SóProvas

Questões de Norma 27005

ID
144676
Banca
CESPE / CEBRASPE
Órgão
SECONT-ES
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Um órgão público responsável pelo controle externo do
Poder Executivo de uma unidade da Federação desenvolveu um
conjunto de processos de auditoria de conformidade na gestão da
segurança da informação. As organizações para as quais o órgão
presta serviço implementaram sistemas de gestão da segurança da
informação, por força de normas, em aderência aos modelos
desenvolvidos pela ABNT e ISO/IEC, especialmente os
prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez
que várias organizações a serem auditadas já passaram cerca de
dois anos implementando seus sistemas de gestão, um
questionário de avaliação preliminar foi aplicado pelo órgão de
controle externo nas organizações clientes. Diferentes controles
do sistema de segurança da informação foram avaliados pelos
respondentes, tanto os de natureza física e lógica quanto os
organizacionais. A partir do recebimento dos resultados do
questionário preliminar, os auditores efetuaram uma visita à
organização e produziram diversos julgamentos acerca da
possível adequação dos controles implementados aos modelos
das normas mencionadas.

Tendo como referência as informações contidas na situação
hipotética apresentada acima, julgue os itens a seguir, a respeito
do julgamento realizado pelos auditores.

Considere que, em uma organização, os auditores observaram que algumas das atividades de identificação de riscos foram efetuadas parcialmente, na seguinte sequência: inventário dos ativos; identificação de ameaças; e identificação de vulnerabilidades. Nesse caso, a sequência de levantamento de dados realizada está coerente com o indicado na Norma 27.005.

Alternativas
Comentários
  • 8.2 Risk analysis
    8.2.1.2 Identification of assets
    8.2.1.3 Identification of threats
    8.2.1.4 Identification of existing controls
    8.2.1.5 Identification of vulnerabilities

    A resposta está correta, no entanto poderia ser mais completa adicionando a identificação de controles existentes.

    Bons estudos, pessoal.
  • Se não está na sequência correta ou não lista a atividade, então, ao meu ver a resposta está errada.
  • Gilberto, as atividades seriam:

    8.2.1.2
    Identificação dos ativos
    8.2.1.3
    Identificação das ameaças
    8.2.1.4
    Identificação dos controles existentes
    8.2.1.5
    Identificação das vulnerabilidades
    8.2.1.6
    Identificação das conseqüências

    Essa é a ordem descrita na norma, porém se a ordem utilizada fosse diferente, creio que a questão também seria correta pois há a seguinte nota na iso 27005

    8.2 Análise de riscos
    8.2.1
    8.2.1.1
    Identificação de riscos
    Introdução à identificação de riscos
    O propósito da identificação de riscos é determinar eventos que possam causar uma perda potencial e deixar claro
    como, onde e por que a perda pode acontecer. As etapas descritas nas próximas subseções de 8.2.1 servem para
    coletar dados de entrada para a atividade de estimativa de riscos.
    NOTA
    Atividades descritas nas seções subseqüentes podem ser executadas em uma ordem diferente dependendo da
    metodologia aplicada
     
     

  • Essa questão pode causar uma certa dúvida, vejamos...

    Consoante a norma 27005 a ordem é essa:


    Análise de riscos

    Fases de Identificação de riscos (AACVC):

    - Identificação dos ativos;

    - Identificação das ameaças;

    - Identificação dos controles existentes;

    - Identificação das vulnerabilidades;

    Porém, vejamos que o termo na questão é inventário dos ativos. Daí temos que fazer uma correlação com a norma 27002 que fala acerca do inventário de ativos. Vejamos:


    7.1.1 Inventário dos ativos

    Controle: Convém que todos os ativos sejam claramente identificados e um inventário de todos os ativos importantes seja estruturado e mantido.


    Portanto, fiz a análise nesse sentido e marquei CERTO o gaba. Entretanto, confesso que fiquei em dúvida se estava elocubrando ou essa era a vibe do examinador. 

  • Pessoal, eu vejo esta questão como correta. A chave para matar a questão é que é dito: "(...) os auditores observaram que algumas das atividades de identificação de riscos foram efetuadas parcialmente(...)". Realmente as atividades não estão completas, o que concorda com o uso do PARCIALMENTE. Se nesta questão estivesse escrito TOTALMENTE, aí sim poderíamos marcar como errada, visto que estaria faltando, por exemplo, a identificação dos controles existentes.

ID
144682
Banca
CESPE / CEBRASPE
Órgão
SECONT-ES
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Um órgão público responsável pelo controle externo do
Poder Executivo de uma unidade da Federação desenvolveu um
conjunto de processos de auditoria de conformidade na gestão da
segurança da informação. As organizações para as quais o órgão
presta serviço implementaram sistemas de gestão da segurança da
informação, por força de normas, em aderência aos modelos
desenvolvidos pela ABNT e ISO/IEC, especialmente os
prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez
que várias organizações a serem auditadas já passaram cerca de
dois anos implementando seus sistemas de gestão, um
questionário de avaliação preliminar foi aplicado pelo órgão de
controle externo nas organizações clientes. Diferentes controles
do sistema de segurança da informação foram avaliados pelos
respondentes, tanto os de natureza física e lógica quanto os
organizacionais. A partir do recebimento dos resultados do
questionário preliminar, os auditores efetuaram uma visita à
organização e produziram diversos julgamentos acerca da
possível adequação dos controles implementados aos modelos
das normas mencionadas.

Tendo como referência as informações contidas na situação
hipotética apresentada acima, julgue os itens a seguir, a respeito
do julgamento realizado pelos auditores.

Considere que o plano de classificação de ativos de uma das organizações auditadas valore os ativos usando uma metodologia mista, isto é, empregando ora a valoração qualitativa, ora a valoração quantitativa. Nesse caso, tal abordagem produz desconformidades com o prescrito em modelos da ABNT e da ISO/IEC, uma vez que se deve adotar um ou outro modelo, mas não ambos simultaneamente.

Alternativas
Comentários

  •  Na classificação dos ativos de uma organização poderia ser adota as duas formas de valoração, por exemplo, os projetos da organização poderiam ser classificados em confidenciais ou públicos, esse tipo de valoração seria qualitativa, agora um exemplo de tipo de valoração quantitativa, seria o risco de ocorrer um incêndio no prédio que se encontram meus servidores de banco de dados, 5% de chance.

  • Aqui está o erro da questão: "Nesse caso, tal abordagem produz desconformidades com o prescrito em modelos da ABNT e da ISO/IEC, uma vez que se deve adotar um ou outro modelo, mas não ambos simultaneamente."

    Não produz desconformidade pois a Norma permite a mistura dos dois métodos. 
  • Thiago,
    Em qual norma e em que parte dela eu encontro que permite o uso dos dois métodos ?

  • Lembrando também que a norma cita que é preferível o uso da valoração quantitativa, devido a subjetividade da qualitativa... 

  • Creio que a 27002 não especifica como valorar os ativos. Ela apenas diz o seguinte:


    7.1.1 - Inventário dos ativos


    "[...] (mais informações sobre como valorar os ativos para indicar a sua importância podem ser encontrados na ISO IEC TR 13335-3)"


    Resta ler essa 13335-3 para tentar encontrar essa questão de "qualitativamente vs quantitativamente".

  • ISO 27005. Isso no caso da gestão de riscos por exemplo.

    8.2.2.1 Metodologias para a estimativa de riscos

    A análise de riscos pode ser empreendida com diferentes graus de detalhamento, dependendo da criticidade dos ativos, da extensão das vulnerabilidades conhecidas e dos incidentes anteriores envolvendo a organização. Uma metodologia para a estimativa pode ser qualitativa ou quantitativa ou uma combinação de ambos, dependendo das circunstâncias.

ID
195508
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens subsequentes, relativos às Normas NBR ISO/IEC
15999 e 27005.

A norma NBR ISO/IEC 27005 prescreve que o gerenciamento de incidentes pode ser realizado iniciando-se com uma definição de contexto, seguido por uma análise e avaliação, tratamento, aceitação, comunicação, monitoramento e análise crítica dos incidentes.

Alternativas
Comentários

  • Errado.
    A norma 27005 traz normas para o gerenciamento de riscos, não de
    incidentes.
     

  • O gerenciamento de incidentes é tratado na Gestão de Continuidade do Negócio - ISO 15999.

  • A norma NBR ISO/IEC 27005 prescreve que o gerenciamento de   incidentes  riscos pode ser realizado iniciando-se com uma definição de contexto, seguido por uma análise e avaliação, tratamento, aceitação, comunicação, monitoramento e análise crítica dos incidentes.

  • Troque a palavra "incidentes" por "riscos" e fica certo.

  • ERRADO.

    Pois segundo a ISO 27005,

    "

    6 Visão geral do processo de gestão de riscos de segurança da informação

    O processo de gestão de riscos de segurança da informação consiste na definição do contexto (Seção 7),

    análise/avaliação de riscos (Seção 8), tratamento do risco (Seção 9), aceitação do risco (Seção 10), comunicação

    do risco (Seção 11) e monitoramento e análise crítica de riscos (Seção 12)."

  • pegadinha do malandro!! "incidentes"

  • galera alem do erro "gestao de incidentes" que deveria ser "gestao de riscos" , a questao tambem utiliza a palavra "prescreve" . cuidado sempre na malandragem.

    4. ORGANIZACAO DA NORMA

    Esta norma internacional contem a descricao do processo de gestao de riscos de seguranca da informacao e das suas atividades.


    - portanto a norma descreve e nao prescreve.

  • CONFORME A ISO 27005 VERSÃO DE 2011, "O processo de gestão de riscos de segurança da informação consiste na definição do contexto, processo de avaliação de riscos, tratamento do risco, aceitação do risco, comunicação e consulta do risco e monitoramento e análise crítica de riscos."

ID
195511
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens subsequentes, relativos às Normas NBR ISO/IEC
15999 e 27005.

A norma NBR ISO/IEC 15999 destina-se a orientar as empresas no que fazer a partir do momento em que acontecer algum incidente, oferecendo respostas às ameaças sofridas e seus impactos nas operações do negócio.

Alternativas
Comentários

  • ERRADO.

    A 15999 trata da continuidade do negócio. Continuidade é usado em momentos crítico de desastre.

  • Leoh sua resposta não foi muito convincente:

    Copiando um email do Rogério Araújo:

    " O meu entendimento, ao ler a questão, foi:

    Parte I: "A norma NBR ISO/IEC 15999 destina-se a orientar as empresas no
    que fazer a partir do momento em que acontecer algum incidente...":

    Essa parte, tudo bem. Podemos aceitar a orientação como certa.

    Parte II: "... oferecendo respostas às ameaças sofridas e seus impactos nas
    operações do negócio":

    Essa parte está errada pelo fato que a norma não oferece respostas às
    ameaças sofridas e seus impactos nas operações do negócio.

    Se lermos parte à parte, podemos entender que o "oferecendo" se refere à
    norma e não sobre o possível GCN feito a partir da orientação da norma."

    Fonte: http://br.groups.yahoo.com/group/timasters/message/62883

  • Preliminarmente, não há uma norma 15999, e sim 15999-1 e 15999-2 Escopo 15999-2: Especifica requisitos para EIOMAMM o SGCN documentado dentro do contexto dos riscos de negócios de toda a organização. Pode certificar.
    Escopo 15999-1: Fornece uma base para que se possa entender, desenvolver e implementar a continuidde de negócios em uma organização além de obter confiança nos negócios da organização com clientes e outras organizações. Permite também que se avalie a capacidade de GCN da organização de maneira consistente e reconhecida.

    Notem que ambas possuem um escopo de gestão, estratégico e não operacional.
    Segundo a norma, o GCN possui um ciclo de vida com as seguintes fases:  
    5. Gestão do programa de GCN
    6. Entendendo a organização
    7. Determinando a estratégia de continuidade de negócios
    8. Desenvolvendo e implementando uma resposta de GCN
    9. Testando, mantendo e analisando criticamente os preparativos de GCN
    10. Incluindo a GCN na cultura da organização

    A norma NBR ISO/IEC 15999: 1.destina-se a orientar as empresas no que fazer a partir do momento em que acontecer algum incidente
    Errado: Não há em nenhuma das normas a intenção de orientar o que fazer quando da ocorrência de incidente.
    Para isso seriam necessários controles e metodologias que fogem ao escopo destas normas. Há tão-só o objetivo de se gerir a continuidade do negócio e o estabelecimento de planos subsidiários. A norma se quer prescreve como fazer um plano, muito menos orienta sobre procedimentos contra incidentes.
      2. oferece respostas às ameaças sofridas e seus impactos nas operações do negócio. Errado: A seção 8 está relacionada ao desenvolvimento e implementação de planos apropriados e dos preparativos realizados, de forma a garantir a continuidade das atividades críticas e o gerenciamento de incidentes. Nessa seção, há orientações sobre a definição de uma estrutura de resposta a incidentes (8.2), mas não elenca procedimentos para responder a ameaças e seus impactos.
  • concordo com o amigo da primeira resposta. A norma é para evitar catastrofes e responder a incidentes que possam paralizar a organização. A questão é ruim em não especificar o tipo de incidente.
  • Encontrei o seguinte na ISO-15999 Parte 1

    3.3 GCN relaçao com a gestao de riscos
    A GCN é complementar a uma estrutura de gestão de riscos que busca entender os riscos às operações e negócios e suas conseqüências.
    A gestão de riscos visa administrar o risco relacionado aos produtos e serviços fundamentais que uma organização fornece. A entrega desses produtos e serviços pode ser interrompida por uma grande variedade de incidentes, e muitos dos quais são de difícil previsão ou análise das causas.
    Com foco no impacto da interrupção, a GCN identifica os produtos e serviços dos quais a organização depende para sobreviver e é capaz de identificar o que é necessário para que a organização continue cumprindo suas obrigações. Por meio da GCN, uma organização pode reconhecer o que precisa ser realizado antes da ocorrência de um incidente, de forma a proteger suas pessoas, instalações, tecnologia, informações, cadeia de fornecimento, partes interessadas e reputação. Reconhecendo isso, a organização pode então ter uma visão realista das respostas necessárias quando e se ocorrer uma interrupção, de modo que ela pode ter con?ança de que conseguirá administrar eventuais conseqüências sem atrasos inaceitáveis na entrega de seus produtos e serviços.
    Uma organização que tenha tomado as medidas apropriadas de GCN pode ser capaz de aproveitar oportunidades de alto risco.
  • Acho que o erro está no termo "oferendo respostas às ameaças sofridas", uma vez que resposta a ameaça está relacionado à gestão de riscos. A norma 15999 tratada da continuidade do negócio após incidentes, logo não trata ameaça e sim impactos.
  • A resposta do colega thiago é justamente o que pensei.

  • "A norma NBR ISO/IEC 15999 destina-se a orientar as empresas no que fazer a partir do momento em que acontecer algum incidente, (...)": Errado! O objetivo principal da norma é instruir a empresa a identificar as suas atividades críticas cujo comprometimento poderiam interferir na continuidade de negócio. Além disso, orienta na criação de um Plano de Continuidade de Negócio, este plano sim teria orientações do que fazer após acontecer algum incidente.

    "(...) oferecendo respostas às ameaças sofridas e seus impactos nas operações do negócio.": Não contém as respostas, há orientações sobre a definição de uma estrutura de resposta a incidentes.

  • A norma 15999 fornece apenas orientação estratégica de planejamento para a continuidade do negócio, não entra em detalhes do que deve ser feito e muito menos de como deve ser feito o tratamento de incidentes e riscos.

ID
208834
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança da informação procura garantir a preservação da
confidencialidade, a integridade e a disponibilidade da informação.
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999, julgue os itens seguintes.

Um incidente de segurança da informação refere-se a um ou mais riscos não desejados ou esperados que possuem significativa probabilidade de comprometer os ativos de informação e ameaçam a segurança da informação.

Alternativas
Comentários

  • Incidente é uma ameça que aconteceu, o texto da questão está se referindo a ameças e não incidente.

  • Desculpe, mas tenho que discordar do colega.

    Segundo a ISO 27001, um incidente de segurança é um simples ou uma série de EVENTOS de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

    Logo, o erro da questão está ao afirmar que um incidente refere-se a um ou mais riscos.

  • Mas como o conceitos de riscos é:

           Risco - combinação da probabilidade de um evento e de suas consequências.

    , no meu entendimento o risco envolve o evento, conseguentemente a questão estaria correta.
  • Caro Amarildo,

    Um risco envolve a PROBABILIDADE de um evento e não a ocorrencia do evento em si. Por isso a questão está errada, conforme a explicação da Thays. E além disso temos que são eventos INesperados.
  • Para confirmar, incidente é um simples evento ou uma série de eventos de segurança da informação INDESEJADOS ou INESPERADOS, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. 
  • Outro ponto importante ainda não comentado é que a questão afirma " (...) que possuem significativa probabilidade de comprometer os ativos de informação(...)". Deve haver probabilidade de comprometimento das operações de negócio, não dos ativos.
  • Senhores a Thays não citou a fonte completa, vou só citar para facilitar o estudo de vocês. Ela encontrou a resposta na norma ISO 27001. Segue a bibliografia da mesma resposta na ISO 27002.


    Seção

    2 TERMOS E DEFINIÇÕES
    2.7 incidente de segurança da informação

    Segundo ISO 27002, p. 22 "Um incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação."

  • Assertiva incorreta.
    Gente, temos que nos atentar a norma que está sendo cobrada aqui que é a ISO 27005 que tem uma visão um pouco diferente da norma ISO 27001.
    Um Incidente de segurança da Informação é quando ele já aconteceu. Então não é algo que tem probabilidade de acontecer. Nesse segundo caso é o RISCO
    Para deixar mais claro vou dar um exemplo:
    Eu tenho um servidor que não está devidamente atualizado com as últimas atualizações de segurança do fabricante. (Existe o risco, porque se já existe a atualização significa que já se tornou uma falha conhecida = vulnerabilidade no meu ativo = servidor. Mas ninguém = ameaça invadiu ou explorou tal vulnerabilidade do meu ativo.)
    No final de semana, um ATACANTE consegue invadir o meu servidor através da vulnerabilidade do meu ativo. (Então neste caso obtivemos um incidente de segurança da informação. Porque a ameaça conseguiu explorar a vulnerabilidade do meu ativo. Aconteceu.)

    Motorista bêbado = Risco de acidente. (Risco)
    Bateu ou atropelou alguém = Acidente concretizado (Incidente)

  • Concordo Daniel, mas um incidente não tratado vira um risco novamente!
    Afinal, para que serviria um incidente, dentro da política de segurança de uma instituição - uma vez que ele já ocorreu, com suas possíveis consequências - se não fosse para ser considerado um risco e tratado?
    Isso é uma prova sobre um tema que vamos usar enquanto funcionários públicos ou uma prova infantil de memorização?
    Devemos lembrar que a 27.001 se baseia no ciclo PDCA, que é um ciclo de negócios contínuos...ou seja, um incidente é um risco sim! E isso, mesmo que aquele incidente já estivesse sendo considerado como risco residual ou aceitável...
    Acho que pra ser professor de faculdade e poder fazer questão, deveria que ter, tipo, 10 anos de experiência comprovada no mercado...Sou Analista de TI de uma Federal...e o que acaba com o universo da inteligência e do talento, chama-se stricto sensu!

ID
208837
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança da informação procura garantir a preservação da
confidencialidade, a integridade e a disponibilidade da informação.
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999, julgue os itens seguintes.

São exemplos de ativos de uma organização a informação e os processos de apoio, sistemas e redes. Os requisitos de segurança, em uma organização, são identificados por meio de análise sistemática dos riscos de segurança.

Alternativas
Comentários
  • Os processos de apoio são ativos também?  Alguém confirma? Pelo que li na 17799 parece que sim. 

    Fonte: http://www.e-services.com.br/portal/artigos/NBRISO17799R1.pdf

    Exemplos de ativos associados com sistemas de informação são: 
    a) ativos de informação: base de dados e arquivos,  documentação de sistema, manuais de usuário, material de 
    treinamento, procedimentos de suporte ou operação,  planos de contingência, procedimentos de recuperação, 
    informações armazenadas

    b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários; 
     
    c) ativos físicos: equipamentos computacionais (processadores, monitores,  laptops,  modems), equipamentos de 
    comunicação (roteadores, PABXs, fax, secretárias eletrônicas), mídia magnética (fitas e discos), outros equipamentos 
    técnicos (no-breaks, ar-condicionado), mobília, acomodações; 
     
    d) serviços: computação e serviços de comunicação,  utilidades gerais, por exemplo aquecimento, iluminação, 
    eletricidade, refrigeração.

  • Certo. Quanto a segunda parte da questão(segunda oração) segue a fonte da resposta.

    Segundo a ISO 27002,p.10,"

    0.4 Analisando/avaliando os riscos de segurança da informação

    Os requisitos de segurança da informação são identificados por meio de uma análise/avaliação sistemática dos

    riscos de segurança da informação. Os gastos com os controles precisam ser balanceados de acordo com os

    danos causados aos negócios gerados pelas potenciais falhas na segurança da informação."

ID
208840
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança da informação procura garantir a preservação da
confidencialidade, a integridade e a disponibilidade da informação.
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999, julgue os itens seguintes.

Entre os ativos associados a sistemas de informação em uma organização, incluem-se as bases de dados e arquivos, os aplicativos e os equipamentos de comunicação (roteadores, secretárias eletrônicas etc.).

Alternativas
Comentários

  • Uma secretária eletrônica não é um ativo, pois ela não faz parte do negócio da organização.

  • E se a secretária eletrônica tivesse algum dado confidencial? Isso faria sentido? Grato.

  • Realmente a secretária eletrônica é um ativo, já que ativo pode ser qualquer hardware, software ou informação dentro da empresa que tenha importância para ela. Inclusive os funcionários e a própria reputação da empresa são ativos. O que eu acho que pegou foi ao se falar de aplicativos, já que isso é muito amplo. Por exemplo: O word e excel são aplicativos, mas para muitas empresas estes não são considerados ativos (eu acho rs)...
  • A questão fala especificamente de ativos associados a sistemas de informaçao. Acho que o peguinha da questão é esse.
    A secretária eletrônica e outros equipamentos de comunicação se enquadrariam como ativos físicos, segundo a norma, e não como associados a sistemas de informação (estes últimos, ativos de informação).
  • Os ativos são classificados como: ativos de informação, ativos de software, ativos físicos e serviços. Apenas as "bases de dados e arquivos" são ativos associados a sistemas de informação.  Aplicativos é associado aos ativos de software e equipamentos de comunicação aos ativos físicos.
  • De acordo com a norma ISO 27002:

    2.1 Ativo:
    Qualquer coisa que tenha valor para a organização.

    Agora me digam, uma secretária eletrônica tem ou não valor para uma organização!? Ao meu ver, dependendo da organização, uma secretária eletrônica pode sim ter valor para a organização. Pois ela pode gravar mensagens, conversas, identificar chamadas etc... Coisas que podem sim terem muito valor para uma organização!

    Acho que a CESPE só quis mesmo foi sacanear com nossa cara com essa questão...

    (questão deve ser reavaliada!)
  • Questão polêmica!!! Podemos ficar horas discutindo se a secretária eletrônica é ou não um ativo do sistema de informação. Na minha opinião, como a de amigos acima, a secretária eletrônica é sim um ativo do sistema de informação.
  • Infelizmente teremos que seguir a "idéia da banca". Nesse caso, o cespe nos diz claramente que não aceita a generalização dos ativos associados a sistemas de informação. É aquela história, cada qual com seu cada qual....
  • O Texto da questão é um trecho da versão de abril de 2001 como segue:

    5.1.1 Inventário dos ativos de informação
    (...)

    Exemplos de ativos associados com sistemas de informação são:
    a) ativos de informação: base de dados e arquivos, documentação de sistema, manuais de usuário, material de
    treinamento, procedimentos de suporte ou operação, planos de contingência, procedimentos de recuperação,
    informações armazenadas;
    b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;
    c) ativos físicos: equipamentos computacionais (processadores, monitores, laptops, modems), equipamentos de
    comunicação (roteadores, PABXs, fax, secretárias eletrônicas), mídia magnética (fitas e discos), outros equipamentos
    técnicos (no-breaks, ar-condicionado), mobília, acomodações;
    d) serviços: computação e serviços de comunicação, utilidades gerais, por exemplo aquecimento, iluminação,
    eletricidade, refrigeração.


    porém a versão 27002 de 2005 retira secretária eletrônica.


    fonte:
    http://www.e-services.com.br/portal/artigos/NBRISO17799R1.pdf




  • Independente de considerarmos a secretária eletrônica como ativo associados a sistemas de informação ou não, a questão continuaria ERRADA. Como já citado acima, aplicativos fazem parte de ativos de SOFTWARE  e equipamentos de comunicação fazem parte dos ATIVOS FISÍCOS. A questão pergunta ESPECIFICAMENTE sobre ativos associados ao SISTEMA DE INFORMAÇÃO.

  • A ISO 27002:2013 NA SEÇÃO DE GESTÃO DE ATIVOS NÃO TRAZ MAIS ESSA CLASSIFICAÇÃO DE ATIVOS. A NORMA ISO 27005:2011 TRAZ UMA FORMA DE CLASSIFICÁ-LOS.

    Segundo a ISO 27005:2011,

    "B.1 Exemplos de identificação de ativos

    Dois tipos de ativos podem ser distinguidos:
    �- Ativos primários:
    �       Processos e atividades do negócio
    �       Informação

    _____________________
    -� Ativos de suporte e infraestrutura (sobre os quais os elementos primários do escopo se apoiam), de todos os tipos:
    �      Hardware
    �      Software
    �      Rede
    �      Recursos humanos
    �      Instalações físicas
    �      A estrutura da organização"

  • Entre os ativos associados a sistemas de informação em uma organização, incluem-se as bases de dados e arquivos, os aplicativos e os equipamentos de comunicação (?) (roteadores, secretárias eletrônicas etc.).

ID
208843
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança da informação procura garantir a preservação da
confidencialidade, a integridade e a disponibilidade da informação.
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999, julgue os itens seguintes.

Uma organização deve ser capaz de inventariar seus ativos, identificar seus respectivos valores e importâncias e indicar um proprietário responsável por eles. A informação deve ser classificada em termos de sua utilidade, adequabilidade e nível de segurança.

Alternativas
Comentários

  • De acordo com as Normas de Segurança da Informação NBR ISO/IEC 27002 temos:

    7. Gestão de ativos

    7.2 Classificação da Informação

    7.2.1 Recomendações para classificação

    A informação deve ser classificada em termos de seu valor, requisitos legais, sensibilidade e criticidade para a organização.

  • Só complementando o colega: a sensibilidade de um dado diz respeito ao seu sigilo, isto é, quanto mais sensível o ativo mais sensível este é. E quanto mais crítico o ativo, maior será o impacto para empresa caso o ativo seja roubado ou danificado.

  • A.7 Gestão de Ativos

    A.7.2 Classificação da Informação

    A7.2.1 Recomendações para classificação

    A informação deve ser classificada em termos de seu valor, requisitos legais, sensibilidade e criticidade para a organização.
    Fonte: Pág. 16, ABNT NBR ISO/IEC 27001:2006

     

  • A informação deve ser classificada em termos de seu VALOR, REQUISITOS LEGAISSENSIBILIDADE e CRITICIDADE para a organização.

ID
208846
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança da informação procura garantir a preservação da
confidencialidade, a integridade e a disponibilidade da informação.
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999, julgue os itens seguintes.

É conveniente que, na classificação das informações e seu respectivo controle de proteção, considerem-se as necessidades de compartilhamento ou restrição de informações. Ao se tornar pública, uma informação frequentemente deixa de ser sensível ou crítica.

Alternativas
Comentários
  • 7.2 Classificação da informação
    7.2.1 Recomendações para classificação
    Informações adicionais
    A informação freqüentemente deixa de ser sensível ou crítica após um certo período de tempo, por exemplo quando a informação se torna pública.
    ABNT NBR ISO/IEC 27002

  • Ainda segundo a ISO 27002,"

    7.2.1 Recomendações para classificação

    Diretrizes para implementação

    Convém que a classificação da informação e seus respectivos controles de proteção levem em consideração as necessidades de compartilhamento ou restrição de informações e os respectivos impactos nos negócios , associados com tais necessidades."

  • O CESPE omitiu a informação " ... após certo período de tempo .." contido na norma. Isso dá a entender que a informação tem possibilidade de ter vazado e independentemente disso ela deixa de ser sensível ou crítica, o que é claramente errado.

    Mas é isso aí, até porque não é a Norma que dita as regras né, é a banca.

ID
208849
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

O acesso físico e lógico de terceiros aos recursos de processamento da informação da organização devem ser controlados. Um exemplo de acesso lógico é o acesso aos bancos de dados da organização.

Alternativas
Comentários
  • 6.2.1 Identificação dos riscos relacionados com partes externas
    Controle
    Convém que os riscos para os recursos de processamento da informação e da informação da organização
    oriundos de processos do negócio que envolva as partes externas sejam identificados e controles apropriados
    implementados antes de se conceder o acesso.
    Diretrizes para implementação
    Convém que uma análise/avaliação de riscos (ver seção 4) seja feita para identificar quaisquer requisitos de
    controles específicos, onde existir uma necessidade que permita o acesso de uma parte externa aos recursos
    de processamento da informação ou à informação de uma organização. Convém que a identificação de riscos
    relativos ao acesso da parte externa leve em consideração os seguintes aspectos:
    a) os recursos de processamento da informação que uma parte externa esteja autorizada a acessar;
    b) tipo de acesso que a parte externa terá aos recursos de processamento da informação e à informação,
    como, por exemplo:
    1) acesso físico ao escritório, sala dos computadores, gabinetes de cabeamento;
    2) acesso lógico ao banco de dados da organização e aos sistemas de informações;
    3) rede de conexão entre a organização e a rede da parte externa, como, por exemplo, conexão
    permanente, acesso remoto;
    4) se o acesso vai ser dentro ou fora da organização;
    c) valor e a sensibilidade da informação envolvida,e a sua criticidade para as operações do negócio;

    Fonte: ISO 27002
ID
208852
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

A necessidade de conexão com terceiros deve considerar o tipo de acesso requerido, o valor da informação, os controles empregados por terceiros e as implicações desse acesso à segurança da informação da organização.

Alternativas
Comentários

  • CERTO

    Segundo a ISO 27002, "

    6.2.1 Identificação dos riscos relacionados com partes externas

    Diretrizes para implementação

    Convém que a identificação de riscos relativos ao acesso da parte externa leve em consideração os seguintes aspectos:

    b) tipo de acesso que a parte externa terá aos recursos de processamento da informação e à informação,

    como,[...]

    c) valor e a sensibilidade da informação envolvida, e a sua criticidade para as operações do negócio;

    d) os controles necessários para proteger a informação que não deva ser acessada pelas partes

    externas;




    "

ID
208855
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Recomenda-se que as responsabilidades de segurança sejam atribuídas nas fases de seleção de pessoal, incluídas em acordos informais de trabalho e monitoradas durante a vigência de cada contrato de trabalho.

Alternativas
Comentários

  • Acho que a fase é a fase de contratação de pessoal e se trata de acordos formais e assinados.

  • Na realidade, de acordo com a norma ISO 27002, as responsabilidades devem sim ser atribuídas antes da contratação de recursos humanos:

      8. Segurança de Recursos Humanos
             8.1 Antes da contratação
                     8.1.2 Papéis e responsabilidades
                               Convém que papéis e responsabilidades pela SI de funcionários, fornecedores e terceiros sejam definidos e documentados de acordo com                             a política de SI. Convém que papéis e responsabilidades de SI sejam claramente definidos e comunicados aos candidatos a cargo (....)
                     8.2.3. Seleção
                             Resumidamente, verificação do histórico de cada candidato ao emprego conforme os requisitos legais
                     8.2.4 Termos e condições
                              Como parte de suas obrigações contratuais, convém que os funcinários e terceiros concordem e assinem os termos e condições de  sua                                      contratação para o trabalh, os quais devem declarar as suas responsabilidades para a SI.

    Reparem que o erro da questão está em dizer que estes acordos são informais. Na realidade, esses acordos são bem formais, pois envolvem, inclusive, a assinatura do candidato e caso haja algum desrespeito grave a tais acordos, pode-se(se conveniente) acionar a justiça.Ademais, conforme nosso colega bem mencionou no comentário abaixo, a a fase de seleção(controle seleção) tem a função de verificar o histórico dos candidatos ao emprego. Portanto não seria nesse controle, em específico,onde as responsabilidades são atribuídas.

  • ERRADO

    Os acordos devem ser formais

ID
208858
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Acordos de confidencialidade fazem parte de uma política de pessoal cujo objetivo é assegurar que não haja acesso a sistemas sensíveis por pessoas não autorizadas.

Alternativas
Comentários

  • Políticas de pessoal objetivam conscientizar os funcionários dos riscos de sua atividiade quanto a segurança da informação bem como responsabilizá-los no caso de violação de algum item da política de segurança.

  • ERRADO

    São 133 controles na ISO27001 e o CESPE quer que saibamos todas :)

    ABNT NBR ISO/IEC 27001:2006

    A.6.1.5  Acordos de confidencialidade
    Controle
    Os requisitos para confidencialidade ou acordos de não divulgação que reflitam as necessidades da organização para a proteção da informação devem ser identificados e analisados criticamente, de forma regular.

  •  
    6.1.3 Acordos de confidencialidade
    Acordos de confidencialidade ou de não divulgação são usados para alertar que a informação é confidencial ou secreta.
    Normalmente convém que os funcionários assinem tais acordos como parte dos termos e condições iniciais de contratação.
    Para colaboradores casuais e prestadores de serviços que não estejam cobertos por um contrato existente (que contenha o acordo de confidencialidade), convém que seja exigida a assinatura do acordo de confidencialidade, antes de ter acesso às instalações de processamento da informação.
    Convém que acordos de confidencialidade sejam revisados quando existirem modificações nos termos de contratação, particularmente devido à saída de funcionários da organizaçãoou ao término de contratos.

    Portanto "Acordo de confidencialidade" não refere-se a acesso não autorizado, mas sim à divulgação de informações confidenciais ou secretas.

  • Segundo a ISO 27002:2013,

    "13.2.4 Acordos de confidencialidade e não divulgação
    Controle
    Convém que os requisitos para confidencialidade ou acordos de não divulgação que reflitam as necessidades da organização para a proteção da informação sejam identificados, analisados criticamente e documentados."

ID
208861
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

O documento da política de controle de acesso contém as políticas para autorização e distribuição de controle de acesso. É recomendável a existência de um procedimento formal de registro e cancelamento de usuário para obtenção de acesso a todos os sistemas de informação e serviços, com exceção dos sistemas multiusuários.

Alternativas
Comentários

  • "com exceção dos sistemas multiusuários" está errado.

  • ERRRADO

    ABNT NBR ISO/IEC 27001:2006

    A.11.2  Gerenciamento de acesso do usuário

    Objetivo: Assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas de informação.

    A.11.2.1  Registro de usuário
    Controle
    Deve existir um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços.

ID
208864
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Privilégio é qualquer característica ou facilidade de um sistema de informação multiusuário que permita ao usuário sobrepor controles do sistema ou aplicação. A concessão e uso de privilégios deve ser restrito e controlado, e sua utilização inadequada é considerada fator de vulnerabilidade de sistemas.

Alternativas
Comentários
  • Discordo do texto que diz: "sua utilização inadequada é considerada fator de vulnerabilidade"

    Para mim, a utilização inadequada é uma ameaça, isto é, uma causa potencial de dano, não uma fraqueza inerente do ativo.
  • Discordo do gabarito, pois o enunciado da questão informa que o privilégio permite ao usuário sobrepor controles do sistema ou aplicação, mas não é verdade. Por exemplo, o usuário pode receber um privilégio somente de leitura, onde ele não vai sobrepor controle algum..
  • Se ele receber acesso de leitura, terá superado o controle que não lhe permitia ler.

  • Da onde eles tiraram essa definição de privilégio?

    O uso inapropriado de privilégios de administrador de sistemas (qualquer característica ou recursos de sistemas de informação que habilitam usuários a exceder o controle de sistemas ou aplicações) pode ser um grande fator de contribuição para falhas ou violações de sistemas.

    Mas, na minha opinião, a questão generalizou "privilégio" de maneira inadequada ele  só sobrepõe os controles quando é administrador (e.g. no linux quando o usuário é root as permissões não são checadas). 
     

  • Eu queria entender de onde o Cespe retirou a seguinte afirmativa:


    "Privilégio é qualquer característica ou facilidade de um sistema de informação multiusuário que permita ao usuário sobrepor controles do sistema ou aplicação."

  • Questão estranha.  O ideal era ter vindo algo assim ,"Uso inapropriado de Privilégio é qualquer característica ou facilidade (...)"

    Segundo a ISO 27002:2013,"

    9.2.3Gerenciamento de direitos de acesso privilegiados

    Uso inapropriado de privilégios de administrador de sistemas (qualquer característica ou recursos de sistemas de informação que habilitam usuários a exceder o controle de sistemas ou aplicações) pode ser um grande fator de contribuição para falhas ou violações de sistemas."

  • Concordo com que acha que privilégio por si só não resulta nessas consequências. Para esta questão estar correta ele deveria começar com "A elevação de privilégios...". Aí sim o comando estaria completamente correto.

ID
208867
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

As senhas fornecem um meio de validação da autoridade do usuário e o estabelecimento dos direitos de acesso para os recursos ou serviços de leitura da informação.

Alternativas
Comentários

  •  

    Segundo o prof. Sócrates Filho, as senhas fazem apenas a validação ao acesso aos recursos ou serviços de informação, mas o estabelecimento dos direitos de acesso é feito pelas politicas de autenticação do acesso , por meio de perfis. Item errado, portanto.

  • Uma das formas mais utilizadas no estabelecimento dos direitos de acesso é a chamada ACL (Access Control List), implementada em Sistemas Operacionais de Rede, e independem de senhas de usuários.

  • 9.2.3 Gerenciamento de senha dos usuários
    Senhas são um meio comum de validação da identidade do usuário para obtenção de acesso a um sistema de informação ou serviço.

  • autoridade != autenticidade

  • ERRADO.

    Segundo a ISO 27002:2013,

    "9.2.4 Gerenciamento da informação de autenticação secreta de usuários

    "Informações adicionais
    Senhas são normalmente usadas como um tipo de informação de autenticação secreta, e é uma forma comum de verificar a identidade de um usuário."

  • A senha pode ser usada para AUTENTICAR um Usuário. Por sua vez, as permissões(de usuário ou grupo) são responsáveis por definir a AUTORIZAÇÃO do respectivo usurário. Gabarito, ERRADO. FFF
ID
208870
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

O controle de acesso à rede busca assegurar o uso de interfaces apropriadas entre a rede da organização e as redes de outras organizações ou redes públicas e controlar o acesso dos usuários aos serviços de informação. Também busca utilizar mecanismos de autenticação apropriados para usuários e equipamentos.

Alternativas
Comentários
  • NBR ISO/IEC 17799 (27002)

    11.4 Controle de acesso à rede

    Objetivo: Prevenir acesso não autorizado aos serviços de rede.

    Convém que o acesso aos serviços de rede internos e externos seja controlado.

    Convém que os usuários com acesso às redes e aos serviços de rede  não comprometam a segurança desses serviços, assegurando:

    a) uso de interfaces apropriadas entre a rede da organização e as redes de outras organizações e redes públicas;
    b) uso de mecanismos de autenticação apropriados para os usuários e equipamentos;
    c) reforço do controle de acesso de usuários aos serviços de informação.
ID
208873
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Conexões externas que utilizam métodos dial-up devem ser validados conforme o nível estabelecido por avaliações de risco. Controles e procedimentos de discagem reversa, conhecidos por call forwarding, expõem e fragilizam a organização, uma vez que utilizam dispositivos roteadores com discagem reversa e levam o usuário a manter a linha aberta com a pretensão de que a verificação da chamada reversa tenha ocorrido.

Alternativas
Comentários

  • Call forwarding mantém a linha aberta do lado da organização e não do usuário.

  • Questão esquisita, mas lendo atentamente, na segunda frase, percebe-se que a questão diz que "Controles e procedimentos de discagem reversa expõem e fragilizam a organização". Ora, controle deve fortalecer, e não fragilizar. É o que diz a norma: "Os procedimentos e controles de discagem reversa (dial-back), por exemplo, usando modens com discagem reversa, podem prover proteção contra conexões não autorizadas...".

    Enfim, segue a norma.

    11.4.2 Autenticação para conexão externa do usuário

    Os procedimentos e controles de discagem reversa (dial-back), por exemplo, usando modens com discagem reversa, podem prover proteção contra conexões não autorizadas e não desejadas nos recursos de processamento da informação de uma organização. Este tipo de controle autentica usuários que tentam estabelecer conexões com a rede de uma organizações de localidades remotas. Ao usar este controle, convém que uma organização não use serviços de rede que incluem transferência de chamadas (forward) ou, se eles fizerem, convém que seja desabilitado o uso de tais facilidades para evitar exposição a fragilidades associadas ao call forward. Convém que o processo de discagem reversa assegure que uma desconexão atual no lado da organização aconteça. Caso contrário, o usuário remoto poderia reter aberta a linha simulando que a verificação do retorno da chamada (call back) ocorreu. Convém que os procedimentos e controles da discagem reversa sejam testados completamente para esta possibilidade.

  • Discagem reversa não é conhecida como call fowarding. Ela é conhecida como dial back.
  • "Call fowarding" em português claro é encaminhamento da chamada ,  discagem reversa é "dial back".
ID
208876
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Os controles baseiam-se nos requisitos de segurança selecionados considerando-se as restrições de implementação, sua eficácia em relação aos riscos que serão reduzidos e às perdas potenciais, caso as falhas na segurança ocorram. Pode-se, ainda, considerar fatores financeiros, como prejuízos à reputação da organização.

Alternativas
Comentários

  • Restrições de implementação não são consideradas quando da seleção do controle de requisitos de segurança.

  • Não concordo com o amigo do último comentário. Segundo a norma ISO 27002:
            "Os controles podem ser selecionados desta ou de outras normas. É importante reconhecer que alguns controles podem não ser aplicáveis a todos os sistemas de informação ou ambientes e podem não ser praticáveis em todas as organizações. Como um exemplo, 10.1.3 descreve como as responsabilidades podem ser segregadas para evitar fraudes ou erros.  Pode não ser possível para pequenas organizações segregar todas as responsabilidades (...)"
     Percebe se claramente neste trecho, que, durante a seleção de controles, devido a uma restrição de implementação(quantidade pequena de funcionários para segregar todas as funções de segurança), não foi possível a uma pequena empresa implantar o controle "segregação de responsabilidades".
    O erro, na minha opinião, está no seguinte trecho: "Pode-se, ainda, considerar fatores financeiros, como prejuízos à reputação da organização." 
    Prejuízos à reputação da organização é um fator intangível e não financeiro como está na questão.
  • Concordo com Fábio na análise da questão. Pra mim é o erro da questão.

    Yakko, vc copiou todas os comentários (em várias questões de SI) de uma lista do Socrates FIlho e nem fez referência ao autor. É muito boa  sua ajuda dos comentários, mas tb é mt importante citar a fonte. É de grande valia para complementação dos estudos!

    Bons estudos e sucesso a todos!
  • Posso estar enganado, mas "requisitos de segurança selecionados" me parece errado. 
    O que pode ser selecionado considerando o contexto organizacional e as normas citadas são os CONTROLES. 
    Requisitos, de acordo com a 27001, não são opcionais e são genéricos suficiente pra todo e qualquer tipo de organização. Ao meu ver, a palavra "selecionar" não cabe no contexo de "requisitos" dentro da norma 27001.

    Todas essas considerações podem ser levadas em conta quanto a SELEÇÃO DE CONTROLES.

    Marquei errado por esse motivo. Mas de qualquer forma a questão é confusa... Alguém poderia reforçar os comentários?
  • Perfeito o comentário do Fábio:

    Convém que os controles sejam selecionados baseados nos custos  de implementação em relação aos riscos que serão reduzidos e as perdas potenciais se as falhas na segurança ocorrerem.
    Convém que fatores não financeiros, como, por exemplo, prejuízos na reputação da organização, sejam levados em consideração

  • 2 erros

    os controles não são escolhidos baseados na dificuldade de implementação, pois são escolhidos baseado na análise dos riscos...e...a marca da empresa que é um fator intangível, e não financeiro (apesar de uma coisa levar à outra|).

ID
208879
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

O documento da política de segurança da informação estabelece as suas linhas mestras, expressa as preocupações da administração e é por ela aprovado e comunicado a todos os funcionários.

Alternativas
Comentários

  • Documento da política de segurança da informação

    Controle

    Convém que um documento da política de informação seja aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.

    Uma declaração do comprometimento da direção, apoiando as metas e princípios de segurança da informação, alinhadas com os objetivos e estratégias de negócio.

    fonte: ABNT NBR ISO/IEC 27002

  • É um tanto quanto complicado poder afirmar que um documento da política de segurança da informação expressa as preocupações da administração.. administração se preocupa com o negócio, com o mercado e com uma série de coisas que não dizem respeito ao documento em si.. Questão muito mal elaborada. 

  • Questão maldosa mesmo, creio eu que não está errado, como foi mencionado no trecho da norma mostrado pela Fernanda, pelo fato de que a direção é parte da administração organizacional. 

  • "expressa as preocupações da administração" na Política de Segurança ??? De onde o CESPE tirou isso??? já pensou se toda empresa coloca suas preocupações nesse documento o risco que não seria??

ID
208882
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

São exemplos de conteúdos que constam no documento de política da informação: conformidade com a legislação e cláusulas contratuais, requisitos na educação de segurança, gestão da continuidade do negócio e regras para controle de acesso.

Alternativas
Comentários

  • Gestão de continuidade do negócio não é tratada pela política de segurança e sim pela política de continuidade do negócio.

  • Acho que o erro é principalmente pelo "regras para controle de acesso". A poliítica trata de questões gerais, relativas ao negócio. As "regras para controle de acesso" são definidas e aplicadas e próximas a um contexto operacional. Por isso, ERRADA a questão

  • ISO 17799:2005 (equivalente a ISO 27002)

    5.1.1 Documento da política de segurança da informação
    d) breve explanação das políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização, incluindo:
    1) conformidade com a legislação e com requisitos regulamentares e contratuais;
    2) requisitos de conscientização, treinamento e educação em segurança da informação;
    3) gestão da continuidade de negócio;
    4) consequências das violações na política de segurança da informação;
    gestão da continuidade do negócio;

    Logo, o erro está em "regras para controle de acesso".
ID
208885
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Convém que a política de segurança da informação tenha um patrocinador responsável por sua manutenção e análise crítica e que esteja de acordo com um processo de submissão definido.

Alternativas
Comentários

  • O patrocinador não é responsável pela política de segurança da informação, existe um setor responsável por essa política. O patrocinador geralmente a direção da empresa é responsável apenas pela aprovação dessa política.

  • Patrocinador: representa a direção da organização. No contexto de análise crítica, o patrocinador possui as seguintes atribuições:
               1)Definir procedimentos para análise crítica
               2)Definir período em que será realizado a análise crítica pelo gestor
               3)Nomear o gestor responsável(proprietário) pela política de SI
               4)Realizar análise crítica independente e fornecê-la como entrada ao gestor da política de SI
               5)Aprovação da Politica de SI revisada/modificada

    Gestor: pessoa, setor ou grupo com responsabilidade de gestão, análise crítica, avaliação e melhoria da política de SI.

    Fiz esse resumo da página 9 (5.1.2 - Análise crítica da SI) da NBR-ISO 27002.
  • Convém que a política de segurança da informação tenha uma direção responsável por sua manutenção e análise crítica.
  • Acho que o erro está no seguinte:

    Convém que a política de segurança da informação tenha um patrocinador responsável por sua manutenção e análise crítica

    No item 5.1.2 só fala que a direção faz a análise crítica e mantém um registro da análise crítica, não mantém a política de segurança da informação.
  • Segundo a Norma ISO/IEC 27002:2005:


    5.1.2 Análise crítica da política de segurança da informação 


    Convém que a política de segurança da informação tenha um gestor que tenha aprovado a responsabilidade pelo desenvolvimento, análise crítica e avaliação da política de segurança da informação. Convém que a análise crítica inclua a avaliação de oportunidades para melhoria da política de segurança da informação da organização e tenha um enfoque para gerenciar a segurança da informação em resposta às mudanças ao ambiente organizacional, às circunstâncias do negócio, às condições legais, ou ao ambiente técnico.


    Ou seja, o papel definido é o de gestor, não patrocinador.

  • Não é o patrocinador (direção) quem faz isso mas sim o gestor responsável pela política de SI.

    Não se fala nada sobre "processo de submissão" nessa parte da norma.

ID
208888
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Alguns controles deverão salvaguardar sistemas operacionais e ferramentas de auditoria durante as auditorias de sistema. O escopo de verificação deve ser acordado e controlado.

Alternativas
Comentários
  • ABNT NBR ISO/IEC 17799:2005

    15.3 Considerações quanto à auditoria de sistemas de informação

    Objetivo: Maximizar a eficácia e minimizar a interferência no processo de auditoria dos sistemas de informação.

    Convém que existam controles para a proteção dos sistemas operacionais e ferramentas de auditoria durante as auditorias de sistema de informação.

    Proteção também é necessária para proteger a integridade (salvaguardar) e prevenir o uso indevido das ferramentas de auditoria.


    15.3.1 Controles de auditoria de sistemas de informação

    Controle
    Convém que requisitos e atividades de auditoria envolvendo verificação nos sistemas operacionais sejam cuidadosamente planejados e acordados para minimizar os riscos de interrupção dos processos do negócio.
  • A meu ver essa questão é passível de anulação.
    A questão diz "deverão", a norma diz "convém que".
  • mas ele diz qual é a norma específica? se for a ISO 27001 é Deve, se for a ISO 27002 é convem
ID
208891
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Na revisão periódica da conformidade dos sistemas com as políticas e normas organizacionais de segurança, devem-se incluir sistemas de informação, provedores de sistemas, proprietários da informação, ativos de informação, usuários e administração.

Alternativas
Comentários
  • Alguém sabe em qual item de qual norma tem a reposta desta questão ?
  • Daniel, achei esta parte na norma, mas se alguém achar outra mais especifica, favor colaborar:

    4.2.3 Monitorar e analisar criticamente o SGSI
    A organização deve:

    b) Realizar análises críticas regulares da eficácia do SGSI (incluindo o atendimento da política e dos objetivos do
    SGSI, e a análise crítica de controles de segurança), levando em consideração os resultados de auditorias de
    segurança da informação, incidentes de segurança da informação, resultados da eficácia das medições,
    sugestões e realimentação de todas as partes interessadas.

    d) Analisar criticamente as análises/avaliações de riscos a intervalos planejados e analisar criticamente os riscos
     
    residuais e os níveis de riscos aceitáveis identificados, levando em consideração mudanças relativas a:
    1) organização;
    2) tecnologias;
    3) objetivos e processos de negócio;
    4) ameaças identificadas;
    5) eficácia dos controles implementados;
    6) eventos externos, tais como mudanças nos ambientes legais ou regulamentares, alterações das
    obrigações contratuais e mudanças na conjuntura social.
ID
208894
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Controles de ambiente e software devem se corretamente implementados para que a validação da conformidade técnica e científica assegure que os sistemas de informação sejam verificados em conformidade com as normas de segurança implementadas.

Alternativas
Comentários

  • Os controles de ambiente não garantem a validação da conformidade, essa validação deverá ser feita pelo setor responsável.

  • A conformidade (técnica e ciencítica) assegura simplesmente que uma provável auditoria será bem sucedida.

    O fato de que os sistemas de informação são verificados em conformidade com as normas de segurança implementadas é que assegura a conformidade "técnica e ciencítica", e não o contrário.

  • 15.2.2 Verificação da conformidade técnica


    Controle

    Convém que sistemas de informação sejam periodicamente verificados em sua conformidade com as normas de segurança da informação implementadas.

    A norma ISO 27002 não fala nada sobre conformidade técnica e científica. Ela fala apenas sobre conformidade técnica.

  • Controles de ambiente e software DEVEM ser corretamente implementados para que a validação da conformidade técnica e científica assegure que os sistemas de informação sejam verificados em conformidade com as normas de segurança implementadas.

    Palavra perigosa essa, em se tratando de vinte sete mil e dois . . .

  • Está invertido:


    Controles de ambiente e software devem ser corretamente implementados para que a VERIFICAÇÃO da conformidade técnica assegure que os sistemas de informação sejam VALIDADOS em conformidade com as normas de segurança implementadas.

ID
208897
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Quando o processo envolver a lei, civil ou criminal, as evidências apresentadas devem se conformar às regras para evidências estabelecidas pela lei, independemente do tribunal de justiça específico onde o caso será julgado. Para obter admissibilidade da evidência, recomenda-se que as organizações garantam que seus procedimentos operacionais estejam em conformidade com qualquer norma ou código de conduta publicado para produção de evidência admissível.

Alternativas
Comentários

  • As regras dependem de cada tribunal, ou seja, as provas deverão ser apresentadas de acordo com o que o tribunal solicitar.

  • ABNT NBR ISO/IEC 17799:2005

    13.2.3 Coleta de evidências

    Controle
    Nos casos em que uma ação de acompanhamento contra uma pessoa ou organização, após um incidente de segurança da informação, envolver uma ação legal (civil ou criminal), convém que evidências sejam coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidências da jurisdição(ões) pertinente(s).
  • Questão estranha:
     
    Quando o processo envolver a lei, civil ou criminal, as evidências apresentadas devem se conformar às regras para evidências estabelecidas pela lei, independemente do tribunal de justiça específico onde o caso será julgado.
     
    A questão está sendo mais restrita que a norma pois independente do tribunal (civil ou criminal) as evidências devem ser conforme a lei. Na norma diz o seguinte: 
     
    convém que evidências sejam coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidências da jurisdição(ões) pertinente(s)

    ou seja, as evidências devem se conformar somente  com o tribunal pertinente, não precisa ser conforme os dois tribunais. 
    O erro da questão está na velha história deve-convém (apesar que se fala no enunciado em 27001 e 27002), ou na parte de ser todos os tribunais ou só os pertinentes?
     

  • Outro erro.

    Segundo a ISO 27002,"13.2.3 Coleta de evidências

    Para obter a admissibilidade da evidência, convém que a organização assegure que seus sistemas de informação estejam de acordo com qualquer norma ou código de prática publicado para produção de evidência admissível."

    o.B.S: Senhores o subtítulo desta questão diz "No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e ISO 15999 e aos assuntos correlatos" então o erro não tem nada haver com o uso do CONVÉM da ISO 27002 ou DEVE da 27001 como alguns colegas afirmaram. 

  • Amigos, nao entendi o porquê de estar errado. Alguem pode me ajudar? Obrigada.

ID
208900
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Gerenciamento de risco refere-se à análise das ameaças, impactos e vulnerabilidades da informação e das instalações de processamento da informação e da probabilidade de sua ocorrência. Análise de risco é o processo de identificação, controle e maximização ou eliminação dos riscos de segurança que possam, a um custo aceitável, afetar os sistemas de informação.

Alternativas
Comentários

  • Análise de riscos não maximiza os riscos.

  • Não entendi a questão. Ao falar em maximização ele não se refere ao risco máximo aceitável por uma organização?
  • A análise de risco é constituída de identificação e estimativa de risco. O processo de controle e eliminação do risco está na fase de Tratamento do riso.
  • Gerenciamento Análise de risco refere-se à análise das ameaças, impactos e vulnerabilidades da informação e das instalações de processamento da informação e da probabilidade de sua ocorrência. Análise Gerenciamento de risco é o processo de identificação, controle e maximização ou eliminação dos riscos de segurança que possam, a um custo aceitável, afetar os sistemas de informação.

    A questão simplesmente inverteu os conceitos.
    OBS: Com relação a Maximização de riscos. Lembrem-se que RISCO pode ser tanto um fator negativo como um fator positivo (também chamado de oportunidade, que no caso, deve-se buscar maximizar).
  • Eu concordo tb acho q ele trocou os conceitos, mas em relação ao risco ser um fator positivo, eu acho q isso só se enquadra ao PMBoK na normas ISO 27001 e 27002 elas tratam riscos somente como fator negativo para a organização.
  • CESPE mais uma vez invertendo os conceitos.
ID
208903
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

A análise crítica periódica dos riscos de segurança e dos controles implementados deve, entre outros, confirmar que os controles permanecem eficientes e adequados.

Alternativas
Comentários

  • Está quase igual ao descrito na norma, sendo assim  é justamente o que é recomendado. 

    Segue o trecho da norma:

    ISO 27002 - Seção 5 - Controle A.5.1.2:
    Análise crítica da política de segurança - A política de segurança da informação deve ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

    Gabarito da questão: CERTO

  • Eu respondi como Errado justamente pensando sobre a atuação dos controles.
    Normalmente a análise é da eficácia (se atende seu objetivo) dos controles não na eficiência (relacionado a melhor utilização de recursos, economia).
    As normas de segurança tratam do termo EFICÁCIA e não eficiência.

    Bons estudos.
ID
208906
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Análises críticas devem ser executadas em níveis de profundidade distintos e se apóiam nas análises de riscos anteriormente realizadas. As probabilidades de falhas são embasadas, entre outros, nas ameaças e vulnerabilidades mais frequentes e nos controles implementados.

Alternativas
Comentários

  • Monitorar e analisar criticamente o SGSI ( check)

    Realizar análise critica de eficácia do SGSI (incluindo o atendimento da política e dos objetivos do SGSI, e a análise crítica de controle de segurança) levando em consideração os resultados de auditoria de segurança da informação, incidente de segurança da informação, resultados das medições de eficácia, sugestões e realimentações de todas as partes interessadas.

  • Avaliação da Probabilidade: Convém levar em conta a frequência da ocorrência das ameaças e a facilidade com que as vulnerabilidades podem ser exploradas, considerando dados como a experiência passada, estatística, motivação e competência de ameaças intencionais, fatores geográficos de ameaças acidentais, vulnerabilidades e os controles existentes e sua eficácia.
  • Análises críticas devem ser executadas em níveis de profundidade distintos OK, como há níveis diversos de complexidade, é correto que haja níveis de profundidade distintos.
     e se apóiam nas análises de riscos anteriormente realizadas. OK, apesar de considerar auditorias, incidentes e métricas, a base para todo o SGSI é a análise/avaliação de riscos.
     As probabilidades de falhas são embasadas, entre outros, nas ameaças e vulnerabilidades mais frequentes e nos controles implementados. OK, conforme excelente comentário do Marco Aurélio.

  • O nosso colega Marco Aurélio esqueceu de mencionar a fonte., segue ela abaixo.

    ABNT NBR ISO IEC 27005:2008, Seção 8.2.2.3 Avaliação da probabilidade dos incidentes, Diretrizes para implementação


ID
208909
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

A relevância de qualquer controle é determinada pelos riscos específicos a que os patrocinadores estão expostos.

Alternativas
Comentários

  • A relevância é determinada pela probabilidade dos riscos acontecerem e suas consequências na organização.

  • Mas, qual a diferença em dizer que algo é determinado:

    a) pelo risco de algo acontecer

    b) pela probabilidade do risco de algo acontecer

     

    Ambas as frase não têm a mesma carga semântica?

  •  A determinação da relevância do controle é dada após a análise/avaliação de riscos a qual determinará qual controle é necessário para previnir/evitar ameaças a vulnerabilidades aos ativos da organização.
    A questão diz que a relevância é determinada a partir dos riscos a que os patrocinadores estão expostos e o correto seria que é determinada a partir dos riscos a que os ativos estão expostos.

  • Os patrocinadores devem ser considerados em qualquer determinação de um SGSI, porém dizer que isto influi de modo tão forte na seleção dos controles é errado, já que os principais fatores a serem considerados são a legislação vigente, cultura organizacional, regras de negócios, ativos e avaliacão/análise de riscos.
  • Pessoal a questão é bem simples. A resposta está no item 0.6 da norma 27002 (antiga 17799):


    "Convém observar que, embora todos os controles nesta Norma sejam importantes e devam ser considerados, a relevância de qualquer controle deve ser determinada segundo os riscos específicos a que uma organização está exposta."

    O comando da questão fala sobre patrocinadores, o que é diferente de organização, e isso torna o item errado.

  • Quais são os riscos específicos que os patrocinadores estão expostos? Sequestro? Roubo? Acidente de Carro?
    Os controles dessas normas não se preocupam com essas coisas... Gabarito "E".
ID
208912
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A continuidade do negócio objetiva não permitir a interrupção das
atividades do negócio e proteger os processos críticos contra efeitos
de falhas ou desastres significativos. Com base nas normas
ISO 27001, ISO 27002, ISO 27005 e ISO 15999, julgue os itens
seguintes.

Pela combinação entre ações de prevenção e de recuperação, trata-se a interrupção causada por inconsistências e falhas da segurança que podem ser resultantes de controles de acesso, desastres naturais, acidentes, falhas de equipamentos e ações intencionais.

Alternativas
Comentários

  • Acredito que o erro possa estar em ações de prevenção, uma vez que a interrupão já foi concretiza e não faz mais sentido ações de prevenção, somente de recuperação.

  • Concordo com o comentário abaixo.

    De acordo com o prof. Socrátes Filho,as interrupções causadas já ocorridas por inconsistências ou falhas de segurança são tratadas por ações de recuperação EXCLUSIVAMENTE. As ações de prevenção só são utilizadas nas situações em potencial que podem provocar INTERRUPÇOES.

  •  Mas também as falhas não seriam resultantes da "Falta" de controle de acesso, e não resultante de controle de acesso. vejo dois erros nessa assertiva, sendo os já descritos nos comentários dos colegas e este. 

  • A questão está relacionada à continuidade dos negócios. Por uma leitura mais atenta, percebe-se que a questão afirma que controle de acesso pode resultar em inconsistências ou falhas da segurança, o que é um absurdo. Para ficar mais claro, a leitura da seção:

    14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação

    Convém que o processo de gestão da continuidade do negócio seja implementado para minimizar um impacto sobre a organização e recuperar perdas de ativos da informação (que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e ações intencionais) a um nível aceitável através da combinação de ações de prevenção e recuperação. Convém que este processo identifique os processos críticos e integre a gestão da segurança da informação com as exigências da gestão da continuidade do negócio com outros requisitos de continuidade relativo a tais aspectos como operações, funcionários, materiais, transporte e instalações.

     

  • O erro está no fato de a questão dizer que as inconsistências e as falhas de segurança serem causadas por controles de acesso. Discordo com os dois primeiros comentários, visto que a COMBINAÇÃO de ações de prevenção e de recuperação podem tratar interrupções e inconsistência. A ênfase deve ser dada à COMBINAÇÃO desses elementos. Isso não inviabiliza a questão. O erro está mesmo no fato de controles de acesso causarem falhas.
  • Acho que o problema maior da questão é entender o que ela está falando, ela foi feita para confundir o candidado, vejamos:
    • Trata-se a interrupção causada por inconsistências e falhas da segurança pela combinação entre ações de prevenção e de recuperação? Certo ou errado? Se certo passe para a próxima pergunta.
    • Trata-se a interrupção causada por inconsistências e falhas da segurança (inconsistência e falhas da seguranção que podem ser resultantes de controles de acesso, desastres naturais, acidentes, falhas de equipamentos e ações intencionais) pela combinação entre ações de prevenção e de recuperação?Certo ou errado.

    Abraços, vamo que vamo.



ID
208915
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A continuidade do negócio objetiva não permitir a interrupção das
atividades do negócio e proteger os processos críticos contra efeitos
de falhas ou desastres significativos. Com base nas normas
ISO 27001, ISO 27002, ISO 27005 e ISO 15999, julgue os itens
seguintes.

O desenvolvimento e a manutenção da continuidade do negócio deve ser sustentado por um processo de gestão que permeie toda a organização. A gestão da continuidade do negócio deve estar incorporada aos processos e à estrutura da organização.

Alternativas
Comentários

  • A.14  Gestão da continuidade do negócio
    A.14.1  Aspectos da gestão da continuidade do negócio, relativos à segurança da informação
    Objetivo: Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos,  e assegurar a sua retomada em tempo hábil, se for o caso.
    A.14.1.1 Incluindo segurança da informação no processo de gestão da continuidade de negócio
    Controle
    Um processo de gestão deve ser desenvolvido e mantido para assegurar a continuidade do negócio por toda a organização e que contemple os requisitos de segurança da informação necessários para a continuidade do negócio da organização

    Fonte: ISO 27001

  • Não consegui encontrar nas normas 27001 e 27002 a obrigatoriedade (relacionado a palavra "deve" da questão) da gestão de continuidade estar incorporada à estrutura da organização. O que aparenta é que deve-se criar uma "caixinha" na organização para tratar da gestão da continuidade, o que não é tratado nas normas.
     

  • Acredito que o motivo de haver preocupação em ter uma gestão de continuidade por toda organização é manter a reputação da empresa, por não priorizar alguns setores.

ID
208918
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A continuidade do negócio objetiva não permitir a interrupção das
atividades do negócio e proteger os processos críticos contra efeitos
de falhas ou desastres significativos. Com base nas normas
ISO 27001, ISO 27002, ISO 27005 e ISO 15999, julgue os itens
seguintes.

A análise do risco é realizada sobre os eventos que possam causar interrupções nos processos do negócio e auxiliam na determinação de seus impactos em termos de escala de dano e em relação ao período de recuperação. Nessa análise, devem-se considerar os processos de negócio impactados, limitando-se aos recursos, sem considerar as instalações de processamento de dados.

Alternativas
Comentários

  • Tem que levar em conta os riscos de fenômenos naturais nas instalações de precessamento de dados.

  • Análise de riscos é executrada sobre ATIVOS, pois esses posuem as vulnerabilidades e são visados pelas ameaças, que usam as vulnerabilidades para causar dano a ativo.

    Evento é uma falha de segurança que pode causar algum dano a organização, não é um elemento critico como o Incidente que é um ou mais eventos que representam grande risco a organização.
  • A análise do risco é realizada sobre os eventos Ativos que possam causar interrupções nos processos do negócio e auxiliam na determinação de seus impactos em termos de escala de dano e em relação ao período de recuperação. Nessa análise, devem-se considerar os processos de negócio impactados, limitando-se aos recursos, sem considerar as instalações de processamento de dados.

    A análise/avaliação de risco determina o valor dos ativos da informação, identifica as ameaças e vulnerabilidades aplicaveis existentes (o uque poderia a existir) identifica os controles existentes e seus efeitos nos riscos identificados, determina as consequencias possíveis e, finalmente, prioriza os riscos derivados e ordena-os de acordo com os critérios de avaliação de risco estabelecido na definição do contexto.

    Fonte: ABNT ISO/IEC 27005:2008
  • A assertiva estava "indo bem" até chegar nas afirmações finais:

    "A análise do risco é realizada sobre os eventos que possam causar interrupções nos processos do negócio e auxiliam na determinação de seus impactos em termos de escala de dano e em relação ao período de recuperação. Nessa análise, devem-se considerar os processos de negócio impactados, limitando-se aos recursos, sem considerar as instalações de processamento de dados. "

    Como foi citado em outros comentários, a análise de risco deve envolver todos os ativos da organização; não apenas os recursos.

ID
208921
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A continuidade do negócio objetiva não permitir a interrupção das
atividades do negócio e proteger os processos críticos contra efeitos
de falhas ou desastres significativos. Com base nas normas
ISO 27001, ISO 27002, ISO 27005 e ISO 15999, julgue os itens
seguintes.

No caso de ocorrerem interrupções ou falhas em processos críticos, devem-se executar planos de continuidade para recuperar as operações do negócio, em conformidade com os requisitos de segurança da informação.

Alternativas
Comentários

  • Em conformidade com os requisitos de continuidade dos negócios.

  • O que vai determinar se os planos de continuidade do negócio deverão ser executados ou não vai ser baseado na análise/avaliação dos riscos, conforme seção 14.1.2 Continuidade de negócios e análise/avaliação de riscos. Não existe obrigatoriedade.

  • O objetivo do plano de continuidade deve ser  "Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos
    de falhas ou desastres significativos,  e assegurar a sua retomada em tempo hábil, se for o caso."

    Falhas e interrupções, simplesmente, não são justificativas para disparar um plano de continuidade. Basta tratar o incidente recuperando o serviço o mais rapidamente possível e, se for o caso, abrir um problema para identificar a causa raiz e gerar um Erro Conhecido.

  • Dentro do Processo de GCN (Gestão de Continuidade de Negócios) é possível observar dois termos:

    PNC (Plano de continuidade de negócios) e o PDR (Plano de Recuperação de Desastre). Posso estar enganado, mas acredito que o erro da questão esta aí.

    O PNC  é constituído de uma série de procedimentos e medidas que terão por objetivo a minimizar as perdas decorrentes de um desastre, ou seja, de um eventos de grande proporção em termos de impacto.

    O PDR é um plano exclusivamente focado na recuperação de ativos de tecnologia da informação danificado por uma catástrofe ou por uma falha do sistema.

    Welton Dias

  • No caso de ocorrerem interrupções ou falhas em processos críticos, devem-se executar planos de continuidade para recuperar as operações do negócio, em conformidade com a Gestão de Continuidade do Negócio e não com requisitos de segurança da informação
  • Planejamento de emergência
    Desenvolvimento e manutenção de procedimentos acordados de forma a prevenir,reduzir,controlar,mitigar e escolher ações a serem tomadas no caso de uma emergência civil.

    Plano de continuidade de negócios (PCN )
    Documentação de procedimentos e informações desenvolvida, consolidada e mantida de forma que esteja pronta para uso caso ocorra um incidente, de forma a permitir que a organização mantenha suas atividades críticas em um nível aceitável previamente definido.

    Programa de gestão da continuidade de negócios
    processos contínuos de gestão e governança que são suportados pela alta direção e que recebem os recursos apropriados para garantir que os passos necessários estão sendo tomados de forma a identificar o impacto de perdas em potencial, manter estratégias e planos de recuperação viáveis e garantir a continuidade de fornecimento deprodutos e serviços pormeio de treinamentos, testes ,manutenção e análises críticas.

    Para quem disse que um incidente, por si só não pode disparar um PCN está errado, pois a norma diz que é justamente caso ocorra um incidente.

     O planos de continuidade devem seguir o programa de gestão de continuidade de negócios, ou simplesmente com a estratégia da continuidade dos negócios.

    "detalhamento e documentação de planos de continuidade de negócio que contemplem os requisitos de segurança da informação alinhados com a estratégia da continuidade do negócio estabelecida" NBR 27002:2005

    NBR 15999:2007
  • Questão estranha.

    ISO 27001 (pág. 28)
    Os planos devem ser desenvolvidos e implementados para a manutenção ou recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio.

    ISO 27002 (pág. 104)
    Convém que os planos sejam desenvolvidos e implementados para a manutenção ou recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio.

    Baseado no que foi levantada acima, considero que o CESPE considerou ERRADA a questão porque ela está incompleta e/ou imprecisa. Quando a questão diz "executar planos de continuidade para recuperar as operações do negócio, em conformidade com os requisitos de segurança da informação", faltou o "para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida" presente nos trechos destacados nas 3 normas.

    Deus nos abençoe!

  • O propósito de um plano de continuidade de negócios, é permitir que uma organização recupere ou mantenha suas atividades em caso de uma interrupção das operações normais de negócios.
    Os PCN são ativados para dar suporte às atividades críticas necessárias para cumprir os objetivos da organização. Eles podem ser executados integral ou parcialmente e em qualquer etapa da resposta a um incidente.
    O conteúdo e os componentes dos PCN variam de organização para organização e possuem diferentes níveis de detalhe, dependendo da escala, ambiente, cultura e complexidade técnica da organização.

  • a questão não especifica qual norma em questão, logo algumas normas dizem que é obrigatório, outras dizem que é conveniente

    não dá pra tirar uma conclusão a respeito, questão estranhissima, apesar de ser plausível que se consedere conformidade com os requisitos de negócio

  • infelizmente nenhum comentário me convenceu do gabarito. Mais alguém com "cartas na manga" pra fazer engenharia reversa do gabarito?

  • Depois de um incidente, usa-se um Plano de gestão de incidente para identificar e resolver o problema. Em seguida o PCN para ativar questões de continuidade e os serviços/processos críticos voltarem a funcionar. Em seguida, ativa-se o Plano de recuperação de negócio para a organização se recuperar do incidente, como substituindo equipamentos danificados, mudando o local de trabalho permanente (no pCN o trabalho fica no lugar alternativo...).


    Acredito, então, que a questão fale do PRN.


  • Galera, dava para responder a questão lendo o "texto associado" a ela, que já começa dizendo: "A continuidade do negócio objetiva não permitir a interrupção das atividades do negócio..."

    Ou seja, é algo PREVENTIVO.


    A questão aborda uma situação CORRETIVA, após o acontecimento do incidente. Se você olhar a definição de Plano de Continuidade de Negócios, vai perceber que:


    "Plano de continuidade de negócios (PCN ) 
    Documentação de procedimentos e informações desenvolvida, consolidada e mantida de forma que esteja pronta para uso caso ocorra um incidente, de forma a permitir que a organização mantenha suas atividades críticas em um nível aceitável previamente definido."


    Repare que o PCN é um documento de PREVENÇÃO, ele se destina a preparar a organização para lidar com possíveis incidentes, portanto não é o adequado a se usar quando um desastre já aconteceu!


    Bons estudos!

  • Luiz, marquei como errada, pois a recuperação das operações de negócio devem estar restritas aos requisitos de continuidade de negócio (um SLA - 2hs - p ex) e nao aos requisitos de seg. info.

  • ERRADO

    A questão trata sobre PLANO DE RECUPERAÇÃO DE DESASTRES - PRD.

    Ele é descrito na família de normas 15999.

ID
245341
Banca
CESPE / CEBRASPE
Órgão
TRT - 21ª Região (RN)
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com referência às normas NBR ISO/IEC 15999 e 27005 e a
respeito de gestão de riscos, julgue os itens a seguir.

Os processos que fazem parte da análise/avaliação de riscos são identificação de riscos, estimativa de riscos e avaliação de riscos.

Alternativas
Comentários

  • CORRETO.

    Gostaria de compartilhar uma imagem que é importante ser memorizada com relação à norma de Gestão de Risco de SI (27005)

    http://screencast.com/t/hJwVZwJDe6t

  • Completando:

    A Estimativa de risco se divide em (Estimativa Qualitativa e Estimativa Quantitativa), com a Avaliação de Consequência e a Avaliação de Probabilidade, no final temos o resultado com os Níveis de Risco.
  • Quase todo ciclo de melhoria contínua segue o Ciclo de Demming (PDCA) de alguma forma, com alguma particularização. 
    Com os processos de Gestão e Segurança da Informação, isso é especialmente forte: as GSI/PR, ITIL, as ISO 27000, COBIT seguem isso. 

    O site de onde veio esta figura, adaptada da ISO 27005, tem um bom material, que divaga um bocado no assunto pra ser colocado aqui.
    Fonte:http://www.qsp.org.br/artigo_27005.shtml
     

  • CERTO

    Segundo a ISO 27005, "

    8.1 Descrição geral do processo de análise/avaliação de riscos de segurança da informação

    A análise/avaliação de riscos consiste nas seguintes atividades:

     * Análise de riscos (Seção 8.2) compreende:

             - Identificação de riscos (Seção 8.2.1)

             - Estimativa de riscos (Seção 8.2.2)

     * Avaliação de riscos (Seção 8.3)"

  • CONFORME A VERSÃO DE 2011, ESTA QUESTÃO ESTARIA 'ERRADO', POIS NESSA VERSÃO A ESTRUTURA MUDOU UM POUCO. 

    Segundo a ISO 27005:2O11,"

    O processo de avaliação de riscos consiste nas seguintes atividades:
    -� Identificação de riscos (Seção 8.2)
    -� Análise de riscos (Seção 8.3)
    -� Avaliação de riscos (Seção 8.4)    "

ID
245344
Banca
CESPE / CEBRASPE
Órgão
TRT - 21ª Região (RN)
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com referência às normas NBR ISO/IEC 15999 e 27005 e a
respeito de gestão de riscos, julgue os itens a seguir.

No que concerne à gestão da continuidade de negócios, a norma brasileira NBR 15999 estabelece o que deve ser atendido. Nesse aspecto, todos os estágios da gestão da continuidade são: Compreender o Negócio; Estratégia de Continuidade; Plano de Continuidade; Construir e Disseminar a Cultura; e Exercitar, Manter e Auditar.

Alternativas
Comentários

  • ERRADO.

    Memorizem a imagem abaixo. Nela estão as fases definidas na ISO 15999 (GCN)

    http://screencast.com/t/MUMkNVk9xnwc

  • Esta questão está errada porque faltou o sexto estágio: Testar, Avaliar e Melhorar.

    Os seis estágios da gestão da continuidade:
    1. Compreender o Negócio
    2. Estratégia de Continuidade
    3. Plano de Continuidade
    4. Construir e Disseminar a Cultura
    5. Exercitar, Manter e Auditar
    6. Testar, Avaliar e Melhorar
  • Questão errada

    A Norma 15999 é baseada no modelo PDCA, definindo as 4 fases como:
    - Planejamento do SGCN
    - Implementação e operação do SGCN
    - Monitoração e análise crítica do SGCN
    - Manutenção e Melhoria do SGCN

    O ciclo de vida da gestão de continuidade de negócio tem 6 elementos::
    1. Gestão do programa de GCN
    2. Entendendo a organização
    3. Determinando a estratégia de continuidade de negócio
    4. Desenvolvendo e implementando uma resposta de GCN
    5. Testando, mantendo e analisando criticamente os preparativos de GCN
    6. Incluindo a GCN na cultura da organizaçãoGCN = Gestão de Continuidade de Negócio
  • A figura citada pelo colega no primeiro cometário:

    Para quem quiser um bom material acerca do assunto, sugiro uma visita ao excelente blog do Rogério Araújo, no link: http://rogerioaraujo.wordpress.com/2009/05/22/normas-abnt-nbr-15999-12007-e-bs-25999-22007-otima-apresentacao/#more-277

  • A única coisa que faltou foi a "gestão do programa de CN". Os outros termos, ao meu ver, são sinônimos das outras fases do ciclo de vida.

  • cara, é sério que tem que decorar isso? 


    nossa senhora

  • Galera, como os demais colegas já responderam, o erro da questão está nos estágios da GCN que estão errados. Porém, gostaria de propor uma discussão sobre outro trecho desta questão que acho que também pode estar errado. Olhem só. É sobre este trecho abaixo, e eu vou fundamentar conforme a norma 15999-1.

    [...] a norma brasileira NBR 15999-1 estabelece o que deve ser atendido.

    Achei o termo "deve" criando uma obrigatoriedade, quando a norma enfatiza muito sobre recomendações. Vejam!

    Segundo a ISO 15999-1,página vi, "0.1 Uso deste documento

    Como um código de práticas, esta Norma(15999-1) tem a forma de um guia que possui recomendações. Não deve ser citada como uma especificação e convém  que alegações de conformidade não sejam enganosas."

    [...]

    página vi, 0.2 Convenções de apresentação 

    Esta Norma(15999-1) fornece recomendações expressas e frases em que a principal é a expressão "convém que".

     

    Eaí galera? O que acham? Será que o trecho que eu mencionei também não estaria errado? =]


  • @Stallings Concurseiro: mas e se a questão levar em conta a 15999-2, que é de requisitos?

ID
271114
Banca
CESPE / CEBRASPE
Órgão
PREVIC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com as normas NBR/ISO/IEC 15999 e 27005, julgue os
próximos itens.

De acordo com a norma NBR/ISO/IEC 27005, a comunicação de riscos visa assegurar que as informações sobre os riscos sejam compartilhadas entre os tomadores de decisão e outros stakeholders, buscando-se, assim, alcançar um entendimento de todos sobre como os riscos serão gerenciados.

Alternativas
Comentários
  • NBR ISO/IEC 27005

    11 Comunicação do risco de segurança da informação

    A comuinicação do risco é uma atividade que objetiva alcançar um consenso sobre como os riscos devem ser gerenciados, fazendo uso para tal da troca e/ou partilha das informações sobre o risco entre os tomadores de decisão e as outras partes interessadas (stakeholders). A informação inclui, entre outros possíveis fatores, a existência, natureza, forma, probabilidade, severidade, tratamento e aceitabilidade dos riscos.
  • Comunicação do risco -> Troca ou compartilhamento de informações sobre risco entre o tomador de decisão e outras partes interessadas (stakeholders)

  • CERTO

    Complemento segundo a ISO 27005:2011,"11 Comunicação e consulta do risco de segurança da informação

    A comunicação do risco é uma atividade que objetiva alcançar um consenso sobre como os riscosdevem ser gerenciados, fazendo uso para tal da troca e/ou partilha das informações sobre o risco entre os tomadores de decisão e as outras partes interessadas."

     

     

     

     

     

     

ID
271117
Banca
CESPE / CEBRASPE
Órgão
PREVIC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com as normas NBR/ISO/IEC 15999 e 27005, julgue os
próximos itens.

Uma ameaça pode causar impacto em vários ativos ou apenas em parte de um deles, podendo ter efeitos imediatos (operacionais) ou futuros (negócios).

Alternativas
Comentários
  • Vejamos os conceitos de ameaça e incidente:

    Ameaça: causa potencial de um incidente indesejado que pode resultar em um dano para o sistema ou organização.

    Incidente: um simples ou uma série de enventos de segurança da informação indesejados ou inesperados e que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

    Segundo a norma 27002, "um cenário de incidente é a descrição de uma ameaça explorando uma certa vulnerabilidade ou um
    conjunto delas em um incidente     de segurança da informação" e "ele pode afetar um ou mais ativos ou apenas parte de um ativo".

    Portanto, é o incidente (concretização da ameaça) que pode causar impacto em vários ativos ou apenas em parte de um deles, podendo ter efeitos imediatos (operacionais) ou futuros(negócios).

    A seção B.3 da norma 27005 que trata da Avaliação do Impacto confirma isso:

    Um incidente envolvendo a segurança da informação pode trazer conseqüências a vários ativos ou apenas a parte
    de um único ativo. O impacto está relacionado à medida do sucesso do incidente. Por conseguinte, existe uma
    diferença importante entre o valor do ativo e o impacto resultante do incidente. Considera-se que o impacto tem
    um efeito imediato (operacional) ou uma conseqüência futura (relativa ao negócio como um todo), a qual inclui
    aspectos financeiros e de mercado.
  • Questãozinha enjoada ein..
  • Enjoada mesmo..
    Mas a explicação do nosso colega foi muito boa.

    Se vc ler a questão rapidamente vai colocar "Certo". Mas lendo com mais calma vc vai ver que "Uma ameaça não pode causar impacto", somente "Um incidente,  que pode causar um impacto em um ativo".

  • Achei muito relevante o comentário do primeiro colega, mas ouso descordar em um ponto. Como a própria definição de ameaça disse, ameaça "é a causa potencial de um incidente indesejado..." Bem, se a ameaça pode causar um incidente e um incidente pode causar impacto em vários ativos ou apenas em parte de um deles, então uma ameaça também pode causar impacto nos ativos. Numa metáfora simples: um motorista embreagado é uma ameaça. Esse motorista pode causar um acidente que trará danos para outrem. Logo, o motorista (ameaça) pode causar dano a alguém. Portanto, ao meu ver, a questão está correta.
  • Pessoal...

    uma ameaça por sí só não pode causar impactos com efeitos imediatos (operacionais) ou futuros (negócios). ... se a ameaça se transformar em um incidente ai sim.

    lembrem-se que estamos falando de GCN.

    Basta associar com a matriz SWOT, onde uma ameaça (externa) não afeta diretamente o negócio.

ID
369904
Banca
CESPE / CEBRASPE
Órgão
TCE-RN
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às normas NBR ISO/IEC 27.001 e 27.002, de gestão de segurança da informação, e à norma de risco NBR ISO/IEC 27.005, julgue o item a seguir.


A implantação de um sistema de gestão de segurança da informação envolve a análise de riscos na infraestrutura de tecnologia da informação, a fim de identificar os pontos vulneráveis e as falhas nos sistemas, que devem ser corrigidos, bem como definir processos para detectar e responder a incidentes de segurança, juntamente com os procedimentos para auditorias.

Alternativas
Comentários

  • Código Eleitoral:

    DAS JUNTAS ELEITORAIS

           Art. 36. Compor-se-ão as juntas eleitorais de um juiz de direito, que será o presidente, e de 2 (dois) ou 4 (quatro) cidadãos de notória idoneidade.

           § 1º Os membros das juntas eleitorais serão nomeados 60 (sessenta) dia antes da eleição, depois de aprovação do Tribunal Regional, pelo presidente deste, a quem cumpre também designar-lhes a sede.

           § 2º Até 10 (dez) dias antes da nomeação os nomes das pessoas indicadas para compor as juntas serão publicados no órgão oficial do Estado, podendo qualquer partido, no prazo de 3 (três) dias, em petição fundamentada, impugnar as indicações.

           § 3º Não podem ser nomeados membros das Juntas, escrutinadores ou auxiliares:

           I - os candidatos e seus parentes, ainda que por afinidade, até o segundo grau, inclusive, e bem assim o cônjuge;

           II - os membros de diretorias de partidos políticos devidamente registrados e cujos nomes tenham sido oficialmente publicados;

           III - as autoridades e agentes policiais, bem como os funcionários no desempenho de cargos de confiança do Executivo;

           IV - os que pertencerem ao serviço eleitoral.

           Art. 37. Poderão ser organizadas tantas Juntas quantas permitir o número de juizes de direito que gozem das garantias do Art. 95 da Constituição, mesmo que não sejam juizes eleitorais.

           Parágrafo único. Nas zonas em que houver de ser organizada mais de uma Junta, ou quando estiver vago o cargo de juiz eleitoral ou estiver este impedido, o presidente do Tribunal Regional, com a aprovação deste, designará juizes de direito da mesma ou de outras comarcas, para presidirem as juntas eleitorais.

  • Código Eleitoral:

        Art. 40. Compete à Junta Eleitoral;

           I - apurar, no prazo de 10 (dez) dias, as eleições realizadas nas zonas eleitorais sob a sua jurisdição.

           II - resolver as impugnações e demais incidentes verificados durante os trabalhos da contagem e da apuração;

           III - expedir os boletins de apuração mencionados no Art. 178;

           IV - expedir diploma aos eleitos para cargos municipais.

           Parágrafo único. Nos municípios onde houver mais de uma junta eleitoral a expedição dos diplomas será feita pelo que for presidida pelo juiz eleitoral mais antigo, à qual as demais enviarão os documentos da eleição.

           Art. 41. Nas zonas eleitorais em que for autorizada a contagem prévia dos votos pelas mesas receptoras, compete à Junta Eleitoral tomar as providências mencionadas no Art. 195.

  • ✅Gabarito(Certo) 

    O SGSI abrange um conjunto de processos e procedimentos, baseado em normas ISO, para prover segurança no uso dos ativos tecnológicos de uma empresa. Tal sistema deve ser seguido por todos aqueles que se relacionam direta ou indiretamente com a infraestrutura de TI da organização.

    Toda essa orientação está prevista no SGSI, onde sua implantação envolve primeiramente:

    1. Análise de riscos na infraestrutura de TI para identificar os pontos vulneráveis e as falhas nos sistemas que deverão ser corrigidos.
    2. Processos para detectar e responder aos incidentes de segurança assegurando, em casos emergenciais, o pronto restabelecimento dos sistemas e o acesso seguro às informações
    3. Procedimentos para auditoria.

    Fonte: https://www.redbelt.com.br/blog/2017/08/14/gestao-de-seguranca-da-informacao/

ID
369907
Banca
CESPE / CEBRASPE
Órgão
TCE-RN
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às normas NBR ISO/IEC 27.001 e 27.002, de gestão de segurança da informação, e à norma de risco NBR ISO/IEC 27.005, julgue o item a seguir.


O processo formal da avaliação de riscos motiva os requisitos específicos dos controles a serem implementados, servindo como guia para normas corporativas de segurança e práticas eficazes de gerenciamento de segurança.

Alternativas
Comentários
  • Fonte: mundo da imaginação

  • Fonte: vozes da cabeça do examinador

ID
369910
Banca
CESPE / CEBRASPE
Órgão
TCE-RN
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às normas NBR ISO/IEC 27.001 e 27.002, de gestão de segurança da informação, e à norma de risco NBR ISO/IEC 27.005, julgue o item a seguir.


Segundo a norma NBR ISO/IEC 27.005, uma metodologia específica é definida para a gestão de risco em segurança da informação.

Alternativas
ID
480178
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a ISO/IEC 27005:2008, as opções completas para tratamento do risco são: mitigar (risk reduction),

Alternativas
Comentários
  • 1) Retenção do risco -> Aceitação do ônus da perda ou do benefício do ganho associado a um determinado risco. (No contexto dos riscos de segurança da informação, somente consequências negativas (perdas) são consideradas para a retenção do risco).

    2) Ação de evitar o risco -> decisão de não se envolver ou agir de forma a se retirar de uma situação de risco.

    3) Transferência do risco -> Compartilhamento com uam outra entidade do ônus da perda associado a um risco.


    Completando a questão, esta faltando o item Redução do risco -> Ações tomadas para reduzir a probablilidade, as consequências negativas ou ambas associadas a um risco.

    Todos esse itens encontram-se na Seção 9 "Tratamento do risco de segurança da informação" da NBR ISO/IEC 27005.


    Fonte: (Curso on-line Segurança da informação. Prof. Gleyson)
  • A norma 27002 segue uma classificação de riscos bem semelhante ao PMBOK.
    Mais informação sobre tratamento de riscos pode ser obtida na norma 27005
  • As quatro opções para tratamento dos riscos são: REDUZIR, RETER(aceitar), EVITAR ou TRANSFERIR.
  • Medidas de tratamento de risco
    • Evitar: Não se expor a situação de risco;
    • Transferir: fazer um seguro para cobrir eventuais prejuízos;
    • Reter: fazer um auto-seguro;
    • Reduzir: implementar uma proteção que reduza o risco;
    • Mitigar: tomar medidas que diminuam apenas o impacto;
    • Aceitar um risco também é uma forma de tratá-lo.

  • letra B.

    Segundo a ISO 27005,

    "9 Tratamento do risco de segurança da informação

    9.1 Descrição geral do processo de tratamento do risco

    Diretrizes para implementação:

    Há quatro opções disponíveis para o tratamento do risco: redução do risco (ver 9.2), retenção do risco (ver 9.3), evitar o risco (ver 9.4) e transferência do risco (ver 9.5).

    NOTA A ABNT NBR ISO/IEC 27001 4.2.1.f) 2) usa o termo “aceitação do risco” em vez de “retenção do risco”."


  • Velho MATE – mitigar, aceitar, transferir e evitar.

    Mitigar = a solução irá diminuir a probabilidade e/ou impacto do risco

    Aceitar/ Reter = não fazer nada. Não vale a pena desenvolver alguma ação

    Transferir = transferir a responsabilidade do risco para um terceiro. 

    Eliminar = eliminação total do risco. 

  • Segundo a redação da nova ISO 27005:2011,

    9.1 Descrição geral do processo de tratamento do risco

    Há quatro opções disponíveis para o tratamento do risco: modificação do risco (ver 9.2), retenção do risco (ver 9.3), ação de evitar o risco (ver 9.4) e compartilhamento do risco (ver 9.5).



ID
629020
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

A norma ISO/IEC 27005:2008 adota o modelo “Plan-Do-Check-Act” (PDCA), que é aplicado para estruturar os processos do ISMS (Information Security Management System). Na fase “Do” do ISMS é representado o processo de gerenciamento de risco:

Alternativas
Comentários
  • Cobrança, literal, do quadro contido na norma, página 6:

    ISMS Process Information Security Risk Management Process
    Plan Establishing the context
    Risk assessment
    Developing risk treatment pla
    Risk acceptance
    Do Implementation of risk treatment plan
    Check Continual monitoring and reviewing of risks
    Act Maintain and improve the Information Security Risk

  • Ciclo PDCA  x Atividades do processo de gerenciamento de riscos

    Plan (Planejar):

    -  Estabelecer o contexto;

    -  Avaliação dos riscos;

    -  Desenvolver plano de tratamento dos riscos;

    -  Aceitação dos riscos. 

    Do (Fazer):

    - Implementar o plano de tratamento dos riscos. 

    Check (Checar):

    - Monitoração e revisão contínua dos riscos. 

    Act (Agir):

    - Manter e melhorar o processo de gerenciamento dos riscos de segurança da informação. 

  • Com a devida licença replicando resposta para melhor visualização.


    Ciclo PDCA  x Atividades do processo de gerenciamento de riscos


    Plan (Planejar):

    -  Estabelecer o contexto;

    -  Avaliação dos riscos;

    -  Desenvolver plano de tratamento dos riscos;

    -  Aceitação dos riscos. 


    Do (Fazer):

    - Implementar o plano de tratamento dos riscos. 


    Check (Checar):

    - Monitoração e revisão contínua dos riscos. 


    Act (Agir):

    - Manter e melhorar o processo de gerenciamento dos riscos de segurança da informação

  • Gabarito C

    Plan (Planejar):

    -  Estabelecer o contexto;

    -  Avaliação dos riscos;

    -  Desenvolver plano de tratamento dos riscos;

    -  Aceitação dos riscos. 

     

    Do (Fazer):

    - Implementar o plano de tratamento dos riscos. 

     

    Check (Checar):

    - Monitoração e revisão contínua dos riscos. 

     

    Act (Agir):

    - Manter e melhorar o processo de gerenciamento dos riscos de segurança da informação.

     

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
770833
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a NBR ISO/IEC 27005, julgue os próximos itens.


A conscientização dos gestores a respeito dos riscos, da natureza dos controles aplicados para mitigá-los e das áreas definidas como de interesse pela organização auxilia a organização na gestão dos incidentes e eventos previstos, porém não influencia no tratamento dos incidentes não previstos.

Alternativas
Comentários
  • Segundo norma 27005 

    A conscientização dos gestores a respeito dos riscos, da natureza dos controles aplicados para mitigá-los e das áreas definidas como de interesse pela organização auxilia a organização na gestão dos incidentes e não eventos previstos, porém não influencia no tratamento dos incidentes não previstos.

    Fonte: Norma 27005 Pág. 6

    PS. 
    Azul = INCLUIDO POR MIM

  • ERRADO

    Segundo a ISO 27005:2011, "6 Visão geral do processo de gestão de riscos de segurança da informação

    A conscientização dos gestores e pessoal no que diz respeito aos riscos, à natureza dos controles aplicados para mitigá-los e às áreas definidas como de interesse pela organização, auxiliam a lidar com os incidentes e eventos não previstos da maneira mais efetiva. "

ID
781630
Banca
CESPE / CEBRASPE
Órgão
TJ-AL
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a NBR ISO/IEC n.º 27.005/2011, as quatro possíveis ações para o tratamento do risco de segurança da informação correspondem a

Alternativas
Comentários
  • Opções de tratamento para cada risco identificado na Análise e Avaliação de riscos:

    - Aplicar controles apropriados para REDUZIR OS RISCOS.
    - Conhecer e objetivamente RETER OS RISCOS.
    - PREVENIR RISCOS, não permitindo ações que poderiam causar a existência de riscos.
    - TRASNFERIR OS RISCOS  associados para outra parte, por exemplo, fornecedores ou seguradoras.
  • Complementando a resposta do colega acima! 

     a) planejamento, identificação, mitigação e eliminação do risco.
     b)redução, retenção, prevenção e transferência do risco.
     c) identificação, redução, mitigação e eliminação do risco.
     d) retenção, redução, mitigação e transferência do risco.
     e) prevenção, identificação, redução e eliminação do risco.

  • Segue outra fonte

    Segundo a ISO 27005, "

    9 Tratamento do risco de segurança da informação

    9.1 Descrição geral do processo de tratamento do risco

    Diretrizes para implementação:

    Há quatro opções disponíveis para o tratamento do risco: redução do risco (ver 9.2), retenção do risco (ver 9.3), evitar o risco (ver 9.4) e transferência do risco (ver 9.5)."

    --------------------------------------------------------------------

    A FONTE PARA A RESPOSTA DO COLEGA JORGE SE ENCONTRA NA ISO 27002 NA SEÇÃO 4.2 Tratando os riscos de segurança da informação

  • MATE – mitigar, aceitar, transferir e evitar.

    Mitigar = a solução irá diminuir a probabilidade e/ou impacto do risco

    Aceitar/ Reter = não fazer nada. Não vale a pena desenvolver alguma ação

    Transferir = transferir a responsabilidade do risco para um terceiro. 

    Eliminar = eliminação total do risco. 

    Valeu!!!

  • MATE kkkkkkkkk.

  • Deve-se ter cuidado com este tipo de questão, pois a banca as vezes usa sinônimos no lugar das palavras usadas na norma, por exemplo a NBR ISO/IEC n.º 27.005/2011 usa o termo "compartilhar" no lugar de transferir e "modificar" no lugar de reduzir:

    "9.1 - Descrição geral do processo de tratamento do risco

    Entrada: Uma lista de riscos priorizada, de acordo com os critérios de avaliação de riscos, em relação
    aos cenários de incidentes que podem levar a esses riscos.

    Ação: Convém que controles para modificar, reter, evitar ou compartilhar os riscos sejam selecionados e o plano de tratamento do risco seja definido."

  • Segundo a ISO 27005:2011,"Há quatro opções disponíveis para o tratamento do risco: modificação do risco (ver 9.2), retenção do
    risco (ver 9.3), ação de evitar o risco (ver 9.4) e compartilhamento do risco (ver 9.5)."

ID
788746
Banca
CESGRANRIO
Órgão
Transpetro
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A política de “mesa limpa” e de “tela limpa”, segundo a norma ISO 27002:2005, deve considerar diversos procedimentos e controles, dentre os quais, o seguinte:

Alternativas
Comentários



  • Segundo a ISO 27002:2013,

    11.2.9 Política de mesa limpa e tela limpa

    "convém que os computadores e terminais sejam mantidos desligados ou protegidos com mecanismo de travamento de tela e teclados controlados por senha, token ou mecanismo de autenticação similar quando sem monitoração e protegida por tecla de bloqueio, senhas ou outros controles, quando não usados;"

  • Gabarito D

    ISO 27002

    11.2.9
    Política de mesa limpa e tela limpa


    Controle
    Convém que seja adotada uma política de mesa limpa de papéis e mídias de armazenamento removíveis e uma política de tela limpa para os recursos de processamento da informação.


    Diretrizes para implementação
    Convém que uma política de mesa limpa e tela protegida leve em consideração a classificação da informação, requisitos contratuais e legais, e o risco correspondente e aspectos culturais da organização. Convém que as seguintes diretrizes sejam consideradas:
    a)
    convém que as informações do negócio sensíveis ou críticas, por exemplo, em papel ou em mídia de armazenamento eletrônicas, sejam guardadas em lugar seguro (idealmente em um cofre, armário ou outras formas de mobília de segurança) quando não em uso, especialmente quando o escritório está desocupado;
    b)
    convém que os computadores e terminais sejam mantidos desligados ou protegidos com mecanismo de travamento de tela e teclados controlados por senha, token ou mecanismo de autenticação similar quando sem monitoração e protegida por tecla de bloqueio, senhas ou outros controles, quando não usados;
    c)
    convém que sejam evitados o uso não autorizado de fotocopiadoras e outra tecnologia de reprodução (por exemplo, scanners, máquinas fotográficas digitais);
    d)
    convém que os documentos que contêm informação sensível ou classificada sejam removidos de impressoras imediatamente.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
815323
Banca
AOCP
Órgão
TCE-PA
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A norma técnica NBR 27005 trata

Alternativas
Comentários

  • Segundo a ISO 27005:2011,pág. 5, "

    Esta Norma (ISO 27005) fornece diretrizes para o processo de Gestão de Riscos de Segurança da Informação de uma organização, atendendo particularmente aos requisitos de um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a ABNT NBR ISO/IEC 27001.

    "

  • Gabarito A

    A Norma ABNT NBR ISO/IEC 27005:2008 – Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação define as diretrizes para o processo de gestão de riscos de segurança da informação.
     

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • NBR ISO/IEC 27001 - Requisitos para implantar um SGSI (antiga BS7799:2)

    NBR ISO/IEC 27002 (17799) - Práticas para a gestão de SI (antiga BS7799:1)

    NBR ISO/IEC 27005 - Gestão de riscos de SI

ID
827998
Banca
CESPE / CEBRASPE
Órgão
TJ-RO
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Conforme as normas ABNT NBR 27001, 27002 e 27005, um documento da política de segurança da informação deve

Alternativas
Comentários

  • LETRA B. "

    Segundo a ISO 27002:2013,"5.1.1 Políticas para segurança da informação
    Controle
    Convém que um conjunto de políticas de segurança da informação seja definido, aprovado pela direção,
    publicado e comunicado para todos os funcionários e partes externas relevantes."

     

  • Desde  quando "todos que tenham contato com a organização" equivale à "partes externas relevantes"?   Todos que tem contato são relevantes? Assim não dá!

  • Nem todo mundo é relevante! Afff

  • cara, sempre erro essa merda de questão

     

    já marquei C

     

    já marquei D

     

     

    e a B continua não fazendo sentido... acho forçado demais

     

    Norma: Convém que um documento da política de segurança da informação seja aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.

  • Gabarito B

    É verdade MR. ROBOT, a letra B é muito forçada... Também fui na D.

    Mais precisamos ir na fé !

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Sempre acerto essa questão repetida.

ID
828001
Banca
CESPE / CEBRASPE
Órgão
TJ-RO
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação.

Alternativas
Comentários

  • a) Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. (ERRADO)

    (Aceitar=Reter) ≠  Transferir.           (Só para melhorar o entendimento)

    Segundo a ISO 27005,9.1 Descrição geral do processo de tratamento do risco, "Há quatro opções disponíveis para o tratamento do risco: redução do risco (ver 9.2), retenção do risco (ver 9.3), evitar o risco (ver 9.4) e transferência do risco (ver 9.5).

    NOTA A ABNT NBR ISO/IEC 27001 4.2.1.f) 2) usa o termo “aceitação do risco” em vez de “retenção do risco”."

    -------------------------------------||--------------------------------

    b) Os riscos residuais são conhecidos antes da comunicação do risco. (ERRADO)

    **Senhores não conseguir encontrar a resposta para esta questão. Quem encontrar compartilha com a galera.

    ------------------------------||-------------------------------

    c) Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.(ERRADO)

    Reduzir=Mitigar.(Só para melhorar o entendimento)

    Segundo a ISO 27005,"9.2 Redução do risco

    Ação: Convém que o nível de risco seja reduzido através da seleção de controles, para que o risco residual possa ser reavaliado e então considerado aceitável."

    ------------------------||---------------------------------

    d) Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização.(ERRADO)

    Segundo a ISO 27005,11 Comunicação do risco de segurança da informação, "Convém que a comunicação do risco seja realizada a fim de: 

    -Compartilhar os resultados da análise/avaliação de riscos e apresentar o plano de tratamento do risco."

    **Portanto, nesse caso acima, por exemplo, a comunicação de risco pode ocorrer antes, visto que a comunicação apresenta o plano de tratamento do risco.

    ---------------------------------------||----------------------------------

    e) A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.(CORRETO) (Tentem seguir o raciocínio abaixo para entender.

    Segundo a ISO 27005,"A análise/avaliação de riscos determina o valor dos ativos de informação, identifica as ameaças e vulnerabilidades aplicáveis existentes (ou que poderiam existir), identifica os controles existentes e seus efeitos no risco identificado, determina as conseqüências possíveis e, finalmente, prioriza os riscos derivados e ordena-os de acordo com os critérios de avaliação de riscos estabelecidos na definição do contexto."

  • Tanenbaum, 
    provavelmente o ítem B se refira ao fato de que a "comunicação do risco" ser um processo iterativo, presente em todas as etapas de gerenciamento de risco, conforme consta na figura de "visão geral  do processo de  gestão de riscos de segurança da informação" ( capítulo 6) da norma 27005.

  • É Isso mesmo. =]. 

  • pelo gráfico da 27005, todos os processos geram saídas para comunicação de riscos

    DATA - CM

     

    erro da letra B deve ser isso mesmo

     

     

     

  • Gabarito E

    D efinir contexto

    A avaliação de risco

    T tratamento de risco

    E stimativa

    C comunicação

    A ceitação

    M onitoramento

    I dentifcação do risco



    Definição do contexto
     Security needs Identification for Enterprise Assets


    Identificação dos Riscos
     Threat Assessment


    Análise de riscos
     Asset Valuation
     Threat Assessment
     Vulnerability Assessment
     Enterprise Security Approaches


    Avaliação de riscos
     Risk Determination


    Tratamento do risco
     Enterprise Security Services


    Aceitação do Risco
     Security needs Identification for Enterprise Assets
     Enterprise Security Approaches
     Document the Security Goals


    Comunicação do risco
     Enterprise Partner Communication
     Share Responsibility for Security
     Document the Security Goals


    Monitoramento e Análise
    Crítica de Riscos
     Security Accounting Requirements
     Security Accounting Design
     Audit Requirements
     Audit Design
     Audit Trails & Logging Requirements
     Audit Trails & Logging Design
     Non-Repudiation Requirements
     Non- Repudiation Design
     Documentation Review
     Log Review

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
828004
Banca
CESPE / CEBRASPE
Órgão
TJ-RO
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale a opção correta acerca da análise de riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005.

Alternativas
Comentários
  • Alguém sabe porque a opção "D" está errada?
  • A banca manteve o gabarito como a letra B, mas também não vi erro na letra D. 


    Comentário de um especialista:
    http://www.itnerante.com.br/forum/topics/quest-o-comentada-cespe-iso-27005-gest-o-de-riscos
  • Alguém já publicou a URL com o comentário correto da questão. A cópia dele que publiquei aqui, acabo de remover. Simples: ajudo quem quer ser ajudado.  Quem quiser debater o assunto de verdade, vai lá no link. O ácido colega em momento algum debateu a questão. Pelo contrário, foram dois ataques pessoais. Por quê?

    Não é o primeiro nem último caso de gabarito equivocado do CESPE. Também não se trata de falta de humildade ou coisa parecida. Trata-se de, como professor da disciplina, ser responsável o suficiente para não fazer engenharia reversa de gabarito desconsiderando o que dizem a teoria e bibliografia sobre o assunto. 

    Para quem estuda baseado em questões, tomar o gabarito oficial dessa questão como correto prejudica a formação do conceito. Mas fica a critério de cada um. Apenas uma sugestão: leia a norma e entenda o motivo do meu aborrecimento com o gabarito. Preocupo-me com os alunos que estudaram o assunto a fundo, fizeram a questão de forma consciente e são obrigados a engolir esse tipo de equívoco do CESPE.

    Ademais, pense melhor antes de criticar e agredir gratuitamente quem por absoluta boa vontade passa finais de semana inteiros ajudando colegas a redigirem recursos, mesmo alunos de outras redes e disciplinas. Visite meus canais, veja quanto material de graça disponibilizo para a comunidade de concurseiros. Assista uma aula com a gente, é meu convidado. Espero ser digno de mudar a opinião de pessoa tão especial. 

    Forte abraço e sucesso.


  • Concordo com o Mestre Fagury,

    Não só por ser aluno de suas disciplinas, mas pelo fato de ser vítima do cespe em questões que basta abrir a norma e atestar nas mesmas palavras que não está correta. Acontece com Cobit, PMBOK, ITIL e qualquer outra disciplina. Não há outra forma  a não ser estudar baseado na norma e esperar que o iluminado que fez as questões não tenha medo de admitir sua falha...

    Bons estudos para nós, que somos os que precisam passar...

  • Concordo que não devemos brigar com a banca, mas sim entendê-la para acertar a questão numa próxima vez, porém às vezes não dá.  Não sou mestre no assunto e também marquei a letra D.  
    Enquanto não houver outro comentário indicando o motivo do item B está certo, vou deixar o gabarito como este e colocar nos comentários dessa questão os motivos pelo qual discordo (comentário do Thiago é esclarecedor).
    Obrigado Thiago pelas explicações, espero encontrar mais comentários seus.

    Fiz uma fórmula para decorar o que é RISCO que pode dar uma ideia do que é maior ou menor nível de risco, mas não sei onde pus, refazendo-a:
    RISCO - é a possibilidade (probabilidade) de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando (causando impacto) a organização.  Vejam que a definição não cita nada sobre tipo de propriedade da informação: confidencialidade, integridade ou disponibilidade.

    RISCO = (PROBABILIDADE x AMEAÇA x VULNERABILIDADE) x IMPACTO  => ou seja, se o impacto for pequeno, por exemplo, 0,000001 os outros valores sendo alto vai trazer o risco para um nível baixo e vice-versa (ou qualquer outra variável), para saber o nível de um risco é necessário a junção de diversas variáveis e que o tipo de propriedade da informação não é sequer citado na definição.

    Após escrever este comentário, eu imaginei o que a banca pensou e se for isso discordo ainda mais do gabarito. Provável raciocínio da banca:
    "Como a disponibilidade pode ser atacada simplesmente impedindo que o usuário chegue até a origem da informação, não necessitando atacar a origem de fato, tem uma maior exposição e por isso um  nível maior de risco.  No caso da confidencialidade e integridade é necessário chegar na origem da informação para obter sucesso no ataque, ou seja, menos exposto, menor risco."
  • Se a minha tese acima sobre o que a banca pensou ao colocar o gabarito B como correto, a questão deveria dizer dentre as propriedades da informação a de maior risco é a disponibilidade, nesse caso, poderia ser que o gabarito estivesse certo.  
    Devemos sempre lembrar se a questão pede a certa e havendo 2 ou 3 itens certos, precisamos ver qual delas é a "mais"certa para banca. Mesma ideia quando a questão quer a errada.
  • Qual o mais certo? A banca ou a literatura existente? Se a banca comete erros tem de os reconhecer alterando o gabarito ou anulando a questão. Só assim será digna de reconhecimento e respeito.
  • Pessoal, pelo que vi na 27001, no item 4.2.1, no estabelecimento de um SGSI, na letra D tem a identificação dos riscos. Aqui, no subitem 1, consta aidentificação dos ativos. A análise e avaliação dos riscos é feita na letra E, que nao tem identificação de ativos. Isso tornaria a letra d errada.

  • Atualizando a questão para ISO 27005:2011 a letra D permanece errada, conforme itens extraídos da referida norma:

    8.2 Identificação de riscos

    8.2.1 Introdução à identificação de riscos

    O propósito da identificação de riscos é determinar eventos que possam causar uma perda potencial e deixar claro como, onde e por que a perda pode acontecer. As etapas descritas nas próximas subseções de 8.2 servem para coletar dados de entrada para a atividade de análise de riscos. 

    8.2.2 Identificação dos ativos

    Entrada: Escopo e limites para o processo de avaliação de riscos a ser executado; lista de componentes com responsáveis, localidade, função etc..

    Ação: Convém que os ativos dentro do escopo estabelecido sejam identificados (refere-se à ABNT NBR ISO/IEC 27001:2006, Seção 4.2.1.d) 1)). 

    Resumindo, a Identificação dos ativos ocorre na Identificação dos riscos e não na Análise de Riscos.
  • Nessa questão não se busca a alternativa certa, mas a menos errada. A letra D evidente está errada porque a "identificação dos ativos" ocorre na atividade "identificação de riscos" que ocorre no "Processo de avaliação de Riscos". Em relação a B é fato que o nível de disponibilidade afeta a relevância do ativo, mas não é o único fator.

    Porém..... por falta de uma alternativa melhor ficamos com a B mesmo.

  • A letra "D" está errada se considerada a ISO 27005 : 20011, que não é a que está no edital. Na 27005 : 2005, que é a que está no edital, é provável que o professor Fagury esteja certo.

  • CURIOSIDADE!

    PELA ISO 27005:2011, a alternativa C também estaria CORRETA.

    8 Processo de avaliação de riscos de segurança da informação 
    8.1 Descrição geral do processo de avaliação de riscos de segurança da informação
    8.2 Identificação de riscos
    8.2.1 Introdução à identificação de riscos 
    8.2.2 Identificação dos ativos
    8.2.3 Identificação das ameaças 

    "Algumas ameaças podem afetar mais de um ativo."
    8.2.4 Identificação dos controles existentes
    8.2.5 Identificação das vulnerabilidades 
    8.2.6 Identificação das consequências

  • esquece essa questão e pula para próxima

     

    nem vale a pena estudar por ela

     

  • Você errou!Em 23/01/17 às 23:12, você respondeu a opção D.

    !

    Você errou!Em 23/01/17 às 23:12, você respondeu a opção D.

    !

    Você errou!Em 02/11/16 às 23:53, você respondeu a opção D.

    !

    Você errou!

  • Gente, de forma alguma a B. Quais são os controles essenciais? informações sensíveis, ou seja, confidencialidade.

  • O risco é calculado em função da probabilidade pelo impacto.

    Somente a probabilidade não determina quem é o maior risco.

    Dito isso, está explícito na norma que se o impacto sobre a disponibilidade de um determinado ativo for irrelevante ao processo de negócios, nem precisa ter controle sobre o risco, o que contradiz frontalmente a letra B.

    Gabarito correto é anular a questão, todas estão erradas.

ID
828130
Banca
CESPE / CEBRASPE
Órgão
TJ-RO
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Conforme as normas ABNT NBR 27001, 27002 e 27005, um documento da política de segurança da informação deve

Alternativas
Comentários
  • Norma ISO/IEC 27002

    Documento da política de segurança da informação

    Convém que um documento da política de segurança da informação seja aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.
  • Conforme no comentário da Danielle, está descrito na norma ABNT NBR ISO/IEC 27002 localizado no item 5.1.1.

    5.1.1 Documento da política de segurança da informação
              Controle
              Convém que um documento da política de segurança da informação seja aprovada pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.
  • Eu acho que a resposta da questão está errada, ou é passível de recurso. Pois, a Norma 27002 expõe que: "Convém  que um documento da política de segurança da informação seja aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes". Ou seja, em nenhum momento a Norma cita "para todos que tenham contato com a organização". Além disso, nas diretrizes desse controle, mais precisamente no item "e", a Norma cita que a política deve conter declarações relativas ao registro de incidentes de segurança da informação.    

  • concordo com você chavinho...

    acertei por ver que as outras alternativas são "mais erradas".

    Mas, fazer o q, neh ?

  • "para todos que tenham contato com a organização" beleza Cespe! quero cópia da tua política de segurança já que vou fazer concurso.

  • Acertei a questão, mas fiquei com dúvida quanto ao termo "para todos que tenham contato com a organização". Em outras questões da CESPE, fala somente em pessoas externas de relevância para organização.

ID
828133
Banca
CESPE / CEBRASPE
Órgão
TJ-RO
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação.

Alternativas
Comentários
  • a) errado - aceitar, reter e transferir risco são formas de tratamento de riscos diferentes.
    b) errado - a comunicação do risco é uma atividade que objetiva alcançar um consenso sobre como os riscos devem ser gerenciados. A comunicação do risco auxiliará inclusive a identificação de riscos, e será executada continuamente. Logo eja será exercida muito antes da definição dos riscos residuais.
    c) errado - Controles apropriados e devidamente justificados serão selecionados para satisfazer os requisitos identificados através da análise/avaliação de riscos e do tratamento dos mesmos para a redução de riscos.
    d) errado - da mesma maneira da alternativa B, a comunicação de risco é contínua e exercida desde muito antes de ser definido o plano de tratamento do risco e permanece sua implementação.
    e) correto - A definição do contexto é a primeira etapa do processo de Planejamento do GRSI. Serão acertados o escopo e os limites da gestão de risco. A identificação de valor dos ativos será realizada depois, no processo de análise de riscos.

  • Lembrando que dentro da identificação dos riscos existem as seguintes fases:
       - Identificação dos ativos
       - Identificação das ameaças
       - Identificação dos controles existentes
       - Identificação das vulnerabilidades
       - Identificação das consequências

    Fonte: Material cathedra - Prof. Gleyson 

  • Só um comentário quanto ao respondido pelo Marcelo Borges:

    Aceitar e reter riscos não são formas diferentes de tratamento de riscos, são iguais. Retenção de riscos é a mesma coisa que aceitação de risco.

    Os tratamentos diferentes adotados pela 27005 são: Reter (aceitar) risco, Redução (mitigar) de risco, Evitar o risco e Transferir o risco.

  • Gabarito E

    Segundo a ISO 27005,"A análise/avaliação de riscos determina o valor dos ativos de informação, identifica as ameaças e vulnerabilidades aplicáveis existentes (ou que poderiam existir), identifica os controles existentes e seus efeitos no risco identificado, determina as conseqüências possíveis e, finalmente, prioriza os riscos derivados e ordena-os de acordo com os critérios de avaliação de riscos estabelecidos na definição do contexto."

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
829768
Banca
CESGRANRIO
Órgão
Innova
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A direção de uma empresa liderou os estudos sobre diversas medidas para melhorar a gestão de segurança da informação em conformidade com a norma ISO 270002:2005. Dentre suas preocupações, ressaltou a vulnerabilidade dos softwares e das instalações de processamento de informações à introdução de software malicioso, tais como vírus de computador, network worms, cavalos de Troia e bombas lógicas. A direção, então, determinou que o supervisor da área de informática sugerisse medidas de proteção contra software malicioso que refletissem essa preocupação, incluindo a possibilidade de implementação de controles para detecção e prevenção contra softwares maliciosos e procedimentos apropriados de conscientização dos usuários. De posse dessas informações, o supervisor deverá escudar-se na norma ISO 27002:2005, seção de

Alternativas
Comentários

  • LETRA E.

    10 Gerenciamento das operações e comunicações

    10.4.1 Controles contra códigos maliciosos

    Controle

    Convém que sejam implantados controles de detecção, prevenção e recuperação para proteger contra códigos maliciosos, assim como procedimentos para a devida conscientização dos usuários.


  • LETRA E


    Porém a Seção mudou de nome e de lugar. Questão desatualizada


    12 - Segurança nas operações


    12.2 Proteção contra códigos maliciosos

    Objetivo: Assegurar que as informações e os recursos de processamento da informação estão protegidos contra códigos maliciosos.


    12.2.1 Controles contra códigos maliciosos

    Controle

    Convém que sejam implementados controles de detecção, prevenção e recuperação para proteger contra códigos maliciosos, combinado com um adequado programa de conscientização do usuário.

ID
868438
Banca
CESPE / CEBRASPE
Órgão
TRE-MS
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a norma ABNT NBR ISO/IEC 27.005, os processos da análise de riscos incluem

Alternativas
Comentários
  • Os processos da análise de riscos (item 8.2 da norma) incluem:
    1. Identificação de riscos, englobando a identificação de ativos, de ameaças, dos controles existentes, das vulnerabilidades, e das consequências.
    2. Estimativa dos riscos, englobando a avaliação das consequências, da probabilidade de incidentes, e da estimativa do nível de risco.
  • Prezados,
    A referida ISO  em seu item 8.2 estabelece o processo de análise de riscos, o qual apresenta em um de seus subitens exatamente o postulado na alternativa A :
    “8.2.1.6 Identificação das consequências :
    Entrada: Uma lista de ativos, uma lista de processos do negócio e uma lista de ameaças e vulnerabilidades, quando aplicável, relacionadas aos ativos e sua relevância.
    Ação: Convém que as consequências que a perda de confidencialidade, de integridade e de disponibilidade podem ter sobre os ativos sejam identificadas.
    Saída: Uma lista de cenários de incidentes com suas consequências associadas aos ativos e processos de negócio”
     
    Portanto, a alternativa correta para essa questão é a letra A.
    Fonte : ABNT NBR ISO/IEC 27005:2008
     
  • Não entendi a questão!!

    Ela não esta pedindo ANALISE DE RISCO ?? Segundo o q sei de 27005, os processos de ANALISE DE RISCO SÃO:
    - AVALIACAO DAS CONSEQ.
    -AVALIACAO DA PROBABIIDADE
    -DETERMINACAO DO NIVEL DE RISCO.
    O processo de IDENTIFICACAO DAS CONSEQ. acontece em IDENTIFICACAO DE RISCO !!
    Comentários ???

  • DATA-CM

    D - definição de contexto

    A - análise / avaliação dos riscos

    T - tratamento 

    A - aceitação 

    C - comunicação

    M - monitoracão e análise crítica

    Na análise de Riscos - AA-CVC / QQ - CPN

    identificação dos riscos

    A - ativos

    A - ameaças

    C - controles

    V - vulnerabilidades

    C - consequencias

    estimativa dos riscos

    Q - qualitativa

    Q - quantitativa

    C - consequencias ----- resposta da questão

    P - probabilidades

    N - nível

    2018

    A NBR ISO/IEC 27005 define risco como a combinação das consequências advindas da ocorrência de um determinado evento indesejado com a probabilidade de ocorrência desse mesmo evento. A análise e a avaliação de riscos capacitam os gestores a priorizar os riscos.

    De acordo com essa norma, a atividade de análise de riscos inclui

    A a comunicação e a avaliação de riscos.

    B o tratamento e a aceitação de riscos.

    C a estimativa e o tratamento de riscos.

    D a avaliação e o tratamento de riscos.

    E a identificação e a estimativa de riscos.

  • Não entendi! Na avaliação de riscos exite a a Avaliação das Consequências! E a Identificação das Consequências está na identificação dos riscos. Alguém pode explicar se isso está correto?

  • Análise de Risco: Identificação de riscos (fases)

    - Identificação dos ativos;

    - Identificação das ameaças;

    - Identificação dos controles existentes;

    - Identificação das vulnerabilidades;

    - Identificação das consequências.

  • AGORA A IDENTIFICAÇÃO DE CONSEQUÊNCIAS NÃO FAZ MAIS PARTE DA ANÁLISE DE RISCOS, MAS SIM APENAS DA IDENTIFICAÇÃO DE RISCOS. A IDENTIFICAÇÃO DE RISCOS FAZ PARTE DA ATIVIDADE AVALIAÇÃO DE RISCOS.

    Segundo a ISO 27005:2011,

    "8 Processo de avaliação de riscos de segurança da informação

    8.2 Identificação de riscos 
    8.2.1 Introdução à identificação de riscos
    8.2.2 Identificação dos ativos 
    8.2.3 Identificação das ameaças
    8.2.4 Identificação dos controles existentes
    8.2.5 Identificação das vulnerabilidades
    8.2.6 Identificação das consequências

    8.3 Análise de riscos

    8.4 Avaliação de riscos"

ID
873019
Banca
CESPE / CEBRASPE
Órgão
TJ-AC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com fundamento nas definições da gestão de riscos segundo as normas NBR ISO/IEC 15.999-1:2007 (versão corrigida 2008) e 27.005:2005, julgue os itens subsequentes.


No âmbito da gestão de riscos, a estimativa de riscos atribui valores à probabilidade e às consequências de um risco

Alternativas
Comentários

  • CERTO.

    Segundo a ISO 27005,"3 Termos e definições

    3.5

    estimativa de riscos: processo utilizado para atribuir valores à probabilidade e conseqüências de um risco."

ID
873022
Banca
CESPE / CEBRASPE
Órgão
TJ-AC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com fundamento nas definições da gestão de riscos segundo as normas NBR ISO/IEC 15.999-1:2007 (versão corrigida 2008) e 27.005:2005, julgue os itens subsequentes.


As consequências de riscos na saúde ou na vida dos envolvidos estão excluídas das referidas normas, já que envolvem processos afetos ao Ministério da Saúde e ao Ministério do Trabalho e Emprego acerca da segurança e do bem-estar no ambiente de trabalho.

Alternativas
Comentários

  • ERRADO. 

    Segundo a ISO 27005,"8.2.1.6 Identificação das conseqüências

    Convém que as organizações identifiquem as conseqüências operacionais de cenários de incidentes em função de (mas não limitado a):

      -Investigação e tempo de reparo

     -Tempo (de trabalho) perdido

      -Oportunidade perdida

      -Saúde e Segurança

      -Custo financeiro das competências específicas necessárias para reparar o prejuízo

      -Imagem, reputação e valor de mercado"

    **Portanto as consequências também são identificadas em função da saúde, e saúde envolve vida.

ID
873025
Banca
CESPE / CEBRASPE
Órgão
TJ-AC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com fundamento nas definições da gestão de riscos segundo as normas NBR ISO/IEC 15.999-1:2007 (versão corrigida 2008) e 27.005:2005, julgue os itens subsequentes.


Segundo a gestão de riscos, entende-se que vulnerabilidade é o evento ou incidente, ao passo que ameaça é a fragilidade que será explorada para que a vulnerabilidade se torne concreta.

Alternativas
Comentários

  • Vulnerabilidade que é a fragilidade a ser explorada e não a ameaça.

  • ISO 27002

    RISCO: Combinação da probabilidade de um evento e de suas consequências.

    ANÁLISE DE RISCO: Uso sistemático de informações para identificar fontes e estimar o risco. Estima a magnitude dos riscos.

    AVALIAÇÃO DE RISCOS: Comparar o risco estimado com critérios de risco pré-definidos para determinar a importância do risco.

    AMEAÇA: Causa potencial de um incidente indesejado.

    VULNERABILIDADE: Fragilidade de um ativo que pode ser explorarada por uma ou mais ameaças.


  • Outra fonte, porém só as normas ISO de segurança são suficientes para a resolução desta questão.


    Segundo Sêmola(2014,p.46),"VULNERABILIDADES:São fragilidades presentes ou associadas a ativos que manipulam e/ou processam informações que, ao serem exploradas por ameaças, permitem a ocorrência de um incidente e segurança, afetando negativamente um ou mais princípios da segurança da informação: confidencialidade, integridade e disponibilidade."

    GESTÃO DE SEGURANÇA DA INFORMAÇÃO-UMA VISÃO EXECUTIVA-2 EDIÇÃO-2014-MARCOS SÊMOLA.
ID
895291
Banca
CESPE / CEBRASPE
Órgão
CNJ
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da gestão de segurança da informação, conforme as normas
da ABNT, julgue os itens a seguir.

De acordo com a ABNT NBR ISO/IEC 27005, é preciso identificar controles existentes e planejados em uma organização. Além disso, é necessário manter uma lista que descreva sua implantação e seu status de utilização.

Alternativas
Comentários
  • http://www.aedb.br/seget/artigos12/57616827.pdf
  • questão ao meu ver errada, pois "é preciso" exprime que é necessário, e é obrigatório. A norma 27005 mostra boas práticas, logo o mais correto pra questão seria dizer "é conveniente identificar controles existentes ..."

    por favor me corrijam se eu estiver errado.
  • Prezados,

    “8.2.1.4 Identificação de controles existentes
    Entrada : Documentação de controles, planos de implementação do tratamento do risco
    Ação : Convém que os controles existentes e os planejados sejam identificados
    Saída : Uma lista de todos os controles existentes e planejados, sua implementação e status de utilização”
    A questão está correta e guarda correspondência com o item 8.2.1.4 da referida norma, a qual transcrevo acima:
    Fonte : ABNT NBR ISO/IEC 27005

  • Tatiana,


    Clica aí em cima "Comentários do Professor" que você descobre.

  • 27005 - [8.2.1.4]

    Identificação de controles existentes:
    Saída: Uma lista de todos os controle existentes e planejados, sua implementação e status de utilização.


  • A redação foi mantida na versão de 2011.

    Segundo a ISO 27005:2011,"8.2.4 Identificação dos controles existentes

    Ação: Convém que os controles existentes e os planejados sejam identificados.

    [...]

    Saída: Uma lista de todos os controles existentes e planejados, sua implementação e status de utilização."

ID
917254
Banca
ESAF
Órgão
MF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Na NBR ISO/IEC 27002:2005, com relação ao tempo de duração de um Acordo de Confidencialidade, tem-se que:

Alternativas
Comentários
  • b) tempo de duração esperado de um acordo, incluindo situações onde a confidencialidade tenha que ser mantida indefinidamente

    Fiquem com Deus!

  • CONFORME A VERSÃO DE 2013.

    Segundo a ISO 27002:2013,"13.2.4 Acordos de confidencialidade e não divulgação

    Para identificar os requisitos para os acordos de confidencialidade ou de não divulgação, convém que os seguintes elementos sejam considerados:

    b)o tempo de duração esperado de um acordo, incluindo situações onde a confidencialidade tenha que ser mantida indefinidamente;"

  • O termo de confidencialidade está detalhado na seção 2.6 - Segurança em Recursos humanos. Em sesus 3 objetivos

    1- Antes da Contratação.

    2- Durante a contratação e

    3 - Encerramento e mudança dea contratação

    Não estabelecem prazos.

    Que por sua vez não estabelece prazo de validade para os termos de confidencialidade fica a critério da organização estabelecer prazos de validade.

  • Gabarito E

    Frequentemente os departamentos jurídicos ou mesmo as áreas operacionais das empresas se deparam com a necessidade de revisar acordos de confidencialidade (também conhecidos como "acordos de sigilo" ou "non-disclosure agreements") e, não raro, os responsáveis deixam de alocar um tempo adequado para tais revisões, na medida em que estes acordos não costumam ser complexos na aparência.​

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
991894
Banca
CESPE / CEBRASPE
Órgão
ANTT
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens seguintes, de acordo com a norma NBR ISO/IEC 27005:2008.

A definição do plano de tratamento de riscos e avaliação de riscos deve ser realizada na fase de execução do SGSI.

Alternativas
Comentários

  • Identificar e avaliar as opções de tratamento de risco ocorre na fase de estabelecer(Plan) do SGSI.

  • Plan (Estabelecer ) – planejar o SGSI

    Do (implementar e operar ) – colocar em operação o SGSI

    Check (Monitorar e Analisar) – medir o desempenho e apresentar os resultados

    Act (Manter e Melhorar) – executar melhora para alcançar a melhoria contínua

  • Plano é no "PLan"

  • Pessoal, questão errada!
    A definição do plano de tratamento de riscos na 27.005 é feito na fase Plan. 
    Porém, somente a título de conhecimento, para a ISO/IEC 27.001, por mais estranho que pareça o plano de tratamento de riscos é definido na fase Do:

    "Implementar e Operar o SGSI

    A organização deve:

    - Formular um plano de tratamento de riscos que identifique a ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança;

    - Implementar o plano de tratamento de riscos para alcançar os objetivos de controle identificados, que inclua considerações de financiamentos e atribuição de papéis e responsabilidades.

    - Implementar os controles selecionados para atender aos objetivos de controle.

    - Definir como medir a eficácia dos controles selecionados;"

    Bons estudos!

  • Ano: 2013

    Banca: CESPE

    Órgão: Polícia Federal

    Prova: Perito Criminal Federal

    Com relação à norma ISO/IEC 27001:2006, julgue os itens a seguir.

    De acordo com a norma ISO/IEC 27001:2006, a formulação de um plano de tratamento de riscos que identifique a ação apropriada, os recursos, as responsabilidades e as prioridades para a gestão de riscos está relacionada à etapa Do do ciclo PDCA.

    certa

  • Gabarito Errado

    Se executa na fase de planejamento.

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • A ISO/IEC 27.005 é uma norma/ framework que dispõem do Sistema de Gestão de Risco da Seg. da Informação. Essa norma tem integração com o ciclo PDCA, assim, suas atividadades são enquadradas em cada etapa do ciclo. Diante dessa introdução, o erro da questão é afirmar que tal atividade estaria na etapa de execução, mas sim na de planejamento.

    GAB: E

ID
991900
Banca
CESPE / CEBRASPE
Órgão
ANTT
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens seguintes, de acordo com a norma NBR ISO/IEC 27005:2008.

Para possibilitar a comparação entre organizações de mesmo ramo de atividade, a organização deve utilizar, na gestão de riscos, a escala de níveis de aceitação de riscos descrita na norma, limitando-se, a, no máximo, um limite por nível de risco.

Alternativas
Comentários

  • ERRADO.

    Segundo a ISO 27005,"7.2 Critérios básicos

    Critérios para a aceitação do risco

    Convém que a organização defina sua própria escala de níveis de aceitação do risco. Convém que os seguintes tópicos sejam considerados durante o desenvolvimento:

    -Critérios para a aceitação do risco podem incluir mais de um limite, representando um nível desejável de risco, porém precauções podem ser tomadas por gestores seniores para aceitar riscos acima desse nível desde que sob circunstâncias definidas"

  • A ISO/IEC 27.005 não é uma prescrição, mas sim um modelo/ framework.

    GAB: Errado

ID
991903
Banca
CESPE / CEBRASPE
Órgão
ANTT
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens seguintes, de acordo com a norma NBR ISO/IEC 27005:2008.

Na análise e avaliação de riscos, faz-se a combinação da probabilidade com o impacto da ocorrência indesejada, de modo que os riscos e as ameaças sejam ordenados de acordo com sua gravidade percebida pelo valor ativo para a organização.

Alternativas
Comentários

  • Resposta: E

    Segundo as estatísticas de resolução, 80% das pessoas erraram essa questão. Alguém explica o motivo de estar errada?

  • Também errei, acredito que a combinação da probabilidade é dada na estimativa do risco, e não na análise e avaliação. Na análise e avaliação apenas é identificado as ameaças e os controles existentes para evitá-las... eu acho!

  • NBR ISO/IEC 27005:2008

    Seção: 8.1 Descrição geral do processo de análise/avaliação de riscos de segurança da informação

    Saída: Uma lista de riscos avaliados, ordenados por prioridade de acordo com os critérios de avaliação de riscos.

  • Pessoal, o erro da questão está em afirmar que as ameaças também são ordenadas pela análise/avaliação de riscos. Apenas os riscos são ordenados, conforme a sua prioridade, mais especificamente pela avaliação dos riscos, onde é feira uma comparação do valores predefinidos de riscos. As ameaças são apenas identificadas, assim como os ativos, vulnerabilidades, controles existentes e consequências.

    Bons estudos!
ID
991906
Banca
CESPE / CEBRASPE
Órgão
ANTT
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens seguintes, de acordo com a norma NBR ISO/IEC 27005:2008.

Na estimativa de risco, atribuem-se valores às probabilidades e também às consequências de um risco.

Alternativas
Comentários

  • CERTO

    Segundo a ISO 27005, "

    3 TERMOS E DEFINIÇÕES

    3.5 estimativa de riscos: processo utilizado para atribuir valores à probabilidade e conseqüências de um risco."


  • Na versão 27005:2011, "O termo ESTIMATIVA DE RISCOS FOI REMOVIDO". Ver página 90 do Anexo G.

  • 2015

    De acordo com a norma ISO 27005, na estimativa de riscos, podem ser aplicadas metodologias qualitativas para a identificação de riscos.

    Certa

    2017

    A qualidade e a exatidão do processo de análise quantitativa de riscos estão relacionadas à disponibilidade de dados históricos e auditáveis.

    Certa

    2014

    Deve ser recebida como entrada do processo de avaliação de riscos uma lista de cenários de incidentes identificados como relevantes, com as respectivas consequências para os processos de negócio.

    errada ----- entrada de consequências e não avaliação

ID
991909
Banca
CESPE / CEBRASPE
Órgão
ANTT
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens seguintes, de acordo com a norma NBR ISO/IEC 27005:2008.

No tratamento de risco, há opção de se reduzir ou de se transferir o risco. Na primeira opção, são tomadas ações para reduzir a probabilidade ou consequências negativas associadas a um risco, ao passo que, na segunda, pode-se compartilhar o benefício do ganho associado a determinado risco.

Alternativas
Comentários

  • CERTO

    Segundo a ISO 27005,"

    9.1 Descrição geral do processo de tratamento do risco

    quatro opções disponíveis para o tratamento do risco: redução do risco (ver 9.2), retenção do risco (ver 9.3),

    evitar o risco (ver 9.4) e transferência do risco (ver 9.5)."

    Segundo a ISO 27005, "

    3 TERMOS E DEFINIÇÕES

    3.7 redução do risco: ações tomadas para reduzir a probabilidade, as conseqüências negativas, ou ambas, associadas a um risco.

    3.9 transferência do risco: compartilhamento com uma outra entidade do ônus da perda ou do benefício do ganho associado a um risco."

  • Só pra complementar: riscos podem ser positivos ou negativos.

    Se eu aposto na mega-sena, eu tenho o risco de ganhar. (risco positivo)

    Se eu ando de moto se capacete, eu tenho o risco de morrer se cair. (risco negativo)

  • O CESPE corta as frases em pedacos pra fazer as questoes e saem coisas muito sem sentido.

    Outra critica e o fato de que mtas vezes a interpretacao de uma certa norma ou frase de um livro, nao tem aceitacao por eles! A questao so e correta se estiver exatamente como foi COPIADO do texto original, mesmo que seja uma frase sem sentido.

    So parei de reclamar pq ja passei em 2 provas dificeis do CESPE, mas que tem mta questao ruim, isso tem sim...

  • Consegui encaixar essa definição na prática...imaginem um contrato de outsourcing de impressão, onde cada filial de uma empresa só pode pedir 2 toner por mês, senão paga mais caro...daí vai ter filial que usa muito a impressora e vai ter filial que usa pouco, ou seja, vai ter uma que usa 3 toners por mês e uma outra que usa 1 só; daí essa que usa 1 sempre fornece o outro para a que usa 3, para que ela fique dentro do contrato. Sendo assim, o contrato de outsourcing foi firmado para tratar o risco de ficar sem suplementos e depender de licitação, se for um órgão público, p ex...daí, em cima desse risco (ficar sem toner) - com a medida de 2 por campi, a empresa acabou se beneficiando...deve ter outros exemplos melhores...

  • Só fazendo um complemento, destacado abaixo na norma, em relação à inexistência de risco positivo em segurança da informação.

      

    Transferência do risco
    compartilhamento com uma outra entidade do ônus da perda ou do benefício do ganho associado a um risco

    [ABNT ISO/IEC GUIA 73:2005]
    NOTA No contexto dos riscos de segurança da informação, somente consequências negativas (perdas) são consideradas para a transferência do risco.

     

    Fonte: ABNT NBR ISO/IEC 27005:2008

ID
1007047
Banca
FCC
Órgão
TRT - 18ª Região (GO)
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A Norma NBR ISO/IEC 27002:2005, na seção que trata da classificação da informação, recomenda que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização. Em relação às diretrizes para a implementação desta classificação, está de acordo com esta Norma afirmar que convém que:

Alternativas
Comentários

  • Comentários sobre a questão: http://www.itnerante.com.br/forum/topics/quest-o-de-seguran-a-da-informa-o-nbr-iso-27002-2005?commentId=1867568%3AComment%3A312177&xg_source=activity

  • LETRA D.

    ------------------------------------------------------------

    Todas as respostas para estão questão podem ser encontradas em 7.2.1 Recomendações para classificação da ISO 27002.

    A) Segundo a ISO 27002,"

    Convém que a classificação da informação e seus respectivos controles de proteção levem em consideração as necessidades de compartilhamento ou restrição de informações e os respectivos impactos nos negócios, associados com tais necessidades."

    B)Segundo a ISO 27002,"Convém que as diretrizes para classificação incluam convenções para classificação inicial e reclassificação ao longo do tempo, de acordo com algumas políticas de controle de acesso predeterminadas"

    C) Segundo a ISO 27002,"Convém que seja de responsabilidade do proprietário do ativo definir a classificação de um ativo, analisando-o criticamente a intervalos regulares, e assegurar que ele está atualizado e no nível apropriado."

    D) Segundo a ISO 27002,"

    Convém que cuidados sejam tomados com a quantidade de categorias de classificação e com os benefícios obtidos pelo seu uso. Esquemas excessivamente complexos podem tornar o uso incômodo e ser inviáveis economicamente ou impraticáveis. "

    E) Segundo a ISO 27002, "Convém que atenção especial seja dada na interpretação dos rótulos de classificação sobre documentos de outras organizações, que podem ter definições diferentes para rótulos iguais ou semelhantes aos usados."

  • Prezados, segundo a ISO 27002 , nas diretrizes para a implementação da classificação da informação , página 23 , convém que cuidados sejam tomados com a quantidade de categorias de classificação e com os benefícios obtidos pelo seu uso. Esquemas excessivamente complexos podem tornar o uso incômodo e ser inviáveis economicamente ou impraticáveis.


    A alternativa correta é : D.


ID
1035616
Banca
CESPE / CEBRASPE
Órgão
PEFOCE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da gestão de risco e das normas NBR ISO/IEC 15.999 e 27.005, julgue os próximos itens.

A avaliação de riscos, por ser base para a tomada de decisões referentes à retenção de risco, é uma atividade-chave.

Alternativas
Comentários

  • certo

    Segundo a ISO 27005,"8.3 Avaliação de riscos

    Diretrizes para implementação:

    Convém que os critérios de avaliação de riscos utilizados na tomada de decisões sejam consistentes com o contexto definido, externo e interno, relativo à gestão de riscos de segurança da informação e levem em conta os objetivos da organização, o ponto de vista das partes interessadas etc. As decisões tomadas durante a atividade de avaliação de riscos são baseadas principalmente no nível de risco aceitável."

    RETENÇÃO DE RISCOS=ACEITAÇÃO DE RISCOS!

ID
1035622
Banca
CESPE / CEBRASPE
Órgão
PEFOCE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da gestão de risco e das normas NBR ISO/IEC 15.999 e 27.005, julgue os próximos itens.

A realização de uma mudança em um processo, como a troca de aquecedores a óleo combustível por equivalentes alimentados por eletricidade, representa tanto eliminação de risco do vazamento ou derramamento de óleo quanto redução de risco de incêndio.

Alternativas
Comentários

  • Não entendi essa... eletricidade também pode ocorrer incêndios...

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Correto... 

    Embora a eletricidade cause incêndios, a questão te pega qd lÊ rápido: Ela diz que a troca proporciona "REDUÇÃO" do risco, e nao eliminação...

  • isso é questão de informática?
ID
1055548
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com base nas normas da família ISO 27000, julgue os próximos itens.

Disponibilidade da informação, integridade, autenticidade e confiabilidade são algumas das propriedades obrigatórias na definição da segurança da informação de uma organização.

Alternativas
Comentários

  • Questão errada

    Não é confiabilidade. É confidencialidade.

  • A segurança não pode garantir a disponibilidade da informação.

  • A segurança da informação deve conter pelo menos os 04 princípios: CIDA

    Confidencialidade,

    Integridade

    Disponibilidade

    Autenticidade

  • A Segurança da Informação deve garantir seis serviços:
    - Confidencialidade          - Integridade              - Disponibilidade             - Autenticação                  - Irretratabilidade       - Controle de Acesso  
     Obs: A CRIPTOGRAFIA não pode garantir a disponibilidade! 


    Portanto, questão incorreta, pois a S.I não garante a Confiabilidade.

  • As propriedades básicas da SI:

    ·  Confidencialidade

    Certeza de que o foi dito, escrito ou falado, será acessado somente por pessoas autorizadas.

    ·  Integridade

    Garantia de que à informação não foi alterada do seu destino até a sua chegada.

    ·  Disponibilidade

    Garantia de que a informação será acessada quando as pessoas autorizadas precisar usar.

    Podemos, também, destacar os aspectos adicionais da SI:

    ·  Não-repúdio;

    ·  Legalidade;

    ·  Autenticação;

    ·  Autenticidade;

    ·  Autorização.

    Portanto, a questão é análise está ERRADA.


  • ERRADO.

    Segundo a ISO 27002, 2 Termos e Definições, "

    2.5

    segurança da informação: preservação da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas."

    • Perda de Confidencialidade: seria quando há uma quebra de sigilo de uma determinada informação (ex: a senha de um usuário ou administrador de sistema) permitindo que sejam expostas informações restritas as quais seriam acessíveis apenas por um determinado grupo de usuários.

    • Perda de Integridade: aconteceria quando uma determinada informação fica exposta a manuseio por uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão sob o controle do proprietário (corporativo ou privado) da informação.

    • Perda de Disponibilidade: acontece quando a informação deixa de estar acessível por quem necessita dela. Seria o caso da perda de comunicação com um sistema importante para a empresa, que aconteceu com a queda de um servidor ou de uma aplicação crítica de negócio, que apresentou uma falha devido a um erro causado por motivo interno ou externo ao equipamento ou por ação não autorizada de pessoas com ou sem má intenção.

      http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o

  • Quem formulou esta questão trocando confidencialidade por confiabilidade deve estar até agora rindo de quem fez a prova ¬¬

  • A confiabilidade vem da integridade, logo a questão esta errada pela palavra "OBRIGATÓRIAS", pois ninguém é obrigado a nada, já que quem estabelece estes princípios é a norma ISO 27000 e não uma lei brasileira.

    flw, vlw, tchau.

  • A confiabilidade vem da integridade. O erro da questão está no "obrigatório".

  • Confiabilidade e conformidade vem da integridade

    A propriedade correta é confidencialidade

  • Galera se equivocando: Confiabilidade faz parte da Integridade, logo não é o erro (ainda mais pq a questão não falou que são as únicas) O erro está quando se diz são propriedades obrigatórias na definição de segurança da informação. A organização se quiser ter um sistema "meia boca" ela pode ter.

  • ALAN GARNER, Enxerguei da mesma forma.

  • Para a galera que esta em duvida sobre estas questões que ficam mal formuladas.

    confidencialidade está interligada à confiabilidade e preserva, de forma confidencial, todas as informações da organização e de seus clientes. Utilizando desses dados para ações específicas e de extrema necessidade.

    essa questão dentre outras deveriam ser corrigida ou ter um comentário de um professor que saiba explicar o motivo da banca ou de quem esta reformulando as questões na plataforma.

ID
1055551
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com base nas normas da família ISO 27000, julgue os próximos itens.

Incidente de segurança da informação é um evento simples ou uma série de eventos indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

Alternativas
Comentários

  • Senhores por incrível que pareça esta questão foi dada como errada (E) na prova do cespe (Creio que ninguém entrou concurso- trata-se da questão 61 da prova. {}). Mas a resposta é certa msm. Vejam.

    Segundo a ISO 27001,Termos e Definições, 3.6, "

    Incidente de segurança da informação: um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação."

    Segundo a ISO 27002,Termos e Definições, 2.7, "

    Um incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação."

  • Um incidente de segurança da informação pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança da informação, levando a perda de um ou mais princípios básicos da Segurança da Informação: CID.


ID
1159324
Banca
FEPESE
Órgão
MPE-SC
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale a alternativa que apresenta corretamente as etapas do processo de Gestão de Riscos de acordo com a NBR ISO/IEC 27005.

Alternativas
Comentários

  • LETRA D.

    Segundo a ISO 27005,"

    6 Visão geral do processo de gestão de riscos de segurança da informação

    O processo de gestão de riscos de segurança da informação consiste na definição do contexto (Seção 7), análise/avaliação de riscos (Seção 8), tratamento do risco (Seção 9), aceitação do risco (Seção 10), comunicação do risco (Seção 11) e monitoramento e análise crítica de riscos (Seção 12)."

  • Prezados,

    Segundo a ISO 27005 o processo de gestão de riscos de segurança da informação consiste na definição do contexto ( Seção 7 ), análise/avaliação de riscos ( Seção 8 ) , tratamento do risco ( Seção 9 ) , aceitação do risco ( Seção 10 ), comunicação do risco ( Seção 11 ) e monitoramento e análise crítica de riscos ( Seção 12 ).


    A alternativa correta é : D.


  • Mnemônico aprendido com o prof. Thiago Fagury para ajudar a galera: DATACM

  • DE ACORDO COM A NOVA ISO 27005:2011,

    "

    O processo de gestão de riscos de segurança da informação consiste na definição do contexto (Seção 7), processo de avaliação de riscos (Seção 8), tratamento do risco (Seção 9), aceitação do risco (Seção 10), comunicação e consulta do risco (Seção 11) e monitoramento e análise crítica de riscos (Seção 12)."

  • Técnica de Memorização


    D A T A C M, onde:


    D - Definição do contexto

    A - Análise/avaliação de riscos

    T - Tratamento do risco

    A - Aceitação do risco

    C - Comunicação do risco

    M- Monitoramento e análise crítica de riscos

  • Gabarito D

    D efinir contexto

    A avaliação de risco

    T tratamento de risco

    E stimativa

    C comunicação

    A ceitação

    M onitoramento

    I dentifcação do risco



    Definição do contexto
     Security needs Identification for Enterprise Assets


    Identificação dos Riscos
     Threat Assessment


    Análise de riscos
     Asset Valuation
     Threat Assessment
     Vulnerability Assessment
     Enterprise Security Approaches


    Avaliação de riscos
     Risk Determination


    Tratamento do risco
     Enterprise Security Services


    Aceitação do Risco
     Security needs Identification for Enterprise Assets
     Enterprise Security Approaches
     Document the Security Goals


    Comunicação do risco
     Enterprise Partner Communication
     Share Responsibility for Security
     Document the Security Goals


    Monitoramento e Análise
    Crítica de Riscos
     Security Accounting Requirements
     Security Accounting Design
     Audit Requirements
     Audit Design
     Audit Trails & Logging Requirements
     Audit Trails & Logging Design
     Non-Repudiation Requirements
     Non- Repudiation Design
     Documentation Review
     Log Review

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
1176058
Banca
CESPE / CEBRASPE
Órgão
TC-DF
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens referentes à gestão de segurança da informação e à gestão de riscos e continuidade de negócio.

Conforme a norma ISO/IEC 27005, é recomendável que o nível de risco seja estimado em todos os cenários de incidentes relevantes. Essa estimativa serve para designar valores qualitativos ou quantitativos para a probabilidade e para as consequências do risco.

Alternativas
Comentários

  • CERTO. Com o trecho abaixo da norma, dá para matar a questão.

    Segundo a ISO 27005,"8.2.2.4 Estimativa do nível de risco

    Entrada: Uma lista de cenários de incidentes com suas conseqüências associadas aos ativos, processos de negócio e suas probabilidades (no método quantitativo ou no qualitativo).

    Ação: Convém que o nível de risco seja estimado para todos os cenários de incidentes considerados relevantes (refere-se à ABNT NBR ISO/IEC 27001, Seção 4.2.1 e) 4)).

    Diretrizes para implementação:

    A estimativa de riscos designa valores para a probabilidade e para as conseqüências de um risco. Esses valores podem ser de natureza quantitativa ou qualitativa. A estimativa de riscos é baseada nas conseqüências e na probabilidade estimadas. Além disso, ela pode considerar o custo-benefício, as preocupações das partes interessadas e outras variáveis, conforme apropriado para a avaliação de riscos. O risco estimado é uma combinação entre a probabilidade de um cenário de incidente e suas conseqüências."


  • Só por curiosidade agora isso ocorre dentro da atividade análise de riscos, e não na estimativa de riscos.(NÃO existe mais diretamente a atividade de estimativa)

    Segundo a ISO 27005:2011,"8.3.4 Determinação do nível de risco
    Entrada: Uma lista de cenários de incidentes com suas consequências associadas aos ativos, processos de negócio e suas probabilidades (no método quantitativo ou no qualitativo).
    Ação: Convém que o nível de risco seja estimado para todos os cenários de incidentes considerados relevantes (refere-se à ABNT NBR ISO/IEC 27001:2006, Seção 4.2.1 e) 4)).
    Diretrizes para implementação:
    A análise de riscos designa valores para a probabilidade e para as consequências de um risco. Esses valores podem ser de natureza quantitativa ou qualitativa. A análise de riscos é baseada nas consequências e na probabilidade estimadas. Além disso, ela pode considerar o custo-benefício, as preocupações das partes interessadas e outras variáveis, conforme apropriado para a avaliação de riscos. O risco estimado é uma combinação da probabilidade de um cenário de incidente e suas consequências."

  • Assertiva CORRETA. 

     

    A pegadinha está em "todos os cenários de incidentes relevantes", o que está correto. Se fosse em todos os cenários (relevantes ou não), isso estaria errado. Portanto, assertiva correta. 

  • "Essa estimativa serve para designar valores qualitativos ou quantitativos para a probabilidade e para as consequências do risco."

    Isso não seria o contrário? A estimativa da probabilidade e da consequência é que serve para designar o valor para o nível de risco.

ID
1208383
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a norma ABNT NBR ISO/IEC n.º 27005, julgue os próximos itens, no que se refere à gestão de riscos da segurança da informação.

Para a fase de tratamento do risco da segurança da informação, essa norma estabelece quatro possíveis ações não mutuamente exclusivas: redução, retenção, prevenção e eliminação do risco.

Alternativas
Comentários

  • ERRADO. Senhores este é o trecho errado: "[...] redução, retenção, prevenção e eliminação do risco.". O resto da questão está correto. 

    Segundo a ISO 27005,"9.1 Descrição geral do processo de tratamento do risco

    Diretrizes para implementação:

    quatro opções disponíveis para o tratamento do risco: redução do risco, retenção do risco, evitar o risco e transferência do risco."

    -------------|||-------------

    Sobre o resto da questão. 

    Segundo a ISO 27005, 9.1 Descrição geral do processo de tratamento do risco,"As quatro opções para o tratamento do risco não são mutuamente exclusivas. Às vezes, a organização pode beneficiar-se substancialmente de uma combinação de opções, tais como a redução da probabilidade do risco, a redução de suas conseqüências e a transferência ou retenção dos riscos residuais."


  • Dizemos que dois ou mais eventos são mutuamente exclusivos quando a realização de um, exclui a realização do(s) outro(s).

    Ao analisar cada risco, deve-se decidir em qual dos 4 tipos de tratamento devemos enquadra-lo, ou seja, os tratamentos de riscos são mutuamente exclusivos;

    O erro da questão esta na palavra "não";

  • Realmente as opções de tratamento de riscos não são mutuamente exclusivas. O erro da questão está nas opções de tratamento de riscos que são: Reter, Mitigar, Evitar eTransferir

  • Analisando cada ação sugerida pela questão em relação à utilização de controles, temos:

    Redução: é necessária a seleção de controles, porém o risco não é eliminado e sim reduzido!

    Retenção: ou aceitar o risco, não é necessário utilizar nenhum controle.

    Prevenção: ou evitar o risco, não utiliza nenhum controle.

    Eliminação: não é possível, estando em uma situação em que há uma ameaça a uma vulnerabilidade de um ativo, na utilização de um controle, eliminar um risco. A opção seria evitar o risco, ou seja, evitar uma situação em que possa existir uma ameaça a um ativo. Em outras palavras, aliene o ativo ou não o adquira.

    Transferência: faltou esta ação na questão. Pode ser necessário selecionar controles para os novos riscos que podem surgir da escolha desta ação.

  • Ainda estaria ERRADA CONFORME A VERSÃO DE 2011.

    Segundo a ISO 27005:2011,"Há quatro opções disponíveis para o tratamento do risco: modificação do risco (ver 9.2), retenção do
    risco (ver 9.3), ação de evitar o risco (ver 9.4) e compartilhamento do risco (ver 9.5)."

ID
1208386
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a norma ABNT NBR ISO/IEC n.º 27005, julgue os próximos itens, no que se refere à gestão de riscos da segurança da informação.

Na identificação dos ativos de uma organização, que ocorre durante a atividade de análise de riscos, é exigida a identificação de um responsável para cada ativo de forma a garantir as responsabilidades na prestação de contas.

Alternativas
Comentários

  • CERTO na norma antiga de 2008 , ERRADO conforme a versão de 2011. CORREÇÃO CONFORME A VERSÃO 2011.

    1) Na identificação dos ativos de uma organização, que ocorre durante a atividade de análise de riscos,[...]  (ERRADO)

    Segundo a ISO 27005,"

    8.2 Identificação de riscos
    8.2.1 Introdução à identificação de riscos

    8.2.2 Identificação dos ativos"

    ***Identificação dos ativos está diretamente na raiz de identificação de riscos.

    2)[...]é exigida a identificação de um responsável para cada ativo de forma a garantir as responsabilidades na prestação de contas. (CORRETO)

    Segundo a ISO 27005:2011,"8.2.2 Identificação dos ativos

    Convém que um responsável seja identificado para cada ativo, a fim de oficializar sua responsabilidade e garantir a possibilidade da respectiva prestação de contas.

    "

     

  • Bom,


    Se você considerar a nova versão da normal, ou seja, de 2011, a questão estaria errada porque esta identificação não ocorre na atividade de análise de risco e sim na identificação de risco.  

    8.2 Identificação de riscos 22

    8.2.1 Introdução à identificação de riscos 22

    8.2.2 Identificação dos ativos 22

    8.2.3 Identificação das ameaças 23

    8.2.4 Identificação dos controles existentes 23

    8.2.5 Identificação das vulnerabilidades 24

    8.2.6 Identificação das consequências 25

    8.3 Análise de riscos


ID
1208389
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a norma ABNT NBR ISO/IEC n.º 27005, julgue os próximos itens, no que se refere à gestão de riscos da segurança da informação.

A comunicação de riscos visa assegurar que as informações sobre os riscos sejam compartilhadas entre os responsáveis pelas decisões e as outras partes envolvidas.

Alternativas
Comentários

  • CERTO

    Segundo a ISO 27005,"3 Termos e definições

    3.4

    comunicação do risco:troca ou compartilhamento de informação sobre o risco entre o tomador de decisão e outras partes interessadas"

  • Segundo a ISO 27005:2011,"11 Comunicação e consulta do risco de segurança da informação

    Ação: Convém que as informações sobre riscos sejam trocadas e/ou compartilhadas entre o tomador de decisão e as outras partes interessadas."

ID
1208392
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a norma ABNT NBR ISO/IEC n.º 27005, julgue os próximos itens, no que se refere à gestão de riscos da segurança da informação.

A referida norma fornece as diretrizes para o processo de gestão de riscos da segurança da informação bem como uma metodologia específica para todos os tipos de organização que pretendam gerir os riscos passíveis de comprometer a segurança da informação da organização.

Alternativas
Comentários

  • ERRADO.

    Segundo a ISO 27005:2008,"Introdução

    Esta Norma Internacional fornece diretrizes para o processo de Gestão de Riscos de Segurança da Informação de uma organização, atendendo particularmente aos requisitos de um SGSI de acordo com a ABNT NBR ISO/IEC 27001. Entretanto, esta Norma Internacional não inclui uma metodologia específica para a gestão de riscos de segurança da informação. Cabe à organização definir sua abordagem ao processo de gestão de riscos, levando em conta, por exemplo, o escopo do seu SGSI, o contexto da gestão de riscos e o seu setor de atividade econômica. Há várias metodologias que podem ser utilizadas de acordo com a estrutura descrita nesta Norma Internacional para implementar os requisitos de um SGSI."

    _________________________________

    Ainda ERRADO conforme ISO 27005:2011.

    Segundo a ISO 27005:2011,"Entretanto, esta Norma Internacional não inclui um método específico para a gestão de riscos de segurança da informação. Cabe à organização definir sua abordagem ao processo de gestão de riscos, levando em conta, por exemplo, o escopo do seu SGSI, o contexto da gestão de riscos e o seu setor de atividade econômica. Há várias metodologias que podem ser utilizadas de acordo com a estrutura descrita nesta Norma Internacional para implementar os requisitos de um SGSI."

  • Nenhuma norma é metodologia, manual, regra, passa a passo etc. Norma fala O QUE deve ser feito e não COMO DEVE ser feito.

    Por exemplo, uma norma determina que você precisa de um processo para contratação de fornecedores. Como vai ser esse processo você que determina, desde que atenda o requisito da norma.

  • Além do excelente comentário feito pelo colega Stallings podemos levar em consideração a forma estranha na qual o texto foi descrito, repare: "metodologia específica para todos os tipos de organização". 

    Estranho neh, é uma metodologia específica que serve para qualquer organização, ora, se serve para todos os tipos de organização deixa de ser específica para cada uma, concordam?

    vlw

  • Metodologias não, somente melhores práticas!

  • Ótimos comentários!
    Eu cai no pega da questão.


ID
1214185
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando o que dispõe a NBR ISO/IEC 27005, julgue os itens subsecutivos.

Requisitos legais e regulatórios a serem necessariamente atendidos pela organização devem fazer parte do escopo da gestão de riscos de segurança da informação.

Alternativas
Comentários

  • CERTO.

    Segundo a ISO 27005:2011,"7.3 Escopo e limites

    Ao definir o escopo e os limites, convém que a organização considere as seguintes informações:

      -Os objetivos estratégicos, políticas e estratégias da organização

      -Processos de negócio

      -As funções e estrutura da organização

      -Requisitos legais, regulatórios e contratuais aplicáveis à organização

      -A política de segurança da informação da organização

      -A abordagem da organização à gestão de riscos

      -Ativos de informação

      -Localidades em que a organização se encontra e suas características geográficas

      -Restrições que afetam a organização

      -Expectativas das partes interessadas

      -Ambiente sociocultural

      -Interfaces (ou seja: a troca de informação com o ambiente)."

     

  • Complementando o comentário do nosso colega HTTP Concurseiro: não cumprir com requisitos legais e regulatórios é um risco. Os riscos não envolvem apenas as clássicas propriedades da informação: CID (confidencialidade, integridade e disponibilidade). A própria conformidade é um fator extremamente importante e presente na NBR ISO/IEC 27001 (A.18.1 Conformidade com requisitos legais e contratuais), na qual a ISO 27005 é alinhada.

ID
1214188
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando o que dispõe a NBR ISO/IEC 27005, julgue os itens subsecutivos.

Deve ser recebida como entrada do processo de avaliação de riscos uma lista de cenários de incidentes identificados como relevantes, com as respectivas consequências para os processos de negócio.

Alternativas
Comentários

  • ERRADO, pois essa é a entrada para a avaliação das consequências.

    Segundo a ISO 27005:2011,"8.4 Avaliação de riscos
    Entrada: Uma lista de riscos com níveis de valores designados e critérios para a avaliação de riscos."

    ---------//----------

     

    "8.3.2 Avaliação das consequências
    Entrada: Uma lista de cenários de incidentes identificados como relevantes, incluindo a identificação de
    ameaças, vulnerabilidades, ativos afetados e consequências para os ativos e processos do negócio."

     

     

     

     

  • Essa questão teria complicações adicionais para ser respondida, caso sua referência fosse a ISO 27.005:2011. Provavelmente, o examinador tomou como referência a ISO 27.005:2006.

    É consenso que a "Avaliação das consequências" (que tem como entrada uma lista de cenários de incidentes identificados como relevantes) ocorre na fase "Análise de riscos" e não na fase de "Avaliação de riscos". O ponto é que na ISO 27.005:2011 o processo macro antes chamado de "Análise/Avaliação de riscos" agora passa a ser chamado de "Processo de avaliação de riscos", mantendo ainda o atividade de "Avaliação de riscos" como parte do mesmo. Para facilitar o entendimento, seguem as seções da ISO 27.005:2011 (ver as duas seções sublinhadas):

    8 Processo de avaliação de riscos de segurança da informação 21

          8.1 Descrição geral do processo de avaliação de riscos de segurança da informação 21

          8.2 Identificação de riscos 22 

                  8.2.1 Introdução à identificação de riscos 22

                  8.2.2 Identificação dos ativos 22

                  8.2.3 Identificação das ameaças 23

                  8.2.4 Identificação dos controles existentes 23

                  8.2.5 Identificação das vulnerabilidades 24

                  8.2.6 Identificação das consequências 25

          8.3 Análise de riscos 26

                  8.3.1 Metodologias de análise de riscos 25

                  8.3.2 Avaliação das consequências 27

                  8.3.3 Avaliação da probabilidade dos incidentes 29

                  8.3.4 Determinação do nível de risco 30

          8.4 Avaliação de riscos

    Assim, tendo como base a 27.005:2011, o examinador deve especificar de alguma forma a qual dos processos de "Avaliação de riscos" o mesmo está se referindo, se ao macro-processo "Processo de avaliação de riscos", que envolve os processo de: "Identificação de riscos", "Análise de riscos" e "Avaliação de riscos"; ou, simplesmente, ao processo interno de "Avaliação de riscos".

    Como a questão fez referência à "entrada do processo de avaliação de riscos" se faz parte do gênero ou da espécie, daria margem para recurso, se tomássemos como referência a 27.005:2011.

    Espero ter ajudado mais que confundido! Mas, achei um questionamento válido, além de uma boa revisão sobre o assunto.

  • Ano: 2014

    Banca: FCC

    Órgão: TJ-AP

    Prova: Analista Judiciário - Área Apoio Especializado - Tecnologia da Informação

    Resolvi errado

    Segundo Norma ABNT NBR ISO/IEC 27005:2011, o processo de avaliação de riscos de segurança da informação consiste nas atividades de identificação de riscos, análise de riscos e avaliação de riscos. Segundo a Norma, a entrada da atividade de avaliação de riscos é uma lista de riscos

     a)

    priorizada de acordo com os objetivos do negócio e com os cenários de incidentes.

     b)

    associada a cada ativo, processo de negócio ou processo de TI.

     c)

    categorizada e priorizada a partir da análise crítica dos incidentes ocorridos.

     d)

    com níveis de valores designados e critérios para a avaliação de riscos.

     e)

    e cenários de incidentes com suas consequências associadas aos ativos e processos de negócio.

    letra D

  • 9. Tratamento do Risco de SI
    Entrada: uma lista de riscos ordenados por prioridade e
    associados aos cenários de incidentes que os causam.

ID
1214191
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando o que dispõe a NBR ISO/IEC 27005, julgue os itens subsecutivos.

A perda de uma oportunidade de negócio devido a um evento de segurança da informação é considerada um critério de impacto.

Alternativas
Comentários

  • CERTO

    Segundo A ISO 27005:2011,"7.2.3 Critérios de impacto
    Convém que os critérios de impacto sejam desenvolvidos e especificados em função do montante dos danos ou custos à organização causados por um evento relacionado com a segurança da informação, considerando o seguinte:

    - Perda de oportunidades de negócio e de valor financeiro

     

    "

  • Critérios de impacto
    [...]
    - Nível de classificação do ativo de informação afetado
    - Ocorrências de violação da segurança da informação (por exemplo: perda da disponibilidade, da confidencialidade e/ou da integridade)
    - Operações comprometidas (internas ou de terceiros)
    -  Perda de oportunidades de negócio e de valor financeiro;
     - Interrupção de planos e o não cumprimento de prazos
     - Dano à reputação
     - Violações de requisitos legais, regulatórios ou contratuais

    Fonte: ISO 27005

  • Definição de contexto vc faz o CEO

     

     

    Critérios básicos -- avaliação, impacto, aceitação

     

    escopo

     

    organização

ID
1214194
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando o que dispõe a NBR ISO/IEC 27005, julgue os itens subsecutivos.

Na definição da metodologia de avaliação dos riscos, devem ser identificadas as ameaças que podem afetar os ativos de informação que serão avaliados.

Alternativas
Comentários

  • ERRADO, pois a identificação das ameaças é realizada na análise de riscos, não na avaliação de riscos.

    Segundo a ISO 27005:2008,"

    8.2 Análise de riscos

    8.2.1 Identificação de riscos

    8.2.1.1 Introdução à identificação de riscos

    8.2.1.2 Identificação dos ativos

    8.2.1.3 Identificação das ameaças

    8.2.1.4 Identificação dos controles existentes

    8.2.1.5 Identificação das vulnerabilidades

    8.2.1.6 Identificação das conseqüências

    8.3 Avaliação de riscos"

     

     

  • Norma esclarece que ela não é uma metodologia específica.

  • Galera agora não entendi, segundo a norma Norma 27005:2011 encontramos:

    O processo de avaliação de riscos consiste nas seguintes atividades:

     Identificação de riscos, que envolve:

    - Identificação dos ativos – define os ativos com riscos a serem gerenciados e os processos de negócio que os envolvem;
    Identificação das ameaças – produz uma lista de ameaças com o tipo e a fonte das ameaças;
    - Identificação dos controles existentes;
    - Identificação das vulnerabilidades;
    - Identificação das consequências;

    poderiam me auxiliar nessa dúvida, afinal o que está errado na questão?

  • Colega , as normas 27005:2008 e a 27005:2011 tiveram algumas mudanças na estrutura. Esta questão esta baseada na versão de 2008. Mas conforme a versão 27005:2011, a IDENTIFICAÇÃO DE AMEAÇAS REALMENTE SE ENCONTRA DENTRO DA AVALIAÇÃO DE RISCOS.

  • Se levarmos em conta a versão de 2011, a questão está correta. Existe o processo de avaliação de riscos, que engloba as atividades de identificação, análise e avaliação de riscos. Dessa forma, o termo "avaliação" pode ser tanto o processo quanto a atividade. Na questão fala em metodologia e eu entendi como o processo, marcando a questão como certa. Mas realmente é difícil saber o que o examinador estava pensando. Segue o baile...

ID
1214197
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando o que dispõe a NBR ISO/IEC 27005, julgue os itens subsecutivos.

Para o tratamento dos riscos, a referida norma estabelece as seguintes opções: reter, reduzir, evitar ou transferir o risco.

Alternativas
Comentários

  • CERTO

    Segundo a ISO 27005,"9.1 Descrição geral do processo de tratamento do risco

    Diretrizes para implementação:

    quatro opções disponíveis para o tratamento do risco: redução do risco (ver 9.2), retenção do risco (ver 9.3), evitar o risco (ver 9.4) e transferência do risco (ver 9.5)."

  • Macete : MATE

    Mitigar

    Aceitar

    Transferir

    Evitar

  • Na versão 2011 da norma as opções são: Compartilhar, Modificar, Reter e Evitar.

    Complicado resolver questões de normas ISO sem a especificação da versão...

  •  

     transferência -  E evitar   - R redução  - retenção                

                                      TERRA

  • SE FOSSE DE ACORDO COM A ISO 27005 VERSÃO DE 2011 ESTARIA 'ERRADA' DEVIDO A NOMENCLATURA DIFERENTE DADA NESSA VERSÃO. COM GABARITO 'E'.

    Segundo a ISO 27005:2011,"

    9.1 Descrição geral do processo de tratamento do risco

    Há quatro opções disponíveis para o tratamento do risco: modificação do risco (ver 9.2), retenção do risco (ver 9.3), ação de evitar o risco (ver 9.4) e compartilhamento do risco (ver 9.5)."

  • ISO 27.005 - 4 formas para tratamento de um risco identificado:

    Reter;

    Reduzir;

    Evitar;

    Trasferir.

     

     

     

     

    Gab. C

  • MATE O RISCO

    Mitigar

    Aceitar

    Transferir 

    Evitar 

  • Questão desatualizada.

    ISO 27005 2019 cita as quatro opções disponíveis para o tratamento do risco como: MORA COM

    MOdificação do risco

    Retenção do risco

    Ação de evitar o risco

    COMpartilhamento do risco

ID
1256518
Banca
IDECAN
Órgão
AGU
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Segundo a Norma ISO/ IEC 27002: 2005, a segurança física e do ambiente tem como objetivo prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações. Em seu subitem perímetro de segurança física são apresentadas algumas diretrizes para implementação. Assinale a alternativa INCORRETA acerca do perímetro de segurança física.

Alternativas
Comentários

  • LETRA E. O grande erro da questão é que a descrição da letra E pertence a seção  9.1.2 Controles de entrada física, e NÃO a seção 9.1.1 Perímetro de segurança física como afirma a questão.


    Segundo a ISO 27002,"9.1.2 Controles de entrada física

    Diretrizes para implementação

    Convém que sejam levadas em consideração as seguintes diretrizes:

    a) a data e hora da entrada e saída de visitantes sejam registradas, e todos os visitantes sejam supervisionados, a não ser que o seu acesso tenha sido previamente aprovado; convém que as permissões de acesso sejam concedidas somente para finalidades específicas e autorizadas, e sejam emitidas com instruções sobre os requisitos de segurança da área e os procedimentos de emergência;"








  • Outro erro está no "é necessário". A norma diz *CONVÉM*, ou seja, não é mandatório, como é praxe na ISO 27002.

  • Dois erros:


    1-A frase "é necessário" foi utilizada na questão ao invés de "convém"


    2-A afirmação da Letra E faz parte da seção 9.1.2 Controles de entrada física, e NÃO da seção 9.1.1 Perímetro de segurança física como afirma a questão.

ID
1304995
Banca
CESPE / CEBRASPE
Órgão
ANATEL
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à norma NBR ISO/IEC 27005:2008, que fornece diretrizes para o processo de gestão de riscos de segurança da informação nas organizações, julgue os itens subsecutivos.

Processos disciplinares não fazem parte da gestão de segurança da informação e devem ser tratados apenas no âmbito administrativo.

Alternativas
Comentários

  • Faz parte sim da Gestão de segurança, e se o camarada negligenciar a política de segurança não será punido?

    item errado

  • ERRADO. 

    Na verdade a própria ISO 27005:2011 cita a sua ausência como exemplo de vulnerabilidade. E identificar vulnerabilidades faz parte da gestão de riscos de segurança da informação, esta por sua vez, é parte da gestão de segurança da informação.

    Segundo a ISO 27005:2011,"Tabela D.1 – Exemplos de vulnerabilidades

     

    Inexistência de um processo disciplinar no caso de incidentes relacionados à segurança da informação

    "

     

  • ISO 27002, sessão 8, trata da Segurança em Recursos Humanos:

     

    Processo disciplinar

     

    Controle

     

    Convém que exista um processo disciplinar formal para os funcionários que tenham cometido uma violação da segurança da informação.


    Bons estudos!

ID
1304998
Banca
CESPE / CEBRASPE
Órgão
ANATEL
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à norma NBR ISO/IEC 27005:2008, que fornece diretrizes para o processo de gestão de riscos de segurança da informação nas organizações, julgue os itens subsecutivos.

A referida norma prevê quatro opções para o tratamento de um risco identificado: redução do risco por meio de controles, para que o risco residual seja considerado aceitável; retenção do risco: que considera o risco como aceitável; transferência do risco: em que se transfere o risco para outra entidade que possa gerenciá-lo de forma eficaz; e reversão do risco, em que o risco é transformado em oportunidade de negócio.

Alternativas
Comentários

  • segundo a Norma ISO 27.005 existem 4 formas para tratamento de um risco identificado: redução do risco; retenção do risco; transferência do risco e prevenção do risco. item ERRADO. reversão do risco não existe na norma 27.005.

  • A banca aproveitou o conceito do risco de acontecer uma coisa boa, mas esse conceito é do Gerenciamento de Projetos.

  • ATUALIZANDO CONFORME A VERSÃO 2011 DA NORMA.

     [ERRADO]

     

    Segundo a ISO 27005,"

    9.2 Modificação do risco
    Ação: Convém que o nível de risco seja gerenciado através da inclusão, exclusão ou alteração de controles, para que o risco residual possa ser reavaliado e então considerado aceitável.

    ____________________

    9.3 Retenção do risco
    Ação: Convém que as decisões sobre a retenção do risco, sem outras ações adicionais, sejam tomadas tendo como base a avaliação de riscos.

    ____________________

    9.4 Ação de evitar o risco
    Ação: Convém que a atividade ou condição que dá origem a um determinado risco seja evitada.

    ____________________

    9.5 Compartilhamento do risco
    Ação: Convém que um determinado risco seja compartilhado com outra entidade que possa gerenciá-lo de forma mais eficaz, dependendo da avaliação de riscos.

    "

     

  • Minha opnião:

    O risco residual é um resultante do processo de tratamento do risco ! 

    Como esta descrito na questão parece q eh apenas da opção redução do risco por meio de controles !


  • Tratamento dos Riscos => inicia com a priorização entre os riscos encontrados, levando em conta os riscos que têm maior probabilidade de se concretizar, tornando-se um incidente. Os riscos devem estar relacionados conforme as opções de tratamento, que são: redução, retenção, evitação e transferência.


    https://danielteofilo.wordpress.com/2012/10/07/gesto-de-riscos/

  • Faltou EVITAR o risco no lugar da reversão do risco. MATE - Mitigar, Aceitar, Transferir e Evitar 

  • São 4 as opções de tratamento porém NÃO são mutuamente exclusivas. Opções de tratamento do risco:


    - Redução do risco; 

    - Retenção do risco; 

    - Evitar o risco; 

    - Transferência do risco

    Memorização: RRET


    OBS: Na Norma 27005 são esses, ponto final. Em outras referências encontramos o: Aceitar,Transferir,Mitigar e Evitar.

    Fique atento!

  • O termo transferência de risco foi substituído por “compartilhamento do risco” na ISO 27005:2011, p. 94

  • Gerenciamento de Segurança da Informação = MATE- Mitigar, Aceitar, Transferir, Evitar

    __________________________________________________________________________

    Gestão de Risco ISO/IEC 27005:2011 = MAET

    Mitigar - Modificação dos Riscos

    Aceitar - Retenção dos Riscos

    Evitar - Ação de Evitar os Riscos

    Transferir - Compartilhamento dos Riscos

     

  •  reversão do risco, em que o risco é transformado em oportunidade de negócio.

    Pra mim, o erro foi esse.

     

ID
1305001
Banca
CESPE / CEBRASPE
Órgão
ANATEL
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à norma NBR ISO/IEC 27005:2008, que fornece diretrizes para o processo de gestão de riscos de segurança da informação nas organizações, julgue os itens subsecutivos.

Como o processo de gestão de riscos de segurança da informação contribui para a identificação de riscos, para a análise de riscos e para o estabelecimento da ordem prioritária para tratamento de riscos, ele deve ser aplicado à organização como um todo, e não apenas a uma área específica.

Alternativas
Comentários
  • "O processo de GRSI pode ser aplicado à toda organização, a uma parte dela, ou a algum controle específico;"NBR ISO/IEC 27005:2008


  • ERRADO. Complemento

    Segundo a ISO 27005:2011,"5 Contextualização

    O processo de gestão de riscos de segurança da informação pode ser aplicado à organização como um todo, a uma área específica da organização (por exemplo, um departamento, um local físico, um serviço), a qualquer sistema de informações, a controles já existentes, planejados ou apenas a aspectos particulares de um controle (por exemplo: o plano de continuidade de negócios).."

  • Muito cuidado com a palavra "DEVE".... !!!!

  • odeio essas questões, me fud....

  • ele deve ser aplicado à organização como um todo, e não apenas a uma área específica.

     

    Pode ser sim feito numa parte específica.

  • Concordo com o Bruno. Apesar de ele poder se aplicar a uma parte específica, o correto é ele ser aplicado à organização como um todo. Para mim essa palavra DEVE não torna a questão errada.

  • "Tal processo pode ser aplicado à organização como um todo, a uma área específica da organização (por exemplo: um departamento, uma localidade, um serviço), a um sistema de informações, a controles já existentes, planejados ou apenas a aspectos particulares de um controle (por exemplo: o plano de continuidade de negócios)."


    Fonte: estratégia concursos - ISO 27005

ID
1305007
Banca
CESPE / CEBRASPE
Órgão
ANATEL
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à norma NBR ISO/IEC 27005:2008, que fornece diretrizes para o processo de gestão de riscos de segurança da informação nas organizações, julgue os itens subsecutivos.

Ativos de informação, ativos de software, ativos físicos, serviços, pessoas e intangíveis são exemplos de ativos de uma organização.

Alternativas
Comentários

  • Encontrei essa afirmação foi na ISO 27002,"7.1.1 Inventário dos ativos

    Informações adicionais

    Existem vários tipos de ativos, incluindo:

    a) ativos de informação: base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas;

    b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;

    c) ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos;

    d) serviços: serviços de computação e comunicações, utilidades gerais, por exemplo aquecimento, iluminação, eletricidade e refrigeração;

    e) pessoas e suas qualificações, habilidades e experiências;

    f) intangíveis, tais como a reputação e a imagem da organização.

    "

  • Não achei nada desses ativos na ISO 27005.  Achei foi essa afirmação aqui:

    Segundo a ISO 27005,"O conhecimento dos conceitos, modelos, processos e terminologias descritos na ABNT NBR ISO/IEC 27001 e na ABNT NBR ISO/IEC 27002 é importante para um entendimento completo desta Norma Internacional(iso 27005). "


    Portanto, já sabem, se no edital tiver escrito sobre a norma ISO 27005, estudem tb a ISO 27001,27002,....

    =]


  • Prova: CESPE - 2010 - TRE-BA - Analista Judiciário - Análise de Sistemas
    Disciplina: Segurança da Informação | Assuntos: ISO 27002;




     Ver texto associado à questão
    Um ativo, segundo a norma ISO/IEC 27002, é qualquer elemento que tenha valor para a organização. Os ativos fornecem suporte aos processos de negócios, portanto, devem ser protegidos. Um dos agrupamentos que os ativos podem assumir é informações, hardware, software, ambiente físico e pessoas.

      Certo  Errado
       








    certo

  • Nunca li em lugar algum pessoas serem consideradas ativos de uma empresa, nem em livros de administração, economia, contabilidade, nem de TI.

  • CERTA;

    No anexo B da 27005 temos:

    Anexo B (informativo)

    Identificação e valoração dos ativos e avaliação do impacto

    B.1 Exemplos de identificação de ativos

    Para estabelecer o valor de seus ativos, uma organização precisa primeiro identificá-los (num nível dedetalhamento adequado). Dois tipos de ativos podem ser distinguidos:

     Ativos primários:

     Processos e atividades do negócio

     Informação

     Ativos de suporte e infraestrutura (sobre os quais os elementos primários do escopo se apoiam), detodos os tipos:

     Hardware 

     Software 

     Rede

     Recursos humanos

     Instalações físicas

     A estrutura da organização


  • c-

    de um ponto de vista economico, tudo q produz valor é um ativo para a empresa.

  • A 27005 não cita esses tais ativos intangíveis

ID
1379806
Banca
FEPESE
Órgão
MPE-SC
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à ABNT NBR 27002:2005 são realizadas as seguintes afirmativas:

1. De acordo com a norma convém que todos os ativos sejam inventariados e tenham um proprietário responsável.
2. A norma afirma que a informação possui vários níveis de sensibilidade e criticidade e que alguns itens podem necessitar um nível adicional de proteção ou tratamento especial.
3. A segurança em recursos humanos não é discutida nesta norma, sendo este aspecto direcionado à ABNT NBR 27001.
4. A norma afirma que é conveniente que as instalações de processamento da informação críticas ou sensíveis sejam mantidas em áreas seguras, protegidas por perímetros de segurança definidos, com barreiras de segurança e controles de acesso apropriados.

Assinale a alternativa que indica todas as afirmativas corretas.

Alternativas
Comentários

  • LETRA B.

    Sobre a alternativa 3: Tanto a ISO 27002(17799) quanto a ISO 27001 abrangem a segurança de recursos humanos. A iso 27001 trata esse aspecto no anexo A, por sua vez, a iso 27002 trata na seção 8.


    seções da ISO 27002 abaixo.

    Segundo a ISO 27002,"

    3.1 Seções

    Cada seção contém um número de categorias principais de segurança da informação. As 11 seções (acompanhadas com o respectivo número de categorias) são:

    a) Política de Segurança da Informação (1);

    b) Organizando a Segurança da Informação (2);

    c) Gestão de Ativos (2);

    d) Segurança em Recursos Humanos (3);

    e) Segurança Física e do Ambiente (2);

    f) Gestão das Operações e Comunicações (10);

    g) Controle de Acesso (7);

    h) Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação (6);

    i) Gestão de Incidentes de Segurança da Informação (2);

    j) Gestão da Continuidade do Negócio (1);

    k) Conformidade (3).

    "

  • Complementando:

    Eliminou o item 3, ganhou a questão.

  • Gabarito B

    1 - Certa

    2 - Certa

    3 - Errada - É discutida sim na norma, íten 3.1.

    4 - Certa

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
1414435
Banca
FCC
Órgão
TJ-AP
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Segundo Norma ABNT NBR ISO/IEC 27005:2011, convém que a organização defina sua própria escala de níveis de aceitação de risco e que critérios para a aceitação do risco

Alternativas
Comentários

  • ABNT NBR ISO/IEC 27005. 

    A minha consulta foi feita na norma de março/2008 e nela percebi que o elaborador tirou literalmente o texto da página 12 conforme abaixo:


    Critérios para a aceitação do risco

    ...

    Convém que a organização defina sua própria escala de níveis de aceitação do risco. Convém que os seguintes tópicos sejam considerados durante o desenvolvimento:

    ...

    Critérios para a aceitação do risco podem ser expressos como a razão entre o lucro estimado (ou outro benefício ao negócio) e o risco estimado

    ...

    vlw



  • Fiquei com uma enorme dúvida nesta questão, acabei marcando a letra B por bobagem.

  •  ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011)

    "7.2.4 Critérios para a aceitação do risco

    Convém que os critérios para a aceitação do risco sejam desenvolvidos e especificados. Os critérios de aceitação do risco dependem frequentemente das políticas, metas e objetivos da organização, assim como dos interesses das partes interessadas. (EVIDENCIA O ERRO DA C)

    Convém que a organização defina sua própria escala de níveis de aceitação do risco. Convém que os seguintes tópicos sejam considerados durante o desenvolvimento:

    - Critérios para a aceitação do risco podem incluir mais de um limite, representando um nível desejável de risco, (EVIDENCIA O ERRO DA B)porém precauções podem ser tomadas por gestores seniores para aceitar riscos acima desse nível desde que sob circunstâncias definidas

    - Critérios para a aceitação do risco podem ser expressos como a razão entre o lucro estimado (ou outro benefício ao negócio) e o risco estimado (EVIDENCIA O GABARITO A)

    - Diferentes critérios para a aceitação do risco podem ser aplicados a diferentes classes de risco, por exemplo: riscos que podem resultar em não conformidade com regulamentações ou leis podem não ser aceitos, enquanto riscos de alto impacto poderão ser aceitos se isto for especificado como um requisito contratual

    - Critérios para a aceitação do risco podem incluir requisitos para um tratamento adicional futuro (EVIDENCIA O ERRO DA E), por exemplo: um risco poderá ser aceito se for aprovado e houver o compromisso de que ações para reduzi-lo a um nível aceitável serão tomadas dentro de um determinado período de tempo

    Critérios para a aceitação do risco podem ser diferenciados de acordo com o tempo de existência previsto do risco (EVIDENCIA O ERRO DA D), por exemplo: o risco pode estar associado a uma atividade temporária ou de curto prazo. Convém que os critérios para a aceitação do risco sejam estabelecidos, considerando os seguintes itens:

     - Critérios de negócio

     - Aspectos legais e regulatórios

     - Operações

     - Tecnologia

     - Finanças

     - Fatores sociais e humanitários

    NOTA Os critérios para a aceitação do risco correspondem aos “critérios para aceitação do risco e identificação do nível aceitável dos mesmos” especificados na ABNT NBR ISO/IEC 27001:2006 Seção 4.2.1.c) 2)."

    Espero ter ajudado!

  • ISO 27005:2011

    7 Definição do contexto
    7.2 Critérios básicos
    7.2.4 Critérios para a aceitação do risco
    - Critérios para a aceitação do risco podem ser expressos como a razão entre o lucro estimado (ou outro benefício ao negócio) e o risco estimado

ID
1414438
Banca
FCC
Órgão
TJ-AP
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Segundo Norma ABNT NBR ISO/IEC 27005:2011, o processo de avaliação de riscos de segurança da informação consiste nas atividades de identificação de riscos, análise de riscos e avaliação de riscos. Segundo a Norma, a entrada da atividade de avaliação de riscos é uma lista de riscos

Alternativas
Comentários
  • Avaliação de Riscos

    - Parte de uma lista de riscos com níveis de valores designados e critérios para a avaliação de riscos (resultado da análise de riscos e definição de contexto);
    - O nível de riscos é comparado com os critérios de avaliação de riscos e com os critérios  para a aceitação do risco;
    - É produzida uma lista de riscos ordenados por prioridade (de acordo com os critérios de avaliação de riscos) e associados aos cenários de incidentes que os provocam.
    letra d

  • ABNT NBR ISO/IEC 27005. 

    A minha consulta foi feita na norma de março/2008 e nela percebi que o elaborador tirou literalmente o texto da página 22 conforme abaixo:


    8.3 Avaliação de riscos

    Entrada: Uma lista de riscos com níveis de valores designados e critérios para a avaliação de riscos.

    Ação: Convém que o nível dos riscos seja comparado com os critérios de avaliação de riscos e com os critérios

    para a aceitação do risco (refere-se à ABNT NBR ISO/IEC 27001, Seção 4.2.1 e) 4)).

    ...

    Saída: Uma lista de riscos ordenados por prioridade (de acordo com os critérios de avaliação de riscos) e

    associados aos cenários de incidentes que os provocam.

    vlw


  • dá pra confundir com a entrada de avaliação das consequências


    Estimativas dos riscos (QQ-CPN)


    qualitativa

    quantitativa

    consequencias

    probababilidades

    nível


    Ano: 2014Banca: CESPEÓrgão: TJ-SEProva: Analista Judiciário - Segurança da Informação

    Deve ser recebida como entrada do processo de avaliação de riscos uma lista de cenários de incidentes identificados como relevantes, com as respectivas consequências para os processos de negócio.

    errada ----- entrada de consequências e não avaliação



  • Resumo da norma ISO 27005:2011:

    7 Definição do contexto 

        7.2.2 Critérios para a avaliação de riscos 

        7.2.3 Critérios de impacto 

        7.2.4 Critérios para a aceitação do risco 

    8 Processo de avaliação de riscos de segurança da informação 

        8.2 Identificação de riscos 

            8.2.2 Identificação dos ativos 

            8.2.3 Identificação das ameaças 

            8.2.4 Identificação dos controles existentes 

            8.2.5 Identificação das vulnerabilidades 

            8.2.6 Identificação das consequências 

        8.3 Análise de riscos 

            8.3.2 Avaliação das consequências 

            8.3.3 Avaliação da probabilidade dos incidentes 

            8.3.4 Determinação do nível de risco 

        8.4 Avaliação de riscos 

    9 Tratamento do risco de segurança da informação 

        9.2 Modificação do risco 

        9.3 Retenção do risco 

        9.4 Ação de evitar o risco 

        9.5 Compartilhamento do risco 

    10 Aceitação do risco de segurança da informação 

    11 Comunicação e consulta do risco de segurança da informação 

    12 Monitoramento e análise crítica de riscos de segurança da informação 


  • LETRA D.

    Segundo a ISO 27005:2011,p.30,"8.4 Avaliação de riscos
    Entrada: Uma lista de riscos com níveis de valores designados e critérios para a avaliação de riscos."

ID
1414441
Banca
FCC
Órgão
TJ-AP
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

O objetivo de controle que define o que deve ser alcançado na seção que trata da classificação da informação da Norma ABNT NBR ISO/IEC 27002:2005 é "assegurar que a informação receba um nível adequado de proteção". Um dos controles que podem ser aplicados para se alcançar este objetivo diz que convém que a informação seja classificada em termos do seu valor, e

I. dos requisitos legais.

II. da sensibilidade.

III. da criticidade para a organização.

IV. do seu tamanho.

Está correto o que consta APENAS em

Alternativas
Comentários

  • A informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização.  

  • LETRA B.

    Transcrevo a resposta só para mostrar a fonte da questão.

     

    Segundo a ISO 27002:2013,p.25,

    8.2.1
    Classificação da informação
    Controle
    Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada.

    **Portanto, conforme o controle da norma, a informação não é classificada pelo seu tamanho.

     

  • ISO/IEC 27002 Second edition 2013-10-01

    8.2.1 Classification of information

    Control

    Information should be classified in terms of legal requirements, value, criticality and sensitivity to unauthorised disclosure or modification.

  • Gestão de Ativos > Assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância para a organização > Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada

ID
1455025
Banca
FGV
Órgão
TJ-SC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a norma ISO 27005:2013, analise as afirmativas a seguir:

I. A identificação de ativos deve ser realizada durante a fase de análise de riscos.

II. Para realizar o tratamento de um dado risco, a norma especifica quatro ações possíveis e mutuamente exclusivas entre si.

III. Na etapa de comunicação de riscos, os controles não utilizados para mitigar um dado risco devem ser listados e justificados em uma declaração de aplicabilidade.

As afirmativas corretas são somente:

Alternativas
Comentários
  • I - CERTA - Análise de riscos. Fases de Identificação de riscos:

    - Identificação dos ativos;

    - Identificação das ameaças;

    - Identificação dos controles existentes;

    - Identificação das vulnerabilidades;

    - Identificação das consequências.



    II - ERRADA. São 4 as opções de tratamento porém não são mutuamente exclusivas. Opções de tratamento do risco:

    -redução do risco; 

    - retenção do risco; 

    - evitar o risco; 

    - transferência do risco


    III - ERRADA. Nada que ligue o documento de declaração de aplicabilidade com a etapa de comunicação dos riscos. Declaração de aplicabilidade provê um resumo das decisões relativas a tratamento de risco. Na etapa da comunicação do risco é desenvolvido planos de comunicação dos riscos. 

  • A última ISO relacionada a Gestão de Riscos de Segurança da informação foi publicada em 2011-06-01 - ISO/IEC 27005:2011

    Logo, a questão já começa errada, afirmando: De acordo com a norma ISO 27005:2013 ...

    http://www.iso.org/iso/catalogue_detail?csnumber=56742


  • Essa questão está toda errada. Primeiro, como o colega já citou, não existe 27005:2013 e sim 27005:2011. E a afirmativa I também está errada, vamos ver o porquê:

    A seção 8 da norma 27005:2011 é chamada de Avaliação de Riscos. E ela é subdividida em:

    8. Avaliação de Riscos de SI.
    8.1. Descrição Geral.
    8.2. Identificação de Riscos.
    8.3. Análise de Risco
    8.4. Avaliação de Risco

    A identificação do AACVC (Ativos, Ameaças, Controles existentes, Vulnerabilidades, Consequências) é feita na 8.2. Identificação de Risco e não na 8.3. Análise de Risco.

    Esse cara colocou a referência errada (27005:2013 ao invés de 27005:2011). Além disso, para piorar tudo, usou a 27005:2008 para fazer a questão, onde essa estaria certa.

  • Replicando resposta, melhor visualização:


    I - CERTA - Análise de riscos. Fases de Identificação de riscos:

    - Identificação dos ativos;

    - Identificação das ameaças;

    - Identificação dos controles existentes;

    - Identificação das vulnerabilidades;

    - Identificação das consequências.

    Memorização: AACVC


    II - ERRADA. São 4 as opções de tratamento porém NÃO são mutuamente exclusivas. Opções de tratamento do risco:

    - Redução do risco; 

    - Retenção do risco; 

    - Evitar o risco; 

    - Transferência do risco

    Memorização: RRET


    III - ERRADA. Nada que ligue o documento de declaração de aplicabilidade com a etapa de comunicação dos riscos.

    Declaração de aplicabilidade provê um resumo das decisões relativas a tratamento de risco.

    Na etapa da comunicação do risco é desenvolvido planos de comunicação dos riscos.


  • 2011

    2018

    O Processo de Gestão de Riscos de Segurança da Informação é formado por diversas etapas. De acordo com a ABNT NBR ISO/IEC 27005:2011, assinale a opção que indica as atividades da etapa Processo de Avaliação de Riscos.

    A Monitoramento e análise crítica de riscos.

    B Tratamento e aceitação do risco.

    C Identificação, análise e avaliação de riscos.

    D Comunicação, compartilhamento e consulta do risco.

    E Modificação, retenção e ações para evitar os riscos.

    2008

    2018

    A NBR ISO/IEC 27005 define risco como a combinação das consequências advindas da ocorrência de um determinado evento indesejado com a probabilidade de ocorrência desse mesmo evento. A análise e a avaliação de riscos capacitam os gestores a priorizar os riscos.

    De acordo com essa norma, a atividade de análise de riscos inclui

    A a comunicação e a avaliação de riscos.

    B o tratamento e a aceitação de riscos.

    C a estimativa e o tratamento de riscos.

    D a avaliação e o tratamento de riscos.

    E a identificação e a estimativa de riscos.

ID
1460302
Banca
FCC
Órgão
CNMP
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

A Norma ISO/IEC 27002:2005, na seção relativa à Segurança em Recursos Humanos, estabelece que:

Antes de realizar a contratação de um funcionário ou mesmo de fornecedores e terceiros, é importante que cada um deles entenda suas responsabilidades e esteja de acordo com o papel que desempenhará. Portanto, as ...... e os termos e condições de contratação devem ser explícitos, especialmente no que tange às responsabilidades de segurança da informação. É importante também que quaisquer candidatos sejam devidamente analisados, principalmente se forem lidar com informações de caráter sigiloso. A intenção aqui é mitigar o risco de roubo, fraude ou mau uso dos recursos.

Corresponde corretamente à lacuna:

Alternativas
Comentários

  • LETRA D.

    Segundo a ISO 27002,"8.1 Antes da contratação

    Objetivo: Assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis, e reduzir o risco de roubo, fraude ou mau uso de recursos.

    Convém que as responsabilidades pela segurança da informação sejam atribuídas antes da contratação, de forma adequada, nas descrições de cargos e nos termos e condições de contratação.

    Convém que todos os candidatos ao emprego, fornecedores e terceiros sejam adequadamente analisadosespecialmente em cargos com acesso a informações sensíveis.

    Convém que todos os funcionários, fornecedores e terceiros, usuários dos recursos de processamento da informação, assinem acordos sobre seus papéis e responsabilidades pela segurança da informação.

    "

  • Phishing é uma técnica de fraude online, utilizada por criminosos no mundo da informática para roubar senhas de banco e demais informações pessoais, usando-as de maneira fraudulenta.

    A expressão phishing (pronuncia-se "fichin") surgiu a partir da palavra em inglês "fishing", que significa "pescando". Ou seja, os criminosos utilizam esta técnica para "pescar" os dados das vítimas que "mordem o anzol" lançado pelo phisher ("pescador"), nome que é dado a quem executa um phishing.

  • Questão idiota, várias alternativas manteriam o sentido geral, cobrar a literalidade do texto é incapacidade de interpreta-lo para formular uma questão que cobrasse o conhecimento.

  • Anne Calil... e kiko?

  • FCC = memorização de texto.

  • A maioria dos concurseiros criticam a FCC, mas o CESPE faz questão identica.

  • Cobrar 27002:2005 sendo que já tem a norma 27002:2013, 8 anos mais nova SUCKS!

  • Exige a leitura. Muito boa questão. 

  • Ferrando Com Concurseiros!

  • Descrição dos cargos kkkkkkk

     

ID
1495357
Banca
VUNESP
Órgão
TCE-SP
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

A norma NBR ISO/IEC 27005:2011 estabelece a correspondência entre processos de um Sistema de Gestão de Segurança da Informação (SGSI) e processos de gestão de riscos da segurança da informação. Assinale a alternativa que contém uma correspondência correta entre os dois tipos de processos.

Alternativas
Comentários

  • LETRA D. Vou responder conforme a ISO 27005 de 2008, mas vou postar um link com a iSO de 2011 para vocês.


    Segundo a ISO 27005:2008,Tabela 1, "

    Planejar:Definição do contexto,Análise/avaliação de riscos,Plano de tratamento do risco,Aceitação do risco.

    Executar:Implementação do plano de tratamento do risco.

    Verificar:Monitoramento contínuo e análise crítica de riscos

    Agir:Manter e melhorar o processo de Gestão de Riscos de Segurança da Informação

    "

    http://pt.scribd.com/doc/103599061/ISO-IEC-27005-Gestao-de-Riscos-TI#scribd

  • Letra D

    Segundo a aula do Thiago Fagury: 

    Plan: Definição do contexto, Análise/Avaliação de riscos, Definição do plano de tratamento dos riscos, Aceitação do risco.

    Do: Implementação do plano de tratamento dos riscos.

    Check: Monitoramento contínuo e análise crítica do risco

    Act: Manter e melhorar processo de Gestão de Riscos de Segurança da Informação

  • Eu penso assim, tenho que acertar então gravei desta forma:

    Plan, Do, Check and Act. Gravo os 3 últimos de acordo com o que o colega HTTP Concurseiro disse e o restante é Plan. Legal?

  • Gabarito D

    Dica para aprender sobre as fases em relação ao PDCA: Apenas os 3 últimos processos não são de planejamento. Sendo assim, os processos de GRSI ficam organizados como:

    Planejamento (Plan):

    − Definição do contexto.

    − Avaliação de riscos.

    − Definição do plano de tratamento do risco.

    − Aceitação do risco.

    Realizar/executar (Do)

    − Implementação do plano de tratamento do risco.

    Verificar (Check)

    − Monitoramento contínuo e análise crítica de riscos.

    Agir (Act)

    − Manter e melhorar o processo de GRSI.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • 2018

    Estabelecida pela norma ABNT NBR ISO/IEC 27005:2011, a abordagem sistemática de gestão de riscos considera como parte da fase "Planejar" do ciclo PDCA de um sistema de gestão de segurança da informação, o processo denominado

    A implementação do plano de tratamento do risco.

    B aceitação do risco.

    C monitoramento contínuo e análise crítica de riscos.

    D melhoria do processo de gestão de riscos de segurança da informação.

    E reaplicação do processo de gestão de riscos de segurança da informação.

  • Assertiva D

    Planejar – plano de tratamento de risco.

ID
1495360
Banca
VUNESP
Órgão
TCE-SP
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Segundo a norma NBR ISO/IEC 27005:2011, considerando uma iteração completa do processo de gestão de riscos, são previstas as seguintes atividades (não necessariamente na ordem correta de execução):
I. Tratamento de riscos
II. Análise de riscos
III. Identificação de riscos
IV. Aceitação de riscos
V. Avaliação de riscos
Considerando uma sequência direta na execução dessas atividades, sem pontos de retorno intermediários, a ordem correta de execução dessas 5 atividades é:

Alternativas
Comentários

  • Pessoal eu pensei assim! Para analisar, verificar, tratar e aceitar eu preciso identificar o que eu quero. Não somente na área de risco mas em todas as nossas atividades diárias, então a primeira é o número III, só isso ganhamos a questão, mas podemos prosseguir no pensamento. Se identificamos, vamos fazer o que depois? Sendo um pouco "professor" em horas vagas, vejo que para avaliar se alguém aprendeu alguma coisa, primeiro tenho que analisar "examinar", então alternativa próxima é a de número II e depois, consequentemente, número V. ganhamos a questão e fomos felizes para casa hahaha. Abraço!

  • Uma dessa não cai no CESPE kkkkkkkkkkkk

  •  

    Segundo a ISO 27005:2011,"6 Visão geral do processo de gestão de riscos de segurança da informação

    O processo de gestão de riscos de segurança da informação consiste na definição do contexto (Seção 7), processo de avaliação de riscos (Seção 8), tratamento do risco (Seção 9), aceitação do risco (Seção 10), comunicação e consulta do risco (Seção 11) e monitoramento e análise crítica de riscos (Seção 12)."

  • Gabarito C

    A única alternativa que tem identificação de riscos como a primeira opção é a alternativa C. Dá pra matar a questão logo aí....

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
1500052
Banca
FCC
Órgão
CNMP
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

A Norma NBR ISO/IEC 27002:2005 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é

Alternativas
Comentários

  • LETRA B.

    Segundo a ISO 27002,"7.1.1 Inventário dos ativos

    Existem vários tipos de ativos, incluindo:

    f) intangíveis, tais como a reputação e a imagem da organização."


    As demais alternativas podem ser encontradas no mesmo item da norma.



    • a) o plano de continuidade do negócio.    (Ativo de informação)
    • b) a reputação da organização. (Ativo Intangível)
    • c) a base de dados e arquivos. (Ativo de informação)
    • d) o serviço de iluminação.   (Ativo de serviços)
    • e) o equipamento de comunicação. (Ativo físico)


  • Ano: 2014

    Banca: CESPE

    Órgão: ANATEL

    Prova: Analista Administrativo - Tecnologia da Informação

    Resolvi errado

    Com relação à norma NBR ISO/IEC 27005:2008, que fornece diretrizes para o processo de gestão de riscos de segurança da informação nas organizações, julgue os itens subsecutivos. 

    Ativos de informação, ativos de software, ativos físicos, serviços, pessoas e intangíveis são exemplos de ativos de uma organização.

      •      
    Certo

     •      
    Errado

    cerrttoo

  • As alternativas:

    a) tangível, pode-se tocar, pegar, é um documento, é físico

    b) intangível, não se pode tocar. Item certo

    c) pode ser uma sala, um local, em banco de dados os dados são armazenados no nível físico, portanto, este item é considerado tangível.

    d) não diz que tipo de serviço, portanto não pode ser considerado um ativo. Serviço intangível é aquele que vc paga por ele, mas não tem sua propriedade. Ex. ensino.

    e) ver letra c.

  • Tipos de ativo

     

    Informação - BD, manuais, procedimentos

    Software - aplicativos, sistemas

    Físicos - equipamentos

    Serviços - utilidades gerais

    Pessoas e suas qualificações, habilidades e experiências

    Intangíveis - reputação

  • A ISO 27002:2013 NÃO TRAZ MAIS ESSES TIPOS DE ATIVOS. A ISO 27005:2011 TRAZ OUTRA FORMA.

    Segundo a ISO 27005:2011,

    "Dois tipos de ativos podem ser distinguidos:
     Ativos primários:
     Processos e atividades do negócio
     Informação
     Ativos de suporte e infraestrutura (sobre os quais os elementos primários do escopo se apoiam), de todos os tipos:
     Hardware
     Software
     Rede
     Recursos humanos
     Instalações físicas
     A estrutura da organização"

  • Gabarito B

    As normas, em sua maioria, fazem referência a seis grandes grupos de ativos, que são:

    � Ativos de Informação: informação digital e em papel;

    � Ativos de Software: sistemas, aplicações, ferramentas;

    � Ativos Físicos: dispositivos de processamento, armazenamento, ambientes;

    � Serviços: serviços de computação, serviço de transporte de dados (aluguel de link), serviço de fornecimento de energia elétrica;

    � Pessoas: funcionários, terceiros, estagiários;

    � Ativos Intangíveis: imagem da empresa, reputação, credibilidade, vantagem estratégica. Com estas seis categorias é possível classificar qualquer ativo (RAMOS, 2007).

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Acho que "serviços" é algo intangível. Acho que daria para entrar com recurso na época. 

ID
1523680
Banca
FEMPERJ
Órgão
TCE-RJ
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A gestão de riscos envolve diversas atividades. Segundo a norma ISO 27005, faz parte da atividade chamada análise/ avaliação de riscos:

Alternativas
Comentários

  • LETRA B.

    Segundo a ISO 27005,"8.1 Descrição geral do processo de análise/avaliação de riscos de segurança da informação

    A análise/avaliação de riscos consiste nas seguintes atividades:

      -Análise de riscos (Seção 8.2) compreende:

               Identificação de riscos (Seção 8.2.1)

               Estimativa de riscos (Seção 8.2.2)

      -Avaliação de riscos (Seção 8.3)

    "


    **As demais alternativas são outras etapas da gestão de riscos, assim como a análise/avaliação de riscos.

  • Na nova ISO 27005:2011, a nova redação é assim:

    8.1 Descrição geral do processo de avaliação de riscos de segurança da informação

    O processo de avaliação de riscos consiste nas seguintes atividades:

     -Identificação de riscos (Seção 8.2)

    - Análise de riscos (Seção 8.3)

    - Avaliação de riscos (Seção 8.4)


  • Gabarito B

    A análise/avaliação de riscos consiste nas seguintes atividades:

      -Análise de riscos (Seção 8.2) compreende:

               Identificação de riscos (Seção 8.2.1)

               Estimativa de riscos (Seção 8.2.2)

      -Avaliação de riscos (Seção 8.3)

     

    Vamos na fé !

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Prezados,

    Conforme imagem abaixo, do fluxo da 27005, vemos que a atividade análise/avaliação engloba a estimativa de riscos.




    Portanto a alternativa correta é a letra B
ID
1523683
Banca
FEMPERJ
Órgão
TCE-RJ
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a norma ISO 27005, a retenção de riscos:

Alternativas
Comentários

  • LETRA C.   Retiraram de uma NOTA da norma. haha. vida de concurseiro de TI não tá mole não.


    Segundo a ISO 27005,"

    3 Termos e definições

    3.8

    retenção do risco: aceitação do ônus da perda ou do benefício do ganho associado a um determinado risco

    [ABNT ISO/IEC GUIA 73:2005]


    NOTA No contexto dos riscos de segurança da informação, somente conseqüências negativas (perdas) são consideradas para a retenção do risco.

    "

  • Gabarito C

    Retenção de riscos (risk retention)

    aceitação do ônus de uma perda, ou dos benefícios de um ganho, resultante de um determinado risco.

    Nota 1 - A retenção de riscos inclui a aceitação de riscos que não tenham sido identificados.

    Nota 2 - A retenção de riscos não inclui tratamentos envolvendo seguro ou transferência por qualquer outro meio.

    Nota 3 - Pode haver variabilidade no grau de aceitação e dependência em relação aos critérios de risco.




    Retroceder Nunca Render-se Jamais !

    Força e Fé !

    Fortuna Audaces Sequitur !

  • Prezados,

    Quando a organização opta por reter o risco , isso significa que ela irá trabalhar com o risco existente por ele estar dentro de um nível de criticidade registrado e aceito conforme a politica da organização. Esse risco entretanto, é considerado apenas as consequências negativas dele.

    Portanto a alternativa correta é a letra C
ID
1529704
Banca
Quadrix
Órgão
DATAPREV
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Quando se trata de segurança da informação, devemos sempre nos preocupar com normas e procedimentos que a empresa vai seguir para suas atividades, a fim de proteger sua informação e a de seu cliente, haja que a informação é o bem mais precioso que se tem atualmente. Devemos levar em conta que muitas vezes lidamos com informações do cliente ou mesmo informações críticas da nossa empresa, que devem ter sua confidencialidade e integridade mantidas, e as normas agregam procedimentos que visam a essa segurança (embora seguir as normas não seja garantia total de segurança).
Considerando essa preocupação, a ISO criou a série 27000, com normas específicas de segurança, que são as mais usadas pelo mercado. A série ISO 27000 é composta por 6 normas, uma das quais trata da gestão de riscos, fornecendo diretrizes para o gerenciamento de informações de risco. Identifique, a seguir, qual alternativa contém essa norma.

Alternativas
Comentários

  • A questão fala sobre a norma ISO 27005

  • 27001 SGSI - Requisitos

    27002 Código de Práticas para Controle da SI (antiga 17799)

    27005 Gestão de Riscos da SI

    Info adicional: abnt.gov.br

  • A família ISO/IEC 27000 é grande, existem diversas normas relacionadas à SGSI. As mais conhecidas são:


    ISO/IEC 27000 – São informações básicas sobre as normas da série.

    ISO/IEC 27001 – Bases para a implementação de um SGSI em uma organização.
    ISO/IEC 27002 – Certificação profissional, traz códigos de práticas para profissionais.
    ISO/IEC 27003 – Diretrizes mais específicas para implementação do SGSI.
    ISO/IEC 27004 – Normas sobre as métricas e relatórios do SGSI.
    ISO/IEC 27005 – Norma sobre gestão de riscos do SGSI.
    Fonte: https://pt.wikipedia.org/wiki/ISO_/_IEC_27000

  • Segundo a ISO 27005:2011,pág. 5, "

    Esta Norma (ISO 27005) fornece diretrizes para o processo de Gestão de Riscos de Segurança da Informação de uma organização, atendendo particularmente aos requisitos de um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a ABNT NBR ISO/IEC 27001.

    "

  • É so lembrar que risco tem 5 letras:

     

    ISO/IEC 27000: Information Security Management Systems – Overview and Vocabulary


    ISO/IEC 27001: Information Security Management Systems – Requ11111rements


    ISO/IEC 27002: Code of Practice for Information Security Management.


    ISO/IEC 27003: Information Security Management System Implementation Guidance


    ISO/IEC 27004: Information Security Management Measurements


    ISO/IEC 27005: Information Security Risk Management


    ISO/IEC 27006: Requirements for Bodies Providing Audit and Certification of Information Security Management Systems

ID
1530946
Banca
FGV
Órgão
AL-MT
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à Gestão da Segurança da Informação, assinale a alternativa que indica a norma especificamente destinada a fornecer orientação para o gerenciamento de risco da segurança da informação.

Alternativas
Comentários

  • Alguém saberia dizer qual é a diferença entre as a norma NBR ISO/IEC 27002 – Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo “estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização” e norma ISO 27005 (que pertence a família de normas 27000), de Gestão de Riscos de Tecnologia da Informação.  O porque da resposta ser a alternativa "C"???/


  • GABRITO: C

     

    ISO 27001 é uma especificação para um SGSI. É o padrão de segurança contra os quais certificação formal está disponível;

    ISO 27002 Código de Práticas para a Gestão da Segurança da Informação;

    ISO 27005 ISMS de Gestão de Risco;

    ISO 27006 - Requisitos para organismos que prestem auditoria e certificação de um SGSI;

    ISO 27010 - Gestão de segurança da informação para as comunicações inter-setoriais e inter-organizacionais.

  • Segundo a ISO 27005:2011,pág. 5, "

    Esta Norma (ISO 27005) fornece diretrizes para o processo de Gestão de Riscos de Segurança da Informação de uma organização, atendendo particularmente aos requisitos de um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a ABNT NBR ISO/IEC 27001.

    "

  • Gabarito C

    A Norma ABNT NBR ISO/IEC 27005:2008 – Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação define as diretrizes para o processo de gestão de riscos de segurança da informação.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
1585252
Banca
FCC
Órgão
TCE-CE
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Segundo a norma NBR ISO/IEC 27005:2011, que trata da Gestão de Riscos de Segurança da Informação,

Alternativas
Comentários
  • Na letra a a analise/avaliação de risco pode ser feita quantas vezes for necessário, ou até que tenha resultados para iniciar o tratamento de risco, o que já leva a resposta (letra c), e o tratamento pode ser: reduzir o risco, reter o risco, transferir o risco ou evitar o risco, o que torna a letra b também errada.

    e na letra e não existe a sub-atividade responder aos riscos 

  • ERRADA       A) Segundo a ISO 27005:2011,"(...) pode ser necessária uma outra iteração do processo de avaliação de riscos, com mudanças nas variáveis do contexto (...)"

    _________________________________________


    ERRADA     B)Segundo a norma," Há quatro opções disponíveis para o tratamento do risco: modificação do risco (ver 9.2), retenção do risco (ver 9.3), ação de evitar o risco (ver 9.4) e compartilhamento do risco (ver 9.5).


    _______________________________________

    CORRETA. C) Segundo a norma,"A eficácia do tratamento do risco depende dos resultados do processo de avaliação de riscos."

    ________________________________________

    ERRADA. D) (...) seguida por uma fase adicional de tratamento do risco (...)

    ________________________________________

    ERRADA. E) 

    O processo de avaliação de riscos consiste nas seguintes atividades:  Identificação de riscos (Seção 8.2); Análise de riscos (Seção 8.3);

     Avaliação de riscos (Seção 8.4).

    ________________________________________

    "

  • Análise de riscos: indetificação de riscos, estimativa de riscos.


ID
1643353
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à gestão de riscos, julgue o próximo item.

Conforme a NBR ISO/IEC 27005:2011, para a avaliação dos riscos de segurança da informação na organização, convém que os critérios de avaliação sejam desenvolvidos considerando-se a criticidade dos ativos de informação envolvidos.

Alternativas
Comentários

  • Segundo a ISO 27005:2011,"

    7.2.2 Critérios para a avaliação de riscos

    Convém que os critérios para a avaliação de riscos sejam desenvolvidos para avaliar os riscos de segurança da informação na organização, considerando os seguintes itens:


    - A criticidade dos ativos de informação envolvidos

    "