo domínio ou diretório, de modo a garantir que os testes sejam compatíveis com os resultados esperados no mundo real.
Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos
itens.
Os controles referentes à segurança de redes, que estabelecem que as redes devam ser gerenciadas e controladas e que os níveis e requisitos de gerenciamento sejam implementados, estão presentes no capítulo da norma que se refere ao controle de acessos.
Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos
itens.
O filtro de tráfego realizado por gateways no controle de conexões de uma rede deve ser feito por meio de restrições predefinidas em tabelas ou regras para aplicações, como, por exemplo, uso de correio eletrônico, acesso interativo e transferência de arquivos.
Com relação às normas NBR ISO/IEC 27001 e 27002, referentes à
gestão de segurança da informação, julgue os itens que se seguem.
Incidente de segurança da informação é uma ocorrência identificada de um sistema, serviço ou rede que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.
Com relação às normas NBR ISO/IEC 27001 e 27002, referentes à
gestão de segurança da informação, julgue os itens que se seguem.
Um dos controles da política de segurança da informação estabelece que ela deve ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.
Com relação às normas NBR ISO/IEC 27001 e 27002, referentes à
gestão de segurança da informação, julgue os itens que se seguem.
O objetivo de controle Controles de Entrada Física estabelece que perímetros de segurança (barreiras, como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) devem ser utilizados para proteger as áreas que contenham informações e recursos de processamento da informação.
Com relação às normas NBR ISO/IEC 27001 e 27002, referentes à
gestão de segurança da informação, julgue os itens que se seguem.
O objetivo de controle Análise Crítica dos Direitos de Acesso de Usuário estabelece que deve existir um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços.
Com relação às normas NBR ISO/IEC 27001 e 27002, referentes à
gestão de segurança da informação, julgue os itens que se seguem.
O objetivo de controle Uso Aceitável dos Ativos estabelece que devem ser identificadas, documentadas e implementadas regras para que seja permitido o uso de informações e de ativos associados aos recursos de processamento da informação.
A respeito de planejamento estratégico de tecnologia da
informação (TI), gerenciamento de serviços, gestão de
segurança da informação e governança de TI, julgue os itens
a seguir. Nesse sentido, considere que o ITIL, sempre que
citado, refere-se à versão 3.
Segundo a norma NBR ISO/IEC 27002, em uma organização, não é conveniente que a coordenação de segurança da informação seja exercida por representantes importantes de diferentes áreas, mesmo que a participação deles seja relevante para a organização.
A respeito da prevenção e do tratamento de incidentes, julgue
os itens seguintes.
A resposta inicial a um incidente inclui, entre outras atividades, a revisão de relatórios de detecção de intrusão e logs de rede, para identificar os dados que corroboram a ocorrência de um incidente.
De acordo com as normas NBR/ISO/IEC 27002/2005 e
NBR/ISO/IEC 27001/2006 e com o modelo PDCA (plan, do,
check, act), adotado por esta última para estruturar os processos do
sistema de gestão da segurança da informação (SGSI), julgue os
itens a seguir.
Na prática, os padrões 27001 e 27002 normalmente são usados em conjunto, embora seja possível o uso de outros controles de segurança da informação juntamente com o padrão 27001, até mesmo em substituição ao padrão 27002.
De acordo com as normas NBR/ISO/IEC 27002/2005 e
NBR/ISO/IEC 27001/2006 e com o modelo PDCA (plan, do,
check, act), adotado por esta última para estruturar os processos do
sistema de gestão da segurança da informação (SGSI), julgue os
itens a seguir.
A organização deve fazer análises críticas com o objetivo de identificar tentativas e violações de segurança bem-sucedidas, sendo esta uma atividade verificada na fase check (checar).
No que se refere à classificação e controle de ativos da informação,
segurança de ambientes físicos e lógicos e controle de acesso,
julgue os itens que se seguem de acordo com as normas
NBR/ISO/IEC 27001/2006 e 27002/2005.
Como forma de estabelecer um controle mais adequado da segurança da informação, segundo a norma NBR/ISO/IEC 27002/2005, convém considerar os controles de acesso lógico e físico de forma conjunta. As regras e os direitos para cada usuário ou grupo de usuários devem estar claramente expressos na política de controle de acesso.
No que se refere à classificação e controle de ativos da informação,
segurança de ambientes físicos e lógicos e controle de acesso,
julgue os itens que se seguem de acordo com as normas
NBR/ISO/IEC 27001/2006 e 27002/2005.
Alcançar e manter a proteção adequada dos ativos da organização é um objetivo de controle estabelecido na norma NBR/ISO/IEC 27001/2006. Associado a esse objetivo, há o controle relativo à remoção de propriedade, o qual determina que um ativo não mais utilizado por um proprietário deverá ser dele desvinculado.
No que se refere à classificação e controle de ativos da informação,
segurança de ambientes físicos e lógicos e controle de acesso,
julgue os itens que se seguem de acordo com as normas
NBR/ISO/IEC 27001/2006 e 27002/2005.
Um arquivo de texto, uma IDE para desenvolvimento em linguagem C e um pendrive são classificados como ativos de software, de serviço e físico, respectivamente.
No que se refere à classificação e controle de ativos da informação,
segurança de ambientes físicos e lógicos e controle de acesso,
julgue os itens que se seguem de acordo com as normas
NBR/ISO/IEC 27001/2006 e 27002/2005.
Muitos serviços disponíveis na Internet enviam senhas temporárias aos seus usuários. De acordo com a norma NBR/ISO/IEC 27002/2005, essa prática é conveniente, desde que realizada de forma segura, procurando-se evitar o uso de correio eletrônico de terceiros ou sem criptografia.
A respeito do estabelecimento de um sistema de gestão da
segurança, julgue os itens seguintes.
Na norma ISO/IEC 27002, o enquadramento das práticas e dos mecanismos de segurança física associa-se aos mecanismos de proteção ambiental, inclusive os contra as ameaças oriundas do meio ambiente.
Acerca do gerenciamento de segurança da informação, julgue os
itens a seguir.
Para a garantia de um nível de segurança mínimo, que evite a concretização de ameaças em uma organização, é obrigatória a implantação de todos os controles contidos na norma 27002, conforme recomendação feita na ISO, independentemente do tamanho e tipo de organização.
Acerca do gerenciamento de segurança da informação, julgue os
itens a seguir.
A norma ISO/IEC 27002 foi elaborada como base para o processo de certificação de empresas que oferecem serviços de implantação de segurança da informação, garantindo-se, assim, no mercado competitivo, um padrão de serviços de segurança oferecido por especialistas.
Julgue os itens que se seguem, considerando a norma ABNT NBR
ISO/IEC 27002:2005.
A responsabilidade pela implementação de controles, segundo a referida norma, deve ser atribuída à equipe de suporte técnico, responsável por verificar potenciais vulnerabilidades durante o trabalho cotidiano e implementar controles, sempre que possível, mesmo que de forma aleatória ou emergencial.
Julgue os itens que se seguem, considerando a norma ABNT NBR
ISO/IEC 27002:2005.
Na área de segurança da informação, estão excluídas do conceito de controle as políticas, as diretrizes, as práticas ou a própria estrutura organizacional, que são consideradas contramedidas ou ações de prevenção.
Julgue os itens que se seguem, considerando a norma ABNT NBR
ISO/IEC 27002:2005.
É imprescindível que a política de segurança da informação, definida com base na realidade e na necessidade da organização, de seus colaboradores, de seu negócio e de sua infraestrutura de TI, seja divulgada, acompanhada, passe por análise crítica no que se refere aos controles estabelecidos e, principalmente, seja objeto de treinamento pelas equipes.
Julgue os itens que se seguem, considerando a norma ABNT NBR
ISO/IEC 27002:2005.
Uma política de segurança que vise ao controle de acesso de terceiros na organização inclui aspectos relacionados a direitos de propriedade intelectual e direitos autorais, assim como à permissão de se revogarem direitos de acesso ou à autoridade de se interromper a conexão entre sistemas.
Julgue os itens que se seguem, considerando a norma ABNT NBR
ISO/IEC 27002:2005.
A análise de riscos tem como objetivo principal eliminar todas as ameaças existentes em um ambiente computacional, impedindo, assim, que ocorram incidentes de segurança.
De acordo com a ABNT NBR ISO/IEC 27002, devem ser implementados controles contra códigos maliciosos. Um mecanismo de controle contra esses códigos consiste no serviço de
Com relação aos controles recomendados nas normas 27001 e 27002, assinale a opção correta.
Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir.
Nas referidas normas, é prevista a implementação de controles contra códigos maliciosos, mas ainda não há previsão acerca de controle contra códigos móveis.