SóProvas



Questões de ISO 27002


ID
43663
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a norma NBR/ISO 27002, protegem as informações da organização e informam aos signatários das suas responsabilidades, para proteger, usar e divulgar a informação de maneira responsável e autorizada, os(as)

Alternativas
Comentários
  • ISO / IEC 27002 fornece recomendações de melhores práticas de gestão de segurança da informação para uso por aqueles que são responsáveis pela preparação, implementação ou manutenção de Sistemas de Gestão de Segurança da Informação (SGSI). A segurança da informação é definido dentro do padrão, no contexto da tríade CIA: a preservação da confidencialidade (garantir que a informação seja acessível apenas àqueles autorizados a ter acesso), Integridade (salvaguarda da exatidão e integridade das informações e métodos de processamento) e disponibilidade (garantindo que os usuários autorizados tenham acesso às informações e ativos associados quando necessário).Letra A.
  • O texto da questão foi extraído exatamente como descrito no item 6.1.5 - Acordos de Confidencialidade da norma:

    "Acordos de confidencialidade e de não divulgação protegem as informações da organização e informam aos signatários das suas responsabilidades, para proteger, usar e divulgar a informação de maneira responsável e autorizada".

    Fonte: Norma NBR/ISO 27002

  • LETRA A.

    Redação mantida na ISO 27002:2013,"13.2.4 Acordos de confidencialidade e não divulgação

    Informações adicionais
    Acordos de confidencialidade e de não divulgação protegem as informações da organização e informam aos signatários das suas responsabilidades, para proteger, usar e divulgar a informação de maneira responsável e autorizada."


ID
43666
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Com o objetivo de "prevenir a ocorrência de erros, perdas, modificação não autorizada ou mau uso de informações em aplicações", a norma NBR/ISO 27002 recomenda os controles apresentados a seguir, EXCETO:

Alternativas
Comentários
  • ISO / IEC 27002 fornece recomendações de melhores práticas de gestão de segurança da informação para uso por aqueles que são responsáveis pela preparação, implementação ou manutenção de Sistemas de Gestão de Segurança da Informação (SGSI). A segurança da informação é definido dentro do padrão, no contexto da tríade CIA: a preservação da confidencialidade (garantir que a informação seja acessível apenas àqueles autorizados a ter acesso), Integridade (salvaguarda da exatidão e integridade das informações (mensagens) e métodos de processamento) e disponibilidade (garantindo que os usuários autorizados tenham acesso às informações e ativos associados quando necessário).Letra E: Incorreto
  • integridade referencial refere-se a bancos de dados relacionais.
  • Para localizar a resposta na NBR ISO/IEC 27002:

    Seção: 12. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
          Categoria principal: 12.2 Processamento correto nas aplicações:
                Controle 12.2.1 Validação dos dados de entrada
                Controle 12.2.2 Controle do processamento interno
                Controle 12.2.3 Integridade de mensagens
                Controle 12.2.4 Validação de dados de saída

     


ID
43669
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

A norma NBR/ISO 27002 recomenda que os requisitos para controles de segurança para novos sistemas de informação ou melhorias em sistemas existentes sejam especificados

Alternativas
Comentários
  • A Segurança da Informação se refere à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto às pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição.Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a definição do nível de segurança existente e, com isto, serem estabelecidas as bases para análise da melhoria ou piora da situação de segurança existente.Uma política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização.As políticas de segurança devem ter implementação realista, e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização. As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na sequência de ataques.Letra E)nas especificações de requisitos de negócios dos sistemas.
  • Porque uma "política" deve dar dar os grandes caminhos, de forma genérica, ou seja, deve dizer "O QUE" deve ser feito;A especificação do "COMO" deve ser feito, fica a cargo do documento de requisitos, pois é neste momento que se detalham os objetivos de segurança de informação, levando-se em consideração que os requisitos mudam e evoluem o tempo todo.É natural então que os documentos de requisitos explicitem, caso a caso, as situações requeridas de segurança, toda vez que se desenvolva um novo sistema, ou toda vez que um sistema seja alterado .
  •  A pergunta em questão se refere aos controles de segurança que devem ser "embutidos" no sistema de informação. Assim sendo, conforme explicíta a norma no seu controle 12.1.1. os requisitos de controles de segurança de sistemas de informação devem ser especificados na especificação de requisitos de negócio do sistema de informação.

  • A resposta está no item 4.2 (Tratando os riscos de SI):

    "Convém que os controles de segurança da informação sejam considerados na especificação dos requisitos e nos estágios iniciais dos projetos e sistemas. Caso isso não seja realizado, pode acarretar custos adicionais e soluções menos efetivas..."

    Norma 17799:2005

  • A resposta a essa questão se encontra na Norma 27002 seção 12.1.1 que se refere aos requisitos de segurança dos sistemas de informação.
    É apresentado o seguinte controle:
    "Convém que sejam especificados os requisitos para controles de segurança nas especificações de requisitos de negócio, para novos sistemas de informação ou melhorias em sistemas existentes."

ID
114244
Banca
CESPE / CEBRASPE
Órgão
TRE-MT
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à ISO 27002, assinale a opção correta.

Alternativas
Comentários
  • a) Certo

    Justificativa: De acordo com a referida norma, uma vez que os requisitos de segurança da informação e os riscos tenham sido identificados e as decisõespara o tratamento dos riscos tenham sido tomadas, convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nível aceitável.

    b) Errado

    Justificativa:
    Cada categoria principal de segurança da informação contém:
    a) um objetivo de controle que define o que deve ser alcançado; e
    b) um ou mais controles que podem ser aplicados para se alcançar o objetivo do controle.

    c) Errado

    Justificativa: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários não são exemplos de ativos de informação, mas sim de software

    d) Errado

    Justificativa: Quanto às diretrizes para comércio eletrônico da norma em questão, as considerações podem ser endereçadas pela aplicação de controles criptográficos,levando-se em conta a conformidade com os requisitos legais. No entanto, a norma em nenhum momento cita qual chave deve ser utilizada.

    e) Errado

    Justificativa: Para o desenvolvimento de uma política para criptografia deve ser considerada a identificação do nível requerido de proteção com base em uma análise/avaliação de riscos. Assim, conclui-se que a política para criptografia é dependente da análise/avaliação de riscos.
  • Não encontrei na norma qualquer menção "por meio do controle gerencia-se risco". Na minha opinião, isso está errado. O controle é um dos muitos elementos da gestão de riscos que engloba identificação, análise, resposta, etc. Por meio do controle mitiga-se o risco, não se gerencia.
  • Caro Ricardo, Está implicito, "por meio do controle gerencia-se risco" na recomendação da norma...

  • Caros Rene e Ricardo. Encontra-se em 2 - Termos e definições; 2.2 - Controle : "forma de gerenciar o ricos, .... - logo, por meio do controle gerencia-se o risco.

  • A está incompleta...uma das formas de gerenciar o Risco é reduzi-lo até um nível aceitável...as outras formas seriam a própria extinção do risco, a transferência, a aceitação...


ID
114247
Banca
CESPE / CEBRASPE
Órgão
TRE-MT
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação às orientações da norma ISO 27002 quanto à criptografia, assinale a opção correta.

Alternativas
Comentários
  • Boa questão...no caso, a resposta é a Letra B... pois ele considera a ocorrência ou não de um evento... a participação de uma determinada entidade. Por exemplo: uma pessoa NEGAR q enviou uma mensagem tendo enviado.
  • A) Errado Códigos de Autenticação de mensagens (MAC) e assinaturas digitais visam garantir a INTEGRIDADE / AUTENTICIDADE e não a CONFIDENCIALIDADE.B) Certo Conforme a referida norma em seu item 12.3.1 Política para uso de controle criptográficos: "Controles criptográficos podem ser usados para alcançar diversos objetivos de segurança, como, por exemplo:" ... "não-repúdio: usando técnicas de criptografia para obter prova da ocorrência ou não ocorrência de umevento ou ação."C) Errado - Algoritmos de criptografia simétrica não possuem chave privada de usuário. - Os protocolos de troca de chaves utilizam técnicas criptográficas para proteger e compartilhar chaves.D) Errado Conforme a própria ISO: "... datas de ativação e desativação de chaves sejam definidas de forma que possam ser utilizadas apenas por um período de tempo LIMITADO"(ISO 27002 item 12.3.2)E) Errado O processo de autenticação pode ser conduzido utilizando-se certificados de chaves públicas que são normalmente emitidos por uma autoridade certificadora. (ISO 27002 item 12.3.2)
  • Considero dúbio a interpretação do item B, vejamos.
    1º -  Não repúdio refere-se à utilização de técnicas de criptografia para obter "prova da ocorrência" OU "não (prova) de um evento ou ação."
    2º -  Não repúdio refere-se à utilização de técnicas de criptografia para obter prova da ocorrência ou não de um evento ou ação.

    Acredito que as duas interpretações, segundo o português, são válidas... portanto deveria ser ANULADA.
  • não repúdio; usando técnicas de criptografia para obter evidência da ocorrência ou não ocorrência de um evento ou ação. Ou seja serve para comprovar que o evento de fato ocorreu ou não, evitando-se assim a negação de autoria. Não repúdio.

    Não vi motivo para ser anulada.

  • Letra B

     

    A informação está presente tanto na ISO 27002 de 2005 como na de 2013.

     

    Ressaltando que a Criptografia aparecia dentro da seção "12 Aquisição, desenvolvimento e manutenção de sistemas de informação" na antiga norma (2005).


    E agora aparece em uma seção específica para ela na nova norma (2013) "10 Criptografia".

     

    ISO 27002:2005
    12.3.1 Política para o uso de controles criptográficos
    Controles criptográficos podem ser usados para alcançar diversos objetivos de segurança, como, por exemplo:
    a) confidencialidade: usando a criptografia da informação para proteger informações sensíveis ou críticas, armazenadas ou transmitidas;
    b) integridade/autenticidade: usando assinaturas digitais ou códigos de autenticação de mensagens (MAC) para proteger a autenticidade e integridade de informações sensíveis ou críticas, armazenadas ou transmitidas;
    c) não-repúdio: usando técnicas de criptografia para obter prova da ocorrência ou não ocorrência de um evento ou ação.

     

    ISO 27002:2013
    10.1.1 Política para o uso de controles criptográficos
    Controles criptográficos podem ser usados para alcançar diferentes objetivos de segurança, como por exemplo:
    a)confidencialidade: usando a criptografia da informação para proteger informações sensíveis ou críticas, armazenadas ou transmitidas;
    b)integridade/autenticidade: usando assinaturas digitais ou códigos de autenticação de mensagens (MAC) para verificar a autenticidade ou integridade de informações sensíveis ou críticas, armazenadas ou transmitidas;
    c)não-repúdio: usando técnicas de criptografia para obter evidência da ocorrência ou não ocorrência de um evento ou ação.
    d)autenticação: usando técnicas criptográficas para autenticar usuários e outros sistemas que requeiram acesso para transações com usuários de sistemas, entidades e recursos.

  • LETRA B

    Belo trabalho Lucc O.

  • usando técnicas de criptografia para obter prova da ocorrência ou não ocorrência de um evento ou ação -> AUTENTICIDADE

    O não-repúdio é você não poder negar a autenticidade...

    O cespe treina a gente pra ser chato, depois não quer que sejamos chatos...

  • Uma coisa é importante entender, você não deve estudar para aprender o assunto, você deve estudar para acertar questões. FATO.

  • A) Controles criptográficos garantem a confidencialidade por meio da utilização de assinaturas digitais ou códigos de autenticação de mensagens (MAC), que protegem a autenticidade, originalidade, presteza e integridade de informações sensíveis ou críticas, armazenadas ou transmitidas.

    Comentário: No meio da Segurança nada é garantido, além disso, a criptografia gera a confidencialidade, já as assinaturas proveem autenticidade.

    B) Não repúdio refere-se à utilização de técnicas de criptografia para obter prova da ocorrência ou não de um evento ou ação.

    Gabarito, apesar da interpretação

    C) Técnicas criptográficas não podem ser utilizadas para proteger chaves criptográficas, pois existe sempre a ameaça de que seja forjada uma assinatura digital pela substituição da chave privada do usuário, em caso de utilização de criptografia simétrica.

    Comentário: Algoritmos de chaves públicas geralmente são utilizados para criptografar as chaves secretas dos algoritmos simétricos, os quais criptografam a informação.

    Assinatura Digital = criptografia assimétrica

    D) Datas de ativação e desativação de chaves devem ser definidas sem restrições de tempo e independentes das avaliações de risco.

    Comentário: O certo é com restrição de tempo, e quais medidas de segurança são tomadas com base na avaliação de riscos

    E) Além do gerenciamento seguro de chaves secretas e privadas, o processo de autenticação deve ser conduzido obrigatoriamente utilizando-se certificados de chave privada emitidos por autoridades certificadoras.

    Comentário: Certificado de chave pública


ID
126901
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Para a NBR/ISO 27002:2005, convém que a análise crítica da política de segurança da informação leve em consideração os resultados da análise crítica pela direção. Convém ainda que as saídas da análise crítica pela direção incluam quaisquer decisões e ações relacionadas às melhorias:

I - do enfoque da organização para gerenciar a segurança da informação e seus processos.
II - dos controles e dos objetivos de controles.
III - na alocação de recursos e/ou de responsabilidades.

Pela norma, deve(m) ser considerada(s) a(s) melhoria(s)

Alternativas
Comentários
  • Todas as melhorias citadas na alternativa E são referenciadas na norma:

    Convém que as saídas da análise crítica pela direção incluam quaisquer decisões e ações relacionadas a:

    a) Melhoria do enfoque da organização para gerenciar a segurança da informação e seus processos.
    b) Melhoria dos controles e dos objetivos de controles.
    c) Melhoria na alocação de recursos e/ou de responsabilidades.

    A norma cita ainda que:

    Convém que um registro da análise crítica pela direção seja mantido.

    Convém que a aprovação pela direção da política de segurança da informação revisada seja obtida.

  • Convém que as bancas parem de cobrar esse tipo de questão. DECOREBA pura! Aliás, acho impossível que alguém consiga decorar todos os 133 controles e suas respectivas diretrizes. Haja é SORTE!
  • Se as bancas deixarem de cobrar esse tipo de questão, os concursos de TI ficarão iguais aos concursos de Direito (não no sentido de dificuldade), que define o aprovado pela idade, uma vez que pra passar, o candidato deve fechar a prova. Se a prova é difícil... é difícil para todos! Pode ser que todos errem! Pode ser que somente um acerte consciente, e neste caso, provavelmente tenha estudado mais que você.
  • Bem...analisando a alternativa I, temos uma ambiguidade com o pronome possessivo "seus". Vejamos:
    Se esta assertiva está dentro da 27.001, é óbvio que "seus" se refere aos processos de gerência de SI.
    Entretanto, na questão não ficou claro que "seus" se referia à isto ou, aos processos da organização.
    Portanto, marquei a D.


ID
126904
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Durante um treinamento sobre a NBR/ISO 27002:2005, um palestrante fez as afirmativas, a respeito das orientações descritas na norma, apresentadas a seguir.

I - A Norma define uma série de indicadores chaves de desempenho, relacionados à segurança, que devem ser avaliados e utilizados para melhoria dos processos.

II - Convém que, adicionalmente à notificação de eventos de segurança da informação e fragilidades, o monitoramento de sistemas, alertas e vulnerabilidades seja utilizado para a detecção de incidentes de segurança da informação.

III - Convém que os usuários sejam alertados para usar diferentes senhas de qualidade para cada um dos serviços, caso necessitem acessar múltiplos serviços, sistemas ou plataformas, e sejam requeridos para manter separadamente múltiplas senhas, já que o usuário estará assegurado de que um razoável nível de proteção foi estabelecido para o armazenamento da senha em cada serviço, sistema ou plataforma.

Está(ão) correta(s) a(s) afirmativas(s)

Alternativas
Comentários
  • O item III está incorreto, pois de acordo com o item 11.5.3 da referida norma, convém que sistemas para gerenciamento de senhas sejam interativos e assegurem senhas de qualidade.
  • O item III está incorreto, porque, conforme item 11.3.1 da norma, os usuários deve ser requeridos para utilizar uma única senha de qualidade, quando utilizar múltiplos sistemas, serviços ou plataformas.

    Abraços
  • I - A Norma define uma série de indicadores chaves de desempenho, relacionados à segurança, que devem ser avaliados e utilizados para melhoria dos processos.
    A norma 27002 não é voltada para certificação.
  • Quanto ao item I, a Norma 27002 não define nenhum indicador de desempenho. A medição de desempenho é um fator crítico para o sucesso, mas não é abordada na Norma. Trecho da 27002: "Deve-se observar que as medições de segurança da informação estão fora do escopo desta Norma"(pág. xiii). O examinador quis confundir o candidato com um conceito do Cobit.
  • De acordo com a norma:

    "Se os usuários necessitam acessar múltiplos serviços, sistemas ou plataformas, e forem requeridos para manter separadamente múltiplas senhas, convém que eles sejam alertados para usar uma única senha de qualidade para todos os serviços, já que o usuário estará assegurado de que um razoável nível de proteção foi estabelecido para o armazenamento da senha em cada serviço, sistema ou plataforma. "

  • Sobre a alternativa II.

    Segundo a ISO 27002,"13.2.1 Responsabilidades e procedimentos

    Diretrizes para implementação

    Convém que, adicionalmente à notificação de eventos de segurança da informação e fragilidades (ver 13.1), o monitoramento de sistemas, alertas e vulnerabilidades (10.10.2) seja utilizado para a detecção de incidentes de segurança da informação."


  • I -  As medições de segurança da informação estão fora do escopo da norma 27002;

    II - CORRETO;

    III - Utilizar senha única de qualidade quando utilizar múltiplos sistemas, serviços ou plataformas.

    Gab. B


ID
129964
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito das normas de segurança da informação, julgue os
itens subseqüentes.

A norma ISO/IEC 17799 está voltada à criação de um Sistema de Gestão da Segurança da Informação mas seu conteúdo não é mais válido, pois foi substituída recentemente pela nova norma 27002.

Alternativas
Comentários
  • Item Errado

    A ISO/IEC-17799 foi atualizada para numeração ISO/IEC 27002 em julho de 2007. É uma norma de Segurança da Informação revisada em 2005 pela ISO e pela IEC.
    O padrão é um conjunto, de recomendações para práticas na gestão de Segurança da Informação. Ideal para aqueles que querem criar, implementar e manter um sistema.
    A ISO/IEC-17799 tem como objetivos confidencialidade, integridade e disponibilidade das informações, os quais são fatores muito importantes para a segurança da informação.
  • A norma ISOIEC 17799 e ISOIEC27002 são a mesma coisa. Não houve invalidade na norma 17799, pois o conteúdo é o mesmo. Portanto a questão está errada.
  • Complementando os comentários dos colegas, a norma que está voltada à criação de um Sistema de Gestão da Segurança da Informação
    é a 27001 e não a 17799 nem sua atualização a 27002.

    Rafael Eduardo Barão
    http://www.itnerante.com.br/profile/RafaelBarao
    http://www.provasdeti.com.br/por-professor/rafael-barao.html
  • Complementando

    Segundo a ISO 27002,p.7,"A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002."

    Segundo a ISO 27001,p.2,"

    0.1 Geral

    Esta Norma (ISO/IEC 27001:2005)foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI)."

    **Portanto, a ISO 27001 é que é voltada para a criação do SGSI, e a ISO 17799 é válida e foi incorporada a ISO 27002.


ID
144679
Banca
CESPE / CEBRASPE
Órgão
SECONT-ES
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Um órgão público responsável pelo controle externo do
Poder Executivo de uma unidade da Federação desenvolveu um
conjunto de processos de auditoria de conformidade na gestão da
segurança da informação. As organizações para as quais o órgão
presta serviço implementaram sistemas de gestão da segurança da
informação, por força de normas, em aderência aos modelos
desenvolvidos pela ABNT e ISO/IEC, especialmente os
prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez
que várias organizações a serem auditadas já passaram cerca de
dois anos implementando seus sistemas de gestão, um
questionário de avaliação preliminar foi aplicado pelo órgão de
controle externo nas organizações clientes. Diferentes controles
do sistema de segurança da informação foram avaliados pelos
respondentes, tanto os de natureza física e lógica quanto os
organizacionais. A partir do recebimento dos resultados do
questionário preliminar, os auditores efetuaram uma visita à
organização e produziram diversos julgamentos acerca da
possível adequação dos controles implementados aos modelos
das normas mencionadas.

Tendo como referência as informações contidas na situação
hipotética apresentada acima, julgue os itens a seguir, a respeito
do julgamento realizado pelos auditores.

Se a análise do plano de tratamento de riscos de uma das organizações, no escopo de seu centro de dados, revelou que, para a eliminação de todos os riscos identificados no escopo, foi adotada a redução por meio de controles, é correto afirmar que tal abordagem está coerente com a prática do gerenciamento de riscos de segurança.

Alternativas
Comentários
  • Acho que o erro está na comparação de:"eliminação de todos os riscos"com"redução por meio de controles" (redução = mitigação).O que vocês acham?
  • Ficou confusa a questão.

    Foi dito "riscos identificados". E a eliminação de todos estes (riscos identificados) por meio de controles.

    Dizer que um erro é aceitável, diz que ele foi tratado, e no caso eliminado.

     

    Se ele não tivesse informado dos riscos "identificados", então realmente estaria errada. Pois é impossível elimitar todos os riscos "não identificados".

    Recurso.

  • Durante o Gerenciamento de Riscos de Segurança da Informação, a adoção de um tipo de tratamento não fará com que os riscos sejam eliminados, mas sim mitigados, ou seja, reduzidos a níveis aceitáveis. O erro está em dizer que os riscos poderiam ser eliminados.

    "... para a eliminação de todos os riscos identificados no escopo ..."
  • ERRADO. O gerenciamento de riscos de segurança prevê que a implementação dos controles deve estar de acordo com a relação custo-benefício. Se o custo para implementação dos controles, visando reduzir todos os riscos identificados no escopo, for maior que o benefício potencial promovido, essa abordagem se torna incoerente com a prática de gerenciamento de riscos.
  • ERRADO.

    Segundo a ISO 27005,p.22,"9.2 Redução do risco

    Ação: Convém que o nível de risco seja reduzido através da seleção de controles, para que o risco residual possa ser reavaliado e então considerado aceitável."

    ---------------------------------

    Segundo a ISO 27001,"3.9 risco residual:risco remanescente após o tratamento de riscos
    "

    **Portanto, a redução de riscos na etapa de tratamento de riscos não eliminará todos os riscos, visto que pode existir riscos residuais aceitáveis,ou seja, riscos que persistem mesmo após o tratamento de risco, e que podem ser aceitos.

  • Existe mais de uma maneira de se tratar o risco: Aceitar, mitigar, evitar, transferir e explorar. No caso da organização em questão foi utilizado apenas um para todos os riscos da organização e isso não faz tanto sentido já que se trata de uma grande quantidade de riscos. As outras formas também encontrariam aplicação.

  • eliminação de todos os riscos identificados no escopo ...

    adotada a redução (?) por meio de controles 

  • ELIMINAR todos os riscos, adotando REDUÇÃO?


ID
144682
Banca
CESPE / CEBRASPE
Órgão
SECONT-ES
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Um órgão público responsável pelo controle externo do
Poder Executivo de uma unidade da Federação desenvolveu um
conjunto de processos de auditoria de conformidade na gestão da
segurança da informação. As organizações para as quais o órgão
presta serviço implementaram sistemas de gestão da segurança da
informação, por força de normas, em aderência aos modelos
desenvolvidos pela ABNT e ISO/IEC, especialmente os
prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez
que várias organizações a serem auditadas já passaram cerca de
dois anos implementando seus sistemas de gestão, um
questionário de avaliação preliminar foi aplicado pelo órgão de
controle externo nas organizações clientes. Diferentes controles
do sistema de segurança da informação foram avaliados pelos
respondentes, tanto os de natureza física e lógica quanto os
organizacionais. A partir do recebimento dos resultados do
questionário preliminar, os auditores efetuaram uma visita à
organização e produziram diversos julgamentos acerca da
possível adequação dos controles implementados aos modelos
das normas mencionadas.

Tendo como referência as informações contidas na situação
hipotética apresentada acima, julgue os itens a seguir, a respeito
do julgamento realizado pelos auditores.

Considere que o plano de classificação de ativos de uma das organizações auditadas valore os ativos usando uma metodologia mista, isto é, empregando ora a valoração qualitativa, ora a valoração quantitativa. Nesse caso, tal abordagem produz desconformidades com o prescrito em modelos da ABNT e da ISO/IEC, uma vez que se deve adotar um ou outro modelo, mas não ambos simultaneamente.

Alternativas
Comentários
  •  Na classificação dos ativos de uma organização poderia ser adota as duas formas de valoração, por exemplo, os projetos da organização poderiam ser classificados em confidenciais ou públicos, esse tipo de valoração seria qualitativa, agora um exemplo de tipo de valoração quantitativa, seria o risco de ocorrer um incêndio no prédio que se encontram meus servidores de banco de dados, 5% de chance.

  • Aqui está o erro da questão: "Nesse caso, tal abordagem produz desconformidades com o prescrito em modelos da ABNT e da ISO/IEC, uma vez que se deve adotar um ou outro modelo, mas não ambos simultaneamente."

    Não produz desconformidade pois a Norma permite a mistura dos dois métodos. 
  • Thiago,
    Em qual norma e em que parte dela eu encontro que permite o uso dos dois métodos ?
  • Lembrando também que a norma cita que é preferível o uso da valoração quantitativa, devido a subjetividade da qualitativa... 

  • Creio que a 27002 não especifica como valorar os ativos. Ela apenas diz o seguinte:


    7.1.1 - Inventário dos ativos


    "[...] (mais informações sobre como valorar os ativos para indicar a sua importância podem ser encontrados na ISO IEC TR 13335-3)"


    Resta ler essa 13335-3 para tentar encontrar essa questão de "qualitativamente vs quantitativamente".

  • ISO 27005. Isso no caso da gestão de riscos por exemplo.

    8.2.2.1 Metodologias para a estimativa de riscos

    A análise de riscos pode ser empreendida com diferentes graus de detalhamento, dependendo da criticidade dos ativos, da extensão das vulnerabilidades conhecidas e dos incidentes anteriores envolvendo a organização. Uma metodologia para a estimativa pode ser qualitativa ou quantitativa ou uma combinação de ambos, dependendo das circunstâncias.


ID
158410
Banca
FCC
Órgão
MPE-RN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Norma que tem como objetivo fornecer recomendações para gestão da segurança da informação para uso por aqueles que são responsáveis pela introdução, implementação ou manutenção da segurança de suas organizações, prover base comum para o desenvolvimento de normas de segurança organizacional e das práticas efetivas de gestão de segurança e prover confiança nos relacionamentos entre organizações:

Alternativas
Comentários
  • Atenção amigos, a 27001 é usada para certificação da empresa. A 27002 é que contém as recomendações detalhadas.

  • Item correto Letra C

    Objetivos das ISO

    ISO 27001 – Sistema de Gestão de SI (SGSI)
    ISO 27002 – Código de Prática para Gestão da SI
    ISO 27003 – Guia Prático p/ Implementar o SGSI
    ISO 27004 – Guia p/ Avaliar a eficácia dos controles
    ISO 27005 – Diretrizes para Gerenciamento de Riscos

    Vale lembrar que a ISO 27004 foi publicada no começo de 2010 e a 27003 ainda será publicada

    no caso da questão, fica fácil responder pois ela fala em "PRÁTICAS EFETIVAS DE GESTÃO DE SEGURANÇA" e quem trata deste assunto é a ISO 27002

  • Questão extremamente subjetiva, tendo em vista que ambas 27001 e 27002 atendem a essa questão.

    Definição da ISO 27001:" Define um modelo para Estabelescer, Implantar, Operar, Monitorar e Analisar Criticamente, Manter e Melhor um SGSI."

    Além do mais, os requisitos 5 – Responsabilidades da Direção, temos

    a) o estabelecimento da política do SGSI;
    b) a garantia de que são estabelecidos os planos e
    objetivos do SGSI;
    c) o estabelecimento de papéis e responsabilidades pela
    segurança de informação;
    d) a comunicação à organização da importância em
    atender aos objetivos de segurança da informação e a
    conformidade com a política de segurança de
    informação, suas responsabilidades perante a lei e a
    necessidade para melhoria contínua;

    O item 5 já responde parte da pergunta, pois fornecer recomendações para gestão da segurança da informação para uso por aqueles(Direção) que são responsáveis pela introdução, implementação ou manutenção da segurança de suas organizações

    No que refere o resto do assertiva

    Trata-se de uma consequência da adoção da 27001 pois a sua implemetação provê a base comum para o desenvolvimento de normas de segurança organizacional e das práticas efetivas de gestão de segurança e prover confiança nos relacionamentos entre organizações: 

     

    DE qualquer forma a Norma 27002 conforme a sua definição também atende a questão!

    A Norma ABNT NBR ISO/IEC-17799 estabelece as diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Também pode ser utilizada como um guia prático para desenvolver os procedimentos de segurança da informação da organização.

    http://pt.wikipedia.org/?title=ISO/IEC_17799



  • A palavra-chave da questão é "recomendações" ....


    27001 - Deve

    27002 - Convém


    []'s



  • Temas abordados em ISO 27000:

     ISO 27001 – Requisitos do SGSI;
     ISO 27002 – Controles de Segurança;
     ISO 27003 – Diretrizes de Implementação;
     ISO 27004 – Medição;
     ISO 27005 – Gestão de Risco;
     ISO 27006 – Auditoria de Segurança.


ID
162871
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

As Normas ISO são um conjunto de regras internacionais que auxiliam as empresas na gestão qualitativa de seus negócios. Para uma empresa se enquadrar dentro da Norma ISO 27002:2005, é preciso um amplo plano de segurança das informações. Um dos requisitos desta Norma é que as atividades essenciais de segurança assegurem, entre outras premissas para a obtenção da certificação ISO, a

Alternativas
Comentários
  • Duas definições dadas para o SGSI na normal 27002

    definição dada na introdução da normal (alvo: gerentes)

    é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio

    definição técnica dada no glossário da norma (antiga definição da introdução)
    é a preservação da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas

    Com relação à primeira definição, cabe dizer que o SGSI garante a competitividade da empresa.
  • Não vou emitir opinião sobre a redação da questão, que provavelmente baseou-se no seguinte trecho da Norma NBR ISO/IEC 27002 :

    0.2 Por que a segurança da informação é necessária?

    A informação e os processos de apoio, sistemas e redes são importantes ativos para os negócios.
    Definir, alcançar, manter e melhorar a segurança da informação podem ser atividades essenciais para assegurar a competitividade, o fluxo de caixa, a lucratividade, o atendimento aos requisitos legais e a imagem da organização junto ao mercado.

  • Vale notar que não existe certificação para a norma 27002 conforme mencionado no enunciado da questão. A banca ratou feio nessa aí.
  • Acredito que a alternativa mais correta para essa questão seja a letra E ("Maturidade"). A essência das normas ISO 27001 e ISO 27002 consiste na implementação de um SGSI baseados nos príncipios do modelo PDCA (Plan, Do, Check, Act). Tal modelo é cíclico justamente pelo fato da busca incessante pela melhoria contínua da segurança da informação. Portanto Planejamos a SI através do estabelecimento de políticas, procedimentos e objetivos, Realizamos a implementação e operação da política, procedimentos e objetivos, checamos para averiguar se as atividades de segurança da informação estão sendo realizadas conforme o planejado e finalmente executamos ações corretivas ou preventivas com vistas à MELHORIA CONTÍNUA da SGSI na organização. Vejamos a definição de maturidade no dicionário:
       MATURIDADE:  Efeito ou circunstância de quem se encontra numa fase adulta; estado das pessoas ou das coisas que atingiram completo desenvolvimento: maturidade comportamental, mental etc. Momento do que se encontra no último estágio do desenvolvimento; evolução

    Ora, maturidade é sinônimo de evolução e é justamente isso que ocorre nas atividades de segurança da informação distribuídas pelo modelo PDCA. Todas elas visam justamente alcançar um nível de excelência em Segurança da Informação continuamente.
  • Afirmar que um SGSI assegura (garante) a competitividade de uma empresa é viajar (muito...) e mostra que o avaliador nÃo tem a MINÍMA noção de gestão empresarial.  A competitividade de uma empresa é MUITO mais ampla que  qualquer sistema de segurança. Envolve mercado, concorrentes, oportunidades, liquidez da empresa, ramo de atividade etc...
    Questão facilmente anulável (ou pelo menos deveria ser).
  • Nosso colega acima já respondeu a questão, mas a título de curiosidade segue uma informação a mais que notei alguns colegas com dúvida.

    Segungo Aragon(2012, p.426),"A empresa é certificada na norma ISO/IEC 27001. [...] No âmbito pessoal, existe a certificação ISO/EEC 27002 FOUNDATION, que visa atestar a proficiência dos profissionais nos fundamentos da norma."

    Bibliografia:

    IMPLANTANDO A GOVERNANÇA DE TI-3 EDIÇÃO 2012-ARAGON

  • Não precisa ter AUSTERIDADE não, os controles podem ser todos froxos que funcionam tsc tsc tsc


ID
162955
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a NBR/ISO 27002, Segurança da Informação é a proteção da informação de vários tipos de ameaças para

Alternativas
Comentários
  • Essa questão foi praticamente copiada da norma.... temos na Introdução no item 0.1 O que é Informação?  No parágrafo 3:

     

    Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.

    Observe que a definição coloca sempre itens relacionados ao NEGOCIO.

     

  • não entendi o problema da letra e !!

  • Onde consigo a norma gratuitamente?


ID
162958
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Segundo a NBR/ISO 27002, o objetivo da proteção contra códigos maliciosos e códigos móveis é proteger a

Alternativas
Comentários
  • No item 10.4 Proteção contra códigos maliciosos e códigos móveis, temos:

     

    Objetivo: Proteger a integridade do software e da informação.

    Precauções são requeridas para prevenir e detectar a introdução de códigos maliciosos e códigos móveis não autorizados.

    Os recursos de processamento da informação e os softwares são vulneráveis à introdução de código malicioso, tais como vírus de computador, worms de rede, cavalos de tróia e bombas lógicas. Convém que os usuários estejam conscientes dos perigos do código malicioso. Convém que os gestores, onde apropriado, implantem controles para prevenir, detectar e remover código malicioso e controlar códigos móveis.

     


  • Compartilhando uma dúvida que tive, já sanada: "“Código móvel” é um código que tem sua  fonte em um sistema remoto possivelmente “não confiável” porém executado em um sistema local.
    Esse conceito de “código móvel” tem recebido diversos nomes: agentes móveis,  downloadable code, conteúdo executável, cápsulas ativas, código remoto e outros. Todos lidam com a execução local de código com fonte remota."
  • Q54317

    As normas da família ISO/IEC 27000 convergem para o Sistema de Gestão de Segurança da Informação (SGSI), tendo como as normas mais conhecidas as ISO 27001 e ISO 27002. São relacionadas à segurança de dados digitais ou sistemas de armazenamento eletrônico. O conceito de segurança da informação vai além do quesito informático e tecnológico, apesar de andarem bem próximos. O SGSI é uma forma de segurança para todos os tipos de dados de informações, e possui quatro atributos básicos:

    ·         Confidencialidade;

    ·         Integridade;

    ·         Disponibilidade;

    ·         Autenticidade.

    O item 10 da ISO/IEC 27002 trata sobre o “Gerenciamento das operações e comunicação”.  Possui como subitem o 10.4, que trata da proteção contra códigos maliciosos e códigos móveis, tendo como objetivo proteger a integridade do software e da informação.

     

    Um código malicioso, também conhecido como malware é um programa de computador destinado a infiltrar-se em um sistema de computador alheio de forma ilícita, com o intuito de causar alguns danos, alterações ou roubo de informações, sejam elas confidenciais ou não. Ele pode aparecer na forma de código executável, scripts de conteúdo ativo, e outros softwares. “Malware” é um termo geral utilizado para se referir a uma variedade de formas de software hostil ou intruso.

    Código móvel é um código que tem sua fonte em um sistema remoto possivelmente não confiável, porém executando em um sistema local. A popularização das redes de computadores tornou a transferência de dados uma atividade corriqueira, como códigos executáveis também se traduzem em dados, as transferências deles também cresceram e cada vez mais têm sido feitas de forma automática. Muitas vezes é difícil identificar o que está executando em uma máquina, mais ainda, se for o caso de um código móvel que pode executar deixando pouco ou nenhum rastro. Por isso a questão da segurança é um aspecto fundamental a ser observado com o intuito de evitar a execução de códigos maliciosos.

  • Quantos vazamentos não são feitos devido à códigos móveis?

    Um absurdo a banca considerar apenas a INTEGRIDADE como resposta...o certo seria CONFIDENCIALIDADE também, no mínimo...


ID
162964
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A empresa Consultores Financeiros, em conformidade com o prescrito na NBR/ISO 27002, realiza, periodicamente, a análise crítica da Política de Segurança da Informação da empresa. A Norma sugere que as entradas para a análise crítica pela direção incluam diversas informações, entre elas,

Alternativas
Comentários
  • Convém que as entradas para a análise crítica pela direção incluam informações sobre:

    a) Realimentação das partes interessadas.
    b) Resultados de análises criticas intependentes;
    c) Situação de ações preventivas e corretivas;
    d) Resultado de análises críticas anteriores feitas pela direção;
    e) Desempenho do processo e conformidade com a politica de segurança da informação;
    f) Mudanças que possam afetar o enfoque da organização para gerenciar a segurança da informação;
    g) Tendências relacionadas com as ameaças e vulnerabilidades;
    h) Relatos sobre incidentes de segurança da informação;
    i)  Recomendações fornecidades por autoridades relevantes;

    Logo, a resposta certa é a letra A
  • Vamos aproveitar o ensejo para ver também as saídas da análise crítica pela direção:

    Convém que as saídas da análise crítica pela direção incluam quaisquer decisões e ações relacionadas a:
    a)  melhoria do enfoque da organização para gerenciar a segurança da informação e seus processos;
    b)  melhoria dos controles e dos objetivos de controles;
    c)  melhoria na alocação de recursos e/ou de responsabilidades. 

    Bons estudos.
  • Seção 5.1.2 da Norma.
  • A ISO/IEC 27002 é um padrão de segurança da informação publicado pelo Organização Internacional de Normalização (ISO) e pela Comissão Eletrotécnica Internacional (IEC), intitulada Tecnologia da Informação – Técnicas de Segurança – Código e Prática para controles de segurança da informação.

    O item 5 da norma trata sobre a “Política de segurança da informação” e no subitem 5.1.2 trata sobre “Análise crítica da política de segurança da informação”, que diz que é conveniente que a segurança da informação seja analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

    Como diretrizes para implementação da “Análise crítica da política de segurança da informação” a Norma diz que a política de segurança da informação deve possuir um gestor que tenha responsabilidade de gestão aprovada para desenvolvimento, análise crítica e avaliação da política de segurança da informação. A análise crítica deve incluir a avaliação de oportunidades para melhoria da política de segurança da informação da organização e ter um enfoque para gerenciar a segurança da informação em resposta às mudanças ao ambiente organizacional, às circunstâncias no negócio, às condições legais ou ao ambiente técnico.

    É conveniente que a análise crítica da política de segurança da informação leve em consideração os resultados da análise crítica pela direção. É conveniente também que sejam definidos procedimentos para análise crítica pela direção, incluindo uma programação ou um período para análise crítica.

    As entradas para a análise crítica pela direção devem incluir informações sobre:

    a)      Realimentação das partes interessadas;

    b)      Resultados de análises críticas independentes;

    c)       Situação de ações preventivas e corretivas;

    d)      Resultados de análises críticas anteriores feitas pela direção;

    e)      Desempenho do processo de conformidade com a política de segurança da informação;

    f)       Mudanças que possam afetar o enfoque da organização para gerenciar a segurança da informação, incluindo mudanças no ambiente organizacional, nas circunstâncias do negócio, nas disponibilidades dos recursos, nas questões contratuais, regulamentadores e de aspectos legais ou no ambiente técnico;

    g)      Tendências relacionadas com as ameaças e vulnerabilidades;

    h)      Relato sobre incidentes de segurança da informação;

    i)        Recomendações fornecidas por autoridades relevantes;

    As saídas da análise crítica pela direção devem incluir quaisquer declarações e ações relacionadas a:

    a)      Melhoria do enfoque da organização para gerenciar a segurança da informação e seus processos;

    b)      Melhoria dos controles e dos objetivos dos controles;

    c)       Melhoria na alocação de recursos e/ou de responsabilidades.

    É importante que um registro da análise crítica feita pela direção seja mantido.

  • 5.1.2 - Análise Critica da Política:

    A- item g OK

    B- A declaração de comprometimento da direção deve se dar com a criação da política.

    C- como diz o item f, apenas mudanças na estrutura devem servir de entrada, caso existam

    D- ações relacionadas à melhoria dos controles - acho que tem a ver com o item c - situação das ações corretivas e preventivas!

    E- Saída


ID
163627
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A NBR/ISO 27002, em Gestão de Ativos, prescreve o seguinte controle para a Classificação da Informação: "Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização." Para implementação desse controle, a Norma recomenda, entre outras, a seguinte diretriz:

Alternativas
Comentários
  • a) Errado.

    Justificativa: O texto citado na letra A é um controle e não uma diretriz.

    b) Errado.

    Justificativa: Informações são ativos de informação. Os ativos associados com os recursos de processamento da informação podem ser ativos de software, de serviço ou ativos físicos. Logo, é incorreto afirmar que o proprietário do ativo informação seja responsável por assegurar que as informações e os ativos associados com os recursos de processamento da informação estejam adequadamente classificados.

    c) Errado

    Justificativa: A diretriz citada na letra C está relacionada ao controle "Convém que um conjunto apropriado de procedimentos para rotulação e tratamento da informação seja definido e implementado de acordo com o esquema de classificação adotado pela organização" e não ao controle citado no enunciado da questão.

    d) Errado

    Justificativa: A diretriz citada na letra D está relacionada ao controle "Convém que um conjunto apropriado de procedimentos para rotulação e tratamento da informação seja definido e implementado de acordo com o esquema de classificação adotado pela organização" e não ao controle citado no enunciado da questão.

    e) Certo

    Justificativa: A diretriz citada na letra E está relacionada ao controle citado no enunciado da questão.

    convém que a classificação da informação e seus respectivos controles de proteção levem em consideração as necessidades de compartilhamento ou restrição de informações e os respectivos impactos nos negócios associados com tais necessidades.
  •  A resposta a esta questão é uma cópia de uma diretriz da Norma ISO 27002, que encontra-se em:
    Seção 7 - Gestão de ativos.
       Item: 7.2 - Classificação da Informação.
          SubItem: 7.2.1 - Recomendações para classificação.
    Onde, em sua primeira diretriz para implementação cita:
    "Convém que a classificação da informação e seus respectivos controles de proteção levem em consideração as necessidades de compartilhamento ou restrição de informações e os respectivos impactos nos negócios, associados com tais necessidades"
    Logo, resposta correta, letra e.
    Espero ter colaborado

  • Dada as respostas dos colegas acima, só posso lamentar que a Cesgranrio utilize de um puro DECOREBA da norma em questão de concurso; esta questão não diferencia aqueles que sabem daqueles que não sabem; só diferencia aqueles que DECORARAM o texto e aqueles que chutaram bem.

    No caso da questão, dava para ter chutado bem.
  • Na alternativa E, o trecho "as necessidades de compartilhamento ou restrição de informações" diz respeito ao conceito de sensibilidade, e o trecho "os respectivos impactos nos negócios associados com tais necessidades" diz respeito ao conceito de criticidade. Ambos os conceitos estão citados no enunciado do controle. Por meio dessa dedução, talvez fosse possível resolver a questão sem simplesmente ter decorado a norma.
  • A Cesgranrio se superou nessa questão, pois as informações das demais alternativas existem na norma, estão corretas, e pra piorar, estão dentro do mesmo capítulo (7. Gestão de Ativos), só que em tópicos diferentes.

    Letra A - Tópico 7.1.3 Uso aceitável dos ativos
    Letra B - Tópico 7.1.2 Proprietário dos ativos
    Letra C - Tópico 7.2.2 Rótulos e tratamento da informação
    Letra D - Tópico 7.2.2 Rótulos e tratamento da informação
    Letra E - Tópico 7.2.1 Recomendações para classificação

    A banca queria que o candidato além de decorar as informações das 132 páginas da norma, decorasse também como ela está estruturada em seus subitens. Realmente foi pra derrubar os candidatos.
  • Pessoal, não adianta "brigar" com a banca. O objetivo da seção COMENTÁRIOS na minha opinião é o de que possamos compartilhar maneiras de "como" resolver as questões. Nesse sentido, no meu ponto de vista, o comentário que mais ajudou foi o que "pesco"u os conceitos de SENSIBILIDADE - "compartilhamento ou restrição de informações" e CRITICIDADE - "... impactos nos negócios associados com tais necessidades"
  • Quero deixar meu apoio aos amigos que acharam esta questão um absurdo. Acho importante criticar sempre que aparecem questões deste nível. Manifestar-se contra demonstra que existe um quantitativo de pessoas disposta a fazer deste meio no qual trabalhamos uma área melhor, que rebaixa o conceito de bancas e examinadores preguiçosos que copiam e colam textos enormes de normas maiores ainda. Creio que todos aqui queremos focar em estudos que contribuem com a prática do dia a dia, tornando-nos profissionais melhores, independentemente das aprovações, e questões deste tipo só criam alienados decoradores de texto, e isto não queremos para nós.

  • Segundo a ISO 27002:2013,8.2.1 Classificação da informação

    Convém que a classificação e os controles de proteção, associados para a informação, leve em consideração as necessidades do negócio para compartilhar ou restrigir a informação bem como os requisitos legais. Convém que outros ativos além dos ativos de informação também sejam classificados de acordo com a classificação da informação armazenada, processada, manuseada ou protegida pelo ativo."


ID
186823
Banca
FCC
Órgão
TRE-RS
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre auditoria no sistema de segurança da informação, considere:

I. Um critério de auditoria pode ser uma norma ou um conjunto de políticas, procedimentos ou requisitos.

II. O programa de auditoria precisa garantir a melhoria contínua e, para tanto, utilizar o ciclo PDCA.

III. A utilização de uma metodologia de gestão de projetos associada à etapa de implementação do programa de auditorias gera resultados muito positivos.

IV. Os procedimentos de auditoria precisam ser definidos mas não devem fazer parte da política de segurança da informação.

Está correto o que consta em

Alternativas
Comentários
  • Correta letra D

    IV - O grande erro é comentar que os procedimentos de auditoria que precisam ser definidos não devem fazer parte da política de segurança da informação.   Claro que deve, pois do contrário teríamos diversos sistemas sem a devida segurança necessária.

  • Segundo a norma ISO 27002, no item 10.10 Monitoramento, "convém que os sistemas sejam monitorados e eventos de segurança da informação sejam registrados".

  • fui de i, ii e iii pq o pdca é manjado, mas não concordo que seja a ÚNICA opção para quem "precisa" trabalhar com melhoria contínua. Qual o impedimento de usar outro conjunto de letrinhas que não seja o PDCA? Se alguém inventa outra letra entre o C e A ou retira uma etapa, mas mantem a essencia da melhoria contínua, qual o problmea? Ainda mais que a questão não remete e nenhuma regulamentação.

  • Não sei se os procedimentos deveriam se encaixar em um documento de política...


ID
195496
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da gestão de segurança da informação, julgue os itens a
seguir com base nas Normas NBR ISO/IEC 27001 e 27002.

Os requisitos do negócio para o processamento de informação, que uma organização tem de desenvolver para apoiar suas operações, estão entre as fontes principais de requisitos de segurança da informação.

Alternativas
Comentários
  • 4  Sistema de gestão de segurança da informação
    4.1 Requisitos gerais
    A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um
    SGSI documentado dentro do contexto das atividades de  negócio globais da organização e os riscos que ela
    enfrenta.

     

    FONTE: ISO27001

  • Existem três fontes principais.

    A primeira fonte é derivada da avaliação de risco dos ativos da organização. Através da avaliação de risco são identificadas as ameaças aos ativos, as vulnerabilidades e sua probabilidade de ocorrência é avaliada, bem como o impacto potencial é estimado.

    A segunda fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros, contratados e prestadores de serviço têm que atender.

    A terceira fonte é o conjunto particular de princípios, objetivos e requisitos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.



    Fonte: http://www.webartigos.com/articles/20197/1/SEGURANCA-DA-INFORMACAO/pagina1.html#ixzz1IZg8S8TU
  • O comentário anterior pode ser encontrado no item 0.3 da ISO 27002, assim descrito:

    0.3 Como estabelecer requisitos de segurança da informação 

    É essencial que uma organização identifique os seus requisitos de segurança da informação. Existem três fontes principais de requisitos de segurança da informação.
    1. Uma fonte é obtida a partir da análise/avaliação de riscos para a organização, levando-se em conta os objetivos e as estratégias globais de negócio da organização. Por meio da análise/avaliação de riscos, são identificadas as ameaças aos ativos e as vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio.
    2. Uma outra fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que atender, além do seu ambiente socioculturual.
    3. A terceira fonte é um conjunto particular de princípios, objetivos e requisitos do negócio para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.
  • AINDA CORRETO CONFORME A VERSÃO DE 2013 DA NORMA

    SEGUNDO A ISO 27002:2013,"0.2 Requisitos de segurança da informação
    É essencial que uma organização identifique os seus requisitos de segurança da informação.
    Existem três fontes principais de requisitos de segurança da informação.

    c)A terceira fonte são os conjuntos particulares de princípios, objetivos e os requisitos do negócio para o manuseio, processamento, armazenamento, comunicação e arquivo da informação, que uma organização tem que desenvolver para apoiar suas operações."


ID
195499
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da gestão de segurança da informação, julgue os itens a
seguir com base nas Normas NBR ISO/IEC 27001 e 27002.

A Norma NBR ISO/IEC 27001 estabelece o código de prática para a gestão da segurança da informação e a Norma NBR ISO/IEC 27002 trata dos requisitos dos sistemas de gestão de segurança da informação.

Alternativas
Comentários
  • Questão errada.

    A CESPE inverteu o significado das normas. É justamente o inverso, coisa do CESPE.

  •  A Norma NBR ISO/IEC 27001 estabelece o código de prática para a gestão da segurança da informação e a Norma NBR ISO/IEC 27002 trata dos requisitos dos sistemas de gestão de segurança da informação.

    O CESPE inverteu os significados das Normas.

    A Norma NBR ISO/IEC 27001 trata dos requisitos dos sistemas de gestão de segurança da informação, enquanto a Norma NBR ISO/IEC 27002 - antiga NBR ISO/IEC 17799 - estabelece o código de práticas para a gestão da segurança da informação.

  • Em outras palavras, a 27001 nos dá as diretrizes enquanto que a 27002 nos dá as boas práticas.


ID
195502
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da gestão de segurança da informação, julgue os itens a
seguir com base nas Normas NBR ISO/IEC 27001 e 27002.

Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos do sistema de gestão da segurança da informação (SGSI), constata-se que, no SGSI, o do (fazer) equivale a executar as ações corretivas e preventivas para alcançar a melhoria contínua do SGSI.

Alternativas
Comentários
  • Questão errada.

    No act (agir) é que "equivale a executar as ações corretivas e preventivas para alcançar a melhoria contínua do SGSI."

  • Plan é a fase de planejamento.

    Do é a fase de implementação.

    Check é a fase de verificação, de análise.

    Act é a fase de corrição ou melhoramento.

  • Só para registrar aqui uma fonte que confirma as opniões anteriores

    FONTE: ISO27001

    Plan (planejar) (estabelecer o SGSI) 

    Estabelecer a política, objetivos, processos e procedimentos do
    SGSI, relevantes para a gestão de riscos e a melhoria da
    segurança da informação para produzir resultados de acordo
    com as políticas e objetivos globais de uma organização.


    Do (fazer) (implementar e operar oSGSI)
    Implementar e operar a política, controles, processos e
    procedimentos do SGSI.


    Check (checar) (monitorar e analisar criticamente o SGSI)
    Avaliar e, quando aplicável, medir o desempenho de um
    processo frente  à política, objetivos e experiência prática do
    SGSI e apresentar os resultados para a análise crítica pela
    direção.   


    Act (agir) (manter e melhorar o SGSI) 

    Executar as ações corretivas e preventivas, com base nos
    resultados da auditoria interna do SGSI e da análise crítica pela
    direção ou outra informação pertinente, para alcançar a
    melhoria contínua do SGSI.

  • Para facilitar a decoreba, o professor Gleyson criou um acróstico interessante: EIOMAM

    EEstabelecer
    IOImplementar e Operar
    MAMonitorar e Analisar criticamente
    MMManter e Melhorar.

    Eles estão para o PDCA como exposto na resposta anterior.

    Veja:
    PDCA = EIOMAMM

    Se relacionam da seguinte forma: 
    P = E
    D = IO
    C = MA
    A = MM

    Isso me ajudou bastante a mentalizar estes conceitos. Espero que te ajude também.
  • Acho que mesmo sem conhecer profundamente a norma, poderíamos pensar que, se a fase de chama plan (planejar), não há que se falar em ações corretivas já que, pela lógica, ações deste tipo são tomadas APÓS a implementação do SGSI.

  • A ISO 27001 "abandonou" o modelo PDCA, uma vez que ela deixou

    de preconizar um modelo para prover requisitos;


ID
195505
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da gestão de segurança da informação, julgue os itens a
seguir com base nas Normas NBR ISO/IEC 27001 e 27002.

Estão entre os objetivos da segurança da informação a garantia da continuidade do negócio, a minimização dos riscos para o negócio e a maximização do retorno sobre os investimentos.

Alternativas
Comentários
  • Na introdução da 27002 consta:

    Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio,  maximizar o retorno sobre os investimentos e as oportunidades de negócio.
  • acabei de ver uma questão onde CONTINUIDADE não tinha nada a ver com SEGURANÇA.
    nesta outra questão está correto, blz, valeu CESPE.
  • Amigos vou repetir o primeiro comentário SÓ para citar a fonte e a página para ajudar aqueles que não encontraram a resposta.

    Segundo a ISO 27002,p.9,Seção 0.1, "

    0.1 O que é segurança da informação?

    Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio."


ID
208834
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança da informação procura garantir a preservação da
confidencialidade, a integridade e a disponibilidade da informação.
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999, julgue os itens seguintes.

Um incidente de segurança da informação refere-se a um ou mais riscos não desejados ou esperados que possuem significativa probabilidade de comprometer os ativos de informação e ameaçam a segurança da informação.

Alternativas
Comentários
  • Incidente é uma ameça que aconteceu, o texto da questão está se referindo a ameças e não incidente.

  • Desculpe, mas tenho que discordar do colega.

    Segundo a ISO 27001, um incidente de segurança é um simples ou uma série de EVENTOS de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

    Logo, o erro da questão está ao afirmar que um incidente refere-se a um ou mais riscos.

  • Mas como o conceitos de riscos é:

           Risco - combinação da probabilidade de um evento e de suas consequências.

    , no meu entendimento o risco envolve o evento, conseguentemente a questão estaria correta.
  • Caro Amarildo,

    Um risco envolve a PROBABILIDADE de um evento e não a ocorrencia do evento em si. Por isso a questão está errada, conforme a explicação da Thays. E além disso temos que são eventos INesperados.
  • Para confirmar, incidente é um simples evento ou uma série de eventos de segurança da informação INDESEJADOS ou INESPERADOS, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. 
  • Outro ponto importante ainda não comentado é que a questão afirma " (...) que possuem significativa probabilidade de comprometer os ativos de informação(...)". Deve haver probabilidade de comprometimento das operações de negócio, não dos ativos.
  • Senhores a Thays não citou a fonte completa, vou só citar para facilitar o estudo de vocês. Ela encontrou a resposta na norma ISO 27001. Segue a bibliografia da mesma resposta na ISO 27002.


    Seção

    2 TERMOS E DEFINIÇÕES
    2.7 incidente de segurança da informação


    Segundo ISO 27002, p. 22 "Um incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação."
  • Assertiva incorreta.
    Gente, temos que nos atentar a norma que está sendo cobrada aqui que é a ISO 27005 que tem uma visão um pouco diferente da norma ISO 27001.
    Um Incidente de segurança da Informação é quando ele já aconteceu. Então não é algo que tem probabilidade de acontecer. Nesse segundo caso é o RISCO
    Para deixar mais claro vou dar um exemplo:
    Eu tenho um servidor que não está devidamente atualizado com as últimas atualizações de segurança do fabricante. (Existe o risco, porque se já existe a atualização significa que já se tornou uma falha conhecida = vulnerabilidade no meu ativo = servidor. Mas ninguém = ameaça invadiu ou explorou tal vulnerabilidade do meu ativo.)
    No final de semana, um ATACANTE consegue invadir o meu servidor através da vulnerabilidade do meu ativo. (Então neste caso obtivemos um incidente de segurança da informação. Porque a ameaça conseguiu explorar a vulnerabilidade do meu ativo. Aconteceu.)

    Motorista bêbado = Risco de acidente. (Risco)
    Bateu ou atropelou alguém = Acidente concretizado (Incidente)

  • Concordo Daniel, mas um incidente não tratado vira um risco novamente!
    Afinal, para que serviria um incidente, dentro da política de segurança de uma instituição - uma vez que ele já ocorreu, com suas possíveis consequências - se não fosse para ser considerado um risco e tratado?
    Isso é uma prova sobre um tema que vamos usar enquanto funcionários públicos ou uma prova infantil de memorização?
    Devemos lembrar que a 27.001 se baseia no ciclo PDCA, que é um ciclo de negócios contínuos...ou seja, um incidente é um risco sim! E isso, mesmo que aquele incidente já estivesse sendo considerado como risco residual ou aceitável...
    Acho que pra ser professor de faculdade e poder fazer questão, deveria que ter, tipo, 10 anos de experiência comprovada no mercado...Sou Analista de TI de uma Federal...e o que acaba com o universo da inteligência e do talento, chama-se stricto sensu!


ID
208837
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança da informação procura garantir a preservação da
confidencialidade, a integridade e a disponibilidade da informação.
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999, julgue os itens seguintes.

São exemplos de ativos de uma organização a informação e os processos de apoio, sistemas e redes. Os requisitos de segurança, em uma organização, são identificados por meio de análise sistemática dos riscos de segurança.

Alternativas
Comentários
  • Os processos de apoio são ativos também?  Alguém confirma? Pelo que li na 17799 parece que sim. 

    Fonte: http://www.e-services.com.br/portal/artigos/NBRISO17799R1.pdf

    Exemplos de ativos associados com sistemas de informação são: 
    a) ativos de informação: base de dados e arquivos,  documentação de sistema, manuais de usuário, material de 
    treinamento, procedimentos de suporte ou operação,  planos de contingência, procedimentos de recuperação, 
    informações armazenadas

    b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários; 
     
    c) ativos físicos: equipamentos computacionais (processadores, monitores,  laptops,  modems), equipamentos de 
    comunicação (roteadores, PABXs, fax, secretárias eletrônicas), mídia magnética (fitas e discos), outros equipamentos 
    técnicos (no-breaks, ar-condicionado), mobília, acomodações; 
     
    d) serviços: computação e serviços de comunicação,  utilidades gerais, por exemplo aquecimento, iluminação, 
    eletricidade, refrigeração.
  • Certo. Quanto a segunda parte da questão(segunda oração) segue a fonte da resposta.

    Segundo a ISO 27002,p.10,"

    0.4 Analisando/avaliando os riscos de segurança da informação

    Os requisitos de segurança da informação são identificados por meio de uma análise/avaliação sistemática dos

    riscos de segurança da informação. Os gastos com os controles precisam ser balanceados de acordo com os

    danos causados aos negócios gerados pelas potenciais falhas na segurança da informação."


ID
208840
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança da informação procura garantir a preservação da
confidencialidade, a integridade e a disponibilidade da informação.
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999, julgue os itens seguintes.

Entre os ativos associados a sistemas de informação em uma organização, incluem-se as bases de dados e arquivos, os aplicativos e os equipamentos de comunicação (roteadores, secretárias eletrônicas etc.).

Alternativas
Comentários
  • Uma secretária eletrônica não é um ativo, pois ela não faz parte do negócio da organização.

  • E se a secretária eletrônica tivesse algum dado confidencial? Isso faria sentido? Grato.

  • Realmente a secretária eletrônica é um ativo, já que ativo pode ser qualquer hardware, software ou informação dentro da empresa que tenha importância para ela. Inclusive os funcionários e a própria reputação da empresa são ativos. O que eu acho que pegou foi ao se falar de aplicativos, já que isso é muito amplo. Por exemplo: O word e excel são aplicativos, mas para muitas empresas estes não são considerados ativos (eu acho rs)...
  • A questão fala especificamente de ativos associados a sistemas de informaçao. Acho que o peguinha da questão é esse.
    A secretária eletrônica e outros equipamentos de comunicação se enquadrariam como ativos físicos, segundo a norma, e não como associados a sistemas de informação (estes últimos, ativos de informação).
  • Os ativos são classificados como: ativos de informação, ativos de software, ativos físicos e serviços. Apenas as "bases de dados e arquivos" são ativos associados a sistemas de informação.  Aplicativos é associado aos ativos de software e equipamentos de comunicação aos ativos físicos.
  • De acordo com a norma ISO 27002:

    2.1 Ativo:
    Qualquer coisa que tenha valor para a organização.

    Agora me digam, uma secretária eletrônica tem ou não valor para uma organização!? Ao meu ver, dependendo da organização, uma secretária eletrônica pode sim ter valor para a organização. Pois ela pode gravar mensagens, conversas, identificar chamadas etc... Coisas que podem sim terem muito valor para uma organização!

    Acho que a CESPE só quis mesmo foi sacanear com nossa cara com essa questão...

    (questão deve ser reavaliada!)
  • Questão polêmica!!! Podemos ficar horas discutindo se a secretária eletrônica é ou não um ativo do sistema de informação. Na minha opinião, como a de amigos acima, a secretária eletrônica é sim um ativo do sistema de informação.
  • Infelizmente teremos que seguir a "idéia da banca". Nesse caso, o cespe nos diz claramente que não aceita a generalização dos ativos associados a sistemas de informação. É aquela história, cada qual com seu cada qual....
  • O Texto da questão é um trecho da versão de abril de 2001 como segue:

    5.1.1 Inventário dos ativos de informação
    (...)

    Exemplos de ativos associados com sistemas de informação são:
    a) ativos de informação: base de dados e arquivos, documentação de sistema, manuais de usuário, material de
    treinamento, procedimentos de suporte ou operação, planos de contingência, procedimentos de recuperação,
    informações armazenadas;
    b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;
    c) ativos físicos: equipamentos computacionais (processadores, monitores, laptops, modems), equipamentos de
    comunicação (roteadores, PABXs, fax, secretárias eletrônicas), mídia magnética (fitas e discos), outros equipamentos
    técnicos (no-breaks, ar-condicionado), mobília, acomodações;
    d) serviços: computação e serviços de comunicação, utilidades gerais, por exemplo aquecimento, iluminação,
    eletricidade, refrigeração.


    porém a versão 27002 de 2005 retira secretária eletrônica.


    fonte:
    http://www.e-services.com.br/portal/artigos/NBRISO17799R1.pdf




  • Independente de considerarmos a secretária eletrônica como ativo associados a sistemas de informação ou não, a questão continuaria ERRADA. Como já citado acima, aplicativos fazem parte de ativos de SOFTWARE  e equipamentos de comunicação fazem parte dos ATIVOS FISÍCOS. A questão pergunta ESPECIFICAMENTE sobre ativos associados ao SISTEMA DE INFORMAÇÃO.
  • A ISO 27002:2013 NA SEÇÃO DE GESTÃO DE ATIVOS NÃO TRAZ MAIS ESSA CLASSIFICAÇÃO DE ATIVOS. A NORMA ISO 27005:2011 TRAZ UMA FORMA DE CLASSIFICÁ-LOS.

    Segundo a ISO 27005:2011,

    "B.1 Exemplos de identificação de ativos

    Dois tipos de ativos podem ser distinguidos:
    �- Ativos primários:
    �       Processos e atividades do negócio
    �       Informação

    _____________________
    -� Ativos de suporte e infraestrutura (sobre os quais os elementos primários do escopo se apoiam), de todos os tipos:
    �      Hardware
    �      Software
    �      Rede
    �      Recursos humanos
    �      Instalações físicas
    �      A estrutura da organização"

  • Entre os ativos associados a sistemas de informação em uma organização, incluem-se as bases de dados e arquivos, os aplicativos e os equipamentos de comunicação (?) (roteadores, secretárias eletrônicas etc.).


ID
208843
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança da informação procura garantir a preservação da
confidencialidade, a integridade e a disponibilidade da informação.
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999, julgue os itens seguintes.

Uma organização deve ser capaz de inventariar seus ativos, identificar seus respectivos valores e importâncias e indicar um proprietário responsável por eles. A informação deve ser classificada em termos de sua utilidade, adequabilidade e nível de segurança.

Alternativas
Comentários
  • De acordo com as Normas de Segurança da Informação NBR ISO/IEC 27002 temos:

    7. Gestão de ativos

    7.2 Classificação da Informação

    7.2.1 Recomendações para classificação

    A informação deve ser classificada em termos de seu valor, requisitos legais, sensibilidade e criticidade para a organização.

  • Só complementando o colega: a sensibilidade de um dado diz respeito ao seu sigilo, isto é, quanto mais sensível o ativo mais sensível este é. E quanto mais crítico o ativo, maior será o impacto para empresa caso o ativo seja roubado ou danificado.
  • A.7 Gestão de Ativos

    A.7.2 Classificação da Informação

    A7.2.1 Recomendações para classificação

    A informação deve ser classificada em termos de seu valor, requisitos legais, sensibilidade e criticidade para a organização.
    Fonte: Pág. 16, ABNT NBR ISO/IEC 27001:2006

     

  • A informação deve ser classificada em termos de seu VALOR, REQUISITOS LEGAISSENSIBILIDADE e CRITICIDADE para a organização.


ID
208846
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança da informação procura garantir a preservação da
confidencialidade, a integridade e a disponibilidade da informação.
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999, julgue os itens seguintes.

É conveniente que, na classificação das informações e seu respectivo controle de proteção, considerem-se as necessidades de compartilhamento ou restrição de informações. Ao se tornar pública, uma informação frequentemente deixa de ser sensível ou crítica.

Alternativas
Comentários
  • 7.2 Classificação da informação
    7.2.1 Recomendações para classificação

    Informações adicionais
    A informação freqüentemente deixa de ser sensível ou crítica após um certo período de tempo, por exemplo quando a informação se torna pública.
    ABNT NBR ISO/IEC 27002
  • Ainda segundo a ISO 27002,"

    7.2.1 Recomendações para classificação

    Diretrizes para implementação

    Convém que a classificação da informação e seus respectivos controles de proteção levem em consideração as necessidades de compartilhamento ou restrição de informações e os respectivos impactos nos negócios , associados com tais necessidades."

  • O CESPE omitiu a informação " ... após certo período de tempo .." contido na norma. Isso dá a entender que a informação tem possibilidade de ter vazado e independentemente disso ela deixa de ser sensível ou crítica, o que é claramente errado.

    Mas é isso aí, até porque não é a Norma que dita as regras né, é a banca.


ID
208849
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

O acesso físico e lógico de terceiros aos recursos de processamento da informação da organização devem ser controlados. Um exemplo de acesso lógico é o acesso aos bancos de dados da organização.

Alternativas
Comentários
  • 6.2.1 Identificação dos riscos relacionados com partes externas
    Controle
    Convém que os riscos para os recursos de processamento da informação e da informação da organização
    oriundos de processos do negócio que envolva as partes externas sejam identificados e controles apropriados
    implementados antes de se conceder o acesso.
    Diretrizes para implementação
    Convém que uma análise/avaliação de riscos (ver seção 4) seja feita para identificar quaisquer requisitos de
    controles específicos, onde existir uma necessidade que permita o acesso de uma parte externa aos recursos
    de processamento da informação ou à informação de uma organização. Convém que a identificação de riscos
    relativos ao acesso da parte externa leve em consideração os seguintes aspectos:
    a) os recursos de processamento da informação que uma parte externa esteja autorizada a acessar;
    b) tipo de acesso que a parte externa terá aos recursos de processamento da informação e à informação,
    como, por exemplo:
    1) acesso físico ao escritório, sala dos computadores, gabinetes de cabeamento;
    2) acesso lógico ao banco de dados da organização e aos sistemas de informações;
    3) rede de conexão entre a organização e a rede da parte externa, como, por exemplo, conexão
    permanente, acesso remoto;
    4) se o acesso vai ser dentro ou fora da organização;
    c) valor e a sensibilidade da informação envolvida,e a sua criticidade para as operações do negócio;

    Fonte: ISO 27002

ID
208852
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

A necessidade de conexão com terceiros deve considerar o tipo de acesso requerido, o valor da informação, os controles empregados por terceiros e as implicações desse acesso à segurança da informação da organização.

Alternativas
Comentários
  • CERTO

    Segundo a ISO 27002, "

    6.2.1 Identificação dos riscos relacionados com partes externas

    Diretrizes para implementação

    Convém que a identificação de riscos relativos ao acesso da parte externa leve em consideração os seguintes aspectos:

    b) tipo de acesso que a parte externa terá aos recursos de processamento da informação e à informação,

    como,[...]

    c) valor e a sensibilidade da informação envolvida, e a sua criticidade para as operações do negócio;

    d) os controles necessários para proteger a informação que não deva ser acessada pelas partes

    externas;




    "


ID
208855
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Recomenda-se que as responsabilidades de segurança sejam atribuídas nas fases de seleção de pessoal, incluídas em acordos informais de trabalho e monitoradas durante a vigência de cada contrato de trabalho.

Alternativas
Comentários
  • Acho que a fase é a fase de contratação de pessoal e se trata de acordos formais e assinados.

  • Na realidade, de acordo com a norma ISO 27002, as responsabilidades devem sim ser atribuídas antes da contratação de recursos humanos:

      8. Segurança de Recursos Humanos
             8.1 Antes da contratação
                     8.1.2 Papéis e responsabilidades
                               Convém que papéis e responsabilidades pela SI de funcionários, fornecedores e terceiros sejam definidos e documentados de acordo com                             a política de SI. Convém que papéis e responsabilidades de SI sejam claramente definidos e comunicados aos candidatos a cargo (....)
                     8.2.3. Seleção
                             Resumidamente, verificação do histórico de cada candidato ao emprego conforme os requisitos legais
                     8.2.4 Termos e condições
                              Como parte de suas obrigações contratuais, convém que os funcinários e terceiros concordem e assinem os termos e condições de  sua                                      contratação para o trabalh, os quais devem declarar as suas responsabilidades para a SI.

    Reparem que o erro da questão está em dizer que estes acordos são informais. Na realidade, esses acordos são bem formais, pois envolvem, inclusive, a assinatura do candidato e caso haja algum desrespeito grave a tais acordos, pode-se(se conveniente) acionar a justiça.Ademais, conforme nosso colega bem mencionou no comentário abaixo, a a fase de seleção(controle seleção) tem a função de verificar o histórico dos candidatos ao emprego. Portanto não seria nesse controle, em específico,onde as responsabilidades são atribuídas.
  • ERRADO

    Os acordos devem ser formais


ID
208858
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Acordos de confidencialidade fazem parte de uma política de pessoal cujo objetivo é assegurar que não haja acesso a sistemas sensíveis por pessoas não autorizadas.

Alternativas
Comentários
  • Políticas de pessoal objetivam conscientizar os funcionários dos riscos de sua atividiade quanto a segurança da informação bem como responsabilizá-los no caso de violação de algum item da política de segurança.

  • ERRADO

    São 133 controles na ISO27001 e o CESPE quer que saibamos todas :)

    ABNT NBR ISO/IEC 27001:2006

    A.6.1.5  Acordos de confidencialidade
    Controle
    Os requisitos para confidencialidade ou acordos de não divulgação que reflitam as necessidades da organização para a proteção da informação devem ser identificados e analisados criticamente, de forma regular.

  •  
    6.1.3 Acordos de confidencialidade
    Acordos de confidencialidade ou de não divulgação são usados para alertar que a informação é confidencial ou secreta.
    Normalmente convém que os funcionários assinem tais acordos como parte dos termos e condições iniciais de contratação.
    Para colaboradores casuais e prestadores de serviços que não estejam cobertos por um contrato existente (que contenha o acordo de confidencialidade), convém que seja exigida a assinatura do acordo de confidencialidade, antes de ter acesso às instalações de processamento da informação.
    Convém que acordos de confidencialidade sejam revisados quando existirem modificações nos termos de contratação, particularmente devido à saída de funcionários da organizaçãoou ao término de contratos.

    Portanto "Acordo de confidencialidade" não refere-se a acesso não autorizado, mas sim à divulgação de informações confidenciais ou secretas.
  • Segundo a ISO 27002:2013,

    "13.2.4 Acordos de confidencialidade e não divulgação
    Controle
    Convém que os requisitos para confidencialidade ou acordos de não divulgação que reflitam as necessidades da organização para a proteção da informação sejam identificados, analisados criticamente e documentados."


ID
208861
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

O documento da política de controle de acesso contém as políticas para autorização e distribuição de controle de acesso. É recomendável a existência de um procedimento formal de registro e cancelamento de usuário para obtenção de acesso a todos os sistemas de informação e serviços, com exceção dos sistemas multiusuários.

Alternativas
Comentários
  • "com exceção dos sistemas multiusuários" está errado.

  • ERRRADO

    ABNT NBR ISO/IEC 27001:2006

    A.11.2  Gerenciamento de acesso do usuário

    Objetivo: Assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas de informação.

    A.11.2.1  Registro de usuário
    Controle
    Deve existir um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços.


ID
208864
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Privilégio é qualquer característica ou facilidade de um sistema de informação multiusuário que permita ao usuário sobrepor controles do sistema ou aplicação. A concessão e uso de privilégios deve ser restrito e controlado, e sua utilização inadequada é considerada fator de vulnerabilidade de sistemas.

Alternativas
Comentários
  • Discordo do texto que diz: "sua utilização inadequada é considerada fator de vulnerabilidade"

    Para mim, a utilização inadequada é uma ameaça, isto é, uma causa potencial de dano, não uma fraqueza inerente do ativo.
  • Discordo do gabarito, pois o enunciado da questão informa que o privilégio permite ao usuário sobrepor controles do sistema ou aplicação, mas não é verdade. Por exemplo, o usuário pode receber um privilégio somente de leitura, onde ele não vai sobrepor controle algum..
  • Se ele receber acesso de leitura, terá superado o controle que não lhe permitia ler.
  • Da onde eles tiraram essa definição de privilégio?

    O uso inapropriado de privilégios de administrador de sistemas (qualquer característica ou recursos de sistemas de informação que habilitam usuários a exceder o controle de sistemas ou aplicações) pode ser um grande fator de contribuição para falhas ou violações de sistemas.

    Mas, na minha opinião, a questão generalizou "privilégio" de maneira inadequada ele  só sobrepõe os controles quando é administrador (e.g. no linux quando o usuário é root as permissões não são checadas). 
     

  • Eu queria entender de onde o Cespe retirou a seguinte afirmativa:


    "Privilégio é qualquer característica ou facilidade de um sistema de informação multiusuário que permita ao usuário sobrepor controles do sistema ou aplicação."

  • Questão estranha.  O ideal era ter vindo algo assim ,"Uso inapropriado de Privilégio é qualquer característica ou facilidade (...)"

    Segundo a ISO 27002:2013,"

    9.2.3Gerenciamento de direitos de acesso privilegiados

    Uso inapropriado de privilégios de administrador de sistemas (qualquer característica ou recursos de sistemas de informação que habilitam usuários a exceder o controle de sistemas ou aplicações) pode ser um grande fator de contribuição para falhas ou violações de sistemas."

  • Concordo com que acha que privilégio por si só não resulta nessas consequências. Para esta questão estar correta ele deveria começar com "A elevação de privilégios...". Aí sim o comando estaria completamente correto.


ID
208867
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

As senhas fornecem um meio de validação da autoridade do usuário e o estabelecimento dos direitos de acesso para os recursos ou serviços de leitura da informação.

Alternativas
Comentários
  •  

    Segundo o prof. Sócrates Filho, as senhas fazem apenas a validação ao acesso aos recursos ou serviços de informação, mas o estabelecimento dos direitos de acesso é feito pelas politicas de autenticação do acesso , por meio de perfis. Item errado, portanto.

  • Uma das formas mais utilizadas no estabelecimento dos direitos de acesso é a chamada ACL (Access Control List), implementada em Sistemas Operacionais de Rede, e independem de senhas de usuários.

  • 9.2.3 Gerenciamento de senha dos usuários
    Senhas são um meio comum de validação da identidade do usuário para obtenção de acesso a um sistema de informação ou serviço.
  • autoridade != autenticidade

  • ERRADO.

    Segundo a ISO 27002:2013,

    "9.2.4 Gerenciamento da informação de autenticação secreta de usuários

    "Informações adicionais
    Senhas são normalmente usadas como um tipo de informação de autenticação secreta, e é uma forma comum de verificar a identidade de um usuário."

  • A senha pode ser usada para AUTENTICAR um Usuário. Por sua vez, as permissões(de usuário ou grupo) são responsáveis por definir a AUTORIZAÇÃO do respectivo usurário. Gabarito, ERRADO. FFF

ID
208870
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

O controle de acesso à rede busca assegurar o uso de interfaces apropriadas entre a rede da organização e as redes de outras organizações ou redes públicas e controlar o acesso dos usuários aos serviços de informação. Também busca utilizar mecanismos de autenticação apropriados para usuários e equipamentos.

Alternativas
Comentários
  • NBR ISO/IEC 17799 (27002)

    11.4 Controle de acesso à rede

    Objetivo: Prevenir acesso não autorizado aos serviços de rede.

    Convém que o acesso aos serviços de rede internos e externos seja controlado.

    Convém que os usuários com acesso às redes e aos serviços de rede  não comprometam a segurança desses serviços, assegurando:

    a) uso de interfaces apropriadas entre a rede da organização e as redes de outras organizações e redes públicas;
    b) uso de mecanismos de autenticação apropriados para os usuários e equipamentos;
    c) reforço do controle de acesso de usuários aos serviços de informação.

ID
208876
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Os controles baseiam-se nos requisitos de segurança selecionados considerando-se as restrições de implementação, sua eficácia em relação aos riscos que serão reduzidos e às perdas potenciais, caso as falhas na segurança ocorram. Pode-se, ainda, considerar fatores financeiros, como prejuízos à reputação da organização.

Alternativas
Comentários
  • Restrições de implementação não são consideradas quando da seleção do controle de requisitos de segurança.

  • Não concordo com o amigo do último comentário. Segundo a norma ISO 27002:
            "Os controles podem ser selecionados desta ou de outras normas. É importante reconhecer que alguns controles podem não ser aplicáveis a todos os sistemas de informação ou ambientes e podem não ser praticáveis em todas as organizações. Como um exemplo, 10.1.3 descreve como as responsabilidades podem ser segregadas para evitar fraudes ou erros.  Pode não ser possível para pequenas organizações segregar todas as responsabilidades (...)"
     Percebe se claramente neste trecho, que, durante a seleção de controles, devido a uma restrição de implementação(quantidade pequena de funcionários para segregar todas as funções de segurança), não foi possível a uma pequena empresa implantar o controle "segregação de responsabilidades".
    O erro, na minha opinião, está no seguinte trecho: "Pode-se, ainda, considerar fatores financeiros, como prejuízos à reputação da organização." 
    Prejuízos à reputação da organização é um fator intangível e não financeiro como está na questão.
  • Concordo com Fábio na análise da questão. Pra mim é o erro da questão.

    Yakko, vc copiou todas os comentários (em várias questões de SI) de uma lista do Socrates FIlho e nem fez referência ao autor. É muito boa  sua ajuda dos comentários, mas tb é mt importante citar a fonte. É de grande valia para complementação dos estudos!

    Bons estudos e sucesso a todos!
  • Posso estar enganado, mas "requisitos de segurança selecionados" me parece errado. 
    O que pode ser selecionado considerando o contexto organizacional e as normas citadas são os CONTROLES. 
    Requisitos, de acordo com a 27001, não são opcionais e são genéricos suficiente pra todo e qualquer tipo de organização. Ao meu ver, a palavra "selecionar" não cabe no contexo de "requisitos" dentro da norma 27001.

    Todas essas considerações podem ser levadas em conta quanto a SELEÇÃO DE CONTROLES.

    Marquei errado por esse motivo. Mas de qualquer forma a questão é confusa... Alguém poderia reforçar os comentários?
  • Perfeito o comentário do Fábio:

    Convém que os controles sejam selecionados baseados nos custos  de implementação em relação aos riscos que serão reduzidos e as perdas potenciais se as falhas na segurança ocorrerem.
    Convém que fatores não financeiros, como, por exemplo, prejuízos na reputação da organização, sejam levados em consideração
  • 2 erros

    os controles não são escolhidos baseados na dificuldade de implementação, pois são escolhidos baseado na análise dos riscos...e...a marca da empresa que é um fator intangível, e não financeiro (apesar de uma coisa levar à outra|).


ID
208879
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

O documento da política de segurança da informação estabelece as suas linhas mestras, expressa as preocupações da administração e é por ela aprovado e comunicado a todos os funcionários.

Alternativas
Comentários
  • Documento da política de segurança da informação

    Controle

    Convém que um documento da política de informação seja aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.

    Uma declaração do comprometimento da direção, apoiando as metas e princípios de segurança da informação, alinhadas com os objetivos e estratégias de negócio.

    fonte: ABNT NBR ISO/IEC 27002

  • É um tanto quanto complicado poder afirmar que um documento da política de segurança da informação expressa as preocupações da administração.. administração se preocupa com o negócio, com o mercado e com uma série de coisas que não dizem respeito ao documento em si.. Questão muito mal elaborada. 
  • Questão maldosa mesmo, creio eu que não está errado, como foi mencionado no trecho da norma mostrado pela Fernanda, pelo fato de que a direção é parte da administração organizacional. 

  • "expressa as preocupações da administração" na Política de Segurança ??? De onde o CESPE tirou isso??? já pensou se toda empresa coloca suas preocupações nesse documento o risco que não seria??


ID
208882
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

São exemplos de conteúdos que constam no documento de política da informação: conformidade com a legislação e cláusulas contratuais, requisitos na educação de segurança, gestão da continuidade do negócio e regras para controle de acesso.

Alternativas
Comentários
  • Gestão de continuidade do negócio não é tratada pela política de segurança e sim pela política de continuidade do negócio.

  • Acho que o erro é principalmente pelo "regras para controle de acesso". A poliítica trata de questões gerais, relativas ao negócio. As "regras para controle de acesso" são definidas e aplicadas e próximas a um contexto operacional. Por isso, ERRADA a questão

  • ISO 17799:2005 (equivalente a ISO 27002)

    5.1.1 Documento da política de segurança da informação
    d) breve explanação das políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização, incluindo:
    1) conformidade com a legislação e com requisitos regulamentares e contratuais;
    2) requisitos de conscientização, treinamento e educação em segurança da informação;
    3) gestão da continuidade de negócio;
    4) consequências das violações na política de segurança da informação;
    gestão da continuidade do negócio;

    Logo, o erro está em "regras para controle de acesso".

ID
208885
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Convém que a política de segurança da informação tenha um patrocinador responsável por sua manutenção e análise crítica e que esteja de acordo com um processo de submissão definido.

Alternativas
Comentários
  • O patrocinador não é responsável pela política de segurança da informação, existe um setor responsável por essa política. O patrocinador geralmente a direção da empresa é responsável apenas pela aprovação dessa política.

  • Patrocinador: representa a direção da organização. No contexto de análise crítica, o patrocinador possui as seguintes atribuições:
               1)Definir procedimentos para análise crítica
               2)Definir período em que será realizado a análise crítica pelo gestor
               3)Nomear o gestor responsável(proprietário) pela política de SI
               4)Realizar análise crítica independente e fornecê-la como entrada ao gestor da política de SI
               5)Aprovação da Politica de SI revisada/modificada

    Gestor: pessoa, setor ou grupo com responsabilidade de gestão, análise crítica, avaliação e melhoria da política de SI.

    Fiz esse resumo da página 9 (5.1.2 - Análise crítica da SI) da NBR-ISO 27002.
  • Convém que a política de segurança da informação tenha uma direção responsável por sua manutenção e análise crítica.
  • Acho que o erro está no seguinte:

    Convém que a política de segurança da informação tenha um patrocinador responsável por sua manutenção e análise crítica

    No item 5.1.2 só fala que a direção faz a análise crítica e mantém um registro da análise crítica, não mantém a política de segurança da informação.
  • Segundo a Norma ISO/IEC 27002:2005:


    5.1.2 Análise crítica da política de segurança da informação 


    Convém que a política de segurança da informação tenha um gestor que tenha aprovado a responsabilidade pelo desenvolvimento, análise crítica e avaliação da política de segurança da informação. Convém que a análise crítica inclua a avaliação de oportunidades para melhoria da política de segurança da informação da organização e tenha um enfoque para gerenciar a segurança da informação em resposta às mudanças ao ambiente organizacional, às circunstâncias do negócio, às condições legais, ou ao ambiente técnico.


    Ou seja, o papel definido é o de gestor, não patrocinador.

  • Não é o patrocinador (direção) quem faz isso mas sim o gestor responsável pela política de SI.

    Não se fala nada sobre "processo de submissão" nessa parte da norma.


ID
208888
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Alguns controles deverão salvaguardar sistemas operacionais e ferramentas de auditoria durante as auditorias de sistema. O escopo de verificação deve ser acordado e controlado.

Alternativas
Comentários
  • ABNT NBR ISO/IEC 17799:2005

    15.3 Considerações quanto à auditoria de sistemas de informação

    Objetivo: Maximizar a eficácia e minimizar a interferência no processo de auditoria dos sistemas de informação.

    Convém que existam controles para a proteção dos sistemas operacionais e ferramentas de auditoria durante as auditorias de sistema de informação.

    Proteção também é necessária para proteger a integridade (salvaguardar) e prevenir o uso indevido das ferramentas de auditoria.


    15.3.1 Controles de auditoria de sistemas de informação

    Controle
    Convém que requisitos e atividades de auditoria envolvendo verificação nos sistemas operacionais sejam cuidadosamente planejados e acordados para minimizar os riscos de interrupção dos processos do negócio.
  • A meu ver essa questão é passível de anulação.
    A questão diz "deverão", a norma diz "convém que".
  • mas ele diz qual é a norma específica? se for a ISO 27001 é Deve, se for a ISO 27002 é convem

ID
208891
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Na revisão periódica da conformidade dos sistemas com as políticas e normas organizacionais de segurança, devem-se incluir sistemas de informação, provedores de sistemas, proprietários da informação, ativos de informação, usuários e administração.

Alternativas
Comentários
  • Alguém sabe em qual item de qual norma tem a reposta desta questão ?
  • Daniel, achei esta parte na norma, mas se alguém achar outra mais especifica, favor colaborar:

    4.2.3 Monitorar e analisar criticamente o SGSI
    A organização deve:

    b) Realizar análises críticas regulares da eficácia do SGSI (incluindo o atendimento da política e dos objetivos do
    SGSI, e a análise crítica de controles de segurança), levando em consideração os resultados de auditorias de
    segurança da informação, incidentes de segurança da informação, resultados da eficácia das medições,
    sugestões e realimentação de todas as partes interessadas.

    d) Analisar criticamente as análises/avaliações de riscos a intervalos planejados e analisar criticamente os riscos
     
    residuais e os níveis de riscos aceitáveis identificados, levando em consideração mudanças relativas a:
    1) organização;
    2) tecnologias;
    3) objetivos e processos de negócio;
    4) ameaças identificadas;
    5) eficácia dos controles implementados;
    6) eventos externos, tais como mudanças nos ambientes legais ou regulamentares, alterações das
    obrigações contratuais e mudanças na conjuntura social.

ID
208894
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Controles de ambiente e software devem se corretamente implementados para que a validação da conformidade técnica e científica assegure que os sistemas de informação sejam verificados em conformidade com as normas de segurança implementadas.

Alternativas
Comentários
  • Os controles de ambiente não garantem a validação da conformidade, essa validação deverá ser feita pelo setor responsável.

  • A conformidade (técnica e ciencítica) assegura simplesmente que uma provável auditoria será bem sucedida.

    O fato de que os sistemas de informação são verificados em conformidade com as normas de segurança implementadas é que assegura a conformidade "técnica e ciencítica", e não o contrário.
  • 15.2.2 Verificação da conformidade técnica


    Controle

    Convém que sistemas de informação sejam periodicamente verificados em sua conformidade com as normas de segurança da informação implementadas.

    A norma ISO 27002 não fala nada sobre conformidade técnica e científica. Ela fala apenas sobre conformidade técnica.

  • Controles de ambiente e software DEVEM ser corretamente implementados para que a validação da conformidade técnica e científica assegure que os sistemas de informação sejam verificados em conformidade com as normas de segurança implementadas.

    Palavra perigosa essa, em se tratando de vinte sete mil e dois . . .

  • Está invertido:


    Controles de ambiente e software devem ser corretamente implementados para que a VERIFICAÇÃO da conformidade técnica assegure que os sistemas de informação sejam VALIDADOS em conformidade com as normas de segurança implementadas.


ID
208897
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Quando o processo envolver a lei, civil ou criminal, as evidências apresentadas devem se conformar às regras para evidências estabelecidas pela lei, independemente do tribunal de justiça específico onde o caso será julgado. Para obter admissibilidade da evidência, recomenda-se que as organizações garantam que seus procedimentos operacionais estejam em conformidade com qualquer norma ou código de conduta publicado para produção de evidência admissível.

Alternativas
Comentários
  • As regras dependem de cada tribunal, ou seja, as provas deverão ser apresentadas de acordo com o que o tribunal solicitar.

  • ABNT NBR ISO/IEC 17799:2005

    13.2.3 Coleta de evidências

    Controle
    Nos casos em que uma ação de acompanhamento contra uma pessoa ou organização, após um incidente de segurança da informação, envolver uma ação legal (civil ou criminal), convém que evidências sejam coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidências da jurisdição(ões) pertinente(s).
  • Questão estranha:
     
    Quando o processo envolver a lei, civil ou criminal, as evidências apresentadas devem se conformar às regras para evidências estabelecidas pela lei, independemente do tribunal de justiça específico onde o caso será julgado.
     
    A questão está sendo mais restrita que a norma pois independente do tribunal (civil ou criminal) as evidências devem ser conforme a lei. Na norma diz o seguinte: 
     
    convém que evidências sejam coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidências da jurisdição(ões) pertinente(s)

    ou seja, as evidências devem se conformar somente  com o tribunal pertinente, não precisa ser conforme os dois tribunais. 
    O erro da questão está na velha história deve-convém (apesar que se fala no enunciado em 27001 e 27002), ou na parte de ser todos os tribunais ou só os pertinentes?

     
  • Outro erro.

    Segundo a ISO 27002,"13.2.3 Coleta de evidências

    Para obter a admissibilidade da evidência, convém que a organização assegure que seus sistemas de informação estejam de acordo com qualquer norma ou código de prática publicado para produção de evidência admissível."

    o.B.S: Senhores o subtítulo desta questão diz "No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e ISO 15999 e aos assuntos correlatos" então o erro não tem nada haver com o uso do CONVÉM da ISO 27002 ou DEVE da 27001 como alguns colegas afirmaram. 

  • Amigos, nao entendi o porquê de estar errado. Alguem pode me ajudar? Obrigada.


ID
208900
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Gerenciamento de risco refere-se à análise das ameaças, impactos e vulnerabilidades da informação e das instalações de processamento da informação e da probabilidade de sua ocorrência. Análise de risco é o processo de identificação, controle e maximização ou eliminação dos riscos de segurança que possam, a um custo aceitável, afetar os sistemas de informação.

Alternativas
Comentários
  • Análise de riscos não maximiza os riscos.

  • Não entendi a questão. Ao falar em maximização ele não se refere ao risco máximo aceitável por uma organização?
  • A análise de risco é constituída de identificação e estimativa de risco. O processo de controle e eliminação do risco está na fase de Tratamento do riso.
  • Gerenciamento Análise de risco refere-se à análise das ameaças, impactos e vulnerabilidades da informação e das instalações de processamento da informação e da probabilidade de sua ocorrência. Análise Gerenciamento de risco é o processo de identificação, controle e maximização ou eliminação dos riscos de segurança que possam, a um custo aceitável, afetar os sistemas de informação.

    A questão simplesmente inverteu os conceitos.
    OBS: Com relação a Maximização de riscos. Lembrem-se que RISCO pode ser tanto um fator negativo como um fator positivo (também chamado de oportunidade, que no caso, deve-se buscar maximizar).
  • Eu concordo tb acho q ele trocou os conceitos, mas em relação ao risco ser um fator positivo, eu acho q isso só se enquadra ao PMBoK na normas ISO 27001 e 27002 elas tratam riscos somente como fator negativo para a organização.
  • CESPE mais uma vez invertendo os conceitos.

ID
208903
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

A análise crítica periódica dos riscos de segurança e dos controles implementados deve, entre outros, confirmar que os controles permanecem eficientes e adequados.

Alternativas
Comentários
  • Está quase igual ao descrito na norma, sendo assim  é justamente o que é recomendado. 

    Segue o trecho da norma:

    ISO 27002 - Seção 5 - Controle A.5.1.2:
    Análise crítica da política de segurança - A política de segurança da informação deve ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

    Gabarito da questão: CERTO

  • Eu respondi como Errado justamente pensando sobre a atuação dos controles.
    Normalmente a análise é da eficácia (se atende seu objetivo) dos controles não na eficiência (relacionado a melhor utilização de recursos, economia).
    As normas de segurança tratam do termo EFICÁCIA e não eficiência.

    Bons estudos.

ID
208906
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Análises críticas devem ser executadas em níveis de profundidade distintos e se apóiam nas análises de riscos anteriormente realizadas. As probabilidades de falhas são embasadas, entre outros, nas ameaças e vulnerabilidades mais frequentes e nos controles implementados.

Alternativas
Comentários
  • Monitorar e analisar criticamente o SGSI ( check)

    Realizar análise critica de eficácia do SGSI (incluindo o atendimento da política e dos objetivos do SGSI, e a análise crítica de controle de segurança) levando em consideração os resultados de auditoria de segurança da informação, incidente de segurança da informação, resultados das medições de eficácia, sugestões e realimentações de todas as partes interessadas.

  • Avaliação da Probabilidade: Convém levar em conta a frequência da ocorrência das ameaças e a facilidade com que as vulnerabilidades podem ser exploradas, considerando dados como a experiência passada, estatística, motivação e competência de ameaças intencionais, fatores geográficos de ameaças acidentais, vulnerabilidades e os controles existentes e sua eficácia.
  • Análises críticas devem ser executadas em níveis de profundidade distintos OK, como há níveis diversos de complexidade, é correto que haja níveis de profundidade distintos.
     e se apóiam nas análises de riscos anteriormente realizadas. OK, apesar de considerar auditorias, incidentes e métricas, a base para todo o SGSI é a análise/avaliação de riscos.
     As probabilidades de falhas são embasadas, entre outros, nas ameaças e vulnerabilidades mais frequentes e nos controles implementados. OK, conforme excelente comentário do Marco Aurélio.
  • O nosso colega Marco Aurélio esqueceu de mencionar a fonte., segue ela abaixo.

    ABNT NBR ISO IEC 27005:2008, Seção 8.2.2.3 Avaliação da probabilidade dos incidentes, Diretrizes para implementação



ID
208909
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

A relevância de qualquer controle é determinada pelos riscos específicos a que os patrocinadores estão expostos.

Alternativas
Comentários
  • A relevância é determinada pela probabilidade dos riscos acontecerem e suas consequências na organização.

  • Mas, qual a diferença em dizer que algo é determinado:

    a) pelo risco de algo acontecer

    b) pela probabilidade do risco de algo acontecer

     

    Ambas as frase não têm a mesma carga semântica?

  •  A determinação da relevância do controle é dada após a análise/avaliação de riscos a qual determinará qual controle é necessário para previnir/evitar ameaças a vulnerabilidades aos ativos da organização.
    A questão diz que a relevância é determinada a partir dos riscos a que os patrocinadores estão expostos e o correto seria que é determinada a partir dos riscos a que os ativos estão expostos.

  • Os patrocinadores devem ser considerados em qualquer determinação de um SGSI, porém dizer que isto influi de modo tão forte na seleção dos controles é errado, já que os principais fatores a serem considerados são a legislação vigente, cultura organizacional, regras de negócios, ativos e avaliacão/análise de riscos.
  • Pessoal a questão é bem simples. A resposta está no item 0.6 da norma 27002 (antiga 17799):


    "Convém observar que, embora todos os controles nesta Norma sejam importantes e devam ser considerados, a relevância de qualquer controle deve ser determinada segundo os riscos específicos a que uma organização está exposta."

    O comando da questão fala sobre patrocinadores, o que é diferente de organização, e isso torna o item errado.

  • Quais são os riscos específicos que os patrocinadores estão expostos? Sequestro? Roubo? Acidente de Carro?
    Os controles dessas normas não se preocupam com essas coisas... Gabarito "E".

ID
208912
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A continuidade do negócio objetiva não permitir a interrupção das
atividades do negócio e proteger os processos críticos contra efeitos
de falhas ou desastres significativos. Com base nas normas
ISO 27001, ISO 27002, ISO 27005 e ISO 15999, julgue os itens
seguintes.

Pela combinação entre ações de prevenção e de recuperação, trata-se a interrupção causada por inconsistências e falhas da segurança que podem ser resultantes de controles de acesso, desastres naturais, acidentes, falhas de equipamentos e ações intencionais.

Alternativas
Comentários
  • Acredito que o erro possa estar em ações de prevenção, uma vez que a interrupão já foi concretiza e não faz mais sentido ações de prevenção, somente de recuperação.

  • Concordo com o comentário abaixo.

    De acordo com o prof. Socrátes Filho,as interrupções causadas já ocorridas por inconsistências ou falhas de segurança são tratadas por ações de recuperação EXCLUSIVAMENTE. As ações de prevenção só são utilizadas nas situações em potencial que podem provocar INTERRUPÇOES.

  •  Mas também as falhas não seriam resultantes da "Falta" de controle de acesso, e não resultante de controle de acesso. vejo dois erros nessa assertiva, sendo os já descritos nos comentários dos colegas e este. 

  • A questão está relacionada à continuidade dos negócios. Por uma leitura mais atenta, percebe-se que a questão afirma que controle de acesso pode resultar em inconsistências ou falhas da segurança, o que é um absurdo. Para ficar mais claro, a leitura da seção:

    14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação

    Convém que o processo de gestão da continuidade do negócio seja implementado para minimizar um impacto sobre a organização e recuperar perdas de ativos da informação (que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e ações intencionais) a um nível aceitável através da combinação de ações de prevenção e recuperação. Convém que este processo identifique os processos críticos e integre a gestão da segurança da informação com as exigências da gestão da continuidade do negócio com outros requisitos de continuidade relativo a tais aspectos como operações, funcionários, materiais, transporte e instalações.

     

  • O erro está no fato de a questão dizer que as inconsistências e as falhas de segurança serem causadas por controles de acesso. Discordo com os dois primeiros comentários, visto que a COMBINAÇÃO de ações de prevenção e de recuperação podem tratar interrupções e inconsistência. A ênfase deve ser dada à COMBINAÇÃO desses elementos. Isso não inviabiliza a questão. O erro está mesmo no fato de controles de acesso causarem falhas.
  • Acho que o problema maior da questão é entender o que ela está falando, ela foi feita para confundir o candidado, vejamos:
    • Trata-se a interrupção causada por inconsistências e falhas da segurança pela combinação entre ações de prevenção e de recuperação? Certo ou errado? Se certo passe para a próxima pergunta.
    • Trata-se a interrupção causada por inconsistências e falhas da segurança (inconsistência e falhas da seguranção que podem ser resultantes de controles de acesso, desastres naturais, acidentes, falhas de equipamentos e ações intencionais) pela combinação entre ações de prevenção e de recuperação?Certo ou errado.

    Abraços, vamo que vamo.




ID
208915
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A continuidade do negócio objetiva não permitir a interrupção das
atividades do negócio e proteger os processos críticos contra efeitos
de falhas ou desastres significativos. Com base nas normas
ISO 27001, ISO 27002, ISO 27005 e ISO 15999, julgue os itens
seguintes.

O desenvolvimento e a manutenção da continuidade do negócio deve ser sustentado por um processo de gestão que permeie toda a organização. A gestão da continuidade do negócio deve estar incorporada aos processos e à estrutura da organização.

Alternativas
Comentários
  • A.14  Gestão da continuidade do negócio
    A.14.1  Aspectos da gestão da continuidade do negócio, relativos à segurança da informação
    Objetivo: Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos,  e assegurar a sua retomada em tempo hábil, se for o caso.
    A.14.1.1 Incluindo segurança da informação no processo de gestão da continuidade de negócio
    Controle
    Um processo de gestão deve ser desenvolvido e mantido para assegurar a continuidade do negócio por toda a organização e que contemple os requisitos de segurança da informação necessários para a continuidade do negócio da organização

    Fonte: ISO 27001

  • Não consegui encontrar nas normas 27001 e 27002 a obrigatoriedade (relacionado a palavra "deve" da questão) da gestão de continuidade estar incorporada à estrutura da organização. O que aparenta é que deve-se criar uma "caixinha" na organização para tratar da gestão da continuidade, o que não é tratado nas normas.
     
  • Acredito que o motivo de haver preocupação em ter uma gestão de continuidade por toda organização é manter a reputação da empresa, por não priorizar alguns setores.


ID
208918
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A continuidade do negócio objetiva não permitir a interrupção das
atividades do negócio e proteger os processos críticos contra efeitos
de falhas ou desastres significativos. Com base nas normas
ISO 27001, ISO 27002, ISO 27005 e ISO 15999, julgue os itens
seguintes.

A análise do risco é realizada sobre os eventos que possam causar interrupções nos processos do negócio e auxiliam na determinação de seus impactos em termos de escala de dano e em relação ao período de recuperação. Nessa análise, devem-se considerar os processos de negócio impactados, limitando-se aos recursos, sem considerar as instalações de processamento de dados.

Alternativas
Comentários
  • Tem que levar em conta os riscos de fenômenos naturais nas instalações de precessamento de dados.

  • Análise de riscos é executrada sobre ATIVOS, pois esses posuem as vulnerabilidades e são visados pelas ameaças, que usam as vulnerabilidades para causar dano a ativo.

    Evento é uma falha de segurança que pode causar algum dano a organização, não é um elemento critico como o Incidente que é um ou mais eventos que representam grande risco a organização.
  • A análise do risco é realizada sobre os eventos Ativos que possam causar interrupções nos processos do negócio e auxiliam na determinação de seus impactos em termos de escala de dano e em relação ao período de recuperação. Nessa análise, devem-se considerar os processos de negócio impactados, limitando-se aos recursos, sem considerar as instalações de processamento de dados.

    A análise/avaliação de risco determina o valor dos ativos da informação, identifica as ameaças e vulnerabilidades aplicaveis existentes (o uque poderia a existir) identifica os controles existentes e seus efeitos nos riscos identificados, determina as consequencias possíveis e, finalmente, prioriza os riscos derivados e ordena-os de acordo com os critérios de avaliação de risco estabelecido na definição do contexto.

    Fonte: ABNT ISO/IEC 27005:2008
  • A assertiva estava "indo bem" até chegar nas afirmações finais:

    "A análise do risco é realizada sobre os eventos que possam causar interrupções nos processos do negócio e auxiliam na determinação de seus impactos em termos de escala de dano e em relação ao período de recuperação. Nessa análise, devem-se considerar os processos de negócio impactados, limitando-se aos recursos, sem considerar as instalações de processamento de dados. "

    Como foi citado em outros comentários, a análise de risco deve envolver todos os ativos da organização; não apenas os recursos.


ID
208921
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A continuidade do negócio objetiva não permitir a interrupção das
atividades do negócio e proteger os processos críticos contra efeitos
de falhas ou desastres significativos. Com base nas normas
ISO 27001, ISO 27002, ISO 27005 e ISO 15999, julgue os itens
seguintes.

No caso de ocorrerem interrupções ou falhas em processos críticos, devem-se executar planos de continuidade para recuperar as operações do negócio, em conformidade com os requisitos de segurança da informação.

Alternativas
Comentários
  • Em conformidade com os requisitos de continuidade dos negócios.

  • O que vai determinar se os planos de continuidade do negócio deverão ser executados ou não vai ser baseado na análise/avaliação dos riscos, conforme seção 14.1.2 Continuidade de negócios e análise/avaliação de riscos. Não existe obrigatoriedade.

  • O objetivo do plano de continuidade deve ser  "Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos
    de falhas ou desastres significativos,  e assegurar a sua retomada em tempo hábil, se for o caso."

    Falhas e interrupções, simplesmente, não são justificativas para disparar um plano de continuidade. Basta tratar o incidente recuperando o serviço o mais rapidamente possível e, se for o caso, abrir um problema para identificar a causa raiz e gerar um Erro Conhecido.

  • Dentro do Processo de GCN (Gestão de Continuidade de Negócios) é possível observar dois termos:

    PNC (Plano de continuidade de negócios) e o PDR (Plano de Recuperação de Desastre). Posso estar enganado, mas acredito que o erro da questão esta aí.

    O PNC  é constituído de uma série de procedimentos e medidas que terão por objetivo a minimizar as perdas decorrentes de um desastre, ou seja, de um eventos de grande proporção em termos de impacto.

    O PDR é um plano exclusivamente focado na recuperação de ativos de tecnologia da informação danificado por uma catástrofe ou por uma falha do sistema.

    Welton Dias

  • No caso de ocorrerem interrupções ou falhas em processos críticos, devem-se executar planos de continuidade para recuperar as operações do negócio, em conformidade com a Gestão de Continuidade do Negócio e não com requisitos de segurança da informação
  • Planejamento de emergência
    Desenvolvimento e manutenção de procedimentos acordados de forma a prevenir,reduzir,controlar,mitigar e escolher ações a serem tomadas no caso de uma emergência civil.

    Plano de continuidade de negócios (PCN )
    Documentação de procedimentos e informações desenvolvida, consolidada e mantida de forma que esteja pronta para uso caso ocorra um incidente, de forma a permitir que a organização mantenha suas atividades críticas em um nível aceitável previamente definido.

    Programa de gestão da continuidade de negócios
    processos contínuos de gestão e governança que são suportados pela alta direção e que recebem os recursos apropriados para garantir que os passos necessários estão sendo tomados de forma a identificar o impacto de perdas em potencial, manter estratégias e planos de recuperação viáveis e garantir a continuidade de fornecimento deprodutos e serviços pormeio de treinamentos, testes ,manutenção e análises críticas.

    Para quem disse que um incidente, por si só não pode disparar um PCN está errado, pois a norma diz que é justamente caso ocorra um incidente.

     O planos de continuidade devem seguir o programa de gestão de continuidade de negócios, ou simplesmente com a estratégia da continuidade dos negócios.

    "detalhamento e documentação de planos de continuidade de negócio que contemplem os requisitos de segurança da informação alinhados com a estratégia da continuidade do negócio estabelecida" NBR 27002:2005

    NBR 15999:2007
  • Questão estranha.

    ISO 27001 (pág. 28)
    Os planos devem ser desenvolvidos e implementados para a manutenção ou recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio.

    ISO 27002 (pág. 104)
    Convém que os planos sejam desenvolvidos e implementados para a manutenção ou recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio.

    Baseado no que foi levantada acima, considero que o CESPE considerou ERRADA a questão porque ela está incompleta e/ou imprecisa. Quando a questão diz "executar planos de continuidade para recuperar as operações do negócio, em conformidade com os requisitos de segurança da informação", faltou o "para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida" presente nos trechos destacados nas 3 normas.

    Deus nos abençoe!
  • O propósito de um plano de continuidade de negócios, é permitir que uma organização recupere ou mantenha suas atividades em caso de uma interrupção das operações normais de negócios.
    Os PCN são ativados para dar suporte às atividades críticas necessárias para cumprir os objetivos da organização. Eles podem ser executados integral ou parcialmente e em qualquer etapa da resposta a um incidente.
    O conteúdo e os componentes dos PCN variam de organização para organização e possuem diferentes níveis de detalhe, dependendo da escala, ambiente, cultura e complexidade técnica da organização.

  • a questão não especifica qual norma em questão, logo algumas normas dizem que é obrigatório, outras dizem que é conveniente

    não dá pra tirar uma conclusão a respeito, questão estranhissima, apesar de ser plausível que se consedere conformidade com os requisitos de negócio
  • infelizmente nenhum comentário me convenceu do gabarito. Mais alguém com "cartas na manga" pra fazer engenharia reversa do gabarito?

  • Depois de um incidente, usa-se um Plano de gestão de incidente para identificar e resolver o problema. Em seguida o PCN para ativar questões de continuidade e os serviços/processos críticos voltarem a funcionar. Em seguida, ativa-se o Plano de recuperação de negócio para a organização se recuperar do incidente, como substituindo equipamentos danificados, mudando o local de trabalho permanente (no pCN o trabalho fica no lugar alternativo...).


    Acredito, então, que a questão fale do PRN.


  • Galera, dava para responder a questão lendo o "texto associado" a ela, que já começa dizendo: "A continuidade do negócio objetiva não permitir a interrupção das atividades do negócio..."

    Ou seja, é algo PREVENTIVO.


    A questão aborda uma situação CORRETIVA, após o acontecimento do incidente. Se você olhar a definição de Plano de Continuidade de Negócios, vai perceber que:


    "Plano de continuidade de negócios (PCN ) 
    Documentação de procedimentos e informações desenvolvida, consolidada e mantida de forma que esteja pronta para uso caso ocorra um incidente, de forma a permitir que a organização mantenha suas atividades críticas em um nível aceitável previamente definido."


    Repare que o PCN é um documento de PREVENÇÃO, ele se destina a preparar a organização para lidar com possíveis incidentes, portanto não é o adequado a se usar quando um desastre já aconteceu!


    Bons estudos!

  • Luiz, marquei como errada, pois a recuperação das operações de negócio devem estar restritas aos requisitos de continuidade de negócio (um SLA - 2hs - p ex) e nao aos requisitos de seg. info.

  • ERRADO

    A questão trata sobre PLANO DE RECUPERAÇÃO DE DESASTRES - PRD.

    Ele é descrito na família de normas 15999.


ID
211105
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens, segundo a norma ABNT NBR ISO/IEC
27002:2005.

O termo integridade no escopo da referida norma diz respeito à salvaguarda da exatidão e integridade das informações e métodos de processamento utilizados para a manipulação da informação.

Alternativas
Comentários
  • 3.8 integridade
    propriedade de salvaguarda da exatidão e completeza de ativos

    Fonte: ISO 27001

  • Na ISO 27002 não é encontrado nenhuma definição de integridade. A definição de integridade é encontrada na ISO 27001, conforme comentário de colega acima.
    Porém, implicitamente, a norma cita inúmeros controles/métodos que são utilizados na manipulação da informação que garantem a integridade da informação. Como por exemplo os itens: 
    10.4 Proteção contra códigos maliciosos e códigos móveis. 
    Objetivo: Proteger a integridade do software e da informação. 
    10.5 Cópias de segurança. 
    Objetivo: Manter a integridade e disponibilidade da informação e dos recursos de processamento de informação.
  • "O termo integridade (...) diz respeito à (...) integridade"

    Brilhante
  • A CESPE já não mais me impressiona.

  • Não sabia que a norma falava em métodos de processamento utilizados para a manipulação da informação...acho que ele tá querendo dizer tipo hash, código de checagem de erro...tudo que garanta a integridade, aí faz sentido


ID
211108
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens, segundo a norma ABNT NBR ISO/IEC
27002:2005.

A referida norma, bem como suas atualizações correntes, apresenta um código de boas práticas para a gestão de segurança da informação, portanto, é adequada para usuários responsáveis por iniciar, implementar, manter e melhorar sistemas de gestão de segurança da informação.

Alternativas
Comentários
  • CESPE como sempre fazendo seu joguete de palavras....colocou usuários alí e matou mta gente. 

  • 1 Objetivo


    Esta Norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta Norma provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação.

    Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados por meio da análise/avaliação de riscos. Esta Norma pode servir como um guia prático para desenvolver os procedimentos de segurança da informação da organização e as eficientes práticas de gestão da segurança, e para ajudar a criar confiança nas atividades interorganizacionais.

    Fonte: ISO 27002

  • CERTO

    Usuários Responsáveis = Administradores, proprietários de ativos ou pessoas com alguma permissão especial perante a segurança da informação.


ID
211111
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens, segundo a norma ABNT NBR ISO/IEC
27002:2005.

O padrão atual da norma em questão constitui-se em uma revisão da primeira versão dessa norma publicada pela ISO/IEC, em 2000. À época, essa norma era cópia da norma britânica British Standard (BS) 7799-1:1999.

Alternativas
Comentários
  • Em 1995 a norma BS 7799 foi um padrão originalmente publicada pela British Standards Institution (BSI) e consistia em várias partes. 

    Em 2000, após uma revisão, a primeira parte foi adotada pela ISO como ISO/IEC 17799 - "Código de prática para a gestão da segurança da informação".
     
    Em 1999, a segunda parte foi adotada como ISO/IEC 27001 - "Sistemas de gerenciamento da segurança da Informação - Especificação e diretrizes para uso." 
     
    Em 2007 a ISO/IEC 17799 passou a se chamar ISO/IEC 27002
  • O esquema abaixo ilustra um pouco da história da norma:



    Fonte: http://www.atsec.cn/cn/iso-iec-27001-faq.html
  • BS7799:1995

    BS7799-1:1999

    ISO 17799:200

    Atualização

    ISO 177799:2005

    Mudança de Nome 2007

    ISO 27002:2005

    Atualização

    ISO 27002:2013

  • história da norma? tá me zuando né?


ID
211114
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens, segundo a norma ABNT NBR ISO/IEC
27002:2005.

No que diz respeito aos aspectos de preservação da confidencialidade, a norma em apreço estabelece práticas adequadas para garantir que a informação esteja acessível a todas as pessoas interessadas em acessá-la.

Alternativas
Comentários
  • ....pessoas AUTORIZADAS.... 

  • Um atacante, por exemplo, é um cara bastante interessado na informação. rsss

  • O ponto aqui é bem conceitual, onde, na confidencialidade, a informação tem que estar acessível a todas as pessoas autorizadas em acessá-la e não às interessadas.

  • O CESPE fez uma salada aí tentando confundir cofidencialidade com disponibilidade. Além disso, a informação deverá ficar disponível à entidade autorizada.

    3.2 disponibilidade
    propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada

    3.3 confidencialidade
    propriedade de que a informação não esteja disponível ou  revelada a indivíduos, entidades ou processos não autorizados

    Fonte: ISO27001


ID
211117
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando aspectos de composição da norma ABNT NBR
ISO/IEC 27002:2005, julgue os itens subsequentes.

Como a norma mencionada estabelece um guia das melhores práticas para a gestão de segurança da informação, cabe ao gestor de cada organização avaliar os riscos do ambiente organizacional, determinar os requisitos específicos e então selecionar os controles apropriados à situação organizacional em questão. Verifica-se, então, que a avaliação de risco é fundamental no processo de estabelecimento dos controles de gestão de segurança, sendo recomendado que esse procedimento seja voltado aos aspectos subjetivos do gestor.

Alternativas
Comentários
  • Errado.

    Aspectos subjetivos não, aspectos objetivos.

  • Questão toda correta. No finalzinho, o erro. 
  • A avaliação de riscos tem que ser feita sobre os aspectos objetivos, para abranger os ativos da organização.


ID
211120
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando aspectos de composição da norma ABNT NBR
ISO/IEC 27002:2005, julgue os itens subsequentes.

A seção da norma em questão que trata de compliance prevê aspectos para assegurar a conformidade com políticas de segurança da informação, normas, leis e regulamentos.

Alternativas
Comentários
  • 15 Conformidade
    15.1  Conformidade com requisitos legais
    Objetivo: Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação.

    Fonte: ISO27002

  • No âmbito institucional e corporativo, Compliance é o conjunto de disciplinas para fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócio e para as atividades da instituição ou empresa, bem como evitar, detectar e tratar qualquer desvio ou inconformidade que possa ocorrer.
    O termo Compliance tem origem no verbo em inglês to comply, que significa agir de acordo com uma regra, uma instrução interna, um comando ou um pedido.

  • tradução de compliance é aderência

ID
211123
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando aspectos de composição da norma ABNT NBR
ISO/IEC 27002:2005, julgue os itens subsequentes.

Para se implantar um sistema de gestão de segurança da informação adequado ao ambiente organizacional, é suficiente atender o previsto nas diversas seções da norma em apreço, a qual detalha também os padrões específicos, os quais são mandatórios e independem do ramo de atuação da organização.

Alternativas
Comentários
  • Os padrões são recomendações e não mandatários e eles dependem do ramo de atuação da organização.

  • A ISO27002 contém boas práticas. Suas recomendações começam sempre com o verbo CONVÉM.

    Ja ISO27001 contém itens obrigatórios. Suas recomendações começam sempre com o verbo DEVE

    Além disso, sempre que o CESPE for muito restritivo em suas afirmações, pode apostar que há grandes chances da questão estar errada!!

  • A norma 27002 é um código de práticas para a gestão de segurança da informação.

  • Senhores apesar do meu comentário não se referir a norma 27002 de forma direta, encontrei este trecho abaixo na norma iso 27001 pertinente a esta questão.


    Segundo ISO 27001:2005, p.2-3, "A adoção de um SGSI (Sistema de Gestão de Segurança da Informação) deve ser uma decisão estratégica para uma organização. A especificação e implementação do SGSI de uma organização são influenciadas pelas suas necessidades e objetivos, exigências de segurança, os processos empregados e o tamanho e estrutura da organização."

    Sobre este trecho aqui -> "Para se implantar um sistema de gestão de segurança da informação adequado ao ambiente organizacional, (é suficiente) atender o previsto nas diversas seções da norma 27002:2005 em apreço"


    Portanto, a norma  ISO 27001:2005 também faz refências ao Sistema de Gestão de Segurança da Informação e somente a ISO 27002 não é suficiente. O próprio título da norma ISO 27001 confirma isso: 
    Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos

    Fonte: ISO 27001
  • Lembrando que além dos controles já citados na norma, a organização pode também criar os seus próprios controles.

  • A implementação de gestão de segurança de informação deve se adaptar ao contexto da organização, sendo que CONVÉM que os controles sejam aplicados após uma prévia avaliação dos riscos, de forma objetiva...

  • Grande Lucas do AEP. Desde 2010 já ajudando...


ID
211126
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando aspectos de composição da norma ABNT NBR
ISO/IEC 27002:2005, julgue os itens subsequentes.

A referida norma contém seções iniciais e doze seções principais acerca de diversos temas de segurança, como, por exemplo, a gestão de ativos.

Alternativas
Comentários
  • Não seriam 11 seções???

  • Essa questão ela está errada

     Existe o Anexo A e as cláusulas A5 a A15

  • São 12 mesmo. Itens de 4 a 15

     

    0 - Introdução
    1 - Objetivo
    2 - Termos e Definições
    3 - Estrutura da Norma
    4 - A/A e Tratamento de Riscos
    5 - Politica de SI
    6 - Organizando SI
    7 - Gestão de Ativos
    8 - Segurança em R
    9 - Segurança Fisica e do Ambiente
    10 - Gerenciamento das Operações e Comunicações
    11 - Controle de Acesso
    12 - Aquisição, Desenv. e Manutenção de SI
    13 - Gestão de Incidentes
    14 - Gestão da Continuidade de Negocio
    15 - Conformidade

  • Para que serve uma questão como essa? Fala sério...
  • e vocês sabiam que a Constituição Federal tem 250 artigos??? 
  • ESTÁ CERTO conforme a ISO 27002:2005.

    Texto na íntegra:

    Segundo a norma ABNT NBR ISO/IEC 27002:2005, p. 24, "Esta norma contém 11 seções de controles de segurança da informação, que juntas totalizam 39 categorias principais de segurança e uma seção introdutória que aborda a análise/avaliação e o tratamento de riscos."



    Fonte: N
    orma ABNT NBR ISO/IEC 27002:2005

  • ESTÁ ERRADO conforme a ISO 27002:2013.

    Segundo esta versão,p.7,

    "4 Estrutura desta Norma
    Esta Norma contém 14 seções de controles de segurança da informação, 35 Objetivos de controles e 114 controles."

  • Qts paragrafos? kkk


ID
211129
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando aspectos de composição da norma ABNT NBR
ISO/IEC 27002:2005, julgue os itens subsequentes.

A referida norma tem uma seção específica de gerenciamento de continuidade, que trata da criação e validação de um plano logístico acerca de como uma organização pode realizar ações no sentido de recuperar e restaurar, parcial ou completamente, os serviços interrompidos. Esse plano logístico, também denominado business continuity plan (BCP), não se aplica ao gestor público, pois este não pertence a uma organização de negócios.

Alternativas
Comentários
  • Esse plano se aplica tanto ao gestor privado como ao gestor público.

  • ISO 27002
    A segurança da informação é importante para os negócios, tanto do setor público como do setor privado, e para proteger as infra-estruturas críticas. Em ambos os setores, função da segurança da informação é viabilizar os negócio como o governo eletronico (e-gov) ou o comércio eletrônico (e-business), e evitar ou reduzir os riscos relevantes.

ID
218179
Banca
CESPE / CEBRASPE
Órgão
TRE-BA
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à segurança da informação, julgue os itens a seguir.

Segundo a norma ISO/IEC 27002, uma ameaça é a causa potencial (agente) de um incidente indesejado, que pode resultar em dano para um sistema ou organização. A segurança da informação precisa prover mecanismos para impedir que as ameaças explorem as vulnerabilidades. Os tipos de ameaças definidos na referida norma são: naturais, físicas e intencionais.

Alternativas
Comentários
  • Grupos de ameaça:

    - naturais: condições da natureza

    - Intencionais: fraudes, vandalismo, sabotagem

    - involuntárias: resultante de ações incoscientes, vírus

  • A classificação de ameaças não pertence à ISO 27002/2005, mas veio de outra fonte. No caso, uma que declarou isso, confirmadamente, seria a ISO/IEC 13335.

  • Segundo a norma ISO/IEC 27002, uma ameaça é a causa potencial (agente) de um incidente indesejado, que pode resultar em dano para um sistema ou organização. (Frase correta que define ameaça)

    A segurança da informação precisa prover mecanismos para impedir que as ameaças explorem as vulnerabilidades (Frase correta).

    Os tipos de ameaças definidos na referida norma são: naturais, físicas e intencionais. (Frase errada. Na verdade são naturais, involuntárias e intencionais)

  • TiposdeVulnerabilidades: Físicas, naturais, hardware e software e humanas.
    Tipos de ameaças: Naturais, Intencionais e Involuntárias.


ID
218182
Banca
CESPE / CEBRASPE
Órgão
TRE-BA
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à segurança da informação, julgue os itens a seguir.

Um ativo, segundo a norma ISO/IEC 27002, é qualquer elemento que tenha valor para a organização. Os ativos fornecem suporte aos processos de negócios, portanto, devem ser protegidos. Um dos agrupamentos que os ativos podem assumir é informações, hardware, software, ambiente físico e pessoas.

Alternativas
Comentários
  • Ativos podem ser conforme a norma: 
    • Informação;
    • Software;
    • Hardware;
    • Serviços;
    • Pessoas e suas qualificações; e 
    • Intangíveis(Reputação).
  • Eu errei essa questão, pois para mim ambiente físico não seria um Ativo. Porque ambiente físico ficou muito genérico, e olhando na norma realmente os Ativos se cassificam citados acima pelo colega. Para mim essa questão deveria ser ERRADO.
  • ISO 27002
    2 Termos e definições
    2.1 Ativo
    qualquer coisa que tenha valor para a organização
  • Norma ISO 27002:

    7.1.1  Inventário dos ativos

    Existem vários tipos de ativos, incluindo:

    a)  ativos  de  informação:  base  de  dados  e  arquivos, contratos  e  acordos,  documentação  de  sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas;

    b)  ativos de software: aplicativos, sistemas, ferramentas  de desenvolvimento e utilitários;

    c)  ativos  físicos:  equipamentos  computacionais,  equipamentos  de  comunicação,  mídias  removíveis  e outros equipamentos;

    d)  serviços:  serviços  de  computação  e  comunicaçõ es,  utilidades  gerais,  por  exemplo  aquecimento, iluminação, eletricidade e refrigeração;

    e)  pessoas e suas qualificações, habilidades e experiências;

    f)  intangíveis, tais como a r eputação e a imagem da organização.

  • Seguindo a norma, como postado pelo colega acima, temos que a assertiva está incorreta, pois a classificação possível é: informação, software, físico, serviço, pessoas e intangíveis.

    Alguém sabe dizer se esse agrupamento citado na questão foi tirado de outra fonte válida, que não a norma?
  • conforme a norma não existe ativo de hardware definido, ele pode ser: informação, software, físicos, pessoas, serviços e intangíveis (ver norma 7.1.1 da ISO 17799 atual ISO 27002

    apesar de eu ter marcado como correta, analisando aqui a resposta está errada.
  • Marquei ERRADO

    ambiente físico não existe


ID
238456
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com base no disposto na norma ABNT NBR ISO/IEC 27002:2005,
julgue os itens que se seguem.

Os proprietários dos ativos organizacionais devem ser identificados, e a responsabilidade pela manutenção apropriada dos controles deve ser a eles atribuída. Os proprietários permanecem responsáveis pela proteção adequada dos ativos, mesmo que a implantação específica de controles seja delegada.

Alternativas
Comentários
  • ISO 27002

    7.1 Resposabilidade pelos ativos

    Convém que os proprietários dos ativos sejam identificados e a eles seja atribuída a responsabilidade pela
    manutenção apropriada dos controles. A implementação de controles específicos pode ser delegada pelo
    proprietário, conforme apropriado, porém o proprietário permanece responsável pela proteção adequada dos
    ativos.
  • Esse não é também um caso onde o "Deve" deveria ser "Convém"??
  • Acredito que deveria ser "convém"
  • Dificil saber oque o avalidor quer...
    Em algumas questões a troca do "convém" pelo "deve" torna a questão falsa, em outras , como esta, os termos são tratados como sinônimos.
  • Prezados,

    Quando essa questão foi feita a norma em vigência era a ABNT NBR ISO 27002:2005 , hoje já temos a versão 2013, entretanto, segundo a ABNT NBR ISO27002/2005, temos :

    Convém que todos os ativos sejam inventariados e tenham um proprietário responsável.
    Convém que os proprietários dos ativos sejam identificados e a eles seja atribuída a responsabilidade pela manutenção apropriada dos controles.

    Convém que todas as informações e ativos associados com os recursos de processamento da informação tenham um proprietário designado por uma parte definida da organização. As tarefas de rotina podem ser delegadas, por exemplo, para um custo diante que cuida do ativo no dia-a-dia, porém a responsabilidade permanece com o proprietário. Em sistemas de informação complexos pode ser útil definir grupos de ativos que atuem juntos para fornecer uma função particular, como serviços. Neste caso, o proprietário do serviço é o responsável pela entrega do serviço, incluindo o funcionamento dos ativos, que provê os serviços.

    Portanto a questão está correta.

  • Gabarito Certo

    Mesmo que um controle do ativo seja delegado, o proprietário ainda permanece responsável.

     

    Vamos na fé !

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
238459
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com base no disposto na norma ABNT NBR ISO/IEC 27002:2005,
julgue os itens que se seguem.

Funcionários, fornecedores e terceiros devem ser instruídos a averiguar, imediatamente, qualquer fragilidade na segurança de informação suspeita.

Alternativas
Comentários
  •  

    Segundo a ISO 27002
     
    Diretrizes para implementação
    Convém que os funcionários, fornecedores e terceiros notifiquem esse assunto o mais rápido possível para
    sua direção ou diretamente ao seu provedor de serviços, de forma a prevenir incidentes de segurança da
    informação. Convém que o mecanismo de notificação seja fácil, acessível e disponível sempre que possível.
    Convém que os usuários sejam informados que não podem, sob nenhuma circunstância, tentar averiguar
    fragilidade suspeita.
  • Faltou ao colega do comentário anterior indicar a qual controle se refere a questão. É o controle 13.1.1 Notificação de eventos de segurança da informação, do objetivo de controle 13.1 Notificação de fragilidades e eventos de segurança da informação da seção 13 Gestão de incidentes de segurança da informação.
  • Demorei para achar porque o controle citado pelo colega não está certo. A resposta se encontra neste controle aqui:

    Segundo a ISO 27002, p.119,
    "13. GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO
          13.1. NOTIFICAÇÃO DE FRAGILIDADES E EVENTOS  DE SEGURANÇA DA INFORMAÇÃO
              13.1.2 NOTIFICANDO FRAGILIDADES DE SEGURANÇA DA INFORMAÇÃO
    Diretrizes para implementação"




    Bibliografia:
    Norma ISO 27002
  • Vamos simplificar! Funcionários, fornecedores e terceiros devem ser instruídos a qualquer observação suspeita.

  • Não é averiguar e sim Notificar!

  • Segundo a ISO 27002:2013,

    "16.1.3 Notificando fragilidades de segurança da informação
    Controle
    Convém que os funcionários e partes externas que usam os sistemas e serviços de informação da organização, sejam instruídos a registrar e notificar quaisquer fragilidades de segurança da informação, suspeita ou observada, nos sistemas ou serviços.
    Diretrizes para implementação
    Convém que todos os funcionários e partes externas notifiquem essas questões para o ponto de contato, o mais rápido possivel, de forma a prevenir incidentes de segurança da informação. O mecanismo de notificação deve ser fácil, acessivel e disponível, sempre que possível.
    Informações adicionais
    Convém que funcionários e fornecedores sejam avisados a não tentar provar suspeitas de fraquezas de segurança. Testar fraquezas pode ser interpretado como potencial mau uso do sistema e pode também causar danos ao serviço ou sistema de informação e resultar em responsabilidade legal para o indivíduo que executou o teste."

  • Sinônimos de averiguar: apurar, INVESTIGAR, certificar

  • Prezados,

    Quando essa questão foi feita a norma em vigência era a ABNT NBR ISO 27002:2005 , hoje já temos a versão 2013, entretanto, segundo a ABNT NBR ISO 27002/2005, temos :

    Diretrizes para implementação – Saber quando e quais autoridades devem ser contatadas e como os incidentes de segurança da informação identificados devem ser notificados em tempo hábil, no caso de suspeita que a lei foi violada. Avisar as organizações que estão sofrendo ataque (provedor de internet, operador de telecomunicações).

    Portanto a questão está errada


ID
238462
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com base no disposto na norma ABNT NBR ISO/IEC 27002:2005,
julgue os itens que se seguem.

No âmbito da de segurança da informação, não existem riscos aceitáveis; por isso, todos os riscos devem ser controlados, evitados ou transferidos.

Alternativas
Comentários
  • Segundo a norma ISO 27002 (pag. 6), acerca dos riscos, pode-se:

    Mitigar: Aplicar controles apropriados para reduzir riscos,;

    Aceitar: Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação de risco;

    Evitar: Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos;

    Trasferir: Trasferir os ridcos associados para outras partes, por exemplo, seguradoras ou fornecedores;

  • Questão errada porque diz que não existem riscos aceitáveis. Pois de acordo com a norma, riscos podem sim ser aceitáveis:

    4.2 Tratando os riscos de segurança da informação
    Convém que, antes de considerar o tratamento de um risco, a organização defina os critérios para determinar se os riscos podem ser ou não aceitos. Riscos podem ser aceitos se, por exemplo, for avaliado que o risco é baixo ou que o custo do tratamento não é economicamente viável para a organização.

    ISO 27002
  • Segundo a ISO 27002:2013,"0.2 Requisitos de segurança da informação

    A ABNT NBR ISO/IEC 27005 fornece diretrizes sobre gestão de riscos de segurança da informação, incluindo orientações sobre avaliação de riscos, tratamentos de riscos, aceitação de riscos, comunicação de riscos, monitoramento e análise critica dos riscos."

  • Prezados,

    Os controles devem ser implementados até que se atinga um nível aceitável de aceitação dos riscos , ou que eles sejam mitigados ou transferidos.
    Dentre os riscos , as respostas que podemos dar a eles é a mitigação dele, transferência ou a aceitação do risco, desde que se julgue que o custo para implementar o controle não compensa o impacto desse risco.

    Portanto a questão está errada.


ID
238465
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com base no disposto na norma ABNT NBR ISO/IEC 27002:2005,
julgue os itens que se seguem.

Para reaproveitar as mídias de armazenamento que contenham dados sensíveis, é suficiente formatá-las usando a função padrão de formatar.

Alternativas
Comentários
  •  

    Segundo a ISO 27002
     
    9.2.6 Reutilização e alienação segura de equipamentos
     
    Controle
    Convém que todos os equipamentos que contenham mídias de armazenamento de dados sejam examinados
    antes do descarte, para assegurar que todos os dados sensíveis e softwares licenciados tenham sido
    removidos ou sobregravados com segurança.
     
    Diretrizes para implementação
    Convém que os dispositivos que contenham informações sensíveis sejam destruídos fisicamente ou as
    informações sejam destruídas, apagadas ou sobregravadas por meio de técnicas que tornem as informações
    originais irrecuperáveis, em vez de se usarem as funções-padrão de apagar ou formatar.
     
    Informações adicionais
    No caso de dispositivos defeituosos que contenham informações sensíveis, pode ser necessária uma
    análise/avaliação de riscos para determinar se convém destruir fisicamente o dispositivo em vez de mandá-lo
    para o conserto ou descartá-lo.
  • segundo a ISO 27002: 9.2.6: Convém que os dispositivos que contenham informações sensíveis sejam destruídos fisicamente ou as informações sejam destruídas, apagadas ou sobregravadas por meio de técnicas que tornem as informações originais irrecuperáveis, EM VEZ  DE SE USAREM AS FUNÇÕES-PADRÃO DE APAGAR OU FORMATAR. A resposta esta na seção 9 da respectiva norma. Questão errada.
  • Segundo a ISO 27002:2013,

    "11.2.7 Reutilização e alienação segura de equipamentos

    Diretrizes para implementação

    Convém que as mídias de armazenamento que contém informações confidenciais ou de direitos autorais sejam destruídas fisicamente, ou as informações sejam destruídas, apagadas ou sobre-gravadas por meio de técnicas que tornem as informações originais irrecuperáveis, em vez de se usarem as funções-padrão de apagar ou formatar."

  • Prezados,

    Para as mídias de armazenamento que contenham dados sensíveis não é suficiente a formação padrão, o que a norma diz é que convém que mídias contendo informações confidenciais sejam guardadas e destruídas de forma segura e protegida, como por exemplo através de incineração ou trituração, ou da remoção dos dados para uso por outra aplicação dentro da organização.

    Portanto a alternativa está errada

  • Uma palavra define o procedimento correto: wipe.


ID
239725
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança da informação, julgue os próximos itens.

A norma ABNT NBR ISO/IEC 27002 apresenta critérios para a organização geral do sistema de gestão da segurança da informação. Por ser uma norma genérica, que apenas propõe diretrizes, não pode ser utilizada para fins de certificação, pois não apresenta controles específicos a serem tomados como base para a proteção de ativos em uma empresa.

Alternativas
Comentários
  • A série ISO 27000 está de acordo com outros padrões de sistemas de gerência ISO, como ISO 9001 (sistemas de gerência da qualidade) e ISO 14001 (sistemas de gerência ambiental), ambos em acordo com suas estruturas gerais e de natureza a combinar as melhores práticas com padrões de certificação.

    Certificações de organização com ISMS ISO/IEC 27001 /27002 é um meio de garantir que a organização certificada implementou um sistema para gerência da segurança da informação de acordo com os padrões.

    Credibilidade é a chave de ser certificado por uma terceira parte que é respeitada, independente e competente. Esta garantia dá confiança à gerência, parceiros de negócios, clientes e auditores que uma organização é séria sobre gerência de segurança da informação - não perfeita, necessariamente, mas está rigorosamente no caminho certo de melhora contínua.

     

    http://pt.wikipedia.org/wiki/ISO_27001

  • O erro foi dizer que "não apresenta controles específicos a serem tomados como base para a proteção de ativos".

    Existem controles específicos para controles de ativos.

    O restante está correto. A 27002 não pode ser utilizada para fins de certificação. Para cerficação usa-se a 27001.

  • O resto não está totalmente certo.

    Dizer que a norma apenas propõe diretrizes também é errado, pois ela propõe controles, objetivos de controle, diretrizes e informações adicionais
  • Senhores essas duas partes já invalidam a questão:
    A norma ABNT NBR ISO/IEC 27002 apresenta critérios para a organização geral do sistema de gestão da segurança da informação. Por ser uma norma genérica, (1° PARTE)que apenas propõe diretrizes, não pode ser utilizada para fins de certificação,
    (2° PARTE) pois não apresenta controles específicos a serem tomados como base para a proteção de ativos em uma empresa.


    (1° PARTE) 
    Segundo a ISO 27002, p.21, "
    1 OBJETIVO
    Esta Norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização."


    (2° PARTE) 
    Segundo a ISO 27002, p. 41,
    "7 GESTÃO DE ATIVOS

    Objetivo: Alcançar e manter a proteção adequada dos ativos da organização.

    7.1.1  Inventário dos ativos
    7.1.2  Proprietário dos ativos
    7.1.3 Uso aceitável dos ativos
    7.2.1 Recomendações para classificação
    7.2.2 Rótulos e tratamento da informação"


    CONCLUSÃO: A NORMA NÃO PROPÕE APENAS DIRETRIZES, E ELA POSSUI UMA SEÇÃO PRÓPRIA PARA GESTÃO DE ATIVOS NA SEÇÃO 7 COM SEUS RESPECTIVOS CONTROLES VISANDO A PROTEÇÃO DE ATIVOS DE UMA EMPRESA.
  • bom, ela pode ser utilizada para certificação de profissionais... não?

  • Raphael, para fins de certificação dos profissionais, a ISO 27002 pode sim ser usada, já para certificar a empresa, usa-se a ISO 27001.


    Segundo Aragon(2012,p.426),"A empresa é certificada na norma ISO/IEC  27001.

    (...)

    No âmbito pessoal, existe  a certificação  ISO/EEC  27002 Foundation, que  visa atestar a proficiência dos profissionais  nos fundamentos da norma. "


    IMPLANTANDO A GOVERNANÇA DE TI-3 EDIÇÃO 2012-ARAGON.


  • ISO 27001 --> diretrizes --> certifica empresas

    ISO 27002 --> implementação --> certifica profissionais

  • Prezados,

    O comando da questão na verdade tenta enganar o candidato quanto a diferença das normas 27001 e 27002. A norma 27001 sim que propõe apenas diretrizes, não sendo usada para fins de certificação. A norma 27002, por outro lado , apresenta os controles e é usada para fins de certificação;

    Portanto a questão está errada.

  • Gabarito errado

    Essa está bem errada....

    A ISO 27002 são as diretrizes e a 27001 é que trabalha com o SGSI, e ainda por cima a 27002 têm certificação sim.

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
241873
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos
itens.

A adoção de senhas de qualidade por parte dos usuários são recomendações para implantar uma política de uso de chaves e senhas. Alguns aspectos, citados na norma, característicos de senhas de qualidade são senhas fáceis de serem lembradas, que não sejam vulneráveis a ataques de dicionário e que sejam isentas de caracteres idênticos consecutivos.

Alternativas
Comentários
  • Os usuários devem:

    a) Manter a confidencialidade das senhas;

    b) Evitar manter anotadas senhas (por exemplo, papel, arquivos ou dispositivos móveis), a menos que elas possam ser armazenadas de forma segura e o método de armazenamento esteja aprovado;

    c) Alterar senha sempre que existir qualquer indicação de possível comprometimento do sistema ou da própria senha;

    d) Selecionar senhas de qualidade com um tamanho mínimo de seis caracteres que sejam:

    1) Fáceis de lembrar;

    2) Não baseadas em nada que alguém facilmente possa adivinhar ou obter usando informações relativas à pessoa, por exemplo, nomes, números de telefone e datas de aniversário;

    3) Não vulneráveis a ataque de dicionário (por exemplo, não consistir em palavras inclusas no dicionário);

    4) Isentas de caracteres idênticos consecutivos, todos numéricos ou todos alfabéticos sucessivos;

    e) Modificar senhas regularmente e evitar a reutilização ou reutilização do ciclo de senhas antigas;

    f) Modificar senhas temporárias no primeiro acesso ao sistema;

    g) Não compartilhar senhas de usuários individuais;

    h) Não utilizar a mesma senha para uso com finalidades profissionais e pessoais.

    Fonte: ABNT NBR ISO/IEC 17799:2005

  • Apenas corrigindo um pequeno detalhe do comentário anterior (poderá ser uma questão no futuro). Especificamente a letra "D"

    A última versão da 27002 não fala mais de "... mínimo de SEIS...".

    O texto correto ficou:

    "d) selecionar senhas de qualidade com um tamanho mínimo que sejam:"

  • Complementando os comentários acima:

    Há pequenas mudanças da 17799 para a 27002 (versão corrigida 02.07.2007). Há um objetivo de controle  a mais no controle 11.3.1 Uso de senhas (na 17799 eram 8, na 27002 são 9):
    a) manter a confidencialidade das senhas
    b) Evitar manter anotadas senhas (por exemplo, papel, arquivos ou dispositivos móveis), a menos que elas possam ser armazenadas de forma segura e o método de armazenamento esteja aprovado;
    c) Alterar senha sempre que existir qualquer indicação de possível comprometimento do sistema ou da própria senha;
    d) Selecionar senhas de qualidade com um tamanho mínimo de seis caracteres que sejam:
        1) Fáceis de lembrar;
        2) Não baseadas em nada que alguém facilmente possa adivinhar ou obter usando informações relativas à pessoa, por exemplo, nomes, números de telefone e datas de aniversário;
        3) Não vulneráveis a ataque de dicionário (por exemplo, não consistir em palavras inclusas no dicionário);
        4) Isentas de caracteres idênticos consecutivos, todos numéricos ou todos alfabéticos sucessivos;
    e) Modificar senhas regularmente ou com base no número de acessos (convém que senhas de acesso a contas privilegiadas sejam modificadas mas frequentemente que senhas normais) e evitar a reutilização do ciclo de senhas antigas
    f) Modificar senhas temporárias no primeiro acesso ao sistema;
    g) Não incluir senhas em nenhum processo automático de acesso ao sistema, por exemplo, armazenadas em macro ou funções-chave. (NOVO CONTROLE)
    h) Não compartilhar senhas de usuários individuais;
    i) Não utilizar a mesma senha para uso com finalidades profissionais e pessoais.

    FONTE: ABNT NBR ISO/IEC 27002
  • Segundo a ISO 27002:2013,

    "9.3.1 Uso da informação de autenticação secreta

    Diretrizes para implementação
    Convém que todos os usuários sejam informados para:

    d) Quando as senhas são usadas como informação de autenticação secreta, selecione senhas de qualidade com um tamanho mínimo que sejam:
    1)fáceis de lembrar;

    _________
    2)não baseadas em nada que alguém facilmente possa adivinhar ou obter usando informações relativas à pessoa, por exemplo, nomes, números de telefone e datas de aniversário;

    _________
    3)não vulneráveis a ataque de dicionário (por exemplo, não consistir em palavras inclusas no dicionário);

    _________

    4)isentas de caracteres idênticos consecutivos, todos numéricos ou todos alfabéticos sucessivos;

    _________
    5)caso a senha seja temporária, ela deve ser mudada no primeiro acesso (log-on)"


ID
241876
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos
itens.

Estimar a probabilidade de uma ameaça se concretizar dentro do ambiente computacional e identificar os impactos que um evento de segurança pode acarretar são atividades resultantes da análise/avaliação de riscos.

Alternativas
Comentários
  • A questão trata, na verdade, da ISO 27005. Veja figura abaixo

    http://screencast.com/t/idsPitim

  • Gravei a analise/avaliacao de risco como AVR. (Sigla para facilitar a memorização),

    e ela tem haver COMO ESTABELECER OS REQUISITOS DA SEG INFORMAÇÃO,  a AVR identifica as ameaças aos ativos e as vulnerabilidades destes, estima  probablidade de ocorrencias das ameaças e o impacto potencial ao negocio, por ai deduzi a questão.

  • Para resolver essa questão é necessário ter em mente apenas o conceito de risco.
     
    RISCO: combinação da probabilidade de um evento e de suas consequências.
     
    Ora, “estimar a probabilidade de uma ameaça ('evento') se concretizar dentro do ambiente computacional e identificar os impactos ('consequências') que um evento de segurança pode acarretar” é o mesmo que dizer que se está realizando atividades resultantes da análise/avaliação de riscos. Portanto, gabarito corretíssimo.

    Bons estudos e sucesso, galera!
  • CORRETO. Mais especificamente, essas estimativas são saídas das atividades de Avaliação da Probabilidade de IncidentesAvaliação das consequencias (impactos) da fase Análise de Riscos, conforme descrito na seção 8.2 da norma 27.005.

    Bons estudos!

ID
241879
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos
itens.

Os principais fatores críticos de sucesso apresentados na referida norma incluem política de segurança, abordagem e estrutura da segurança consistente com a cultura organizacional, comprometimento de todos os níveis gerenciais, entendimento dos requisitos de segurança e divulgação da segurança.

Alternativas
Comentários
  • Item correto.
     Fatores críticos de sucesso
     Política de segurança da informação, objetivos e atividades, que reflitam os objetivos do negócio;
    a) Uma abordagem e uma estrutura para a implementação, manutenção, monitoramento e 
    melhoria da segurança da informação que seja consistente com a cultura 
    organizacional;
    b) Comprometimento e apoio visível de todos os níveis gerenciais;
    c) Um bom entendimento dos requisitos de segurança da informação, da análise/avaliação 
    de riscos e da gestão de risco;
    d) Divulgação eficiente da segurança da informação para todos os gerentes, funcionários e 
    outras partes envolvidas para se alcançar a conscientização;
    e) Distribuição de diretrizes e normas sobre a política de segurança da informação para 
    todos os gerentes, funcionários e outras partes envolvidas;
    f) Provisão de recursos financeiros para as atividades da gestão de segurança da informação;
    g) Provisão de conscientização, treinamento e educação adequados;
    h) Estabelecimento de um eficiente processo de gestão de incidentes de segurança da informação;
    i) Implementação de um sistema de medição, que seja usado para avaliar o desempenho 
    da gestão da segurança da informação e obtenção de sugestões para a melhoria
  • Faltou citar a fonte para a galera.


    Fonte: ISO 27002

    0.7 Fatores críticos de sucesso

ID
241882
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos
itens.

Controle é, segundo essa norma, qualquer sistema de processamento da informação, serviço ou infraestrutura, ou as instalações físicas que os abriguem.

Alternativas
Comentários
  • controle – forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal.

    Recursos de Processamento da Informação - qualquer sistema de processamento da informação, serviço ou infra-estrutura, ou as instalações físicas que os abriguem.

  • Controle ---> forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal.

    Recursos de Processamento da Informação ---> qualquer sistema de processamento da informação, serviço ou infra-estrutura, ou as instalações físicas que os abriguem.


    Fonte: NBR ISO/IEC 27002:2005


ID
241885
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos
itens.

Os controles necessários para se fazer uma adequada análise e avaliação de riscos devem ser retirados apenas da norma 27002, por ser completa e atual. Essa norma garante, em seu escopo, todas as ações de segurança necessárias para qualquer ambiente computacional.

Alternativas
Comentários
  • Na própria norma podemos ver o seguinte texto:

     

    IMPORTANTE – Esta publicação não tem o propósito de incluir todas as cláusulas necessárias a um
    contrato. Os usuários são responsáveis pela sua correta aplicação. Conformidade com esta Norma por si
    só não confere imunidade em relação às obrigações legais.

  • "... Os controles podem ser selecionados a partir desta Norma ou de um outro conjunto de controles ou novos controles podem ser desenvolvidos para atender às necessidades específicas, conforme apropriado. A seleção de controles de segurança da informação depende das decisões da organização, baseadas nos critérios para aceitação de risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco aplicado à organização, e convém que também esteja sujeito a todas as legislações e regulamentações nacionais e internacionais, relevantes."

    ISO 27002
  • 27005 - information security risk management

    http://www.27000.org/iso-27005.htm
  • Segundo a ISO 27002:2013,"0.3 Seleção de controle
    Controles podem ser selecionados desta norma ou de outros conjuntos de controles, ou novos controles podem ser projetados para atender necessidades especificas, conforme apropriado."

  • Gabarito Errado

    Não podemos esquecer da 27005.

     

    Vamos na fé !

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
241888
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos
itens.

Uma das recomendações adequadas para a gestão de ativos é que o requisito de rotulação e tratamento seguro da classificação da informação é fundamental para que sejam definidos os procedimentos de compartilhamento da informação, seja ela interna ou externa à organização.

Alternativas
Comentários
  • CORRETO.

    Abaixo o trecho da norma que confirma:

    7.2.2  Rótulos e tratamento da informação

    (...)

    Convém que acordos com outras organizações, que incluam o compartilhamento de informações, considerem
    procedimentos para identificar a classificação daquela informação e para interpretar os rótulos de classificação
    de outras organizacões.

    Informações adicionais
    A rotulação e o tratamento seguro da classificação da informação é um requisito-chave para os procedimentos
    de compartilhamento da informação. Os rótulos físicos são uma forma usual de rotulação. Entretanto, alguns
    ativos de informação, como documentos em forma eletrônica, não podem ser fisicamente rotulados, sendo
    necessário usar um rótulo eletrônico. Por exemplo, a notificação do rótulo pode aparecer na tela ou no display.
    Onde a aplicação do rótulo não for possível, outras formas de definir a classificação da informação podem ser
    usadas, por exemplo, por meio de procedimentos ou metadados.

     

    Fonte: ISO 27002


ID
241891
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos
itens.

A segurança de equipamentos descartados da organização segue as recomendações de outras normas relativas à reciclagem de resíduos sólidos e, por isso, não está prevista em uma recomendação específica da norma 27002.

Alternativas
Comentários
  • ERRADO. Vejam alguns trechos da norma ISO 27002 (ou 17999) que tratam do descarte

    9.2.6  Reutilização e alienação segura de equipamentos

    Controle
    Convém que todos os equipamentos que contenham  mídias de armazenamento de dados sejam examinados antes do descarte, para assegurar que todos os dados sensíveis e  softwares licenciados tenham sido removidos ou sobregravados com segurança.

     

    10.7.2  Descarte de mídias

    Controle
    Convém que as mídias sejam descartadas de forma segura e protegida quando não forem mais necessárias, por meio de procedimentos formais.

  • CONFORME A ISO MAIS NOVA DE 2013!

    ERRADO, pois a própria ISO 27002:2013 possui controles que tratam do descarte de ativos.

     

    Segundo a ISO 27002:2013,"8.3.2 Descarte de mídias
    Controle
    Convém que as mídias sejam descartadas de forma segura, quando não forem mais necessárias, por meio de procedimentos formais.

    ___________________________

    11.2.7 Reutilização e alienação segura de equipamentos
    Controle
    Convém que todos os equipamentos que contenham mídias de armazenamento de dados sejam examinados antes do descarte, para assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos ou sobre-gravados com segurança, antes do descarte ou do seu uso.


ID
241894
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos
itens.

Com o objetivo de otimizar o uso de um ambiente de desenvolvimento de software quanto aos procedimentos e responsabilidades operacionais relativos ao gerenciamento das operações e das comunicações, uma organização deve garantir que software em desenvolvimento e software em produção partilhem de sistemas e processadores em um mesmo domínio ou diretório, de modo a garantir que os testes sejam compatíveis com os resultados esperados no mundo real.

Alternativas
Comentários
  • 10.1.4  Separação dos recursos de desenvolvimento, teste e de produção

    Controle

    Convém que recursos de desenvolvimento, teste e produção sejam separados para reduzir o risco de acessos ou modificações não autorizadas aos sistemas operacionais.

     

    Fonte: ISO 27002

  • Acredito que esta questão deveria ser anulada uma vez que o verbo 'partilhem' pode possuir dois sentidos, de dividir e de compartilhar, como é elucidado no dicionário Houaiss:

    ? verbo

    transitivo direto e bitransitivo

    1 fazer partilha de (jur)

    Ex.: p. uma herança (com os imãos)

    transitivo direto e bitransitivo

    2 dividir em partes; repartir, distribuir

    Ex.: partilhou as roupas (entre os necessitados)

    transitivo direto, transitivo indireto e bitransitivo

    3 participar de; compartir, compartilhar

    Ex.: p. (d)as alegrias (com os amigos)

    bitransitivo

    4 compartir com; compartilhar

    Ex.: <p. o carro com a filha> <p. o quarto com a irmã>

     

  • ERRADO


    Segundo a ISO 27002:2013,"

    12 Segurança nas operações

    12.1.4 Separação dos ambientes de desenvolvimento, teste e de produção

    Convém que os seguintes itens sejam considerados:

    b)convém que o software em desenvolvimento e o software em produção sejam, sempre que possível, executados em diferentes sistemas ou processadores e em diferentes domínios ou diretórios;"


ID
241897
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos
itens.

Os controles referentes à segurança de redes, que estabelecem que as redes devam ser gerenciadas e controladas e que os níveis e requisitos de gerenciamento sejam implementados, estão presentes no capítulo da norma que se refere ao controle de acessos.

Alternativas
Comentários
  • ERRADO

    Encontra-se no capítulo 10 da norma.

    10  Gerenciamento das operações e comunicações

    10.6  Gerenciamento da segurança em redes

    10.6.1  Controles de redes

    Controle
    Convém que as redes sejam adequadamente gerenciadas e controladas, de forma a protegê-las contra ameaças e manter a segurança de sistemas e aplicações que utilizam estas redes, incluindo a informação em trânsito.

  • A maioria dos controles da 27002:2005 são fáceis de identificar caso se saiba as 11 principais Seções (5-15).
    Contudo o CESPE adora pegar os processos que poderiam estar em um ou outro capítulo e tentam confundir os candidatos.
    A confusão, nesse caso, seria com o controle 11.4, como pode ser observado a seguir:

    Section 11: Access control
    11.4  Network access control
     
    Section 10:  Communications and operations management
    10.6  Network security management
  • pegadinha do cespe!!

  • ERRADO. CONFORME A ISO DE 2013, A SEÇÃO AGORA É SEGURANÇA NAS COMUNICAÇÕES

    Segundo a ISO 27002:2013,

    "13 Segurança nas comunicações

    13.1 Gerenciamento da segurança em redes
    Objetivo: Garantir a proteção das informações em redes e dos recursos de processamento da informação que os apoiam.

    13.1.1 Controles de redes
    Controle
    Convém que as redes sejam gerenciadas e controladas para proteger as informações nos sistemas e aplicações."

  • Gabarito Errado

    O nome correto seria Controles de redes.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
241900
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos
itens.

O filtro de tráfego realizado por gateways no controle de conexões de uma rede deve ser feito por meio de restrições predefinidas em tabelas ou regras para aplicações, como, por exemplo, uso de correio eletrônico, acesso interativo e transferência de arquivos.

Alternativas
Comentários
  • Item CORRETO. A questão trata do proxy (gateway de aplicação). Estes aplicativos operam na camada de aplicação criando tabelas de restrições que são aplicadas quando um determinado tráfego é detectado. O bloqueio por proxy é feito na camada de aplicação e geralmente é específico para uma aplicação (ex.: proxy de email, proxy http, etc). O bloqueio por meio de firewall é mais genérico podendo ser feito por meio de portas ou ips origem/destino.

  • Concordo que no contexto de segurança de redes esteja correto, mas como o contexto é a 27002, o deve ser feito invalida a questão pois a norma não insere obrigação alguma.
  • Realmente o comentário anterior é totalmente pertinente:

    A capacidade de conexão de usuários pode ser restrita através dos gateways que filtram tráfico por meio de tabelas ou regras predefinidas. Convém que sejam aplicadas restrições nos seguintes exemplos de aplicações:

     

    a) mensagens, por exemplo, correio eletrônico;
    b) transferência de arquivo;
    c) acesso interativo;
    ...

  • O colega acima esqueceu de citar a fonte na norma 27002 com a resposta da questão

    A fonte é :

    11 Controle de acessos

    11.4.6 Controle de conexão de rede


ID
245326
Banca
CESPE / CEBRASPE
Órgão
TRT - 21ª Região (RN)
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às normas NBR ISO/IEC 27001 e 27002, referentes à
gestão de segurança da informação, julgue os itens que se seguem.

Incidente de segurança da informação é uma ocorrência identificada de um sistema, serviço ou rede que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.

Alternativas
Comentários
  • ERRADO. A questão descreve um EVENTO DE SEGURANÇA DA INFORAMAÇÃO e não um incidente.

    ABNT NBR ISO/IEC 17799:2005
     
    2.6 evento de segurança da informação
    ocorrência identificada de um sistema, serviço ou  rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação

    2.7 incidente de segurança da informação
    um incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação

  • Sabia que um dia eu ia cair nesse conto do vigário evento x incidente de SI . . .

  • Incidente é um evento ou uma série de eventos indesejados ou inesperados[...]

  • ERRADO

    O que me ajudou a não cair mais diante desses conceito foi memorizar da seguinte forma:

    INCIDENTE - Algo que aconteceu e provavelmente vai dar merda, é a consequência de um/alguns EVENTO(s)(Um Fato)
    EVENTO - Algo que pode ter acontecido e que pode vir a dar problema(Um possível fato)

    Não é a definição correta, mas acho que a maneira mais fácil de distingui-los. Com isso na cabeça e analisando a questão criticamente você consegurá responder todas.

  • incidente de segurança da informação

    Um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação


ID
245329
Banca
CESPE / CEBRASPE
Órgão
TRT - 21ª Região (RN)
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às normas NBR ISO/IEC 27001 e 27002, referentes à
gestão de segurança da informação, julgue os itens que se seguem.

Um dos controles da política de segurança da informação estabelece que ela deve ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

Alternativas
Comentários
  • ABNT NBR ISO/IEC 17799:2005
     
    5  Política de segurança da informação
    5.1  Política de segurança da informação

    5.1.2  Análise crítica da política de segurança da informação
    Controle
    Convém que a política de segurança da informação seja analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

  • Essas questões do CESPE são complicadas.
    Volta e meia se encontram questões que apresentam o gabarito como errada por dar um sentido de obrigatoriedade na 27002.
    Aí vem outra questão dizendo que um dos controles "estabelece", sendo que a norma em insere uma "recomendação", e é dada como certa.
    E agora José?
  • Também encontro os mesmos problemas nas questões do CESPE sobre as normas. Mas nesse caso ele não especificou qual das duas normas ele estava falando, logo imagino eu que tanto o "convém" quanto o "deve" tornariam a resposta correta.
  • É isso mesmo Leonardo, aí é complicado.
    Essa questão é facilmente anulável.
    Acho que isso se acontece pela tradução ruim que o examinador fez da norma original, cujo verbo utilizado é o should.
  • Nessas questões sobre 27001 e 27002 deve-se ter uma atenção redobrada ao enunciado...
    Se ele mencionar que deve-se ter como base a 27001 então a os controles são obrigatórios... "DEVE"
    Se ele mencionar que deve-se ter como base a 27002 então a os controles são uma sugestão... "CONVÉM"
    Mas se no enunciado mencionar que é com base nas duas, daí tanto faz...

  • Pois é, eu to vendo um DEVE ali e um ESTABELECE, então deveria estar errada a questão.
  • pois é, eu entraria com um recurso citando as questões anteriores da CESPE que consideraram erradas as preposições semelhantes que tinham a palavra deve. Ora, a banca não pode ser incoerente com seus posicionamentos. Pode ser um bom argumento de recurso.

  • Errei por causa da "contínua pertinência", achei que era "melhorias continuas"

    A resposta está na ISO 27001

    Sessão 8. Operação


ID
245332
Banca
CESPE / CEBRASPE
Órgão
TRT - 21ª Região (RN)
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às normas NBR ISO/IEC 27001 e 27002, referentes à
gestão de segurança da informação, julgue os itens que se seguem.

O objetivo de controle Controles de Entrada Física estabelece que perímetros de segurança (barreiras, como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) devem ser utilizados para proteger as áreas que contenham informações e recursos de processamento da informação.

Alternativas
Comentários
  • ERRADO. A questão descreve o controle Perímetro de segurança física e não o Controles de entrada física

    Crueldade do CESPE. Essa norma possui:

    11 sessões (A5 a A15)
    39 categorias e objetivos de controle
    133 controles de segurança

    Essa questão especificamente está cobrando um controle de segurança (A.9.1.1 e A.9.1.2) de um objetivo de controle (A.9.1) da sessão A9. Portanto, o CESPE espera que decoremos a norma toda. Impossível!

    9  Segurança física e do ambiente
    9.1 Áreas seguras

    9.1.1  Perímetro de segurança física
    Controle
    Convém que sejam utilizados  perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) para proteger as áreas que contenham informações e instalações de processamento da informação

    9.1.2  Controles de entrada física
    Controle
    Convém que as áreas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso.

    Fonte: ABNT NBR ISO/IEC 17799:2005

  • Eloh, ótimo comentário. Essa norma realmente é gigante e meio sacal de ler... mas vemos que realmente precisamos não apenas ler toda, como decorar cada seção.
  • Um detalhe que pode ajudar na resolução da questão:
    Ela fala "O objetivo de controle Controles de Entrada Física..."
    Porém, na realidade, "Controles de Entrada Física" é um CONTROLE, e não um objetivo de controle. Basta lembrar que "objetivos de controles" são "descrições" dos objetivos que se pretendem alcançar com a aplicação dos controles.
  • "... devem ser utilizados para proteger as áreas que contenham informações e recursos de processamento da informação."

    Só uma dica: o CESPE usa muito a palavra DEVE nas questões de ISO 27002, quando, na verdade, a norma explicita controles que são convenientes e que podem ser substituídos ou, até mesmo, ignorados. O
    convém é mais indicado que o deve.
    Quando tiver
    deve na assertiva, a chance de ser falsa é enorme.

ID
245335
Banca
CESPE / CEBRASPE
Órgão
TRT - 21ª Região (RN)
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às normas NBR ISO/IEC 27001 e 27002, referentes à
gestão de segurança da informação, julgue os itens que se seguem.

O objetivo de controle Análise Crítica dos Direitos de Acesso de Usuário estabelece que deve existir um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços.

Alternativas
Comentários
  • ERRADO.

    O item descreve o controle A.11.2.1 e diz ser o A.11.2.4. Só um detalhe. A norma tem 133 controle. Impossível decorar tudo!!!

    A.11.2.1  Registro de usuário
    Controle

    Deve existir um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços.

    A.11.2.4 Análise crítica dos direitos de acesso de usuário
    Controle

    O gestor deve conduzir a intervalos regulares a análise crítica dos direitos de acesso dos usuários, por meio de um processo formal.

  • Se não for excesso de formalismo, daria para matar  pelo enunciado, pois diz que Análise Crítica dos Direitos de Acesso de Usuário é um objetivo de controle. Fui de errado por causa disto.
    Mas como diz o Machado (considerando que não haja o rigor na nomenclatura) só conhecendo todos os 133 controles. Aí fica osso.
  • Fechei os olhos e marquei errado exatamente por "Análise Crítica dos Direitos de Acesso de Usuário" não ser um objetivo de controle e sim um controle. Poxa, é impossível decorar isso! E o pior é que cada vez mais questões que, não satisfeitas em cobrar Categorias,Objetivos de Controle e Controles, cobram as DIRETRIZES! Como se não existisse maldade suficiente no mundo...
  • Segundo a ISO 27002:2013,"

    9.2.1 Registro e cancelamento de usuário
    Controle
    Convém que um processo formal de registro e cancelamento de usuário seja implementado para permitir atribuição de direitos de acesso.

    ___________________

    9.2.5 Análise crítica dos direitos de acesso de usuário
    Controle
    Convém que os proprietários de ativos analisem criticamente os direitos de acesso dos usuários, a intervalos regulares.

    "

     

  • ERRADO

    "...para garantir e revogar acessos em todos os sistemas de informação e serviços..." - Não são todos os sistemas que precisam de controle de acesso, apesar de ser recomendado, como exemplo um sistema de pesquisas de um biblioteca pública.

    E nem é necessário garantir ou revogar acesso a TODOS os sistemas, o usuário só deve ter acesso aos sistemas aos quais ele tem necessidade.

    Analisando isso não se faz necessário decorar todos os controles.


ID
245338
Banca
CESPE / CEBRASPE
Órgão
TRT - 21ª Região (RN)
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às normas NBR ISO/IEC 27001 e 27002, referentes à
gestão de segurança da informação, julgue os itens que se seguem.

O objetivo de controle Uso Aceitável dos Ativos estabelece que devem ser identificadas, documentadas e implementadas regras para que seja permitido o uso de informações e de ativos associados aos recursos de processamento da informação.

Alternativas
Comentários
  • CORRETO

    ABNT NBR ISO/IEC 27001:2006

    A.7.1.3  Uso aceitável dos ativos
    Controle

    Devem ser identificadas, documentadas e implementadas regras para que seja permitido o uso de informações e de ativos associados aos recursos de processamento da informação.

  • Só fazendo uma correção no comentário acima, a transcrição é da norma ISO 27002
  • A questão fala que "Uso Aceitável dos Ativos" é objetivo de controle, quando na verdade é um controle.
  • O BELO EXAMINADOR que fez essa questão não sabe a diferença de Objetivo de Controle para Controle. 

    OBJETIVO DE CONTROLE: RESPONSABILIDADE PELOS ATIVOS

    CONTROLES PARA ATINGIR ESSE OBJETIVO DE CONTROLE:

    INVENTÁRIO DOS ATIVOS
    PROPRIETÁRIO DOS ATIVOS
    USO ACEITÁVEL DOS ATIVOS
    DEVOLUÇÃO DOS ATIVOS



ID
252154
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de planejamento estratégico de tecnologia da
informação (TI), gerenciamento de serviços, gestão de
segurança da informação e governança de TI, julgue os itens
a seguir. Nesse sentido, considere que o ITIL, sempre que
citado, refere-se à versão 3.

Segundo a norma NBR ISO/IEC 27002, em uma organização, não é conveniente que a coordenação de segurança da informação seja exercida por representantes importantes de diferentes áreas, mesmo que a participação deles seja relevante para a organização.

Alternativas
Comentários
  • Segundo a norma NBR ISO/IEC 27002, em uma organização, não é conveniente que a coordenação de segurança da informação seja exercida por representantes importantes de diferentes áreas

    Todos devem participar mas é a gerência deve aprovar o plano de segurança.
  • De acordo com a norma ISO 27002:

    "6 Organizando a segurança da informação
    (..)

    6.1 Infra-estrutura da segurança da informação
    (..)

    6.1.2 Coordenação da segurança da informação

    Controle

    Convém que as atividades de segurança da informação sejam coordenadas por representantes de diferentes partes da organização, com funções e papéis relevantes."


ID
252190
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da prevenção e do tratamento de incidentes, julgue
os itens seguintes.

A resposta inicial a um incidente inclui, entre outras atividades, a revisão de relatórios de detecção de intrusão e logs de rede, para identificar os dados que corroboram a ocorrência de um incidente.

Alternativas
Comentários
  • Prezados,

    Essa questão não é fácil nem trivial, a resposta dela pode ser encontrada nesse handbook da SEI que trata de times de resposta a incidentes de informação.

    Vejamos o que esse manual fala na página 25 que trata de serviços reativos

    CSIRTs that perform this service review existing IDS logs, analyze and initiate a response for any events that meet their defined threshold, or forward any alerts according to a pre-defined service level agreement or escalation strategy. Intrusion detection and analysis of the associated security logs can be a daunting task—not only in determining where to locate the sensors in the environment, but collecting and then analyzing the large amounts of data  captured.

    Portanto, questão correta.

    Fonte : Handbook for computer security incident response teams http://www.sei.cmu.edu/reports/03hb002.pdf


    A alternativa correta é : CERTO.


  • O termo "entre outras atiidades" deixa a questão correta, mas deve-se, principalmente, minimizar os danos causados pelo incidente e depois revisá-lo.

  • "a revisão de relatórios de detecção de intrusão e logs de rede, para identificar os dados que corroboram a ocorrência de um incidente." não seria na fase de análise forense? após a fase de resposta ao incidente?

  • CORRETO

    Cinthia em um primeiro momento devemos confirmar que o incidente realmente aconteceu, e é isso que é dito na questão neste trecho.

  • digo mais concurseiro de TI...nao apenas para identificar, mas tb para saber como responder à este incidente...


ID
271090
Banca
CESPE / CEBRASPE
Órgão
PREVIC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com as normas NBR/ISO/IEC 27002/2005 e
NBR/ISO/IEC 27001/2006 e com o modelo PDCA (plan, do,
check, act
), adotado por esta última para estruturar os processos do
sistema de gestão da segurança da informação (SGSI), julgue os
itens a seguir.

Na prática, os padrões 27001 e 27002 normalmente são usados em conjunto, embora seja possível o uso de outros controles de segurança da informação juntamente com o padrão 27001, até mesmo em substituição ao padrão 27002.

Alternativas
Comentários
  • Segundo a própria Norma 27001 "Esta Norma é projetada para permitir a uma organização alinhar ou integrar seu SGSI com requisitos de sistemas de gestão relacionados."
  • Anexo A (Objetivos de Controle e Controles) - que é a base da norma ISo 27001 - define:

    "Os  objetivos  de  controle  e  controles  listados  na  tabela  A.1  são  derivados  diretamente  e  estão  alinhados  com
    aqueles listados na ABNT NBR ISO/IEC 17799:2005 – seções 5 a 15. As listas na tabela A.1 não são exaustivas e
    uma organização pode considerar que objetivos de controle e controles adicionais são necessários. Os objetivos
    de  controle  e  controles  desta  tabela  devem  ser  selecionados  como  parte  do  processo  de  SGSI  especificado 
    em 4.2.1.  

    A  ABNT  NBR  ISO/IEC  17799:2005  -  seções  5  a  15  fornece  recomendações  e  um  guia  de  implementação  das
    melhores práticas para apoiar os controles especificados em A.5 a A.15. "


    A 17799 é a atual 27002. Ou seja, você pode muito bem substituir a 27002 pela 27001.
  • Roberto vc falou besteira nesse trecho: " Ou seja, você pode muito bem substituir a 27002 pela 27001."

    Esse item é polêmico pq a 27001 prevê controles adicionais e não a substiuição dos presentes na 27002. 
  • De acordo com a Norma é possível excluir controles, adicionar controles, e até mesmo permanecer controles já existentes, desde que justificados na Declaração de Aplicabilidade.

  • Mas Silvio, os controles que devem ser citados na declaração de aplicabilidade, na minha opinião, são os listados na ISO 27002. A organização tem liberdade para escolher os controles, desde que eles estejam elencados na 27002. Meu entendimento a respeito do assunto é esse e é por isso que eu também marquei a questão como errada.
  • O gabarito dessa questão é discutível! Na minha opinião deveria ser ERRADO.

    1.  Segundo a -> 2.  Referência Normativa da ISO/IEC 27001:2006 :

    A ABNT ISO/IEC 17799:2005 (27002) é indispensável para a aplicação desta norma.
     

    2. Segundo a -> 1.2 Aplicação da ISO/IEC 27001:2006 :

    "Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada..."

    Mesmo se não implementados, os controles da ISO 27002 devem ter a exclusçao justificada. Portanto, mesmo se utilizados outros controles de SI, não poderão ser em substituição aos da ISO 27002.
     

    3. Alguns controles da ISO 27002 são universais e indispensáveis, portanto serão fatalmente aplicados.


    Agora, tudo isso são requisitos de conformidade com a ISO 27001. Se você não utilizar a ISO 27002, não terá conformidade.
    E para que uma organização vai aplicar a ISO 27001 se ela não quer conformidade???
    Se o raciocínio do examinador foi o de aplicar a ISO 27001 sem conformidade - nesse caso o gab será CERTO -, ele foi de encontro aos princípios da própria norma... E seguindo esse raciocínio ainda, você pode desconsiderar qualquer outras exigências da norma que ta tudo bem!
    Elaborar questões pensando assim deixa a coisa bem sem critérios...


     

  • Ao meu ver a questão deveria ser considerada ERRADA por conta do seguinte trecho "até mesmo em substituição ao padrão 27002".
    O trecho dá a entender que alguma outra norma pode substituir TODA a norma 27002 o que não é verdadeiro... outras normas podem ser usadas em conjunto com a 27001 e 27002, mas não substituir uma delas por completo...
  • A meu ver, a pegadinha está em dizer  "Na prática", pois na prática o que é auditado é o somente o padrão 27001 -  que são os requisitos - enquanto o padrão 27002 -  que são os controles -  dizem quais controles convém serem implementados para atingirem os requisitos da 27001, ou seja, se for implementado outros controles de outra norma que atinjam os requisitos da 27001 então a 27001 está em conformidade. Na prática os auditores validam somente o padrão 27001, não existe auditoria em cima do padrão 27002.

    Se for considerar na teoria então temos que usar a 27002 de acordo o objeto 2 do padrão 27001:

    2 - Referência normativa
     
    O documento a seguir referenciado é indispensável para a aplicação desta Norma. Para referência datada, aplica-
    se apenas a edição citada. Para referência não datada, aplica-se a última edição do documento referenciado
    (incluindo as emendas).
     
    ABNT NBR ISO/IEC 17799:2005, Tecnologia da informação – Técnicas de segurança – Código de prática para a
    gestão da segurança da informação.

    Obs.: A 17799:2005 é a atual 27002.
  • Meu entendimento foi o seguinte: é possível a substituição de algum controle de segurança da informação presente na 27002, de qualquer outra fonte de informação que seja aceita e válida para sua situação, que possa ser aplicado juntamente com a 27001, e que ainda assim o padrão 27001 esteja perfeitamente adequado? Sim, é possível.
  • 0.5 Seleção de Controles - página xi

    De onde podem ser selecionados os controles para assegurar que os riscos sejam reduzidos a um nível aceitável? {3 lugares}

    A partir desta norma;
    outro conjunto de controles;
    ou novos controles podem ser desenvolvidos.

  • CORRETÍSSIMA

    ISO27001 é uma norma e a 27002 é uma norma que apoia a 27001, não há a obrigação de se usar as duas juntas, não há nem a obrigação de se usar a 27001 para melhorar a segurança. a ISO é um padrão para se alcançar a Segurança da Informação, não é uma regra.


ID
271093
Banca
CESPE / CEBRASPE
Órgão
PREVIC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com as normas NBR/ISO/IEC 27002/2005 e
NBR/ISO/IEC 27001/2006 e com o modelo PDCA (plan, do,
check, act
), adotado por esta última para estruturar os processos do
sistema de gestão da segurança da informação (SGSI), julgue os
itens a seguir.

A organização deve fazer análises críticas com o objetivo de identificar tentativas e violações de segurança bem-sucedidas, sendo esta uma atividade verificada na fase check (checar).

Alternativas
Comentários
  • A fase de Check (checar) consiste em: monitorar, analisar criticamente, realizar auditorias e medir desempenho dos processos. Como a questão cita analises criticas facilita a sua resolução
  • Para completar o comentário do nosso amigo:

    Check (checar) (monitorar e analisar criticamente o SGSI) : Avaliar e, quando aplicável, medir o desempenho de um processo frente  à política,  objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção.  
  • A norma ISO/IEC 27.001 estabelece que, in verbis:

    7 Análise crítica do SGSI pela direção
     
    7.1 Geral
     
    A direção deve analisar criticamente o SGSI da organização a intervalos planejados (pelo menos uma vez por ano) para assegurar a sua contínua pertinência, adequação e eficácia. Esta análise crítica deve incluir a avaliação de oportunidades para melhoria e a necessidade de mudanças do SGSI, incluindo a política de segurança da informação e objetivos de segurança da informação. Os resultados dessas análises críticas devem ser claramente documentados e os registros devem ser mantidos (ver 4.3.3).
     
    7.2 Entradas para a análise crítica
     
    As entradas para a análise crítica pela direção devem incluir:
    (...)
    e) vulnerabilidades ou ameaças não contempladas adequadamente nas análises/avaliações de risco anteriores;

    Note-se que a norma é taxativa ao afirmar que as vulnerabilidades ou ameaças não contemplateas adequadamente devem servir de entradas para a análise crítica da organização.

    Por outro lado, o trecho destacado - "Esta análise crítica deve incluir a avaliação de oportunidades para melhoria e a necessidade de mudanças do SGSI" - que esta faze envolve identificar, claramente, oportunidades de melhorias. Assim, está de fato relacionado à fase Check do ciclo PDCA (Plan, Do, Check, Act).

    Razões pelas quais trata-se de um item certo.
  • Questão Correta.
    Item 4.2.3 - Monitoramento e análise criticamente o SGSI da norma ISO 27001:2006.
    "Executar procedimentos de monitoramento e análise críticas e outros controles para prontamente identificar tentativas de violações bem-sucedidas, e incidentes de segurança da informação."

ID
271096
Banca
CESPE / CEBRASPE
Órgão
PREVIC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à classificação e controle de ativos da informação,
segurança de ambientes físicos e lógicos e controle de acesso,
julgue os itens que se seguem de acordo com as normas
NBR/ISO/IEC 27001/2006 e 27002/2005.

Como forma de estabelecer um controle mais adequado da segurança da informação, segundo a norma NBR/ISO/IEC 27002/2005, convém considerar os controles de acesso lógico e físico de forma conjunta. As regras e os direitos para cada usuário ou grupo de usuários devem estar claramente expressos na política de controle de acesso.

Alternativas
Comentários
  • Correta.

    Transcrição literal da Norma 27002.

    11.1.1 Política de controle de acesso

    Diretrizes para implementação
    Convém que as regras de controle de acesso e direitos para cada usuário ou grupos de usuários sejam expressas claramente na política de controle de acesso. Convém considerar os controles de acesso lógico e físico de forma conjunta. Convém fornecer aos usuários e provedores de serviços uma declaração nítida dos requisitos de negócio a serem atendidos pelos controles de acesso.
  • Segundo a ISO 27002:2013,

    "9.1.1 Política de controle de acesso

    Convém que sejam considerados os controles de acesso lógico e físico (Ver 11) de forma conjunta. Convém que uma declaração nítida dos requisitos do negócio a serem atendidos pelo controle de acesso, seja fornecida aos usuários e provedores de serviços."


ID
271099
Banca
CESPE / CEBRASPE
Órgão
PREVIC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à classificação e controle de ativos da informação,
segurança de ambientes físicos e lógicos e controle de acesso,
julgue os itens que se seguem de acordo com as normas
NBR/ISO/IEC 27001/2006 e 27002/2005.

Alcançar e manter a proteção adequada dos ativos da organização é um objetivo de controle estabelecido na norma NBR/ISO/IEC 27001/2006. Associado a esse objetivo, há o controle relativo à remoção de propriedade, o qual determina que um ativo não mais utilizado por um proprietário deverá ser dele desvinculado.

Alternativas
Comentários
  • Segundo a norma 27001, o controle relativo a remoção de propriedade quer dizer que nenhum equipamento, informação ou software deve ser retirado do lugar sem autorização prévia.
    Não faz nenhuma referência ao controle de acesso ao ativo.
  • Além disso, este objetivo de controle "Alcançar e manter a proteção adequada dos ativos da organização" não existe na referida norma
  • A primeira parte da questão está correta, pois segundo a própria Norma, no tópico 1) Objetivos 1.1) Geral: "O SGSI é projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas."

    O erro está na segunda sentença, no que se refere ao controle à remoção de propriedade como nosso amigo já informou. Só para completar e deixar a informação mais completa e confirmar o que foi dito, a Norma diz no tópico A.9.2.7 "Equipamentos, informações ou software não devem ser retirados do local sem autorização prévia."

    Sendo este um tópico a respeito de Controle em relação a Segurança de Equipamentos.
  • Chega de Core, core e core galera.  

    A questtão diz: há o controle relativo à remoção de propriedade, o qual determina que um ativo não mais utilizado por um proprietário deverá ser dele desvinculado

    A questão diz que o que não for mais utilizado deverá ser DESVINCULADO, isso é errado. De acordo com a norma deve ser DESTRUIDO e não desvinculado. É só isso galera.
  • Exite sim o objetivo referido na questão na norma ISO/IEC 27002:2005:

    Categoria - A.7 Gestão de Ativos
                         A.7.1 Responsabilidades pelos ativos

    Objetivo: Alcançar e manter a proteção adequada dos ativos da organização

    Controle - A.7.1.2 Proprietário dos ativos: Todas as informações e ativos associados com os recursos de processamento da informação devem ter um proprietário designado por uma parte definida da organização.

    O que não existe é o controle definido na segunda parte da questão.
  • Há vários erros nessa questão:

    Ela se refere à norma ISO 27002 e não à ISO 27001.

    "Alcançar e manter a proteção adequada dos ativos da organização." não é um controle, e sim um objetivo do controle de 7.1 Responsabilidade pelos ativos.

    Remoção de propriedade não tem nada a ver com "determina que um ativo não mais utilizado por um proprietário deverá ser dele desvinculado.", e sim com "Convém que equipamentos, informações ou software não sejam retirados do local sem autorização prévia. " e pertence ao controle 9.2  Segurança de equipamentos.

    P.S. É cada comentário que a gente encontra por aqui..
  • Remoção de propriedade tem na ISO 27001 sim.

    A.9.2.7 -> Remoção de propriedade - Controle -> Equipamentos, informações ou software não devem ser retirados do local sem autorização prévia. 


  • Prezados,

    A questão acerta ao afirmar que alcançar e manter a proteção adequada dos ativos da organização é um objetivo de controle estabelecido pela norma ISO 27001, vemos esse controle no Anexo A , A.7.1 Responsabilidade pelos ativos, cujo objetivo é alcançar e manter a proteção adequada dos ativos da organização.

    Porém, a questão erra ao afirmar que associado a esse objetivo há o controle relativo à remoção de propriedade. Vemos no anexo da ISO 27001 a seguinte relação de controles para responsabilidade pelos ativos :

    A.7.1 – Responsabilidade pelos ativos

      A.7.1.1 Inventário dos ativos : Todos os ativos devem ser claramente identificados e um inventário de todos os ativos importantes deve ser estruturado e mantido

      A.7.1.2 Proprietário dos ativos : Todas as informações e ativos associados com os recursos de processamento da informação devem ter um proprietário designado por uma parte definida da organização

      A.7.1.3 Uso aceitável dos ativos : Devem ser identificadas, documentadas e implementadas, regras para que seja permitido o uso de informações e de ativos associados aos recursos de processamento da informação.

    Portanto, questão errada.


    A alternativa correta é : ERRADO.

  • De acordo com a NBR/ISO/IEC 27001/2013:

    A.8 Gestão de ativos
    A.8.1. Responsabilidade pelos ativos

    Objetivo: Identificar os ativos da organização e definir as devidas responsabilidades pela proteção dos ativos.
    A.8.1.1 Inventário dos ativos
    Controle
    Os ativos associados com informação e com os recursos e processamento da informação devem ser identificados e um inventário destes ativos deve ser estruturado e mantido.
    A.8.1.2 Proprietário dos ativos
    Controle
    Os ativos mantidos no inventário devem ter um proprietário.
    A.8.1.3 Uso aceitável dos ativos
    Controle
    Regras para o uso aceitável das informações, dos ativos associados com informação e os recursos de processamento da informação, devem ser identificados, documentados e implementados.
    A.8.1.4 Devolução de ativos (NOVO CONTROLE EM RELAÇÃO À VERSÃO ANTERIOR)
    Controle
    Todos os funcionários e partes externas devem devolver todos os ativos da organização que estejam em sua posse após o encerramento de suas atividades, do contrato ou acordo.

  • Ué, pra mim a ISO 27001 não fala sobre isso mesmo não. Só a ISO 27002.


ID
271102
Banca
CESPE / CEBRASPE
Órgão
PREVIC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à classificação e controle de ativos da informação,
segurança de ambientes físicos e lógicos e controle de acesso,
julgue os itens que se seguem de acordo com as normas
NBR/ISO/IEC 27001/2006 e 27002/2005.

Um arquivo de texto, uma IDE para desenvolvimento em linguagem C e um pendrive são classificados como ativos de software, de serviço e físico, respectivamente.

Alternativas
Comentários
  • Os ativos de informação são classificados como: ativos de informação, ativos de software, ativos físicos e serviços. Dessa forma, as classificações corretas dos ativos apresentados na questão são:

    arquivo de texto --> Ativo de informação
    IDE para desenvolvimento --> Ativo de software
    pendrive --> Ativo físico


    Abaixo, para ampliar o debate, posto o resumo obtido do Walter Cunha  (http://waltercunha.com/blog/wp-content/uploads/2009/06/resumo-norma-17799.pdf)

    Tipos de ativos:
     # Ativos de Informação: base de dados e arquivos, contratos e acordos;
     # Ativos de Software: aplicativos, sistemas, ferramentas de desenvolvimento e
    utilitários;
     # Ativos físicos: equipamentos computacionais, equipamentos de comunicação,
    mídia removíveis e outros equipamentos;
    # Serviços: serviços de computação e comunicações, utilidades gerais;
    # Pessoas: pessoas e suas qualificações habilidades e experiências;
    # Intangíveis: reputação e imagem da empresa
  • Tipos de ativos:
    # Ativos de Informação: base de dados e arquivos, contratos e acordos;
    # Ativos de Software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;
    # Ativos Físicos: equipamentos computacionais, equipamentos de comunicação, mídia removíveis e outros equipamentos;

ID
271105
Banca
CESPE / CEBRASPE
Órgão
PREVIC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à classificação e controle de ativos da informação,
segurança de ambientes físicos e lógicos e controle de acesso,
julgue os itens que se seguem de acordo com as normas
NBR/ISO/IEC 27001/2006 e 27002/2005.

Muitos serviços disponíveis na Internet enviam senhas temporárias aos seus usuários. De acordo com a norma NBR/ISO/IEC 27002/2005, essa prática é conveniente, desde que realizada de forma segura, procurando-se evitar o uso de correio eletrônico de terceiros ou sem criptografia.

Alternativas
Comentários

  • A resposta esta correta.

    A secao 11.2.3 da norma ISO 27002 trata do gerenciamento de senha do usuario.
    Controle apresentado:
    Convem que a concessao de senhas seja controlada atraves de um processo de gerenciamento formal.
    Diretrizes para implementacao:
    Convem que o processo considere os seguintes requisitos:
    1 - solicitar aos usuarios a assinatura de uma declaracao, para manter a confidencialidade de sua senha pessoal e das senhas de grupos de trabalho, exclusivamente com os membros do grupo; esta declaracao assinada pode ser incluida nos termos e condicoes da contratacao;
    2 - garantir, onde os usuarios necessitam manter suas proprias senhas, que sejam fornecidas inicialmente senhas seguras e temporarias, o que obriga a altera-la imediatamente.
    3 - estabelecer procedimentos para verificar a identidade de um usuario antes de fornecer uma senha temporaria, de substituicao ou nova.
    4 - fornecer senhas temporarias aos usuarios de maneira segura; convem que o uso de mensagens de correio eletronico de terceiros ou desprotegido seja evitado.
    5 - senhas temporarias sejam unicas para uma pessoa e nao sejam de facil memorizacao.
    6 - usuarios acusem o recebimento de senhas.
    7 - as senhas nunca sejam armazenadas nos sistemas de um computador de forma desprotegida.
    8 - as senhas padrao sejam alteradas logo apos a instalacao de sistemas ou software.
  • 9 Controle de acesso
    9.2 Gerenciamento de acesso do usuário
    9.2.4 Gerenciamento da informação de autenticação secreta de usuários

    d) fornecer informação de autenticação secreta temporárias aos usuários de maneira segura; o uso de mensagens de correio eletrônico de terceiros ou desprotegido (texto claro) seja evitado;

    FONTE: NBR/ISO/IEC 27002/2013


ID
277396
Banca
CESPE / CEBRASPE
Órgão
TRE-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito do estabelecimento de um sistema de gestão da
segurança, julgue os itens seguintes.

Na norma ISO/IEC 27002, o enquadramento das práticas e dos mecanismos de segurança física associa-se aos mecanismos de proteção ambiental, inclusive os contra as ameaças oriundas do meio ambiente.

Alternativas
Comentários
  • A secao 9.1.4 da Norma ISO 27002 trata da Protecao contra ameacas externas e do meio ambiente.
    Controle apresentado pela norma: Convem que sejam projetadas e aplicadas protecao contra enchentes, terremotos, explosoes, pertubacoes da ordem publica e outras formas de desastre naturais ou causados pelo homem.

    Resposta: CERTO

ID
309811
Banca
CESPE / CEBRASPE
Órgão
TJ-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca do gerenciamento de segurança da informação, julgue os
itens a seguir.

Para a garantia de um nível de segurança mínimo, que evite a concretização de ameaças em uma organização, é obrigatória a implantação de todos os controles contidos na norma 27002, conforme recomendação feita na ISO, independentemente do tamanho e tipo de organização.

Alternativas
Comentários
  • Não importa o nível de segurança da organização, não há como evitar a concretização de ameaças na organização, apenas diminuir o risco.
  • Os controles contidos na ISO 27002 não são obirgatorios.
  • Reposta: Errado.

    O próprio texto da Norma ISO 27002 explica a não obrigatoriedade da adoção de todos os controles. A seção 0.5. Seleção de Controles menciona que os controles podem ser selecionados a partir da norma ou um novo conjunto de controle pode ser selecionado e criado para atender às nencessidades específicas da organização. Os controles da Norma ISO 27002 são considerados princípios básicos para a gestão de segurança da informação e podem ser aplicados na maioria das organizações.

ID
309820
Banca
CESPE / CEBRASPE
Órgão
TJ-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca do gerenciamento de segurança da informação, julgue os
itens a seguir.

A norma ISO/IEC 27002 foi elaborada como base para o processo de certificação de empresas que oferecem serviços de implantação de segurança da informação, garantindo-se, assim, no mercado competitivo, um padrão de serviços de segurança oferecido por especialistas.

Alternativas
Comentários
  • A norma 27001 que é utilizada para fins de certificação.
  • 27002: Código de Práticas para a gestão da SI
  • Não existe certificação com base na ISO 27002 para empresas, entretanto existe para os profissionais da área.
  • 27001: certificação de empresas;
    27002: certificação de profissionais;
  • A 27002 é um código de boas práticas. Para certificação é usado a 27001.


ID
311983
Banca
CESPE / CEBRASPE
Órgão
TJ-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens que se seguem, considerando a norma ABNT NBR
ISO/IEC 27002:2005.

A responsabilidade pela implementação de controles, segundo a referida norma, deve ser atribuída à equipe de suporte técnico, responsável por verificar potenciais vulnerabilidades durante o trabalho cotidiano e implementar controles, sempre que possível, mesmo que de forma aleatória ou emergencial.

Alternativas
Comentários
  • Segunto a Norma 27002, a implementação de controles é feita em conjunto com a gestão de negócios. A seleção de controles é feita considerando os critérios para aceitação de riscos, sendo importantíssimo estar de acordo com todas as legislações e regulamentações relevantes.

    Sendo assim, é totalmente errado dizer que a implementação de controles deve ser atribuída ao suporte técnico de forma aleatória ou emergencial.
  • ERRADO.

    Segundo a ISO 27002,"6.1.2 Coordenação da segurança da informação

    Diretrizes para implementação

    Convém que a coordenação da segurança da informação envolva a cooperação e colaboração de gerentes, usuários, administradores, desenvolvedores, auditores, pessoal de segurança e especialistas com habilidades nas áreas de seguro, questões legais, recursos humanos, TI e gestão de riscos.

    Convém que esta atividade:

    e) avalie a adequação e coordene a implementação de controles de segurança da informação;

    "


ID
311986
Banca
CESPE / CEBRASPE
Órgão
TJ-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens que se seguem, considerando a norma ABNT NBR
ISO/IEC 27002:2005.

Na área de segurança da informação, estão excluídas do conceito de controle as políticas, as diretrizes, as práticas ou a própria estrutura organizacional, que são consideradas contramedidas ou ações de prevenção.

Alternativas
Comentários
  • Na área de segurança da informação, estão excluídas incluidas do conceito de controle as políticas, as diretrizes, as práticas ou a própria estrutura organizacional, que são consideradas contramedidas ou ações de prevenção.
  •  
    A norma NBR ISO/IEC 27002 sugere que a informação, como qualquer outro ativo importante, deve ser protegida.
    Esta proteção deve ser feita a partir da implementação de um conjunto de controles adequados, incluindo:
    políticas;
    procedimentos;
    diretrizes;
    práticas;
    estruturas organizacionais.
  • ERRADO.  Na verdade é INCLUÍDO.

    Segundo a ISO 27002,"

    2.2

    controle:forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal.

    NOTA Controle é também usado como um sinômino para proteção ou contramedida.

    "


ID
311989
Banca
CESPE / CEBRASPE
Órgão
TJ-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens que se seguem, considerando a norma ABNT NBR
ISO/IEC 27002:2005.

É imprescindível que a política de segurança da informação, definida com base na realidade e na necessidade da organização, de seus colaboradores, de seu negócio e de sua infraestrutura de TI, seja divulgada, acompanhada, passe por análise crítica no que se refere aos controles estabelecidos e, principalmente, seja objeto de treinamento pelas equipes.

Alternativas
Comentários
  • Não vi a norma falando que a política de segurança da informação seja objeto de treinamento pelas equipes.
  • Ainda que a ABNT não fale sobre treinamento de equipes, fica claro que uma política de segurança da informação não pode prescindir disso.
  • 8.2 Durante a contratação
    8.2.2 Conscientização, educação e treinamento em segurança da informação

    Convém que todos os funcionários da organização e, onde pertinente, fornecedores e terceiros recebam treinamento apropriados em conscientização, e atualizações regulares nas políticas e procedimentos organizacionais, relevantes para as suas funções. (27002 p.28. grifo meu)

    Portanto, a política da empresa como um todo é alvo de treinamento, assim como a politica de segurança da informação.
  • Acho que o erro está em afirmar que é imprescindível  a ABNT NBR ISO/IEC 27002:2005 é de boas práticas, portanto não obriga o uso de seus objetivos de controle. 
  • Segundo a ISO 27002:2011,"5.1.1 Políticas para segurança da informação

    Convém que estas políticas sejam comunicadas aos funcionários e partes externas relevantes de forma que sejam entendidas, acessíveis e relevantes aos usuários pertinentes, por exemplo, no contexto de um programa de conscientização, educação e treinamento em segurança da informação."


ID
311992
Banca
CESPE / CEBRASPE
Órgão
TJ-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens que se seguem, considerando a norma ABNT NBR
ISO/IEC 27002:2005.

Uma política de segurança que vise ao controle de acesso de terceiros na organização inclui aspectos relacionados a direitos de propriedade intelectual e direitos autorais, assim como à permissão de se revogarem direitos de acesso ou à autoridade de se interromper a conexão entre sistemas.

Alternativas
Comentários
  • 6.2.3 Identificando segurança da informação nos acordos com terceiros

    i) política de controle de acesso, cobrindo:
    6) um processo para revogar os direitos de acesso ou interromper a conexão entre sistemas;

    t) direitos de propriedade intelectual e direitos autorais (ver 15.1.2) e proteção de qualquer trabalho colaborativo (ver 6.1.5).

ID
311995
Banca
CESPE / CEBRASPE
Órgão
TJ-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens que se seguem, considerando a norma ABNT NBR
ISO/IEC 27002:2005.

A análise de riscos tem como objetivo principal eliminar todas as ameaças existentes em um ambiente computacional, impedindo, assim, que ocorram incidentes de segurança.

Alternativas
Comentários
  • Resposta: ERRADA.

    De acordo com a Norma ISO 27002 (seção 4) nenhum conjunto de controle consegue a segurança completa. Após a indentificação dos riscos e dando prosseguimento a avaliação de riscos, uma decisão de tratamento deve ser tomada. O tratamento de riscos inclui:
    1 - Aplicar controle adequados para reduzir os riscos.
    2 - Aceitar os riscos, sabendo que eles atendem à política da organização e aos critérios de aceitação de riscos.
    3 - Evitar os riscos, nçao permitindo que ações possam ocasionar os riscos.
    4 - Transferir os riscos para outras partes, como seguradoras e fornecedores.
  • O objetivo da análise de riscos é estimar a magnitude do risco e não de eliminar ameaças.
  • Segundo a Norma 27002:

    2.10 Análise de Riscos 
    uso sistemático de informações para identificar  fontes e estimar o risco 
  • Questão de segurança + "eliminar todas as ameaças existentes" = errado em 95% das questões.
  • Segundo a ISO 27005:2011,

    "3.10
    análise de riscos:processo de compreender a natureza do risco e determinar o nível de risco (3.6)"

  • Se fosse tratamento dos riscos em vez de análise de riscos, estaria certa.


ID
319729
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a ABNT NBR ISO/IEC 27002, devem ser implementados controles contra códigos maliciosos. Um mecanismo de controle contra esses códigos consiste no serviço de

Alternativas

ID
320851
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos controles recomendados nas normas 27001 e 27002, assinale a opção correta.

Alternativas
Comentários
  •     a) Todos os controles que constam da norma devem ser implementados. (Errado, a norma não exige que todos os controles sejam implementados, apenas que a não implementação de um controle seja justificada)

        b) A implementação dos controles permite garantir a segurança da informação. (Errado, A implementação dos controles garante que as boas práticas de segurança da informação estão sendo seguidas)

        c) Os controles referentes à segurança de redes não são detalhados. (Correto)

        d) A norma 27001 define os controles que devem ser implementados. (Errado, refere-se a norma 27002)

        e) A norma 27002 define os requisitos de um sistema de gestão de segurança da informação. (Errado, refere-se a norma 27001)
  • Achei muito mal formulada a questão...
    Encontrei os seguintes controles (em negrito) na estrutura da ISO 27002 relacionados com a segurança de redes:
    5. Política de Segurança da Informação
    6. Organizando a Segurança da Informação
    7. Gestão de Ativos
    8. Segurança em Recursos Humanos
    9. Segurança Física e do Ambiente
         9.2. Segurança de Equipamentos
    (pág. 35)
                 9.2.3. Segurança do Cabeamento (pág. 37)
                 9.2.4. Manutenção dos Equipamentos (pág. 38)
                 9.2.7. Remoção de Propriedade (pág. 39)
    10. Gerenciamento das Operações e Comunicações
         10.6. Gerenciamento da Segurança em Redes
    (pág. 49)
               10.6.1. Controles de Redes (pág. 49)
               10.6.2. Segurança dos Serviços de Redes (pág. 50)
    11. Controle de Acessos
    12. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
    13. Gestão de Incidentes de Segurança da Informação
    14. Gestão da Continuidade do Negócio
    15. Conformidade

    Fonte: ABNT NBR ISO/IEC 17799:2005 (27002)

    Como assim "os controles referentes à segurança de redes não são detalhados"?
    Que deus nos ajude...
  • Por que a D está errada? Os controles não estão todos lá explicitados do anexo A (tabela A.1) da 27001?

  • D)A norma 27001 define os controles que devem(PODEM) ser implementados.
  • A questão deveria ter sido anulada. A letra C está correta. 
  • Concordo que deveria ser anulada.

    Para mim a letra C está correta.
  • Ué pessoal, mas a letra C é a letra correta mesmo. Foi pedido qual é a certa, C.


  • Realmente a norma não é muito clara quanto ao detalhamento sobre redes.

    Nós sabemos que tem que ter pelo nosso conhecimento implícito, mas na norma em si não tem nada muito claro, mesmo tendo diversos OBJETIVOS DE CONTROLE espalhados dentre as seções que nos induzem à isso.

  • Respondido por Thiago Fagury de Sá em 13 março 2013 at 13:59


    A) Não, nem todos os controles precisam ser implementados. A declaração de aplicabilidade é usada justamente para explicitar quais serão e quais não serão usados.

    B) Estranhíssima, mas errada. Não considero como resposta correta, uma vez que os controles existem para satisfazer os requisitos e prover segurança da informação. O termo garantia é complicado de ser usado. Portanto, errada.

    C) Errada. Há diversos controles tratando do assunto. Um aspecto importante: concordo parcialmente com a questão no sentido de que os controles não são aprofundados. Mas são detalhados, sim. Se a FCC quis dizer que não há uma seção específica de segurança de redes, tudo bem. Mas não é isso que a assertiva diz. Listo alguns controles de segurança de redes:

    Controles de redes, Segurança dos serviços de rede, Política de uso dos serviços de rede, Identificação de equipamento em redes, Controle de Roteamento e Conexão em Redes ... Se isso não é detalhar controles referentes à segurança de redes, eu não sei o que é.

    O problema aqui é que o boçal que fez a questão não conhece o assunto e a norma, e acha que segurança é provida somente por controles técnicos, mas não gerenciais. 

    D) e E) Estão invertidas.

    Por exclusão, letra C. Mas muito mal elaborada.

  • Eu cai na pegadinha da garantia... kkk


    Não existe sistema 100% seguro e garantido.... bobagem a minha.....

  • Realmente, Marcos. Várias bancas gostam desse termo, "garantir". Vem meio escondido no meio da frase e, normalmente, se refere a alguma alternativa falsa.

    Vamos na fé.

  • Vejam esta questão Com relação à gestão de segurança da informação e às normas NBR

    ISO/IEC 27.001 e 27.002, julgue os itens de 107 a 111.

    Os requisitos de controle, apesar de específicos e detalhados, são aplicáveis à ampla maioria das organizações, independentemente de tipo, tamanho e natureza.

    O gab é errado.

    Pelo que eu entendi de acordo com os comentários do QC e com a norma é que os objetivos de controle são genéricos e que os controles podem ser específicos e detalhados.


ID
332800
Banca
CESPE / CEBRASPE
Órgão
Correios
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir.

Nas referidas normas, é prevista a implementação de controles contra códigos maliciosos, mas ainda não há previsão acerca de controle contra códigos móveis.

Alternativas
Comentários
  • Definição de código móvel: http://www.cic.unb.br/~jhcf/MyBooks/ciber/doc-ppt-html/CodigoMovel.html

    Trecho da 27002:
    10.4.2 Controles contra códigos móveis
    Controle
    Onde o uso de códigos móveis é autorizado, convém que a configuração garanta que o código móvel
    autorizado opere de acordo com uma política de segurança da informação claramente definida e códigos
    móveis não autorizados tenham sua execução impedida. 
  • 1°) Código Móvel
    “Código móvel” é um código que tem sua  fonte em um sistema remoto
    possivelmente “não confiável” porém executado em um sistema local.
    Esse conceito de “código móvel” tem recebido diversos nomes: agentes
    móveis,  downloadable code, conteúdo executável, cápsulas ativas, código remoto e
    outros. Todos lidam com a execução local de código com fonte remota. 
    Fonte: (
    http://www-di.inf.puc-rio.br/~endler/semGSD/monografias/leonardo-godinho.pdf)

    Código móvel é definido, no Dicionário de Segurança de Internet, como um programa que podem executar em locais remotos com qualquer modificação no código. [Ele] pode viajar e executar a partir de uma máquina para outra em uma rede durante a sua vida. 
    Código móvel inclui ActiveX, Java, JavaScript, VBScript, macros do MS Word ePostScript. Esses códigos podem ser usados ??para coletar informações a partir de um sistema de destino, para introduzir código malicioso ou um cavalo de Tróia, ou para modificar ou destruir informações. Macros são normalmente encontrados em documentos; JavaScript roda em websites e discos mais pop-ups e uma série de outras características mais importantes; ActiveX permite a um PC para fazer o download crítica plug-ins mais sua carga secreta.
    Fonte: Livro de Alan Calder em IT Gov

    2°) Onde?

    A.10  Gerenciamento das operações e comunicações 

    A.10.4   Proteção contra códigos maliciosos e códigos móveis 

     
    A.10.4.1 Controle contra códigos maliciosos 

    A.10.4.2 Controles contra códigos móveis

  • Repare q essa questao é uma pegadinha. A referida norma foi lançada em 2006 e não havia tantos dispositivos moveis como ha hje em dia.
    Adicionalmente, transcrevo trecho da seçao A.10.4 (Proteção contra códigos maliciosos e códigos móveis) da 27001:

    A.10.4.2 Controles contra códigos móveis:
    Onde o uso de códigos móveis é autorizado, a configuração deve garantir que o código móvel autorizado opere de acordo com uma política de segurança da informação claramente definida e que códigos móveis não autorizados tenham sua execução impedida.
  • Não podemos confundir código móvel com algo relacionado a dispositivos móveis.
    Um código móvel é um código que é executado remotamente e pode controlar o seu equipamento (ou apenas uma parte), transformando-o em uma máquina zumbi que faz parte de um ataque DDoS a um determinado domínio, por exemplo.

  • Gabarito Errado

    ISO 27001

    A.10.4.2 Controles contra códigos móveis:
    Onde o uso de códigos móveis é autorizado, a configuração deve garantir que o código móvel autorizado opere de acordo com uma política de segurança da informação claramente definida e que códigos móveis não autorizados tenham sua execução impedida.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !