SóProvas



Questões de Norma ISO 27001


ID
32800
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Considere a seguinte frase sobre a norma ISO 27001:2005:

A norma ISO 27001:2005 utiliza o modelo _______ de melhoria para estruturar todos os processos do _______.

Qual das opções abaixo completa corretamente a frase acima?

Alternativas
Comentários
  • Realmente, o único "desafio" da questão é saber as siglas =/
  • tipica questão que não mede nada!
  • A ISO/IEC 27001 adota o modelo conhecido como “Plan-Do-Check-Act” (PDCA), aplicado para estruturar todos os processos do SGSI, de forma que as entradas do processo são as expectativas e requisitos desegurança de informação da organização.



    http://waltercunha.com/blog/index.php/2009/06/15/nbr-isoiec-270012006/
  • Na íntegra da norma

    Segundo a ISO 27001, "

    0.2 Abordagem de processo

    Esta Norma adota o modelo conhecido como "Plan-Do-Check-Act” (PDCA), que é aplicado para estruturar todos os processos do SGSI. A figura 1 ilustra como um SGSI considera as entradas de requisitos de segurança de informação e as expectativas das partes interessadas, e como as ações necessárias e processos de segurança da informação produzidos resultam no atendimento a estes requisitos e expectativas."

  • Vou citar trechos da norma 27001 q justifiquem cada uma das alternativas:

    Conforme descrito na norma 27001, "(...) esta Norma adota o modelo conhecido como "Plan-Do-Check-Act” (PDCA), que é aplicado para estruturar todos os processos do SGSI. Veja o ciclo PDCA aqui http://postimg.org/image/rhlr4iyxp/.

    O SGSI(sistema de gestão da segurança da informação ) tem a seguinte definição na norma:

    É parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação.O sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos.

    Portanto, a alternativa correta é a B.

  • O ISO/OEC 27.000 é alinhado com o COBIT 5 e engloba todos os processos de gestão do COBIT 5, portanto englobaria todos os processos de PBRM (Planejar, Construir, Entregar e Monitorar) do COBIT 5, más não engloba os processos específicos de governança corporativa EDM (Avaliar, Dirigir e Monitorar).

  • Questão tranquila para quem estudou a 27001, mesmo que superficialmente.

    Vamos na fé.

  • SGSI é um Sistema de Gestão de Segurança da Informação (não necessariamente informatizado). A questão é bem clara em falar "processos", processos estes( de acordo com o contexto) pertencentes ao sistema de gestão (SGSI);  Já o PDCA - É um modelo, também conhecido como cliclo PDCA que é o planejar, desenvolver, checar e atuar..

  • b-

    ISO/IEC 27000: Information Security Management Systems – Overview and Vocabulary


    ISO/IEC 27001: Information Security Management Systems – Requirements

    ISO/IEC 27002: Code of Practice for Information Security Management

    ISO/IEC 27003: Information Security Management System Implementation Guidance


    ISO/IEC 27004: Information Security Management Measurements


    ISO/IEC 27005: Information Security Risk Management


    ISO/IEC 27006: Requirements for Bodies Providing Audit and Certification of Information Security Management Systems

     

    ISO 27001 – Requisitos do SGSI;
    ISO 27002 – Controles de Segurança;
    ISO 27003 – Diretrizes de Implementação;
    ISO 27004 – Medição;
    ISO 27005 – Gestão de Risco;
    ISO 27006 – Auditoria de Segurança.

     

    PDCA -> controle de qualidade:


    Plan -identificação do problema, análise do processo e definição do plano de ação para melhoria dele
    Do - plano de ação executado e controlado.
    Check - verificações e aprendizagem.
    Action - correcao e melhoria contínua.


ID
32803
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Integridade, confidencialidade e disponibilidade das informações constituem alguns dos aspectos que orientam a análise, o planejamento e a implementação da segurança dentro das empresas. Dentro deste contexto, pode-se afirmar que

Alternativas
Comentários
  • a) O gerenciamento da capacidade é um processo da ITIL que visa fornecer a capacidade exigida de processamento e armazenamento no momento e no custo adequado.

    Os benefícios do gerenciamento da capacidade são principalmente a reduções de riscos e custos e a possibilidade de se obter previsões mais confiáveis.
  • Porque a alternativa A não está correta:"a disponibilidade das informações está intimamente relacionada à tolerância a falhas dos sistemas": até aqui, tudo certo."sendo a investigação das razões das falhas uma das principais atividades do Gerenciamento da Capacidade do ITIL": errado! Quem cuida de investigar causas de falhas, ou incidentes, é a Gestão de Problemas.
  • ISO/IEC 27001 é um padrão para sistema de gestão da segurança da informação (ISMS - Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commision. Seu nome completo é ISO/IEC 27001:2005 - Tecnologia da informação - técnicas de segurança - sistemas de gerência da segurança da informação - requisitos mas conhecido como "ISO 27001".Seu objetivo é ser usado em conjunto com ISO/IEC 17799, o código de práticas para gerência da segurança da informação, o qual lista objetivos do controle de segurança e recomenda um conjunto de especificações de controles de segurança.http://pt.wikipedia.org/wiki/ISO_27001
  • a) O ITIL é um conjunto de melhores práticas de gerenciamento de servicos. O gerenciamento da capacidade diz: "Enfatiza o planejamento e o alinhamento com a demanda de forma a garantir que os niveis de Servico acordados possam ser cumpridos." Ou seja, nao tem haver com disponibilidade.
    Já o gerenciamento da Disponibilidade diz: "Processo de garantir uma disposicao adequada dos recursos,  metodos e tecnicas, para dar suporte a disponibilidade dos servicos de ti."
  • Conforme a ISO 27001, item A.7 Gestão de Ativos e mais precisamente: o item A.7.2 Classificação da Informação, tem por objetivo "assegurar que a informação receba um nível adequado de proteção". Sendo assim, o item A.7.2.1 Recomendações de classificação orienta: "A informação deve ser classificada em termos de seu valor, requisitos legais, sensibilidade e criticidade para a organização".
  • Resposta letra D

    auto explicativa :

    segundo a ISO 27001:2005, a informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a empresa
  • A) Errada. A investigação das causas de uma falha é uma atividade do Gerenciamento de Problemas do ITIL.
    B) Errada. O Cobit define 7 critérios para a informação: dois fiduciários (conformidade e confiabilidade), dois de qualidade (Efetividade e Eficiência) e três de segurança (Disponibilidade, Confidencialidade e Integridade). Além disso, também define o processo DS5 - Assegurar a Segurança dos Serviços. Logo, o Cobit trata de aspectos de segurança.
    C) Errada. Acho que nenhum documento do mundo deva conter "todos os aspectos técnicos" de alguma coisa. Ia ser papel que não acaba mais. Bom, existe um requisito de controle genérico do cobit (PC5 - Políticas Planos e Procedimentos) que define e comunica como todas as políticas, planos e procedimentos que direcionam os processos de TI  devem ser documentados. Resumidamente, esse PC5 diz que esses documentos devem ser "acessíveis, corretos, entendidos e atualizados". (Cobit 4.1, pag 18)
    D) Correta. Os comentários acima já são ótimos. Na verdade, marquei a "d" por eliminação. =P
    E) Errada. O comprometimento da segurança é lógico.

ID
50527
Banca
CESPE / CEBRASPE
Órgão
DPF
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a bancos de dados e processos de informação,
julgue os itens seguintes.

O ciclo de vida da informação em uma organização pode corresponder às seguintes fases: criação e recebimento; distribuição; uso; manutenção; e descarte.

Alternativas
Comentários
  • Esta questão é de ARQUIVOLOGIA.
  • Segurança da informação também trada do ciclo de vida da informação...

  • particularmente acho que falta a classificação da informação em: pública, restrita, etc..

  • Eu jurava que essa questão era de arquivologia. Já vi esse tipo de definição em arquivologia.

  • De acordo com o que pesquisei as etapas do ciclo de vida da informação seriam: recebimento ou criação; tratamento; distribuição; uso e descarte. Por isso achei que estivesse errada, pela falta do item tratamento e a sobra do item manutenção. Se alguém puder esclarecer ficarei grato.
  • Caro Vinicius, questão do Cespe é assim mesmo, ou seja, se tiver incompleta, mas sem nenhum erro - é certo.

    Bons estudos :)
  • Caros amigos, não é que a questão esteja incompleta. As questões da Cespe não mede apenas conhecimento do assunto, elas sempre vêm  acompanhadas de interpretação de texto. A questão diz: O ciclo de vida da informação em uma organização pode corresponder às seguintes fases: criação e recebimento; distribuição; uso; manutenção; e descarte. As palavras em destaque são fundamentais para interpretar se a questão está certa ou errada.
    Aqui a Cespe não pede todas as fases. Ela afirma que as fases de "
     criação e recebimento; distribuição; uso; manutenção; e descarte" estão inseridas no ciclo de vida da informação de uma organização, o que está totalmente correto.
    Nas questões da Cespe não basta saber o conteúdo da matéria, tem que raciocinar, interpretar. Outra coisa, essa questão é de arquivologia. Bons estudos.
  • Ciclo de informação e a mesma coisa que ciclo de vida de dados?


ID
56821
Banca
CESPE / CEBRASPE
Órgão
ANAC
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à norma ISO 27001, julgue os itens a seguir.

A norma em questão trata da definição de requisitos para um sistema de gestão de segurança da informação

Alternativas
Comentários
  • ISO/IEC 27001 é um padrão para sistema de gestão da segurança da informação (ISMS - Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commision. Seu nome completo é ISO/IEC 27001:2005 - Tecnologia da informação - técnicas de segurança - sistemas de gerência da segurança da informação - requisitos mas conhecido como "ISO 27001".

    Seu objetivo é ser usado em conjunto com ISO/IEC 17799, o código de práticas para gerência da segurança da informação, o qual lista objetivos do controle de segurança e recomenda um conjunto de especificações de controles de segurança. Organizações que implementam um ISMS de acordo com as melhores práticas da ISO 17799 estão simultaneamente em acordo com os requisitos da ISO 27001, mas uma certificação é totalmente opcional.

  •  O conceito geral da NBR ISO/IEC 27001 é a definição de requisitos para um SGSI(Sistema de gestão de segurança da informação)

  • CERTO
    Segundo a ISO 27001, p.4,"
    1 Escopo
    1.1 Geral
    Esta Norma cobre todos os tipos de organizações (por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos). Esta Norma especifica os requisitos para estabelecer e implementar, operar, monitorar, revisar, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. Especifica requisitos para a implementação de controles de segurança customizados para as necessidades individuais de organizações ou suas partes."

    lembrando que: SGSI =ISMS=SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
  • Requisitos para IMPLANTAR um SGSI


ID
56824
Banca
CESPE / CEBRASPE
Órgão
ANAC
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à norma ISO 27001, julgue os itens a seguir.

Na definição de um sistema de gestão de segurança da informação, deve-se definir o escopo, a política e a abordagem para a identificação de riscos, bem como identificar e avaliar alternativas para o tratamento dos mesmos.

Alternativas
Comentários
  • Questão certa!

    http://pt.wikipedia.org/wiki/ISO_27001

  • É o que está especificado na seção 4.2 da norma (em inglês, ao menos). Além do que já foi dito, também é preciso, segundo essa seção, selecionar os controles para o tratamento do risco, obter aprovação da gerencia do risco residual proposto, obter aprovação da gerência para implementar e operar o sistema de gerenciamento de segurança da informação e preparar a declaração de aplicabilidade.


ID
56827
Banca
CESPE / CEBRASPE
Órgão
ANAC
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à norma ISO 27001, julgue os itens a seguir.

Apesar de recomendável, a aceitação de riscos residuais não precisa necessariamente passar pela aprovação da gestão superior da organização.

Alternativas
Comentários
  • Segundo a norma:

    4.2 Estabelecendo e gerenciando o SGSI
    4.2.1 Estabelecer o SGSI
    h) Obter aprovação da direção dos riscos residuais propostos.


    Rafael Eduardo Barão
    http://www.itnerante.com.br/profile/RafaelBarao
    http://www.provasdeti.com.br/por-professor/rafael-barao.html

  • Gabarito Errado

    Para a ISO 27001 e ISO 27005, a aceitação de risco é parte do processo de tomada de decisão do tratamento de risco. A aceitação de risco declara a condição que você utiliza para decidir se você pode conviver com um risco em particular. Para valores financeiros como critérios de risco, uma certa quantidade de dólares (milhares ou milhões) é um exemplo de condição de aceitação de risco.

    Esta na norma:

    4.2 Estabelecendo e gerenciando o SGSI
    4.2.1 Estabelecer o SGSI
    h) Obter aprovação da direção dos riscos residuais propostos.

     

    Vamos na fé !

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Questão datada. ABNT ISO/IEC 27001:2013 6.1.3 f) obter a aprovação dos responsáveis pelos riscos do plano de tratamento dos riscos de segurança da informação e a aceitação dos riscos residuais de segurança da informação


ID
56830
Banca
CESPE / CEBRASPE
Órgão
ANAC
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à norma ISO 27001, julgue os itens a seguir.

Na implementação e operacionalização do sistema de gestão de segurança da informação, deve-se medir a eficácia dos controles propostos.

Alternativas
Comentários
  • Na minha opinião, apesar do gabarito definitivo trazer esta questão como certa, ela está errada, pois, segundo a Norma ABNT NBR ISO IEC 27001:2006:
     
    Em 4.2.2 implementar e operar o SGSI
    d) Definir como medir a eficácia dos controles ou grupos de controles selecionados, e especificar como estas medidas devem ser usadas para avaliar e eficácia dos controles de modo a produzir resultados comparáveis e reproduzíveis (ver 4.2.3c)
     
    4.2.3 Monitorar e analisar criticamente o SGSI
    c) Medir a eficácia dos controles para verificar que os requisitos de segurança da informação foram atendidos.
  • Concordo com o Alessander, pois na fase DO (implementar e operar) deve-se definir COMO medir a eficácia dos controles e não medi-los propriamente dito.
  • Boa tarde.
    Uma nova interpretacao para a questao, embora o texto da norma mostrado no comentario acima realmente indique a presença durante MONITORAR e ANALISAR : medicao somente pode ser realizada durante a execucao dos processos, que estaria ligado a OPERAR.
    Foi assim que raciocinei para responder, mas reconheço que o texto da norma aponta para MONITORAR e ANALISAR ... sabem se o gabarito mudou ?
    OBrigado.
     
  • Reforço a ideia de que a resposta do gabarito deveria ser Errado, assim como também reforço o conhecimento de que, na implementação e operação do SGSI, deve-se definir como medir a eficácia dos controles. Já a medição propriamente dita da eficácia dos controles fica a cargo da monitoração e análise crítica do SGSI.

  • Definir como medir: DO

    Medir: Check

ID
56833
Banca
CESPE / CEBRASPE
Órgão
ANAC
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à norma ISO 27001, julgue os itens a seguir.

O sistema de gestão de segurança da informação é o sistema global de gestão, embasado em uma abordagem de risco, que permite definir, implementar, operacionalizar e manter a segurança da informação.

Alternativas
Comentários
  • a questão afirma que o SGSI É O SISTEMA GLOBAL DE GESTÃO. Aí está o erro pois o SGSI é PARTE do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar,operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação.Referência: ABNT NBR ISO/IEC 27001:2006, item 3.7
  • Segundo os objetivos da ISO 27001:

    Esta Norma cobre todos os tipos de organizações (por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos). Esta Norma especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização.


ID
70348
Banca
FCC
Órgão
TRT - 3ª Região (MG)
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Segundo a norma ABNT 27001, os sistemas de gestão de segurança da informação (SGSI) devem estabelecer programas de conscientização e treinamento em segurança no processo de

Alternativas
Comentários
  • Pegadinha.Veja o item e)Trocaram a palavra implementar por estabelcer só para confundir.4.2.2 Implementar e operar o SGSI A organização deve: a) Formular um plano de tratamento de riscos que identifique a ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança (ver seção 5). b) Implementar o plano de tratamento de riscos para alcançar os objetivos de controle identificados, que inclua considerações de financiamentos e atribuição de papéis e responsabilidades. c) Implementar os controles selecionados em 4.2.1g) para atender aos objetivos de controle. d) Definir como medir a eficácia dos controles ou grupos de controles selecionados, e especificar como estas medidas devem ser usadas para avaliar a eficácia dos controles de modo a produzir resultados comparáveis e reproduzíveis (ver 4.2.3c)). NOTA A medição da eficácia dos controles permite aos gestores e à equipe determinar o quanto os controles alcançam de forma satisfatória os objetivos de controle planejados. e) Implementar programas de conscientização e treinamento (ver 5.2.2). f) Gerenciar as operações do SGSI. g) Gerenciar os recursos para o SGSI (ver 5.2). h) Implementar procedimentos e outros controles capazes de permitir a pronta detecção de eventos de segurança da informação e resposta a incidentes de segurança da informação (ver 4.2.3 a)).
  • Vamos colocar a fonte pessoal.
  • DO (Implementar e Operar)

    A organização deve:
    1. formular um plano de tratamento de risco; (cuidado, pois esse item parece fazer parte do PLAN, devido ao termo ''formular''
    2. implementar o plano de tratamento de risco;
    3. implementar os controles selecionados;
    4. definir como medir a eficácia dos controles;
    5. implementar programas de conscientização e treinamento;
    6. gerenciar as operações do SGSI
    7. gerenciar os recursos para o SGSI;
    8. implementar procedimentos e outros controles capazes de permitir a rápida detecção e resposta a incidentes de segurança

    Fonte 27002:2005 
  • Para mim o significado de "Estabelecer" é diferente de "Implementar". Assim, como a ISO/IEC 27.001 diz que na fase Do (Implementar e Operar) de um SGSI deve-se:

    " implementar programas de conscientização e treinamento"

    Esse fato justificaria a anulação da questão!

  • Não entendi!!!

    Pra mim todas estão corretas!


    olhem essa questão


    Ano: 2012

    Banca: FCC

    Órgão: TRT - 6ª Região (PE)

    Prova: Analista Judiciário - Tecnologia da Informação

    Resolvi certo

    Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os recursos necessários para




    correta: letra D

  • A questão aponta para o item 4.2.2 - "Implementar e operar o SGSI", onde está disposto que "A organização deve: e)Implementar programas de conscientização e treinamento."

    Nestas questões o bom senso não funciona. Vale o que está escrito na norma.

    []'s


ID
110713
Banca
CESGRANRIO
Órgão
IBGE
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Para a gestão dos ativos, segundo a norma NBR ISO/ IEC 27001:2006, são feitas as seguintes afirmativas:
I - todos os ativos devem ser claramente identificados e um inventário de todos os ativos importantes deve ser estruturado e mantido;
II - a informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização;
III - todas as informações e ativos associados com os recursos de processamento da informação devem ter um "proprietário" designado por uma parte definida da organização.

Está(ão) correta(s) a(s) afirmativa(s)

Alternativas
Comentários
  • Letra E

    Fonte: ABNT NBR ISO/IEC 27001:2006
    Pág: 16
    Para essa questão foram retirados os seguintes tópicos:

    A.7 Gestão de Ativos
        A.7.1.1 Todos os ativos devem ser claramente identificados e um inventário de todos os ativos importantes deve ser estruturado e mantido (I)
        A.7.1.2 Todas as informações e ativos associados com os recursos de processamento da informação devem ter um "proprietário" designado por uma parte definida da organização (III)

    A.7.1 Responsabilidade pelos ativos
    A.7.2 Classificação da informação

        A.7.2.1 A informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização (II)



     


ID
126901
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Para a NBR/ISO 27002:2005, convém que a análise crítica da política de segurança da informação leve em consideração os resultados da análise crítica pela direção. Convém ainda que as saídas da análise crítica pela direção incluam quaisquer decisões e ações relacionadas às melhorias:

I - do enfoque da organização para gerenciar a segurança da informação e seus processos.
II - dos controles e dos objetivos de controles.
III - na alocação de recursos e/ou de responsabilidades.

Pela norma, deve(m) ser considerada(s) a(s) melhoria(s)

Alternativas
Comentários
  • Todas as melhorias citadas na alternativa E são referenciadas na norma:

    Convém que as saídas da análise crítica pela direção incluam quaisquer decisões e ações relacionadas a:

    a) Melhoria do enfoque da organização para gerenciar a segurança da informação e seus processos.
    b) Melhoria dos controles e dos objetivos de controles.
    c) Melhoria na alocação de recursos e/ou de responsabilidades.

    A norma cita ainda que:

    Convém que um registro da análise crítica pela direção seja mantido.

    Convém que a aprovação pela direção da política de segurança da informação revisada seja obtida.

  • Convém que as bancas parem de cobrar esse tipo de questão. DECOREBA pura! Aliás, acho impossível que alguém consiga decorar todos os 133 controles e suas respectivas diretrizes. Haja é SORTE!
  • Se as bancas deixarem de cobrar esse tipo de questão, os concursos de TI ficarão iguais aos concursos de Direito (não no sentido de dificuldade), que define o aprovado pela idade, uma vez que pra passar, o candidato deve fechar a prova. Se a prova é difícil... é difícil para todos! Pode ser que todos errem! Pode ser que somente um acerte consciente, e neste caso, provavelmente tenha estudado mais que você.
  • Bem...analisando a alternativa I, temos uma ambiguidade com o pronome possessivo "seus". Vejamos:
    Se esta assertiva está dentro da 27.001, é óbvio que "seus" se refere aos processos de gerência de SI.
    Entretanto, na questão não ficou claro que "seus" se referia à isto ou, aos processos da organização.
    Portanto, marquei a D.


ID
126904
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Durante um treinamento sobre a NBR/ISO 27002:2005, um palestrante fez as afirmativas, a respeito das orientações descritas na norma, apresentadas a seguir.

I - A Norma define uma série de indicadores chaves de desempenho, relacionados à segurança, que devem ser avaliados e utilizados para melhoria dos processos.

II - Convém que, adicionalmente à notificação de eventos de segurança da informação e fragilidades, o monitoramento de sistemas, alertas e vulnerabilidades seja utilizado para a detecção de incidentes de segurança da informação.

III - Convém que os usuários sejam alertados para usar diferentes senhas de qualidade para cada um dos serviços, caso necessitem acessar múltiplos serviços, sistemas ou plataformas, e sejam requeridos para manter separadamente múltiplas senhas, já que o usuário estará assegurado de que um razoável nível de proteção foi estabelecido para o armazenamento da senha em cada serviço, sistema ou plataforma.

Está(ão) correta(s) a(s) afirmativas(s)

Alternativas
Comentários
  • O item III está incorreto, pois de acordo com o item 11.5.3 da referida norma, convém que sistemas para gerenciamento de senhas sejam interativos e assegurem senhas de qualidade.
  • O item III está incorreto, porque, conforme item 11.3.1 da norma, os usuários deve ser requeridos para utilizar uma única senha de qualidade, quando utilizar múltiplos sistemas, serviços ou plataformas.

    Abraços
  • I - A Norma define uma série de indicadores chaves de desempenho, relacionados à segurança, que devem ser avaliados e utilizados para melhoria dos processos.
    A norma 27002 não é voltada para certificação.
  • Quanto ao item I, a Norma 27002 não define nenhum indicador de desempenho. A medição de desempenho é um fator crítico para o sucesso, mas não é abordada na Norma. Trecho da 27002: "Deve-se observar que as medições de segurança da informação estão fora do escopo desta Norma"(pág. xiii). O examinador quis confundir o candidato com um conceito do Cobit.
  • De acordo com a norma:

    "Se os usuários necessitam acessar múltiplos serviços, sistemas ou plataformas, e forem requeridos para manter separadamente múltiplas senhas, convém que eles sejam alertados para usar uma única senha de qualidade para todos os serviços, já que o usuário estará assegurado de que um razoável nível de proteção foi estabelecido para o armazenamento da senha em cada serviço, sistema ou plataforma. "

  • Sobre a alternativa II.

    Segundo a ISO 27002,"13.2.1 Responsabilidades e procedimentos

    Diretrizes para implementação

    Convém que, adicionalmente à notificação de eventos de segurança da informação e fragilidades (ver 13.1), o monitoramento de sistemas, alertas e vulnerabilidades (10.10.2) seja utilizado para a detecção de incidentes de segurança da informação."


  • I -  As medições de segurança da informação estão fora do escopo da norma 27002;

    II - CORRETO;

    III - Utilizar senha única de qualidade quando utilizar múltiplos sistemas, serviços ou plataformas.

    Gab. B


ID
129961
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito das normas de segurança da informação, julgue os
itens subseqüentes.

A ISO/IEC 27001:2006 é a principal norma de mercado acerca de aspectos operacionais tecnológicos que devem ser implementados nos servidores de arquivos e equipamentos de conectividade, para controle de acesso de usuários maliciosos.

Alternativas
Comentários
  •  Na iso 27001 os controles de seguranca sao apenas citados e é muito abrangente, e pode ter várias interpretaçoes. Ja na iso 27002 contem todos os controles que 27001 só que com explicacoes e exemplos de implementacao.

  • Segue o objetivo geral da 27.001:

    " Esta Norma cobre todos os tipos de organizações (por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos). Esta Norma especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. Ela especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes."
    Ou seja, a norma tem objetivos quanto a riscos globais de negócios e não foca em aspectos tecnológicos específicos! Questão errada, portanto!
  • Lembrando que não há obrigatoriedade de implementação, então duzer que deve ser implementado está errado.


ID
131305
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Atualmente, a informação é um importante ativo para praticamente todo o tipo de organização. A segurança desse ativo faz-se
necessária, seja por questão de conformidade com leis e contratos, seja para assegurar a continuidade do negócio. Acerca da segurança
da informação, bem como das normas e políticas a ela aplicáveis, julgue os itens a seguir.

A definição de critérios para aceitação de riscos é uma das responsabilidades da alta administração, segundo a norma NBR ISO/IEC 27001.

Alternativas
Comentários
  • Não é Auditoria EXTERNA, e sim INTERNA.
  • 5 Responsabilidades da direção

    5.1 Comprometimento da direção
    A Direção deve fornecer evidência do seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI mediante:

    ...

    f) a definição de critérios para aceitação de riscos e dos níveis de riscos aceitáveis;

    [ISO27001]


ID
131311
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Atualmente, a informação é um importante ativo para praticamente todo o tipo de organização. A segurança desse ativo faz-se
necessária, seja por questão de conformidade com leis e contratos, seja para assegurar a continuidade do negócio. Acerca da segurança
da informação, bem como das normas e políticas a ela aplicáveis, julgue os itens a seguir.

Para assegurar que os controles, objetivos de controle e processos sejam executados e implementados de forma eficaz, a norma NBR ISO/IEC 27001 recomenda a realização de auditorias externas em intervalos regulares de, no máximo, seis meses.

Alternativas
Comentários
  • Não é Auditoria EXTERNA, e sim INTERNA. A norma cita que a organização deve conduzir auditorias internas em intervalos regulares, não citando periodicidade específica.
  • Olá Todos,

    Na verdade a norma fala em analisar criticamente o SGSI em intervalos planejados (ACHO, que a auditoria pode está aqui dentro) Ou não?.

    Vejam:


    7 Análise crítica do SGSI pela direção   
    7.1 Geral
    A direção deve analisar criticamente o SGSI da organização a intervalos planejados (pelo menos uma vez por
    ano) para assegurar a sua contínua pertinência, adequação e eficácia. Esta análise crítica  deve incluir a avaliação
    de oportunidades para melhoria e a necessidade de mudanças do SGSI, incluindo a política de segurança da
    informação e objetivos de segurança da informação. Os resultados dessas análises críticas devem ser claramente
    documentados e os registros devem ser mantidos (ver 4.3.3). 
  • Resposta: ERRADO

    O capítulo 6 da norma ISO 27.001 trata exatamente disso, são auditorias internas e não auditorias externas, e não informa um prazo para realização dessas auditorias.

    Segue abaixo o trecho da norma que fala sobre isso:

    6 Auditorias internas do SGSI

    A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos
    de controle, controles, processos e procedimentos do seu SGSI:

    a) atendem aos requisitos desta Norma e à legislação ou regulamentações pertinentes;
    b) atendem aos requisitos de segurança da informação identificados;
    c) estão mantidos e implementados eficazmente; e
    d) são executados conforme esperado.

    Um programa de auditoria deve ser planejado levando em consideração a situação e a importância dos processos
    e áreas a serem auditadas, bem como os resultados de auditorias anteriores. Os critérios da auditoria, escopo,
    freqüência e métodos devem ser definidos. A seleção dos auditores e a execução das auditorias devem assegurar
    objetividade e imparcialidade do processo de auditoria. Os auditores não devem auditar seu próprio trabalho.

    Bons estudos...
  • Qual o objetivo de fazer auditorias externas ?? Claro que terá que ser feita auditoria interna.
  • Só complementando e respodendo a Dayane: é feita sim auditoria externa! Porém não é periódica, pois só é feita uma vez, com o intuito de se obter a certificação.
  • DAYANE e Rafael,

    as auditorias externas não só podem/devem acontecer em vários casos, como podem/devem ser regulares em váris casos. Alguns órgãos do governo, por exemplo, devem ser submetidos a auditoria externa a intervalos regulares. Não é só para obter certificação!

  • Prezados ,

    A seção 6 da ISO 27001 trata de auditorias internas do SGSI. Vemos que a questão possui dois erros , o primeiro ao afirmar que a norma recomenda a realização de auditorias externas, segundo ao afirmar que essas auditorias externas devem ser realizadas semestralmente. Vamos ver o que a ISO diz quanto a isso na página 11 :

    Um programa de auditoria deve ser planejado levando em consideração a situação e a importância dos processos e áreas a serem auditadas, bem como os resultados de auditorias anteriores. Os critérios da auditoria, escopo, freqüência e métodos devem ser definidos. A seleção dos auditores e a execução das auditorias devem assegurar objetividade e imparcialidade do processo de auditoria. Os auditores não devem auditar seu próprio trabalho.


    A alternativa correta é : ERRADO.


  • 6 Auditorias internas do SGSI

    A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI:

    c) estão mantidos e implementados eficazmente;

    -----------------------------

    **Portanto, são são auditorias internas, NÃO externas; e a norma NÃO estabelece um período de seis meses para a realização das auditorias, esse tempo vai depender da singularidade de cada empresa.



ID
131314
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Atualmente, a informação é um importante ativo para praticamente todo o tipo de organização. A segurança desse ativo faz-se
necessária, seja por questão de conformidade com leis e contratos, seja para assegurar a continuidade do negócio. Acerca da segurança
da informação, bem como das normas e políticas a ela aplicáveis, julgue os itens a seguir.

A identificação de não-conformidades potenciais e suas causas é caracterizada como uma ação preventiva, segundo a norma NBR ISO/IEC 27001.

Alternativas
Comentários
  • Item Correto

    O que consta na norma

    Ação preventiva
    A organização deve determinar ações para eliminar as causas de não-conformidades potenciais com os requisitos
    do SGSI, de forma a evitar a sua ocorrência. As ações preventivas tomadas devem ser apropriadas aos impactos
    dos potenciais problemas. O procedimento documentado para ação preventiva deve definir requisitos para:

    a) identificar não-conformidades potenciais e suas causas;
    b) avaliar a necessidade de ações para evitar a ocorrência de não-conformidades;
    c) determinar e implementar as ações preventivas necessárias;
    d) registrar os resultados de ações executadas; e
    e) analisar criticamente as ações preventivas executadas.

    A organização deve identificar mudanças nos riscos e identificar requisitos de ações preventivas focando a
    atenção nos riscos significativamente alterados.
    A prioridade de ações preventivas deve ser determinada com base nos resultados da análise/avaliação de riscos.

    Ações para prevenir não-conformidades freqüentemente têm melhor custo-benefício que as ações corretivas.

  • Atentem para o detalhe do POTENCIAIS que torna a ação como sendo preventiva... Se não fosse "potenciais" seria uma ação corretiva. Vide item 8.2 da 27001.
  • 8.3 Ação Preventiva

    A organização deve determinar ações para eliminar as causas de não-conformidades potenciais com os requisitos do SGSI, de forma a evitar a sua ocorrência.

    Essas ações preventivas evitam a OCORRÊNCIA de não-conformidades POTENCIAIS, enquanto as ações corretivas evitam a sua REPETIÇÃO.

ID
131320
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Atualmente, a informação é um importante ativo para praticamente todo o tipo de organização. A segurança desse ativo faz-se
necessária, seja por questão de conformidade com leis e contratos, seja para assegurar a continuidade do negócio. Acerca da segurança
da informação, bem como das normas e políticas a ela aplicáveis, julgue os itens a seguir.

A norma NBR ISO/IEC 27001 recomenda a adoção de abordagem qualitativa para a realização da análise de risco.

Alternativas
Comentários
  • ERRADO
    É possível uma abordagem quantitativa ou qualitativa. 
    Análise qualitativa é menos precisa, ou seja é mais subjetiva:
    • Associa palavras ou descrições para descrever probabilidades e impacto 
    • É baseada no "feeling" e em opiniões de funcionários-chave 
    É utilizada quando: 
    • Há falta de dados quantitativos sobre os ativos 
    • Há pouca experiência com a análise quantitativa 
    • O cronograma é apertado;

    Análise quantitativa 
    • Associa valores numéricos aos riscos e perdas potenciais 
    • Os resultados são revertidos em cifras 
    • Facilita o mapeamento de perdas 

    Características de utilização:
    • Adotada por grandes empresas 
    • Pode exigir cronogramas extensos 
    • Requer pessoal especializado
    • Fornece dados contundentes (em moeda) para definir seo custo da contramedida, vale mais ou menos que o risco

  • Errado

    Não se fala de abordagem qualitativa ou quantitativa na NBR ISO/IEC 27001 e sim na 27005

  • Complementando:

    Na norma 17799:2005 (27002:2005) deve-se fazer analise Quantitativa de riscos.

  • Rafael,
    Em que parte da 27002 diz que deve ser de forma quantitativa ?
  • O que a referida norma fala sobre a abordagem da análise de riscos é que ela deve seguir uma metodologia que assegure que as análises/avaliações de riscos produzam resultados COMPARÁVEIS e REPRODUZÍVEIS.
    A abordagem qualitativa (PROBABILIDADE/IMPACTO) pode ser utilizada pois produz resultados comparáveis e reproduzíveis, porém não é imposta pela norma. A norma cita como exemplo a ISO/IEC TR 13335-3.que chega a ter uma abordagem qualitativa mas é apenas um exemplo e não uma imposição.
  • Prezados,

    A ISO 27001 não recomenda a adoção de nenhuma abordagem especifica, nem qualitativa nem quantitativa.

    Vemos claramente na página 5 da referida ISO que ao estabelecer o SGSI a organização deve :

    c) Definir a abordagem de análise/avaliação de riscos da organização.

    1) Identificar uma metodologia de análise/avaliação de riscos que seja adequada ao SGSI e aos requisitos legais, regulamentares e de segurança da informação, identificados para o negócio.

    2) Desenvolver critérios para a aceitação de riscos e identificar os níveis aceitáveis de risco (ver 5.1f)).


    A alternativa correta é : ERRADO.


  • Janete Lacerda,

     

    A norma pode até não recomendar, mas recomendar é diferente de impor.


ID
141196
Banca
ESAF
Órgão
ANA
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

O modelo aplicado para estruturar os processos do Sistema de Gestão de Segurança da Informação (SGSI), segundo a Norma ABNT NBR ISO/IEC 27001:2006, é o

Alternativas
Comentários
  • Trecho retirado da própria norma:
    "Esta Norma adota o modelo conhecido como "Plan-Do-Check-Act” (PDCA), que é aplicado para estruturar todos
    os processos do SGSI.">
    O ciclo PDCA trata da melhoria contínua de processos, neste caso, começamos pelo Planejamento -> Execução -> Controle -> Ação que realimenta o Planejamento.
    No caso da norma ISO27001 os processos são: Estabelecer o SGSI -> Implementar e Operar o SGSI -> Monitorar e Analisar Criticamente o SGSI -> Manter e Melhorar o SGSI que realimenta o Estabelecer o SGSI.
  •  a)Planejar-Fazer-Checar-Agir (PDCA).- correto - pdca é um ciclo de melhoria contínua com destaque a problem solving. 

     b)ITIL. - framework para gerencia ti

     c)Processo Unificado Rational (RUP).- metodologia incremental para software com base em use cases

     d)Workflow. - disciplina de engenharia do RUP

     e)Gerenciamento de projetos.- uma das disciplinas de suporte do RUP


ID
144673
Banca
CESPE / CEBRASPE
Órgão
SECONT-ES
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Um órgão público responsável pelo controle externo do
Poder Executivo de uma unidade da Federação desenvolveu um
conjunto de processos de auditoria de conformidade na gestão da
segurança da informação. As organizações para as quais o órgão
presta serviço implementaram sistemas de gestão da segurança da
informação, por força de normas, em aderência aos modelos
desenvolvidos pela ABNT e ISO/IEC, especialmente os
prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez
que várias organizações a serem auditadas já passaram cerca de
dois anos implementando seus sistemas de gestão, um
questionário de avaliação preliminar foi aplicado pelo órgão de
controle externo nas organizações clientes. Diferentes controles
do sistema de segurança da informação foram avaliados pelos
respondentes, tanto os de natureza física e lógica quanto os
organizacionais. A partir do recebimento dos resultados do
questionário preliminar, os auditores efetuaram uma visita à
organização e produziram diversos julgamentos acerca da
possível adequação dos controles implementados aos modelos
das normas mencionadas.

Tendo como referência as informações contidas na situação
hipotética apresentada acima, julgue os itens a seguir, a respeito
do julgamento realizado pelos auditores.

Se a equipe de uma organização realizou o processo formal de análise/avaliação de riscos apenas após a elaboração da primeira declaração de aplicabilidade, é correto afirmar que esse procedimento está aderente ao prescrito na Norma 27.001.

Alternativas
Comentários
  • Fonte: ISO 27001

    3.16
    declaração de aplicabilidade: declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização.

    NOTA: Os objetivos de controle e controles estão baseados nos resultados e conclusões dos processos de análise/avaliação de riscos e tratamento de risco, dos requisitos legais ou regulamentares, obrigações contratuais  e os requisitos de negócio da organização para a segurança da informação.
  • ˜Se a equipe de uma organização realizou o processo formal de análise/avaliação de riscos apenas após a elaboração da primeira declaração de aplicabilidade, é correto afirmar que esse procedimento está aderente ao prescrito na Norma 27.001.˜

    Deveria ser ˜antes da˜. 

ID
144682
Banca
CESPE / CEBRASPE
Órgão
SECONT-ES
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Um órgão público responsável pelo controle externo do
Poder Executivo de uma unidade da Federação desenvolveu um
conjunto de processos de auditoria de conformidade na gestão da
segurança da informação. As organizações para as quais o órgão
presta serviço implementaram sistemas de gestão da segurança da
informação, por força de normas, em aderência aos modelos
desenvolvidos pela ABNT e ISO/IEC, especialmente os
prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez
que várias organizações a serem auditadas já passaram cerca de
dois anos implementando seus sistemas de gestão, um
questionário de avaliação preliminar foi aplicado pelo órgão de
controle externo nas organizações clientes. Diferentes controles
do sistema de segurança da informação foram avaliados pelos
respondentes, tanto os de natureza física e lógica quanto os
organizacionais. A partir do recebimento dos resultados do
questionário preliminar, os auditores efetuaram uma visita à
organização e produziram diversos julgamentos acerca da
possível adequação dos controles implementados aos modelos
das normas mencionadas.

Tendo como referência as informações contidas na situação
hipotética apresentada acima, julgue os itens a seguir, a respeito
do julgamento realizado pelos auditores.

Considere que o plano de classificação de ativos de uma das organizações auditadas valore os ativos usando uma metodologia mista, isto é, empregando ora a valoração qualitativa, ora a valoração quantitativa. Nesse caso, tal abordagem produz desconformidades com o prescrito em modelos da ABNT e da ISO/IEC, uma vez que se deve adotar um ou outro modelo, mas não ambos simultaneamente.

Alternativas
Comentários
  •  Na classificação dos ativos de uma organização poderia ser adota as duas formas de valoração, por exemplo, os projetos da organização poderiam ser classificados em confidenciais ou públicos, esse tipo de valoração seria qualitativa, agora um exemplo de tipo de valoração quantitativa, seria o risco de ocorrer um incêndio no prédio que se encontram meus servidores de banco de dados, 5% de chance.

  • Aqui está o erro da questão: "Nesse caso, tal abordagem produz desconformidades com o prescrito em modelos da ABNT e da ISO/IEC, uma vez que se deve adotar um ou outro modelo, mas não ambos simultaneamente."

    Não produz desconformidade pois a Norma permite a mistura dos dois métodos. 
  • Thiago,
    Em qual norma e em que parte dela eu encontro que permite o uso dos dois métodos ?
  • Lembrando também que a norma cita que é preferível o uso da valoração quantitativa, devido a subjetividade da qualitativa... 

  • Creio que a 27002 não especifica como valorar os ativos. Ela apenas diz o seguinte:


    7.1.1 - Inventário dos ativos


    "[...] (mais informações sobre como valorar os ativos para indicar a sua importância podem ser encontrados na ISO IEC TR 13335-3)"


    Resta ler essa 13335-3 para tentar encontrar essa questão de "qualitativamente vs quantitativamente".

  • ISO 27005. Isso no caso da gestão de riscos por exemplo.

    8.2.2.1 Metodologias para a estimativa de riscos

    A análise de riscos pode ser empreendida com diferentes graus de detalhamento, dependendo da criticidade dos ativos, da extensão das vulnerabilidades conhecidas e dos incidentes anteriores envolvendo a organização. Uma metodologia para a estimativa pode ser qualitativa ou quantitativa ou uma combinação de ambos, dependendo das circunstâncias.


ID
144781
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito dos conceitos de políticas, de normas e de modelos de
segurança em TI, julgue os seguintes itens.

A análise crítica e periódica da política de segurança da informação de uma organização, conforme preconizada pelas normas NBR ISO/IEC 27001 e NBR ISO/IEC 17799, deve ser uma ação de responsabilidade dos gestores de segurança dessa organização.

Alternativas
Comentários
  • errado!!! é como colocar o "cachorro"   para tomar conta do "churrasco".....

    A análise crítica do SGSI deve ser realizada pelo corpo diretivo da organização das ações efetuadas pelo SGSI;
    Na lista a seguir apresentam-se os requisitos existentes na norma ISO 27001.

    1 - Escopo: Abrangência da Norma;
    2 - Referência Normativa: Normas e padrões relacionados à norma 27001;
    3 - Termos e Definições: Termos e definições relacionados à segurança da informação;
    4 - Sistema de Gestão de Segurança da Informação: Referente à criação, implementação, monitoramento e melhoria do SGSI, também trata de documentação e registros de informações;
    5 - Responsabilidade da Direção: Definição de responsabilidades, treinamento e provisão de recursos do SGSI;
    6 - Auditorias Internas: Auditorias internas realizadas por pessoal treinado e comprometido com o SGSI;
    7 - Analise crítica do SGSI: Análise realizada pelo corpo diretivo da organização das ações efetuadas pelo SGSI;
    8 - Melhoria do SGSI: Trata das ações corretivas e preventivas efetuadas pelo SGSI .

  • Complementando o que já foi dito pelo Phoenix, não é definido pela NBR ISO/IEC 27001 uma periodicidade para nenhum dos requisitos definidos pela norma, porém que fique claro que o descumprimento de qualquer requisito invalida a certificação por meio da norma. Acho eu, que o termo periodicidade já invalidaria a afirmação, apenas dando um acréscimo ao que já foi dito pelo Phoenix.

  • O capítulo 7 da ISO 27001 trata exatamente desse assunto, e informa que a direção deve realizar essa análise crítica e periódica do SGSI (que inclui a política de segurança da informação), e não os gestores de segurança da informação.

    7 Análise crítica do SGSI pela direção

    7.1 Geral

    A direção deve analisar criticamente o SGSI da organização a intervalos planejados (pelo menos uma vez por
    ano) para assegurar a sua contínua pertinência, adequação e eficácia. Esta análise crítica deve incluir a avaliação
    de oportunidades para melhoria e a necessidade de mudanças do SGSI, incluindo a política de segurança da
    informação
    e objetivos de segurança da informação. Os resultados dessas análises críticas devem ser claramente
    documentados e os registros devem ser mantidos (ver 4.3.3).


    Bons estudos...

ID
144790
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito dos conceitos de políticas, de normas e de modelos de
segurança em TI, julgue os seguintes itens.

A norma NBR ISO/IEC 27001 difere da NBR ISO/IEC 17799 quanto ao estabelecimento de requisitos para certificação, o qual ocorre na primeira, e quanto a um detalhamento de código de prática, o qual ocorre na segunda. Por outro lado, o emprego do ciclo PDCA (Plan-Do-Check-Act) para a melhoria contínua de um sistema de gestão de segurança é descrito em ambas.

Alternativas
Comentários
  • Organizacoes que implementam um ISMS de acordo com as melhores práticas da ISO 17799 estao simultaneamente de acordo com os requisitos da ISO 27001, mas  uma certificacao é totalmente opcional. 

  • Na minha opinião, o erro está em dizer que o ciclo PDCA é descrito nas duas. Esse ciclo só é descrito na 27001.

  •  A ISO/IEC 17799 = ISO/IEC 27002 não detalha a prática, ou seja, não define "como" fazer, mas define "o que" fazer.

  • A 27002 não faz referência ao ciclo PDCA, esse é o erro fa questão.
  • Ok, a 27002 não faz referência explicita ao PDCA, porém ela implementa a 27001. A definição EIOMAMM que é o PDCA na 27001 é detalhada na 27002. Então as duas empregam o PDCA, uma diretamente e outra indiretamente.
  • ora bolas, os controles são EIOMAMM !!

  • Realmente, o erro da questão está em afirmar que o ciclo PDCA está descrito tanto na 27.001 como na 27.002. Na verdade, o mesmo está descrito somente na 27.001, conforme já colocado pelos colegas.

    Adicionalmente, para não erramos mais em outras questões sobre o tema:

    ISO/IEC 27.001 => É baseada no ciclo PDCA

    ISO/IEC 27.002 => NÃO É baseada no ciclo PDCA

    ISO/IEC 27.005 => É baseada no ciclo PDCA

    A 27.005 diz claramente: "O processo descrito pela norma é harmonicamente sincronizado com o ciclo de melhoria contínua PDCA utilizado em um SGSI conforme a ISO/IEC 27.001"

    Bons estudos!


ID
147454
Banca
FCC
Órgão
SEFAZ-SP
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Se qualquer não-conformidade for encontrada como um resultado da análise crítica nas áreas sobre o cumprimento das políticas e normas de segurança da informação, NÃO convém que os gestores

Alternativas
Comentários
  • Questão estupidamente fácil que eu errei de besteira.

    d) avaliem a necessidade de ações para assegurar que a conformidade não se repita.

    A conformidade deve se repetir. Quem não deve se repetir é a não-conformidade.
  • pegadinha do malandro!!!!!!!!
  • falta de leitura crítica


ID
147457
Banca
FCC
Órgão
SEFAZ-SP
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

No modelo PDCA adotado para estruturar todos os processos do SGSI - Sistema de Gestão de Segurança da Informação, os resultados das atividades da auditoria interna do SGSI estão vinculados ao ciclo PDCA como entrada dos processos na etapa

Alternativas
Comentários
  • Reposta correta pelo gabarito: E.

    A questão exige um pouco de atenção do candidato para não se confundir. Considerando as atividades de auditoria mencionadas na questão, estas estão intimamente relacionadas com fiscalização, acompanhamento, checagem dos processos do SGSI. Então, estamos falando de atividades realizadas na 3ª etapa do cilclo PDCA, ou seja, na etapa Check (Verificar). Esta consiste em monitorar e medir os processos em relação às políticas, aos objetivos e aos requisitos, bem como relatar os resultados. Daí, muita atenção!!! Os resultados são auferidos na estapa Check, porém o que a questão solicita é em qual etapa estes (os resultados) darão entrada, conforme o enunciado: "(...) como entrada na etapa". Logo, a resposta correta é a etapa Act (Agir), que corresponde a etapa seguinte a de checagem, verificação (Check).

  • P - Estabelecer, planejar políticas
    D - Executar as politicas.
    C - Monitorar e avaliar o resultado obtido (aqui acontece a Auditoria).
    A - São executadas as melhorias elencadas na etapa anterior, ou seja as sugestões da Auditoria servem de entrada nesta etapa para que sejam executadas.
  • Complemento. Esses trechos da norma 27001 respondem a questão.

    Segundo a ISO 27001,"4.2.3 Monitorar e analisar criticamente o SGSI (Check)

    A organização deve:

    e) Conduzir auditorias internas do SGSI a intervalos planejados (ver seção 6)."

    ---------------------------------------//------------------------------

    Segundo a ISO 27001,"0.2 Abordagem de processo, Figura 1.

    Act (agir) (manter e melhorar o SGSI): Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI."



ID
150916
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Nas afirmativas a seguir, sobre a norma ISO 27001, a sigla ISMS se refere a um Sistema de Gerenciamento de Segurança da Informação (Information Security Management System) no contexto de uma organização.

I - A norma ISO 27001 estabelece uma abordagem do tipo PDCA (Plan, Do, Check, Act) para a definição e manutenção do ISMS.

II - A norma ISO 27001 prescreve as práticas de implantação e as métricas utilizadas para avaliar o desempenho do ISMS.

III - Um dos controles listados na norma ISO 27001 preconiza que a organização deve manter contato com grupos especiais de interesse ou outros fóruns e associações profissionais especializados em segurança.

IV - O ISMS é definido formalmente na ISO 27001 como um conjunto de regras (rules) e boas práticas (best practices) nas áreas de segurança física, autenticação de usuários, autorização de acessos e manutenção de um ambiente controlado para o tratamento e gerenciamento de informação e ativos sensíveis.

Estão corretas APENAS as afirmativas

Alternativas
Comentários
  •  I - A norma ISO 27001 estabelece uma abordagem do tipo PDCA (Plan, Do, Check, Act) para a definição e manutenção do ISMS. CORRETA

    II - A norma ISO 27001 prescreve as práticas de implantação e as métricas utilizadas para avaliar o desempenho do ISMS. ESTA ALTERNATIVA ESTÁ SE REFERINDO A NORMA ISO 27002 E NÃO A ISO 27001

    III - Um dos controles listados na norma ISO 27001 preconiza que a organização deve manter contato com grupos especiais de interesse ou outros fóruns e associações profissionais especializados em segurança. CORRETA

    IV - O ISMS é definido formalmente na ISO 27001 como um conjunto de regras (rules) e boas práticas (best practices) nas áreas de segurança física, autenticação de usuários, autorização de acessos e manutenção de um ambiente controlado para o tratamento e gerenciamento de informação e ativos sensíveis. QUEM FAZ ISSO É A ISO 27002

  • Cabe a mim discordar, pois a fonte de onde foi tirado o trecho foi a 27.002 e a questão aborda claramente a 27.001. No anexo A da ISO/IEC 27.001, temos:
    A.6.1.7 Contato com grupos especiais Controle Contatos apropriados com grupos de interesses especiais ou outros fóruns especializados de segurança da informação e associações profissionais devem ser mantidos.
    Questão correta.
    Quanto ao item IV, do glossário: SGSI a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação - NOTA O sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos.
  • Mencionou código de práticas é ISO 27002
  • III - Correta. 

    Apesar de mencionar controles (preconizante na norma 27002), o anexo II da norma 27001 inclui a referência e listagem dos controles da norma 27002.

  • Vou citar trechos da norma 27001 q justifiquem cada uma das alternativas:

    "Esta Norma especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. Ela especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes.

    O SGSI é projetado para assegurar a seleção de controles de segurança. Conforme descrito na norma 27001, "(...) esta Norma adota o modelo conhecido como "Plan-Do-Check-Act” (PDCA), que é aplicado para estruturar todos os processos do SGSI. A figura 1(http://postimg.org/image/rhlr4iyxp/) ilustra como um SGSI considera as entradas de requisitos de segurança de informação e as expectativas das partes interessadas, e como as ações necessárias e processos de segurança da informação produzidos resultam no atendimento a estes requisitos e expectativas. 

    O ISMS da questão é o SGSI(sistema de gestão da segurança da informação ) da norma, cuja definição:

    É parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação.O sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos.

    Portanto, as alternativas corretas são a I e a III.



ID
163945
Banca
FCC
Órgão
TJ-PI
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Considere:

I. Norma preparada para prover um modelo para o estabelecimento, implementação, operação, monitoramento, revisão, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação.

II. Código de Prática para Gestão da Segurança da Informação. Constitui-se de um conjunto completo de recomendações para a gestão da segurança da informação e serve como referência para a criação e implementação de práticas de segurança reconhecidas internacionalmente, incluindo políticas, diretrizes, procedimentos e controles.

III. Permite que uma empresa construa de forma muito rápida uma política de segurança baseada em controles de segurança eficientes, sendo que, na sua falta, os outros caminhos para se fazer o mesmo são constituição de uma equipe para pesquisar o assunto ou contratar uma consultoria para realizar essas tarefas.

IV. Em ordem sucessiva, deve-se definir quais são seus limites, (abrangência física, lógica e pessoal); relacionar os recursos que serão protegidos; relacionar quais são as possíveis ameaças a esses recursos, quais são as vulnerabilidades a que eles estão submetidos e qual seria o impacto da materialização dessas ameaças. Com base nessas informações priorizam-se os controles necessários para garantir a segurança de tais recursos.

As afirmações referem-se, respectivamente, a:

Alternativas
Comentários
  •  I - Quando falamos de definir o EIOMAMM(estabelecer, implementar, operar, monitorar, avaliar*, manter e melhorar), estamos falando do arranjo de processos da NBR ISO/IEC 27001.

    II - Quando é tratado código de prática para gestão de segurança da informação estamos falando da NBR ISO/IEC 27002

    III - São descritas partes de algumas etapas do PDCA(Plan, Do, Check, Act) da NBR ISO/IEC 27001

    IV - Descrição do SGSI da NBR ISO/IEC 27001

    (*) No texto foi referido como revisão

  • Quanto ao item E)

    Common Criteria (CC) é um padrão internacional (ISO/IEC 15408) para segurança de computadores. Este padrão é voltada para a segurança lógica das aplicações e para o desenvolvimento de aplicações seguras. Ele define um método para avaliação da segurança de ambientes de desenvolvimento de sistemas

    http://pt.wikipedia.org/wiki/Common_Criteria

ID
187462
Banca
FCC
Órgão
AL-SP
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com respeito à norma ISO 27001:2005, é correto afirmar que

Alternativas
Comentários
  • ISO/IEC 27001 é um padrão para sistema de gestão da segurança da informação

    seu objetivo é ser usado em conjunto com ISO/IEC 17799, o código de práticas para gerência da segurança da informação, o qual lista objetivos do controle de segurança e recomenda um conjunto de especificações de controles de segurança. Organizações que implementam um ISMS de acordo com as melhores práticas da ISO 17799 estão simultaneamente em acordo com os requisitos da ISO 27001, mas uma certificação é totalmente opcional.

    Este padrão é o primeiro da família de segurança da informação relacionado aos padrões ISO que espera-se sejam agrupados à série 27000. Outros foram incluídos antecipadamente:

    * ISO 27000 - Vocabulário de Gestão da Segurança da Informação (sem data de publicação);
    * ISO 27001 - Esta norma foi publicada em Outubro de 2005 e substituiu a norma BS 7799-2 para certificação de sistema de gestão de segurança da informação;
    * ISO 27002 - Esta norma irá substituir em 2006/2007 o ISO 17799:2005 (Código de Boas Práticas);
    * ISO 27003 - Esta norma abordará a gestão de risco, contendo recomendações para a definição e implementação de um sistema de gestão de segurança da informação. Deverá ser publicada em 2006;
    * ISO 27004 - Esta norma incidirá sobre os mecanismos de mediação e de relatório de um sistema de gestão de segurança da informação. A sua publicação deverá ocorrer em 2007;
    * ISO 27005 - Esta norma será constituída por indicações para implementação, monitoramento e melhoria contínua do sistema de controles. O seu conteúdo deverá ser idêntico ao da norma BS 7799-3:2005 – “Information Security Management Systems - Guidelines for Information Security Risk Management”, a publicar em finais de 2005. A publicação da norma ISO 27005 ocorreu em meados de 2008;
    * ISO 27006 - Esta norma será referente à recuperação e continuidade de negócio. Este documento tem o título provisório de “Guidelines for information and communications technology disaster recovery services”, não estando calendarizado a sua edição.

    ISO 27001 foi baseado e substituindo o BS 7799 parte 2, o qual não é mais válido.


    fonte: http://pt.wikipedia.org/wiki/ISO_27001

  • a) Recomendações(ou melhores práticas) são encontradas na NBR ISO/IEC 27002

    b) Concordo com os colegas que citaram que a norma é suficiente para que haja auditoria (Editado em 04/01/2018)

      RESPOSTA ANTIGA

        b) ficaria correta assim: "sua adoção por completo, por si só, não é suficiente para permitir a auditoria independente do sistema de
        gerenciamento de segurança da informação"

    c) Idem ao ítem a)

    d) exatamente isso, é independente do SGSI que irá ser implantado, porém requer adoção completa de todos os requisitos da NBR ISO/IEC 27001

    e) a gestão de recursos(financeiros, humanos...) é contemplada na NBR ISO/IEC 27001

  • Discordo do comentário do Manoel sobre a alternativa B.
    Preliminarmente, a ISO 27001 possui como requisito a condução de auditorias internas (seção 6). E estas deem assegurar a objetividade e a imparcialidade do processo de auditoria, salientando que um auditor não deve auditar o próprio trabalho.
    Posto isto, resta definir o que é uma auditoria independente. 
    "A auditoria independente é uma atividade que utilizando-se de procedimentos técnicos específicos tem a finalidade de atestar a adequação de um ato ou fato com o fim de imprimir-lhe características de confiabilidade."
    http://www.portaldecontabilidade.com.br/tematicas/auditoria.htm
    Dessa forma, não há que se confundir auditoria independente de auditoria externa, essa sim não contemplada pela norma.
    Com isso, conclui-se que o erro da questão é afirmar que a adoção da norma não é suficientente para que haja auditoria independente.
  • Sobre o erro do item B, concordo com o colega que o erro está em dizer que "não é suficiente para permitir a auditoria independente...". 

    O Item 4.2.3. (ISO/IEC 27.001:2005) diz:

    "e) Conduzir auditorias internas do SGSI a intervalos planejados (ver seção 6).

    NOTA Auditorias internas, às vezes chamadas de auditorias de primeira parte, são conduzidas por ou em nome da própria organização para propósitos internos."

    Apesar da norma ter especificado claramente o termo "auditoria interna" esta não deixa de ser independente para garantir sua eficácia em relação a adequação dos métodos do objeto a ser auditado. A auditoria interna difere da auditoria externa por ter propósitos internos.

    Bons estudos!

  • Amigos, pq a A é D estão erradas?  27001 não traz recomendações? 
  • @Anne Calil: a 27002 é que traz recomendações, enquanto a 27001 trata de requisitos para EIOMAMM um SGSI.

  • a) Especifica uma série de recomendações que, em seu conjunto, não chegam a constituir um completo sistema de gerenciamento de segurança da informação.

    Tratam de requisitos, itens necessários para certificação e não em formato de sugestão ou recomendação.
    Além disso a ISO 27001 é um modelo holístico na qual abrange diversas áreas.

    b) Sua adoção, por si só, não é suficiente para permitir a auditoria independente do sistema de gerenciamento de segurança da informação.

    Errado! Há auditoria para tratamento de riscos.

    c) Descreve as técnicas de segurança da informação sob a forma de uma série de recomendações.
    Não! Trata de requisitos!

    d) Sua adoção permite a certificação independente do sistema de gerenciamento de segurança da informação.

    Sim! É um modelo completo, independente de marcas e fabricantes.


ID
195496
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da gestão de segurança da informação, julgue os itens a
seguir com base nas Normas NBR ISO/IEC 27001 e 27002.

Os requisitos do negócio para o processamento de informação, que uma organização tem de desenvolver para apoiar suas operações, estão entre as fontes principais de requisitos de segurança da informação.

Alternativas
Comentários
  • 4  Sistema de gestão de segurança da informação
    4.1 Requisitos gerais
    A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um
    SGSI documentado dentro do contexto das atividades de  negócio globais da organização e os riscos que ela
    enfrenta.

     

    FONTE: ISO27001

  • Existem três fontes principais.

    A primeira fonte é derivada da avaliação de risco dos ativos da organização. Através da avaliação de risco são identificadas as ameaças aos ativos, as vulnerabilidades e sua probabilidade de ocorrência é avaliada, bem como o impacto potencial é estimado.

    A segunda fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros, contratados e prestadores de serviço têm que atender.

    A terceira fonte é o conjunto particular de princípios, objetivos e requisitos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.



    Fonte: http://www.webartigos.com/articles/20197/1/SEGURANCA-DA-INFORMACAO/pagina1.html#ixzz1IZg8S8TU
  • O comentário anterior pode ser encontrado no item 0.3 da ISO 27002, assim descrito:

    0.3 Como estabelecer requisitos de segurança da informação 

    É essencial que uma organização identifique os seus requisitos de segurança da informação. Existem três fontes principais de requisitos de segurança da informação.
    1. Uma fonte é obtida a partir da análise/avaliação de riscos para a organização, levando-se em conta os objetivos e as estratégias globais de negócio da organização. Por meio da análise/avaliação de riscos, são identificadas as ameaças aos ativos e as vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio.
    2. Uma outra fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que atender, além do seu ambiente socioculturual.
    3. A terceira fonte é um conjunto particular de princípios, objetivos e requisitos do negócio para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.
  • AINDA CORRETO CONFORME A VERSÃO DE 2013 DA NORMA

    SEGUNDO A ISO 27002:2013,"0.2 Requisitos de segurança da informação
    É essencial que uma organização identifique os seus requisitos de segurança da informação.
    Existem três fontes principais de requisitos de segurança da informação.

    c)A terceira fonte são os conjuntos particulares de princípios, objetivos e os requisitos do negócio para o manuseio, processamento, armazenamento, comunicação e arquivo da informação, que uma organização tem que desenvolver para apoiar suas operações."


ID
195499
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da gestão de segurança da informação, julgue os itens a
seguir com base nas Normas NBR ISO/IEC 27001 e 27002.

A Norma NBR ISO/IEC 27001 estabelece o código de prática para a gestão da segurança da informação e a Norma NBR ISO/IEC 27002 trata dos requisitos dos sistemas de gestão de segurança da informação.

Alternativas
Comentários
  • Questão errada.

    A CESPE inverteu o significado das normas. É justamente o inverso, coisa do CESPE.

  •  A Norma NBR ISO/IEC 27001 estabelece o código de prática para a gestão da segurança da informação e a Norma NBR ISO/IEC 27002 trata dos requisitos dos sistemas de gestão de segurança da informação.

    O CESPE inverteu os significados das Normas.

    A Norma NBR ISO/IEC 27001 trata dos requisitos dos sistemas de gestão de segurança da informação, enquanto a Norma NBR ISO/IEC 27002 - antiga NBR ISO/IEC 17799 - estabelece o código de práticas para a gestão da segurança da informação.

  • Em outras palavras, a 27001 nos dá as diretrizes enquanto que a 27002 nos dá as boas práticas.


ID
195502
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da gestão de segurança da informação, julgue os itens a
seguir com base nas Normas NBR ISO/IEC 27001 e 27002.

Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos do sistema de gestão da segurança da informação (SGSI), constata-se que, no SGSI, o do (fazer) equivale a executar as ações corretivas e preventivas para alcançar a melhoria contínua do SGSI.

Alternativas
Comentários
  • Questão errada.

    No act (agir) é que "equivale a executar as ações corretivas e preventivas para alcançar a melhoria contínua do SGSI."

  • Plan é a fase de planejamento.

    Do é a fase de implementação.

    Check é a fase de verificação, de análise.

    Act é a fase de corrição ou melhoramento.

  • Só para registrar aqui uma fonte que confirma as opniões anteriores

    FONTE: ISO27001

    Plan (planejar) (estabelecer o SGSI) 

    Estabelecer a política, objetivos, processos e procedimentos do
    SGSI, relevantes para a gestão de riscos e a melhoria da
    segurança da informação para produzir resultados de acordo
    com as políticas e objetivos globais de uma organização.


    Do (fazer) (implementar e operar oSGSI)
    Implementar e operar a política, controles, processos e
    procedimentos do SGSI.


    Check (checar) (monitorar e analisar criticamente o SGSI)
    Avaliar e, quando aplicável, medir o desempenho de um
    processo frente  à política, objetivos e experiência prática do
    SGSI e apresentar os resultados para a análise crítica pela
    direção.   


    Act (agir) (manter e melhorar o SGSI) 

    Executar as ações corretivas e preventivas, com base nos
    resultados da auditoria interna do SGSI e da análise crítica pela
    direção ou outra informação pertinente, para alcançar a
    melhoria contínua do SGSI.

  • Para facilitar a decoreba, o professor Gleyson criou um acróstico interessante: EIOMAM

    EEstabelecer
    IOImplementar e Operar
    MAMonitorar e Analisar criticamente
    MMManter e Melhorar.

    Eles estão para o PDCA como exposto na resposta anterior.

    Veja:
    PDCA = EIOMAMM

    Se relacionam da seguinte forma: 
    P = E
    D = IO
    C = MA
    A = MM

    Isso me ajudou bastante a mentalizar estes conceitos. Espero que te ajude também.
  • Acho que mesmo sem conhecer profundamente a norma, poderíamos pensar que, se a fase de chama plan (planejar), não há que se falar em ações corretivas já que, pela lógica, ações deste tipo são tomadas APÓS a implementação do SGSI.

  • A ISO 27001 "abandonou" o modelo PDCA, uma vez que ela deixou

    de preconizar um modelo para prover requisitos;


ID
195505
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da gestão de segurança da informação, julgue os itens a
seguir com base nas Normas NBR ISO/IEC 27001 e 27002.

Estão entre os objetivos da segurança da informação a garantia da continuidade do negócio, a minimização dos riscos para o negócio e a maximização do retorno sobre os investimentos.

Alternativas
Comentários
  • Na introdução da 27002 consta:

    Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio,  maximizar o retorno sobre os investimentos e as oportunidades de negócio.
  • acabei de ver uma questão onde CONTINUIDADE não tinha nada a ver com SEGURANÇA.
    nesta outra questão está correto, blz, valeu CESPE.
  • Amigos vou repetir o primeiro comentário SÓ para citar a fonte e a página para ajudar aqueles que não encontraram a resposta.

    Segundo a ISO 27002,p.9,Seção 0.1, "

    0.1 O que é segurança da informação?

    Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio."


ID
205498
Banca
FEPESE
Órgão
SEFAZ-SC
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Cada vez mais as organizações e seus sistemas de informação e redes enfrentam ameaças de segurança vindas das mais diversas fontes.

Em relação ao gerenciamento de riscos, assinale a alternativa correta.

Alternativas
Comentários
  • a) Conceito de ameça e não de risco.

    b) Não são apenas os atos intencionais que são analisados. Qualquer ato, mesmo que seja não intencional, que possa ameaçar a segurança deverá ser analisado.

    c) O ataque smurf é ativo e visa provocar um DoS.

    d) DoS não viola a confidencialidade  e worms nada tem a ver com Dos.

  • A letra (E) é bastante discutível, uma vez que a norma 27.001 define os requisitos para implantar um Sistema de gestão de Segurança da Informação. Quem define boas práticas e norma 27.002.

  • Caro ' pedro jose',

    O gerenciamento de riscos baseia-se em princípios e boas práticas de gerenciamento e segurança para auxiliar na tomada de decisões estratégicas.
    No contexto da letra (E) o examinador refere-se a 'gerenciamento de riscos' de uma maneira genérica e não a uma norma específica. Portanto, correta a afirmação.
    Dentre as boas práticas, destaca-se a norma ISO 27001 que define o modelo PDCA (Plan-Do-Check-Act), um procedimento cíclico para gestão da segurança da informação
    Aqui não há o que discutir, pois a norma 27001 estabelece um SGSI (Sistema de Gestão de Segurança da Informação) que deve ser implementado através do ciclo PDCA para melhoria contínua.
  • Complementando o que Thiago falou, preciso falar uma coisa que muita gente esquece. A Norma ISO/IEC 27001 tem em seu anexo A todos os objetivos de controle da 27002. Ou seja, no fringir dos ovos, a 27001 define um SGSI e tem ainda todos o controles que devem ser implementados.

    Trecho da norma 27001 que se refere ao anexo A:

    Os objetivos de controle e controles listados na tabela A.1 são derivados diretamente e estão alinhados com
    aqueles listados na ABNT NBR ISO/IEC 17799:2005 – seções 5 a 15.


    Bons estudos a todos.
  • O foco da ISO 27001 é um conjunto de controles para serem utilizados na auditoria da segurança da informação.

    a norma que cobre as boas práticas é a ISO 27002.

    a letra E está meio dubia... mas diante das outras todas serem claramente falsas... marcaria E
  • Até onde eu sei, a ISO 27001 não trata de boas práticas, e sim de controles que DEVEm ser implementados. Boas práticas são da norma 27002.

    Portanto a letra E é duvidosa não?

    Alguem comenta ?!

    Abc
  • O que a letra e) quis dizer: É uma boa prática de segurança e de gerenciamento adotar a Norma ISO 27001 para o gerenciamento de riscos e a gestão de segurança da informação. Isso está correto e é diferente de dizer que a Norma ISO 27001 seja um guia de boas práticas.
  • a) De acordo com o PMBok, RISCO é um evento/condição INCERTA que , se ocorrer, terá um efeito POSITIVO ou NEGATIVO em pelo menos um objetivo do projeto. Um risco não é necessáriamente algo ruim.
    b) Riscos podem ser intensionais ou acidentais.
    c) O ataque smurf é DoS. Porém as respostas aos pings são eviadas não para o computador do atacante e sim da vítima. O ataque a portar TCP abertas é o scanner de portas.
    d) Os ataques DoS violam a DISPONIBILIDADE somente.
    e) Correto.
  •  a) Risco é qualquer circunstância ou evento com o potencial intencional ou acidental de explorar uma vulnerabilidade específica, resultando na perda de confidencialidade, integridade ou disponibilidade.

    Errado. Esta é a definição de ameaça, não de risco. A série ISO 27000 define risco como a probabilidade e consequência de ocorrência de um evento de segurança potencialmente danoso à instituição, como a exploração de uma vulnerabilidade de algum ativo por alguma ameaça natural, intencional ou acidental.
     
     b) Durante a análise de riscos, um especialista faz uso sistemático da informação para identificar as fontes (ameaças e vulnerabilidades) e estimar o risco (determinação de probabilidades e análise de impactos). Na avaliação de riscos, somente atos intencionais que podem produzir violações de segurança são analisados.

    Errado. A primeira parte da proposta é correta, mas a avaliação de risco, conforme a ISO 27005 (link aqui), deve ser feita sobre possíveis atos intencionais, acidentais ou naturais.
     
     c) O ataque smurf é classificado como um ataque passivo, uma vez que este é caracterizado pelo envio de pacotes ICMP falsificados com o objetivo de identificar vulnerabilidades na rede, tais como portas TCP abertas.

    Errado. A questão descreve mapeamento de rede. No smurff, o atacante manda um ping para diversas máquinas simultaneamente, mas solicitando resposta para a máquina atacada:

     d) Os perigosos ataques de negação de serviço (Denial of Service - DoS) visam violar duas propriedades de segurança - a disponibilidade e a confidencialidade. Ataques por inundação (flooding), por reflexão e ataques que exploram vulnerabilidades específicas, como os worms, são exemplos de ataques DoS.

    Errado. A negação de serviço viola disponibilidade, mas a confidencialidade da informação pode ser mantida por outros métodos, como criptografia. 
     
     e) O gerenciamento de riscos baseia-se em princípios e boas práticas de gerenciamento e segurança para auxiliar na tomada de decisões estratégicas. Dentre as boas práticas, destaca-se a norma ISO 27001 que define o modelo PDCA (Plan-Do-Check-Act), um procedimento cíclico para gestão da segurança da informação

    Ok. Não procurei saber por que a questão foi anulada, mas n me parece haver nada errado com esta alternativa. 
  • Asdrubal, quem fala de boas práticas eh a 02!


ID
208834
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança da informação procura garantir a preservação da
confidencialidade, a integridade e a disponibilidade da informação.
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999, julgue os itens seguintes.

Um incidente de segurança da informação refere-se a um ou mais riscos não desejados ou esperados que possuem significativa probabilidade de comprometer os ativos de informação e ameaçam a segurança da informação.

Alternativas
Comentários
  • Incidente é uma ameça que aconteceu, o texto da questão está se referindo a ameças e não incidente.

  • Desculpe, mas tenho que discordar do colega.

    Segundo a ISO 27001, um incidente de segurança é um simples ou uma série de EVENTOS de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

    Logo, o erro da questão está ao afirmar que um incidente refere-se a um ou mais riscos.

  • Mas como o conceitos de riscos é:

           Risco - combinação da probabilidade de um evento e de suas consequências.

    , no meu entendimento o risco envolve o evento, conseguentemente a questão estaria correta.
  • Caro Amarildo,

    Um risco envolve a PROBABILIDADE de um evento e não a ocorrencia do evento em si. Por isso a questão está errada, conforme a explicação da Thays. E além disso temos que são eventos INesperados.
  • Para confirmar, incidente é um simples evento ou uma série de eventos de segurança da informação INDESEJADOS ou INESPERADOS, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. 
  • Outro ponto importante ainda não comentado é que a questão afirma " (...) que possuem significativa probabilidade de comprometer os ativos de informação(...)". Deve haver probabilidade de comprometimento das operações de negócio, não dos ativos.
  • Senhores a Thays não citou a fonte completa, vou só citar para facilitar o estudo de vocês. Ela encontrou a resposta na norma ISO 27001. Segue a bibliografia da mesma resposta na ISO 27002.


    Seção

    2 TERMOS E DEFINIÇÕES
    2.7 incidente de segurança da informação


    Segundo ISO 27002, p. 22 "Um incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação."
  • Assertiva incorreta.
    Gente, temos que nos atentar a norma que está sendo cobrada aqui que é a ISO 27005 que tem uma visão um pouco diferente da norma ISO 27001.
    Um Incidente de segurança da Informação é quando ele já aconteceu. Então não é algo que tem probabilidade de acontecer. Nesse segundo caso é o RISCO
    Para deixar mais claro vou dar um exemplo:
    Eu tenho um servidor que não está devidamente atualizado com as últimas atualizações de segurança do fabricante. (Existe o risco, porque se já existe a atualização significa que já se tornou uma falha conhecida = vulnerabilidade no meu ativo = servidor. Mas ninguém = ameaça invadiu ou explorou tal vulnerabilidade do meu ativo.)
    No final de semana, um ATACANTE consegue invadir o meu servidor através da vulnerabilidade do meu ativo. (Então neste caso obtivemos um incidente de segurança da informação. Porque a ameaça conseguiu explorar a vulnerabilidade do meu ativo. Aconteceu.)

    Motorista bêbado = Risco de acidente. (Risco)
    Bateu ou atropelou alguém = Acidente concretizado (Incidente)

  • Concordo Daniel, mas um incidente não tratado vira um risco novamente!
    Afinal, para que serviria um incidente, dentro da política de segurança de uma instituição - uma vez que ele já ocorreu, com suas possíveis consequências - se não fosse para ser considerado um risco e tratado?
    Isso é uma prova sobre um tema que vamos usar enquanto funcionários públicos ou uma prova infantil de memorização?
    Devemos lembrar que a 27.001 se baseia no ciclo PDCA, que é um ciclo de negócios contínuos...ou seja, um incidente é um risco sim! E isso, mesmo que aquele incidente já estivesse sendo considerado como risco residual ou aceitável...
    Acho que pra ser professor de faculdade e poder fazer questão, deveria que ter, tipo, 10 anos de experiência comprovada no mercado...Sou Analista de TI de uma Federal...e o que acaba com o universo da inteligência e do talento, chama-se stricto sensu!


ID
208837
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança da informação procura garantir a preservação da
confidencialidade, a integridade e a disponibilidade da informação.
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999, julgue os itens seguintes.

São exemplos de ativos de uma organização a informação e os processos de apoio, sistemas e redes. Os requisitos de segurança, em uma organização, são identificados por meio de análise sistemática dos riscos de segurança.

Alternativas
Comentários
  • Os processos de apoio são ativos também?  Alguém confirma? Pelo que li na 17799 parece que sim. 

    Fonte: http://www.e-services.com.br/portal/artigos/NBRISO17799R1.pdf

    Exemplos de ativos associados com sistemas de informação são: 
    a) ativos de informação: base de dados e arquivos,  documentação de sistema, manuais de usuário, material de 
    treinamento, procedimentos de suporte ou operação,  planos de contingência, procedimentos de recuperação, 
    informações armazenadas

    b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários; 
     
    c) ativos físicos: equipamentos computacionais (processadores, monitores,  laptops,  modems), equipamentos de 
    comunicação (roteadores, PABXs, fax, secretárias eletrônicas), mídia magnética (fitas e discos), outros equipamentos 
    técnicos (no-breaks, ar-condicionado), mobília, acomodações; 
     
    d) serviços: computação e serviços de comunicação,  utilidades gerais, por exemplo aquecimento, iluminação, 
    eletricidade, refrigeração.
  • Certo. Quanto a segunda parte da questão(segunda oração) segue a fonte da resposta.

    Segundo a ISO 27002,p.10,"

    0.4 Analisando/avaliando os riscos de segurança da informação

    Os requisitos de segurança da informação são identificados por meio de uma análise/avaliação sistemática dos

    riscos de segurança da informação. Os gastos com os controles precisam ser balanceados de acordo com os

    danos causados aos negócios gerados pelas potenciais falhas na segurança da informação."


ID
208840
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança da informação procura garantir a preservação da
confidencialidade, a integridade e a disponibilidade da informação.
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999, julgue os itens seguintes.

Entre os ativos associados a sistemas de informação em uma organização, incluem-se as bases de dados e arquivos, os aplicativos e os equipamentos de comunicação (roteadores, secretárias eletrônicas etc.).

Alternativas
Comentários
  • Uma secretária eletrônica não é um ativo, pois ela não faz parte do negócio da organização.

  • E se a secretária eletrônica tivesse algum dado confidencial? Isso faria sentido? Grato.

  • Realmente a secretária eletrônica é um ativo, já que ativo pode ser qualquer hardware, software ou informação dentro da empresa que tenha importância para ela. Inclusive os funcionários e a própria reputação da empresa são ativos. O que eu acho que pegou foi ao se falar de aplicativos, já que isso é muito amplo. Por exemplo: O word e excel são aplicativos, mas para muitas empresas estes não são considerados ativos (eu acho rs)...
  • A questão fala especificamente de ativos associados a sistemas de informaçao. Acho que o peguinha da questão é esse.
    A secretária eletrônica e outros equipamentos de comunicação se enquadrariam como ativos físicos, segundo a norma, e não como associados a sistemas de informação (estes últimos, ativos de informação).
  • Os ativos são classificados como: ativos de informação, ativos de software, ativos físicos e serviços. Apenas as "bases de dados e arquivos" são ativos associados a sistemas de informação.  Aplicativos é associado aos ativos de software e equipamentos de comunicação aos ativos físicos.
  • De acordo com a norma ISO 27002:

    2.1 Ativo:
    Qualquer coisa que tenha valor para a organização.

    Agora me digam, uma secretária eletrônica tem ou não valor para uma organização!? Ao meu ver, dependendo da organização, uma secretária eletrônica pode sim ter valor para a organização. Pois ela pode gravar mensagens, conversas, identificar chamadas etc... Coisas que podem sim terem muito valor para uma organização!

    Acho que a CESPE só quis mesmo foi sacanear com nossa cara com essa questão...

    (questão deve ser reavaliada!)
  • Questão polêmica!!! Podemos ficar horas discutindo se a secretária eletrônica é ou não um ativo do sistema de informação. Na minha opinião, como a de amigos acima, a secretária eletrônica é sim um ativo do sistema de informação.
  • Infelizmente teremos que seguir a "idéia da banca". Nesse caso, o cespe nos diz claramente que não aceita a generalização dos ativos associados a sistemas de informação. É aquela história, cada qual com seu cada qual....
  • O Texto da questão é um trecho da versão de abril de 2001 como segue:

    5.1.1 Inventário dos ativos de informação
    (...)

    Exemplos de ativos associados com sistemas de informação são:
    a) ativos de informação: base de dados e arquivos, documentação de sistema, manuais de usuário, material de
    treinamento, procedimentos de suporte ou operação, planos de contingência, procedimentos de recuperação,
    informações armazenadas;
    b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;
    c) ativos físicos: equipamentos computacionais (processadores, monitores, laptops, modems), equipamentos de
    comunicação (roteadores, PABXs, fax, secretárias eletrônicas), mídia magnética (fitas e discos), outros equipamentos
    técnicos (no-breaks, ar-condicionado), mobília, acomodações;
    d) serviços: computação e serviços de comunicação, utilidades gerais, por exemplo aquecimento, iluminação,
    eletricidade, refrigeração.


    porém a versão 27002 de 2005 retira secretária eletrônica.


    fonte:
    http://www.e-services.com.br/portal/artigos/NBRISO17799R1.pdf




  • Independente de considerarmos a secretária eletrônica como ativo associados a sistemas de informação ou não, a questão continuaria ERRADA. Como já citado acima, aplicativos fazem parte de ativos de SOFTWARE  e equipamentos de comunicação fazem parte dos ATIVOS FISÍCOS. A questão pergunta ESPECIFICAMENTE sobre ativos associados ao SISTEMA DE INFORMAÇÃO.
  • A ISO 27002:2013 NA SEÇÃO DE GESTÃO DE ATIVOS NÃO TRAZ MAIS ESSA CLASSIFICAÇÃO DE ATIVOS. A NORMA ISO 27005:2011 TRAZ UMA FORMA DE CLASSIFICÁ-LOS.

    Segundo a ISO 27005:2011,

    "B.1 Exemplos de identificação de ativos

    Dois tipos de ativos podem ser distinguidos:
    �- Ativos primários:
    �       Processos e atividades do negócio
    �       Informação

    _____________________
    -� Ativos de suporte e infraestrutura (sobre os quais os elementos primários do escopo se apoiam), de todos os tipos:
    �      Hardware
    �      Software
    �      Rede
    �      Recursos humanos
    �      Instalações físicas
    �      A estrutura da organização"

  • Entre os ativos associados a sistemas de informação em uma organização, incluem-se as bases de dados e arquivos, os aplicativos e os equipamentos de comunicação (?) (roteadores, secretárias eletrônicas etc.).


ID
208843
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança da informação procura garantir a preservação da
confidencialidade, a integridade e a disponibilidade da informação.
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999, julgue os itens seguintes.

Uma organização deve ser capaz de inventariar seus ativos, identificar seus respectivos valores e importâncias e indicar um proprietário responsável por eles. A informação deve ser classificada em termos de sua utilidade, adequabilidade e nível de segurança.

Alternativas
Comentários
  • De acordo com as Normas de Segurança da Informação NBR ISO/IEC 27002 temos:

    7. Gestão de ativos

    7.2 Classificação da Informação

    7.2.1 Recomendações para classificação

    A informação deve ser classificada em termos de seu valor, requisitos legais, sensibilidade e criticidade para a organização.

  • Só complementando o colega: a sensibilidade de um dado diz respeito ao seu sigilo, isto é, quanto mais sensível o ativo mais sensível este é. E quanto mais crítico o ativo, maior será o impacto para empresa caso o ativo seja roubado ou danificado.
  • A.7 Gestão de Ativos

    A.7.2 Classificação da Informação

    A7.2.1 Recomendações para classificação

    A informação deve ser classificada em termos de seu valor, requisitos legais, sensibilidade e criticidade para a organização.
    Fonte: Pág. 16, ABNT NBR ISO/IEC 27001:2006

     

  • A informação deve ser classificada em termos de seu VALOR, REQUISITOS LEGAISSENSIBILIDADE e CRITICIDADE para a organização.


ID
208846
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança da informação procura garantir a preservação da
confidencialidade, a integridade e a disponibilidade da informação.
Relativamente às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999, julgue os itens seguintes.

É conveniente que, na classificação das informações e seu respectivo controle de proteção, considerem-se as necessidades de compartilhamento ou restrição de informações. Ao se tornar pública, uma informação frequentemente deixa de ser sensível ou crítica.

Alternativas
Comentários
  • 7.2 Classificação da informação
    7.2.1 Recomendações para classificação

    Informações adicionais
    A informação freqüentemente deixa de ser sensível ou crítica após um certo período de tempo, por exemplo quando a informação se torna pública.
    ABNT NBR ISO/IEC 27002
  • Ainda segundo a ISO 27002,"

    7.2.1 Recomendações para classificação

    Diretrizes para implementação

    Convém que a classificação da informação e seus respectivos controles de proteção levem em consideração as necessidades de compartilhamento ou restrição de informações e os respectivos impactos nos negócios , associados com tais necessidades."

  • O CESPE omitiu a informação " ... após certo período de tempo .." contido na norma. Isso dá a entender que a informação tem possibilidade de ter vazado e independentemente disso ela deixa de ser sensível ou crítica, o que é claramente errado.

    Mas é isso aí, até porque não é a Norma que dita as regras né, é a banca.


ID
208849
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

O acesso físico e lógico de terceiros aos recursos de processamento da informação da organização devem ser controlados. Um exemplo de acesso lógico é o acesso aos bancos de dados da organização.

Alternativas
Comentários
  • 6.2.1 Identificação dos riscos relacionados com partes externas
    Controle
    Convém que os riscos para os recursos de processamento da informação e da informação da organização
    oriundos de processos do negócio que envolva as partes externas sejam identificados e controles apropriados
    implementados antes de se conceder o acesso.
    Diretrizes para implementação
    Convém que uma análise/avaliação de riscos (ver seção 4) seja feita para identificar quaisquer requisitos de
    controles específicos, onde existir uma necessidade que permita o acesso de uma parte externa aos recursos
    de processamento da informação ou à informação de uma organização. Convém que a identificação de riscos
    relativos ao acesso da parte externa leve em consideração os seguintes aspectos:
    a) os recursos de processamento da informação que uma parte externa esteja autorizada a acessar;
    b) tipo de acesso que a parte externa terá aos recursos de processamento da informação e à informação,
    como, por exemplo:
    1) acesso físico ao escritório, sala dos computadores, gabinetes de cabeamento;
    2) acesso lógico ao banco de dados da organização e aos sistemas de informações;
    3) rede de conexão entre a organização e a rede da parte externa, como, por exemplo, conexão
    permanente, acesso remoto;
    4) se o acesso vai ser dentro ou fora da organização;
    c) valor e a sensibilidade da informação envolvida,e a sua criticidade para as operações do negócio;

    Fonte: ISO 27002

ID
208852
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

A necessidade de conexão com terceiros deve considerar o tipo de acesso requerido, o valor da informação, os controles empregados por terceiros e as implicações desse acesso à segurança da informação da organização.

Alternativas
Comentários
  • CERTO

    Segundo a ISO 27002, "

    6.2.1 Identificação dos riscos relacionados com partes externas

    Diretrizes para implementação

    Convém que a identificação de riscos relativos ao acesso da parte externa leve em consideração os seguintes aspectos:

    b) tipo de acesso que a parte externa terá aos recursos de processamento da informação e à informação,

    como,[...]

    c) valor e a sensibilidade da informação envolvida, e a sua criticidade para as operações do negócio;

    d) os controles necessários para proteger a informação que não deva ser acessada pelas partes

    externas;




    "


ID
208855
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Recomenda-se que as responsabilidades de segurança sejam atribuídas nas fases de seleção de pessoal, incluídas em acordos informais de trabalho e monitoradas durante a vigência de cada contrato de trabalho.

Alternativas
Comentários
  • Acho que a fase é a fase de contratação de pessoal e se trata de acordos formais e assinados.

  • Na realidade, de acordo com a norma ISO 27002, as responsabilidades devem sim ser atribuídas antes da contratação de recursos humanos:

      8. Segurança de Recursos Humanos
             8.1 Antes da contratação
                     8.1.2 Papéis e responsabilidades
                               Convém que papéis e responsabilidades pela SI de funcionários, fornecedores e terceiros sejam definidos e documentados de acordo com                             a política de SI. Convém que papéis e responsabilidades de SI sejam claramente definidos e comunicados aos candidatos a cargo (....)
                     8.2.3. Seleção
                             Resumidamente, verificação do histórico de cada candidato ao emprego conforme os requisitos legais
                     8.2.4 Termos e condições
                              Como parte de suas obrigações contratuais, convém que os funcinários e terceiros concordem e assinem os termos e condições de  sua                                      contratação para o trabalh, os quais devem declarar as suas responsabilidades para a SI.

    Reparem que o erro da questão está em dizer que estes acordos são informais. Na realidade, esses acordos são bem formais, pois envolvem, inclusive, a assinatura do candidato e caso haja algum desrespeito grave a tais acordos, pode-se(se conveniente) acionar a justiça.Ademais, conforme nosso colega bem mencionou no comentário abaixo, a a fase de seleção(controle seleção) tem a função de verificar o histórico dos candidatos ao emprego. Portanto não seria nesse controle, em específico,onde as responsabilidades são atribuídas.
  • ERRADO

    Os acordos devem ser formais


ID
208858
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Acordos de confidencialidade fazem parte de uma política de pessoal cujo objetivo é assegurar que não haja acesso a sistemas sensíveis por pessoas não autorizadas.

Alternativas
Comentários
  • Políticas de pessoal objetivam conscientizar os funcionários dos riscos de sua atividiade quanto a segurança da informação bem como responsabilizá-los no caso de violação de algum item da política de segurança.

  • ERRADO

    São 133 controles na ISO27001 e o CESPE quer que saibamos todas :)

    ABNT NBR ISO/IEC 27001:2006

    A.6.1.5  Acordos de confidencialidade
    Controle
    Os requisitos para confidencialidade ou acordos de não divulgação que reflitam as necessidades da organização para a proteção da informação devem ser identificados e analisados criticamente, de forma regular.

  •  
    6.1.3 Acordos de confidencialidade
    Acordos de confidencialidade ou de não divulgação são usados para alertar que a informação é confidencial ou secreta.
    Normalmente convém que os funcionários assinem tais acordos como parte dos termos e condições iniciais de contratação.
    Para colaboradores casuais e prestadores de serviços que não estejam cobertos por um contrato existente (que contenha o acordo de confidencialidade), convém que seja exigida a assinatura do acordo de confidencialidade, antes de ter acesso às instalações de processamento da informação.
    Convém que acordos de confidencialidade sejam revisados quando existirem modificações nos termos de contratação, particularmente devido à saída de funcionários da organizaçãoou ao término de contratos.

    Portanto "Acordo de confidencialidade" não refere-se a acesso não autorizado, mas sim à divulgação de informações confidenciais ou secretas.
  • Segundo a ISO 27002:2013,

    "13.2.4 Acordos de confidencialidade e não divulgação
    Controle
    Convém que os requisitos para confidencialidade ou acordos de não divulgação que reflitam as necessidades da organização para a proteção da informação sejam identificados, analisados criticamente e documentados."


ID
208861
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

O documento da política de controle de acesso contém as políticas para autorização e distribuição de controle de acesso. É recomendável a existência de um procedimento formal de registro e cancelamento de usuário para obtenção de acesso a todos os sistemas de informação e serviços, com exceção dos sistemas multiusuários.

Alternativas
Comentários
  • "com exceção dos sistemas multiusuários" está errado.

  • ERRRADO

    ABNT NBR ISO/IEC 27001:2006

    A.11.2  Gerenciamento de acesso do usuário

    Objetivo: Assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas de informação.

    A.11.2.1  Registro de usuário
    Controle
    Deve existir um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços.


ID
208864
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Privilégio é qualquer característica ou facilidade de um sistema de informação multiusuário que permita ao usuário sobrepor controles do sistema ou aplicação. A concessão e uso de privilégios deve ser restrito e controlado, e sua utilização inadequada é considerada fator de vulnerabilidade de sistemas.

Alternativas
Comentários
  • Discordo do texto que diz: "sua utilização inadequada é considerada fator de vulnerabilidade"

    Para mim, a utilização inadequada é uma ameaça, isto é, uma causa potencial de dano, não uma fraqueza inerente do ativo.
  • Discordo do gabarito, pois o enunciado da questão informa que o privilégio permite ao usuário sobrepor controles do sistema ou aplicação, mas não é verdade. Por exemplo, o usuário pode receber um privilégio somente de leitura, onde ele não vai sobrepor controle algum..
  • Se ele receber acesso de leitura, terá superado o controle que não lhe permitia ler.
  • Da onde eles tiraram essa definição de privilégio?

    O uso inapropriado de privilégios de administrador de sistemas (qualquer característica ou recursos de sistemas de informação que habilitam usuários a exceder o controle de sistemas ou aplicações) pode ser um grande fator de contribuição para falhas ou violações de sistemas.

    Mas, na minha opinião, a questão generalizou "privilégio" de maneira inadequada ele  só sobrepõe os controles quando é administrador (e.g. no linux quando o usuário é root as permissões não são checadas). 
     

  • Eu queria entender de onde o Cespe retirou a seguinte afirmativa:


    "Privilégio é qualquer característica ou facilidade de um sistema de informação multiusuário que permita ao usuário sobrepor controles do sistema ou aplicação."

  • Questão estranha.  O ideal era ter vindo algo assim ,"Uso inapropriado de Privilégio é qualquer característica ou facilidade (...)"

    Segundo a ISO 27002:2013,"

    9.2.3Gerenciamento de direitos de acesso privilegiados

    Uso inapropriado de privilégios de administrador de sistemas (qualquer característica ou recursos de sistemas de informação que habilitam usuários a exceder o controle de sistemas ou aplicações) pode ser um grande fator de contribuição para falhas ou violações de sistemas."

  • Concordo com que acha que privilégio por si só não resulta nessas consequências. Para esta questão estar correta ele deveria começar com "A elevação de privilégios...". Aí sim o comando estaria completamente correto.


ID
208867
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

As senhas fornecem um meio de validação da autoridade do usuário e o estabelecimento dos direitos de acesso para os recursos ou serviços de leitura da informação.

Alternativas
Comentários
  •  

    Segundo o prof. Sócrates Filho, as senhas fazem apenas a validação ao acesso aos recursos ou serviços de informação, mas o estabelecimento dos direitos de acesso é feito pelas politicas de autenticação do acesso , por meio de perfis. Item errado, portanto.

  • Uma das formas mais utilizadas no estabelecimento dos direitos de acesso é a chamada ACL (Access Control List), implementada em Sistemas Operacionais de Rede, e independem de senhas de usuários.

  • 9.2.3 Gerenciamento de senha dos usuários
    Senhas são um meio comum de validação da identidade do usuário para obtenção de acesso a um sistema de informação ou serviço.
  • autoridade != autenticidade

  • ERRADO.

    Segundo a ISO 27002:2013,

    "9.2.4 Gerenciamento da informação de autenticação secreta de usuários

    "Informações adicionais
    Senhas são normalmente usadas como um tipo de informação de autenticação secreta, e é uma forma comum de verificar a identidade de um usuário."

  • A senha pode ser usada para AUTENTICAR um Usuário. Por sua vez, as permissões(de usuário ou grupo) são responsáveis por definir a AUTORIZAÇÃO do respectivo usurário. Gabarito, ERRADO. FFF

ID
208870
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

O controle de acesso à rede busca assegurar o uso de interfaces apropriadas entre a rede da organização e as redes de outras organizações ou redes públicas e controlar o acesso dos usuários aos serviços de informação. Também busca utilizar mecanismos de autenticação apropriados para usuários e equipamentos.

Alternativas
Comentários
  • NBR ISO/IEC 17799 (27002)

    11.4 Controle de acesso à rede

    Objetivo: Prevenir acesso não autorizado aos serviços de rede.

    Convém que o acesso aos serviços de rede internos e externos seja controlado.

    Convém que os usuários com acesso às redes e aos serviços de rede  não comprometam a segurança desses serviços, assegurando:

    a) uso de interfaces apropriadas entre a rede da organização e as redes de outras organizações e redes públicas;
    b) uso de mecanismos de autenticação apropriados para os usuários e equipamentos;
    c) reforço do controle de acesso de usuários aos serviços de informação.

ID
208873
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Conexões externas que utilizam métodos dial-up devem ser validados conforme o nível estabelecido por avaliações de risco. Controles e procedimentos de discagem reversa, conhecidos por call forwarding, expõem e fragilizam a organização, uma vez que utilizam dispositivos roteadores com discagem reversa e levam o usuário a manter a linha aberta com a pretensão de que a verificação da chamada reversa tenha ocorrido.

Alternativas
Comentários
  • Call forwarding mantém a linha aberta do lado da organização e não do usuário.

  • Questão esquisita, mas lendo atentamente, na segunda frase, percebe-se que a questão diz que "Controles e procedimentos de discagem reversa expõem e fragilizam a organização". Ora, controle deve fortalecer, e não fragilizar. É o que diz a norma: "Os procedimentos e controles de discagem reversa (dial-back), por exemplo, usando modens com discagem reversa, podem prover proteção contra conexões não autorizadas...".

    Enfim, segue a norma.

    11.4.2 Autenticação para conexão externa do usuário

    Os procedimentos e controles de discagem reversa (dial-back), por exemplo, usando modens com discagem reversa, podem prover proteção contra conexões não autorizadas e não desejadas nos recursos de processamento da informação de uma organização. Este tipo de controle autentica usuários que tentam estabelecer conexões com a rede de uma organizações de localidades remotas. Ao usar este controle, convém que uma organização não use serviços de rede que incluem transferência de chamadas (forward) ou, se eles fizerem, convém que seja desabilitado o uso de tais facilidades para evitar exposição a fragilidades associadas ao call forward. Convém que o processo de discagem reversa assegure que uma desconexão atual no lado da organização aconteça. Caso contrário, o usuário remoto poderia reter aberta a linha simulando que a verificação do retorno da chamada (call back) ocorreu. Convém que os procedimentos e controles da discagem reversa sejam testados completamente para esta possibilidade.

  • Discagem reversa não é conhecida como call fowarding. Ela é conhecida como dial back.
  • "Call fowarding" em português claro é encaminhamento da chamada ,  discagem reversa é "dial back".

ID
208876
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Os controles baseiam-se nos requisitos de segurança selecionados considerando-se as restrições de implementação, sua eficácia em relação aos riscos que serão reduzidos e às perdas potenciais, caso as falhas na segurança ocorram. Pode-se, ainda, considerar fatores financeiros, como prejuízos à reputação da organização.

Alternativas
Comentários
  • Restrições de implementação não são consideradas quando da seleção do controle de requisitos de segurança.

  • Não concordo com o amigo do último comentário. Segundo a norma ISO 27002:
            "Os controles podem ser selecionados desta ou de outras normas. É importante reconhecer que alguns controles podem não ser aplicáveis a todos os sistemas de informação ou ambientes e podem não ser praticáveis em todas as organizações. Como um exemplo, 10.1.3 descreve como as responsabilidades podem ser segregadas para evitar fraudes ou erros.  Pode não ser possível para pequenas organizações segregar todas as responsabilidades (...)"
     Percebe se claramente neste trecho, que, durante a seleção de controles, devido a uma restrição de implementação(quantidade pequena de funcionários para segregar todas as funções de segurança), não foi possível a uma pequena empresa implantar o controle "segregação de responsabilidades".
    O erro, na minha opinião, está no seguinte trecho: "Pode-se, ainda, considerar fatores financeiros, como prejuízos à reputação da organização." 
    Prejuízos à reputação da organização é um fator intangível e não financeiro como está na questão.
  • Concordo com Fábio na análise da questão. Pra mim é o erro da questão.

    Yakko, vc copiou todas os comentários (em várias questões de SI) de uma lista do Socrates FIlho e nem fez referência ao autor. É muito boa  sua ajuda dos comentários, mas tb é mt importante citar a fonte. É de grande valia para complementação dos estudos!

    Bons estudos e sucesso a todos!
  • Posso estar enganado, mas "requisitos de segurança selecionados" me parece errado. 
    O que pode ser selecionado considerando o contexto organizacional e as normas citadas são os CONTROLES. 
    Requisitos, de acordo com a 27001, não são opcionais e são genéricos suficiente pra todo e qualquer tipo de organização. Ao meu ver, a palavra "selecionar" não cabe no contexo de "requisitos" dentro da norma 27001.

    Todas essas considerações podem ser levadas em conta quanto a SELEÇÃO DE CONTROLES.

    Marquei errado por esse motivo. Mas de qualquer forma a questão é confusa... Alguém poderia reforçar os comentários?
  • Perfeito o comentário do Fábio:

    Convém que os controles sejam selecionados baseados nos custos  de implementação em relação aos riscos que serão reduzidos e as perdas potenciais se as falhas na segurança ocorrerem.
    Convém que fatores não financeiros, como, por exemplo, prejuízos na reputação da organização, sejam levados em consideração
  • 2 erros

    os controles não são escolhidos baseados na dificuldade de implementação, pois são escolhidos baseado na análise dos riscos...e...a marca da empresa que é um fator intangível, e não financeiro (apesar de uma coisa levar à outra|).


ID
208879
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

O documento da política de segurança da informação estabelece as suas linhas mestras, expressa as preocupações da administração e é por ela aprovado e comunicado a todos os funcionários.

Alternativas
Comentários
  • Documento da política de segurança da informação

    Controle

    Convém que um documento da política de informação seja aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.

    Uma declaração do comprometimento da direção, apoiando as metas e princípios de segurança da informação, alinhadas com os objetivos e estratégias de negócio.

    fonte: ABNT NBR ISO/IEC 27002

  • É um tanto quanto complicado poder afirmar que um documento da política de segurança da informação expressa as preocupações da administração.. administração se preocupa com o negócio, com o mercado e com uma série de coisas que não dizem respeito ao documento em si.. Questão muito mal elaborada. 
  • Questão maldosa mesmo, creio eu que não está errado, como foi mencionado no trecho da norma mostrado pela Fernanda, pelo fato de que a direção é parte da administração organizacional. 

  • "expressa as preocupações da administração" na Política de Segurança ??? De onde o CESPE tirou isso??? já pensou se toda empresa coloca suas preocupações nesse documento o risco que não seria??


ID
208882
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

São exemplos de conteúdos que constam no documento de política da informação: conformidade com a legislação e cláusulas contratuais, requisitos na educação de segurança, gestão da continuidade do negócio e regras para controle de acesso.

Alternativas
Comentários
  • Gestão de continuidade do negócio não é tratada pela política de segurança e sim pela política de continuidade do negócio.

  • Acho que o erro é principalmente pelo "regras para controle de acesso". A poliítica trata de questões gerais, relativas ao negócio. As "regras para controle de acesso" são definidas e aplicadas e próximas a um contexto operacional. Por isso, ERRADA a questão

  • ISO 17799:2005 (equivalente a ISO 27002)

    5.1.1 Documento da política de segurança da informação
    d) breve explanação das políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização, incluindo:
    1) conformidade com a legislação e com requisitos regulamentares e contratuais;
    2) requisitos de conscientização, treinamento e educação em segurança da informação;
    3) gestão da continuidade de negócio;
    4) consequências das violações na política de segurança da informação;
    gestão da continuidade do negócio;

    Logo, o erro está em "regras para controle de acesso".

ID
208885
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Convém que a política de segurança da informação tenha um patrocinador responsável por sua manutenção e análise crítica e que esteja de acordo com um processo de submissão definido.

Alternativas
Comentários
  • O patrocinador não é responsável pela política de segurança da informação, existe um setor responsável por essa política. O patrocinador geralmente a direção da empresa é responsável apenas pela aprovação dessa política.

  • Patrocinador: representa a direção da organização. No contexto de análise crítica, o patrocinador possui as seguintes atribuições:
               1)Definir procedimentos para análise crítica
               2)Definir período em que será realizado a análise crítica pelo gestor
               3)Nomear o gestor responsável(proprietário) pela política de SI
               4)Realizar análise crítica independente e fornecê-la como entrada ao gestor da política de SI
               5)Aprovação da Politica de SI revisada/modificada

    Gestor: pessoa, setor ou grupo com responsabilidade de gestão, análise crítica, avaliação e melhoria da política de SI.

    Fiz esse resumo da página 9 (5.1.2 - Análise crítica da SI) da NBR-ISO 27002.
  • Convém que a política de segurança da informação tenha uma direção responsável por sua manutenção e análise crítica.
  • Acho que o erro está no seguinte:

    Convém que a política de segurança da informação tenha um patrocinador responsável por sua manutenção e análise crítica

    No item 5.1.2 só fala que a direção faz a análise crítica e mantém um registro da análise crítica, não mantém a política de segurança da informação.
  • Segundo a Norma ISO/IEC 27002:2005:


    5.1.2 Análise crítica da política de segurança da informação 


    Convém que a política de segurança da informação tenha um gestor que tenha aprovado a responsabilidade pelo desenvolvimento, análise crítica e avaliação da política de segurança da informação. Convém que a análise crítica inclua a avaliação de oportunidades para melhoria da política de segurança da informação da organização e tenha um enfoque para gerenciar a segurança da informação em resposta às mudanças ao ambiente organizacional, às circunstâncias do negócio, às condições legais, ou ao ambiente técnico.


    Ou seja, o papel definido é o de gestor, não patrocinador.

  • Não é o patrocinador (direção) quem faz isso mas sim o gestor responsável pela política de SI.

    Não se fala nada sobre "processo de submissão" nessa parte da norma.


ID
208888
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Alguns controles deverão salvaguardar sistemas operacionais e ferramentas de auditoria durante as auditorias de sistema. O escopo de verificação deve ser acordado e controlado.

Alternativas
Comentários
  • ABNT NBR ISO/IEC 17799:2005

    15.3 Considerações quanto à auditoria de sistemas de informação

    Objetivo: Maximizar a eficácia e minimizar a interferência no processo de auditoria dos sistemas de informação.

    Convém que existam controles para a proteção dos sistemas operacionais e ferramentas de auditoria durante as auditorias de sistema de informação.

    Proteção também é necessária para proteger a integridade (salvaguardar) e prevenir o uso indevido das ferramentas de auditoria.


    15.3.1 Controles de auditoria de sistemas de informação

    Controle
    Convém que requisitos e atividades de auditoria envolvendo verificação nos sistemas operacionais sejam cuidadosamente planejados e acordados para minimizar os riscos de interrupção dos processos do negócio.
  • A meu ver essa questão é passível de anulação.
    A questão diz "deverão", a norma diz "convém que".
  • mas ele diz qual é a norma específica? se for a ISO 27001 é Deve, se for a ISO 27002 é convem

ID
208891
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Na revisão periódica da conformidade dos sistemas com as políticas e normas organizacionais de segurança, devem-se incluir sistemas de informação, provedores de sistemas, proprietários da informação, ativos de informação, usuários e administração.

Alternativas
Comentários
  • Alguém sabe em qual item de qual norma tem a reposta desta questão ?
  • Daniel, achei esta parte na norma, mas se alguém achar outra mais especifica, favor colaborar:

    4.2.3 Monitorar e analisar criticamente o SGSI
    A organização deve:

    b) Realizar análises críticas regulares da eficácia do SGSI (incluindo o atendimento da política e dos objetivos do
    SGSI, e a análise crítica de controles de segurança), levando em consideração os resultados de auditorias de
    segurança da informação, incidentes de segurança da informação, resultados da eficácia das medições,
    sugestões e realimentação de todas as partes interessadas.

    d) Analisar criticamente as análises/avaliações de riscos a intervalos planejados e analisar criticamente os riscos
     
    residuais e os níveis de riscos aceitáveis identificados, levando em consideração mudanças relativas a:
    1) organização;
    2) tecnologias;
    3) objetivos e processos de negócio;
    4) ameaças identificadas;
    5) eficácia dos controles implementados;
    6) eventos externos, tais como mudanças nos ambientes legais ou regulamentares, alterações das
    obrigações contratuais e mudanças na conjuntura social.

ID
208894
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Controles de ambiente e software devem se corretamente implementados para que a validação da conformidade técnica e científica assegure que os sistemas de informação sejam verificados em conformidade com as normas de segurança implementadas.

Alternativas
Comentários
  • Os controles de ambiente não garantem a validação da conformidade, essa validação deverá ser feita pelo setor responsável.

  • A conformidade (técnica e ciencítica) assegura simplesmente que uma provável auditoria será bem sucedida.

    O fato de que os sistemas de informação são verificados em conformidade com as normas de segurança implementadas é que assegura a conformidade "técnica e ciencítica", e não o contrário.
  • 15.2.2 Verificação da conformidade técnica


    Controle

    Convém que sistemas de informação sejam periodicamente verificados em sua conformidade com as normas de segurança da informação implementadas.

    A norma ISO 27002 não fala nada sobre conformidade técnica e científica. Ela fala apenas sobre conformidade técnica.

  • Controles de ambiente e software DEVEM ser corretamente implementados para que a validação da conformidade técnica e científica assegure que os sistemas de informação sejam verificados em conformidade com as normas de segurança implementadas.

    Palavra perigosa essa, em se tratando de vinte sete mil e dois . . .

  • Está invertido:


    Controles de ambiente e software devem ser corretamente implementados para que a VERIFICAÇÃO da conformidade técnica assegure que os sistemas de informação sejam VALIDADOS em conformidade com as normas de segurança implementadas.


ID
208897
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Quando o processo envolver a lei, civil ou criminal, as evidências apresentadas devem se conformar às regras para evidências estabelecidas pela lei, independemente do tribunal de justiça específico onde o caso será julgado. Para obter admissibilidade da evidência, recomenda-se que as organizações garantam que seus procedimentos operacionais estejam em conformidade com qualquer norma ou código de conduta publicado para produção de evidência admissível.

Alternativas
Comentários
  • As regras dependem de cada tribunal, ou seja, as provas deverão ser apresentadas de acordo com o que o tribunal solicitar.

  • ABNT NBR ISO/IEC 17799:2005

    13.2.3 Coleta de evidências

    Controle
    Nos casos em que uma ação de acompanhamento contra uma pessoa ou organização, após um incidente de segurança da informação, envolver uma ação legal (civil ou criminal), convém que evidências sejam coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidências da jurisdição(ões) pertinente(s).
  • Questão estranha:
     
    Quando o processo envolver a lei, civil ou criminal, as evidências apresentadas devem se conformar às regras para evidências estabelecidas pela lei, independemente do tribunal de justiça específico onde o caso será julgado.
     
    A questão está sendo mais restrita que a norma pois independente do tribunal (civil ou criminal) as evidências devem ser conforme a lei. Na norma diz o seguinte: 
     
    convém que evidências sejam coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidências da jurisdição(ões) pertinente(s)

    ou seja, as evidências devem se conformar somente  com o tribunal pertinente, não precisa ser conforme os dois tribunais. 
    O erro da questão está na velha história deve-convém (apesar que se fala no enunciado em 27001 e 27002), ou na parte de ser todos os tribunais ou só os pertinentes?

     
  • Outro erro.

    Segundo a ISO 27002,"13.2.3 Coleta de evidências

    Para obter a admissibilidade da evidência, convém que a organização assegure que seus sistemas de informação estejam de acordo com qualquer norma ou código de prática publicado para produção de evidência admissível."

    o.B.S: Senhores o subtítulo desta questão diz "No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e ISO 15999 e aos assuntos correlatos" então o erro não tem nada haver com o uso do CONVÉM da ISO 27002 ou DEVE da 27001 como alguns colegas afirmaram. 

  • Amigos, nao entendi o porquê de estar errado. Alguem pode me ajudar? Obrigada.


ID
208900
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Gerenciamento de risco refere-se à análise das ameaças, impactos e vulnerabilidades da informação e das instalações de processamento da informação e da probabilidade de sua ocorrência. Análise de risco é o processo de identificação, controle e maximização ou eliminação dos riscos de segurança que possam, a um custo aceitável, afetar os sistemas de informação.

Alternativas
Comentários
  • Análise de riscos não maximiza os riscos.

  • Não entendi a questão. Ao falar em maximização ele não se refere ao risco máximo aceitável por uma organização?
  • A análise de risco é constituída de identificação e estimativa de risco. O processo de controle e eliminação do risco está na fase de Tratamento do riso.
  • Gerenciamento Análise de risco refere-se à análise das ameaças, impactos e vulnerabilidades da informação e das instalações de processamento da informação e da probabilidade de sua ocorrência. Análise Gerenciamento de risco é o processo de identificação, controle e maximização ou eliminação dos riscos de segurança que possam, a um custo aceitável, afetar os sistemas de informação.

    A questão simplesmente inverteu os conceitos.
    OBS: Com relação a Maximização de riscos. Lembrem-se que RISCO pode ser tanto um fator negativo como um fator positivo (também chamado de oportunidade, que no caso, deve-se buscar maximizar).
  • Eu concordo tb acho q ele trocou os conceitos, mas em relação ao risco ser um fator positivo, eu acho q isso só se enquadra ao PMBoK na normas ISO 27001 e 27002 elas tratam riscos somente como fator negativo para a organização.
  • CESPE mais uma vez invertendo os conceitos.

ID
208903
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

A análise crítica periódica dos riscos de segurança e dos controles implementados deve, entre outros, confirmar que os controles permanecem eficientes e adequados.

Alternativas
Comentários
  • Está quase igual ao descrito na norma, sendo assim  é justamente o que é recomendado. 

    Segue o trecho da norma:

    ISO 27002 - Seção 5 - Controle A.5.1.2:
    Análise crítica da política de segurança - A política de segurança da informação deve ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

    Gabarito da questão: CERTO

  • Eu respondi como Errado justamente pensando sobre a atuação dos controles.
    Normalmente a análise é da eficácia (se atende seu objetivo) dos controles não na eficiência (relacionado a melhor utilização de recursos, economia).
    As normas de segurança tratam do termo EFICÁCIA e não eficiência.

    Bons estudos.

ID
208906
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Análises críticas devem ser executadas em níveis de profundidade distintos e se apóiam nas análises de riscos anteriormente realizadas. As probabilidades de falhas são embasadas, entre outros, nas ameaças e vulnerabilidades mais frequentes e nos controles implementados.

Alternativas
Comentários
  • Monitorar e analisar criticamente o SGSI ( check)

    Realizar análise critica de eficácia do SGSI (incluindo o atendimento da política e dos objetivos do SGSI, e a análise crítica de controle de segurança) levando em consideração os resultados de auditoria de segurança da informação, incidente de segurança da informação, resultados das medições de eficácia, sugestões e realimentações de todas as partes interessadas.

  • Avaliação da Probabilidade: Convém levar em conta a frequência da ocorrência das ameaças e a facilidade com que as vulnerabilidades podem ser exploradas, considerando dados como a experiência passada, estatística, motivação e competência de ameaças intencionais, fatores geográficos de ameaças acidentais, vulnerabilidades e os controles existentes e sua eficácia.
  • Análises críticas devem ser executadas em níveis de profundidade distintos OK, como há níveis diversos de complexidade, é correto que haja níveis de profundidade distintos.
     e se apóiam nas análises de riscos anteriormente realizadas. OK, apesar de considerar auditorias, incidentes e métricas, a base para todo o SGSI é a análise/avaliação de riscos.
     As probabilidades de falhas são embasadas, entre outros, nas ameaças e vulnerabilidades mais frequentes e nos controles implementados. OK, conforme excelente comentário do Marco Aurélio.
  • O nosso colega Marco Aurélio esqueceu de mencionar a fonte., segue ela abaixo.

    ABNT NBR ISO IEC 27005:2008, Seção 8.2.2.3 Avaliação da probabilidade dos incidentes, Diretrizes para implementação



ID
208909
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

A relevância de qualquer controle é determinada pelos riscos específicos a que os patrocinadores estão expostos.

Alternativas
Comentários
  • A relevância é determinada pela probabilidade dos riscos acontecerem e suas consequências na organização.

  • Mas, qual a diferença em dizer que algo é determinado:

    a) pelo risco de algo acontecer

    b) pela probabilidade do risco de algo acontecer

     

    Ambas as frase não têm a mesma carga semântica?

  •  A determinação da relevância do controle é dada após a análise/avaliação de riscos a qual determinará qual controle é necessário para previnir/evitar ameaças a vulnerabilidades aos ativos da organização.
    A questão diz que a relevância é determinada a partir dos riscos a que os patrocinadores estão expostos e o correto seria que é determinada a partir dos riscos a que os ativos estão expostos.

  • Os patrocinadores devem ser considerados em qualquer determinação de um SGSI, porém dizer que isto influi de modo tão forte na seleção dos controles é errado, já que os principais fatores a serem considerados são a legislação vigente, cultura organizacional, regras de negócios, ativos e avaliacão/análise de riscos.
  • Pessoal a questão é bem simples. A resposta está no item 0.6 da norma 27002 (antiga 17799):


    "Convém observar que, embora todos os controles nesta Norma sejam importantes e devam ser considerados, a relevância de qualquer controle deve ser determinada segundo os riscos específicos a que uma organização está exposta."

    O comando da questão fala sobre patrocinadores, o que é diferente de organização, e isso torna o item errado.

  • Quais são os riscos específicos que os patrocinadores estão expostos? Sequestro? Roubo? Acidente de Carro?
    Os controles dessas normas não se preocupam com essas coisas... Gabarito "E".

ID
208912
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A continuidade do negócio objetiva não permitir a interrupção das
atividades do negócio e proteger os processos críticos contra efeitos
de falhas ou desastres significativos. Com base nas normas
ISO 27001, ISO 27002, ISO 27005 e ISO 15999, julgue os itens
seguintes.

Pela combinação entre ações de prevenção e de recuperação, trata-se a interrupção causada por inconsistências e falhas da segurança que podem ser resultantes de controles de acesso, desastres naturais, acidentes, falhas de equipamentos e ações intencionais.

Alternativas
Comentários
  • Acredito que o erro possa estar em ações de prevenção, uma vez que a interrupão já foi concretiza e não faz mais sentido ações de prevenção, somente de recuperação.

  • Concordo com o comentário abaixo.

    De acordo com o prof. Socrátes Filho,as interrupções causadas já ocorridas por inconsistências ou falhas de segurança são tratadas por ações de recuperação EXCLUSIVAMENTE. As ações de prevenção só são utilizadas nas situações em potencial que podem provocar INTERRUPÇOES.

  •  Mas também as falhas não seriam resultantes da "Falta" de controle de acesso, e não resultante de controle de acesso. vejo dois erros nessa assertiva, sendo os já descritos nos comentários dos colegas e este. 

  • A questão está relacionada à continuidade dos negócios. Por uma leitura mais atenta, percebe-se que a questão afirma que controle de acesso pode resultar em inconsistências ou falhas da segurança, o que é um absurdo. Para ficar mais claro, a leitura da seção:

    14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação

    Convém que o processo de gestão da continuidade do negócio seja implementado para minimizar um impacto sobre a organização e recuperar perdas de ativos da informação (que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e ações intencionais) a um nível aceitável através da combinação de ações de prevenção e recuperação. Convém que este processo identifique os processos críticos e integre a gestão da segurança da informação com as exigências da gestão da continuidade do negócio com outros requisitos de continuidade relativo a tais aspectos como operações, funcionários, materiais, transporte e instalações.

     

  • O erro está no fato de a questão dizer que as inconsistências e as falhas de segurança serem causadas por controles de acesso. Discordo com os dois primeiros comentários, visto que a COMBINAÇÃO de ações de prevenção e de recuperação podem tratar interrupções e inconsistência. A ênfase deve ser dada à COMBINAÇÃO desses elementos. Isso não inviabiliza a questão. O erro está mesmo no fato de controles de acesso causarem falhas.
  • Acho que o problema maior da questão é entender o que ela está falando, ela foi feita para confundir o candidado, vejamos:
    • Trata-se a interrupção causada por inconsistências e falhas da segurança pela combinação entre ações de prevenção e de recuperação? Certo ou errado? Se certo passe para a próxima pergunta.
    • Trata-se a interrupção causada por inconsistências e falhas da segurança (inconsistência e falhas da seguranção que podem ser resultantes de controles de acesso, desastres naturais, acidentes, falhas de equipamentos e ações intencionais) pela combinação entre ações de prevenção e de recuperação?Certo ou errado.

    Abraços, vamo que vamo.




ID
208915
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A continuidade do negócio objetiva não permitir a interrupção das
atividades do negócio e proteger os processos críticos contra efeitos
de falhas ou desastres significativos. Com base nas normas
ISO 27001, ISO 27002, ISO 27005 e ISO 15999, julgue os itens
seguintes.

O desenvolvimento e a manutenção da continuidade do negócio deve ser sustentado por um processo de gestão que permeie toda a organização. A gestão da continuidade do negócio deve estar incorporada aos processos e à estrutura da organização.

Alternativas
Comentários
  • A.14  Gestão da continuidade do negócio
    A.14.1  Aspectos da gestão da continuidade do negócio, relativos à segurança da informação
    Objetivo: Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos,  e assegurar a sua retomada em tempo hábil, se for o caso.
    A.14.1.1 Incluindo segurança da informação no processo de gestão da continuidade de negócio
    Controle
    Um processo de gestão deve ser desenvolvido e mantido para assegurar a continuidade do negócio por toda a organização e que contemple os requisitos de segurança da informação necessários para a continuidade do negócio da organização

    Fonte: ISO 27001

  • Não consegui encontrar nas normas 27001 e 27002 a obrigatoriedade (relacionado a palavra "deve" da questão) da gestão de continuidade estar incorporada à estrutura da organização. O que aparenta é que deve-se criar uma "caixinha" na organização para tratar da gestão da continuidade, o que não é tratado nas normas.
     
  • Acredito que o motivo de haver preocupação em ter uma gestão de continuidade por toda organização é manter a reputação da empresa, por não priorizar alguns setores.


ID
208918
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A continuidade do negócio objetiva não permitir a interrupção das
atividades do negócio e proteger os processos críticos contra efeitos
de falhas ou desastres significativos. Com base nas normas
ISO 27001, ISO 27002, ISO 27005 e ISO 15999, julgue os itens
seguintes.

A análise do risco é realizada sobre os eventos que possam causar interrupções nos processos do negócio e auxiliam na determinação de seus impactos em termos de escala de dano e em relação ao período de recuperação. Nessa análise, devem-se considerar os processos de negócio impactados, limitando-se aos recursos, sem considerar as instalações de processamento de dados.

Alternativas
Comentários
  • Tem que levar em conta os riscos de fenômenos naturais nas instalações de precessamento de dados.

  • Análise de riscos é executrada sobre ATIVOS, pois esses posuem as vulnerabilidades e são visados pelas ameaças, que usam as vulnerabilidades para causar dano a ativo.

    Evento é uma falha de segurança que pode causar algum dano a organização, não é um elemento critico como o Incidente que é um ou mais eventos que representam grande risco a organização.
  • A análise do risco é realizada sobre os eventos Ativos que possam causar interrupções nos processos do negócio e auxiliam na determinação de seus impactos em termos de escala de dano e em relação ao período de recuperação. Nessa análise, devem-se considerar os processos de negócio impactados, limitando-se aos recursos, sem considerar as instalações de processamento de dados.

    A análise/avaliação de risco determina o valor dos ativos da informação, identifica as ameaças e vulnerabilidades aplicaveis existentes (o uque poderia a existir) identifica os controles existentes e seus efeitos nos riscos identificados, determina as consequencias possíveis e, finalmente, prioriza os riscos derivados e ordena-os de acordo com os critérios de avaliação de risco estabelecido na definição do contexto.

    Fonte: ABNT ISO/IEC 27005:2008
  • A assertiva estava "indo bem" até chegar nas afirmações finais:

    "A análise do risco é realizada sobre os eventos que possam causar interrupções nos processos do negócio e auxiliam na determinação de seus impactos em termos de escala de dano e em relação ao período de recuperação. Nessa análise, devem-se considerar os processos de negócio impactados, limitando-se aos recursos, sem considerar as instalações de processamento de dados. "

    Como foi citado em outros comentários, a análise de risco deve envolver todos os ativos da organização; não apenas os recursos.


ID
208921
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A continuidade do negócio objetiva não permitir a interrupção das
atividades do negócio e proteger os processos críticos contra efeitos
de falhas ou desastres significativos. Com base nas normas
ISO 27001, ISO 27002, ISO 27005 e ISO 15999, julgue os itens
seguintes.

No caso de ocorrerem interrupções ou falhas em processos críticos, devem-se executar planos de continuidade para recuperar as operações do negócio, em conformidade com os requisitos de segurança da informação.

Alternativas
Comentários
  • Em conformidade com os requisitos de continuidade dos negócios.

  • O que vai determinar se os planos de continuidade do negócio deverão ser executados ou não vai ser baseado na análise/avaliação dos riscos, conforme seção 14.1.2 Continuidade de negócios e análise/avaliação de riscos. Não existe obrigatoriedade.

  • O objetivo do plano de continuidade deve ser  "Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos
    de falhas ou desastres significativos,  e assegurar a sua retomada em tempo hábil, se for o caso."

    Falhas e interrupções, simplesmente, não são justificativas para disparar um plano de continuidade. Basta tratar o incidente recuperando o serviço o mais rapidamente possível e, se for o caso, abrir um problema para identificar a causa raiz e gerar um Erro Conhecido.

  • Dentro do Processo de GCN (Gestão de Continuidade de Negócios) é possível observar dois termos:

    PNC (Plano de continuidade de negócios) e o PDR (Plano de Recuperação de Desastre). Posso estar enganado, mas acredito que o erro da questão esta aí.

    O PNC  é constituído de uma série de procedimentos e medidas que terão por objetivo a minimizar as perdas decorrentes de um desastre, ou seja, de um eventos de grande proporção em termos de impacto.

    O PDR é um plano exclusivamente focado na recuperação de ativos de tecnologia da informação danificado por uma catástrofe ou por uma falha do sistema.

    Welton Dias

  • No caso de ocorrerem interrupções ou falhas em processos críticos, devem-se executar planos de continuidade para recuperar as operações do negócio, em conformidade com a Gestão de Continuidade do Negócio e não com requisitos de segurança da informação
  • Planejamento de emergência
    Desenvolvimento e manutenção de procedimentos acordados de forma a prevenir,reduzir,controlar,mitigar e escolher ações a serem tomadas no caso de uma emergência civil.

    Plano de continuidade de negócios (PCN )
    Documentação de procedimentos e informações desenvolvida, consolidada e mantida de forma que esteja pronta para uso caso ocorra um incidente, de forma a permitir que a organização mantenha suas atividades críticas em um nível aceitável previamente definido.

    Programa de gestão da continuidade de negócios
    processos contínuos de gestão e governança que são suportados pela alta direção e que recebem os recursos apropriados para garantir que os passos necessários estão sendo tomados de forma a identificar o impacto de perdas em potencial, manter estratégias e planos de recuperação viáveis e garantir a continuidade de fornecimento deprodutos e serviços pormeio de treinamentos, testes ,manutenção e análises críticas.

    Para quem disse que um incidente, por si só não pode disparar um PCN está errado, pois a norma diz que é justamente caso ocorra um incidente.

     O planos de continuidade devem seguir o programa de gestão de continuidade de negócios, ou simplesmente com a estratégia da continuidade dos negócios.

    "detalhamento e documentação de planos de continuidade de negócio que contemplem os requisitos de segurança da informação alinhados com a estratégia da continuidade do negócio estabelecida" NBR 27002:2005

    NBR 15999:2007
  • Questão estranha.

    ISO 27001 (pág. 28)
    Os planos devem ser desenvolvidos e implementados para a manutenção ou recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio.

    ISO 27002 (pág. 104)
    Convém que os planos sejam desenvolvidos e implementados para a manutenção ou recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio.

    Baseado no que foi levantada acima, considero que o CESPE considerou ERRADA a questão porque ela está incompleta e/ou imprecisa. Quando a questão diz "executar planos de continuidade para recuperar as operações do negócio, em conformidade com os requisitos de segurança da informação", faltou o "para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida" presente nos trechos destacados nas 3 normas.

    Deus nos abençoe!
  • O propósito de um plano de continuidade de negócios, é permitir que uma organização recupere ou mantenha suas atividades em caso de uma interrupção das operações normais de negócios.
    Os PCN são ativados para dar suporte às atividades críticas necessárias para cumprir os objetivos da organização. Eles podem ser executados integral ou parcialmente e em qualquer etapa da resposta a um incidente.
    O conteúdo e os componentes dos PCN variam de organização para organização e possuem diferentes níveis de detalhe, dependendo da escala, ambiente, cultura e complexidade técnica da organização.

  • a questão não especifica qual norma em questão, logo algumas normas dizem que é obrigatório, outras dizem que é conveniente

    não dá pra tirar uma conclusão a respeito, questão estranhissima, apesar de ser plausível que se consedere conformidade com os requisitos de negócio
  • infelizmente nenhum comentário me convenceu do gabarito. Mais alguém com "cartas na manga" pra fazer engenharia reversa do gabarito?

  • Depois de um incidente, usa-se um Plano de gestão de incidente para identificar e resolver o problema. Em seguida o PCN para ativar questões de continuidade e os serviços/processos críticos voltarem a funcionar. Em seguida, ativa-se o Plano de recuperação de negócio para a organização se recuperar do incidente, como substituindo equipamentos danificados, mudando o local de trabalho permanente (no pCN o trabalho fica no lugar alternativo...).


    Acredito, então, que a questão fale do PRN.


  • Galera, dava para responder a questão lendo o "texto associado" a ela, que já começa dizendo: "A continuidade do negócio objetiva não permitir a interrupção das atividades do negócio..."

    Ou seja, é algo PREVENTIVO.


    A questão aborda uma situação CORRETIVA, após o acontecimento do incidente. Se você olhar a definição de Plano de Continuidade de Negócios, vai perceber que:


    "Plano de continuidade de negócios (PCN ) 
    Documentação de procedimentos e informações desenvolvida, consolidada e mantida de forma que esteja pronta para uso caso ocorra um incidente, de forma a permitir que a organização mantenha suas atividades críticas em um nível aceitável previamente definido."


    Repare que o PCN é um documento de PREVENÇÃO, ele se destina a preparar a organização para lidar com possíveis incidentes, portanto não é o adequado a se usar quando um desastre já aconteceu!


    Bons estudos!

  • Luiz, marquei como errada, pois a recuperação das operações de negócio devem estar restritas aos requisitos de continuidade de negócio (um SLA - 2hs - p ex) e nao aos requisitos de seg. info.

  • ERRADO

    A questão trata sobre PLANO DE RECUPERAÇÃO DE DESASTRES - PRD.

    Ele é descrito na família de normas 15999.


ID
245326
Banca
CESPE / CEBRASPE
Órgão
TRT - 21ª Região (RN)
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às normas NBR ISO/IEC 27001 e 27002, referentes à
gestão de segurança da informação, julgue os itens que se seguem.

Incidente de segurança da informação é uma ocorrência identificada de um sistema, serviço ou rede que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.

Alternativas
Comentários
  • ERRADO. A questão descreve um EVENTO DE SEGURANÇA DA INFORAMAÇÃO e não um incidente.

    ABNT NBR ISO/IEC 17799:2005
     
    2.6 evento de segurança da informação
    ocorrência identificada de um sistema, serviço ou  rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação

    2.7 incidente de segurança da informação
    um incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação

  • Sabia que um dia eu ia cair nesse conto do vigário evento x incidente de SI . . .

  • Incidente é um evento ou uma série de eventos indesejados ou inesperados[...]

  • ERRADO

    O que me ajudou a não cair mais diante desses conceito foi memorizar da seguinte forma:

    INCIDENTE - Algo que aconteceu e provavelmente vai dar merda, é a consequência de um/alguns EVENTO(s)(Um Fato)
    EVENTO - Algo que pode ter acontecido e que pode vir a dar problema(Um possível fato)

    Não é a definição correta, mas acho que a maneira mais fácil de distingui-los. Com isso na cabeça e analisando a questão criticamente você consegurá responder todas.

  • incidente de segurança da informação

    Um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação


ID
245329
Banca
CESPE / CEBRASPE
Órgão
TRT - 21ª Região (RN)
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às normas NBR ISO/IEC 27001 e 27002, referentes à
gestão de segurança da informação, julgue os itens que se seguem.

Um dos controles da política de segurança da informação estabelece que ela deve ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

Alternativas
Comentários
  • ABNT NBR ISO/IEC 17799:2005
     
    5  Política de segurança da informação
    5.1  Política de segurança da informação

    5.1.2  Análise crítica da política de segurança da informação
    Controle
    Convém que a política de segurança da informação seja analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

  • Essas questões do CESPE são complicadas.
    Volta e meia se encontram questões que apresentam o gabarito como errada por dar um sentido de obrigatoriedade na 27002.
    Aí vem outra questão dizendo que um dos controles "estabelece", sendo que a norma em insere uma "recomendação", e é dada como certa.
    E agora José?
  • Também encontro os mesmos problemas nas questões do CESPE sobre as normas. Mas nesse caso ele não especificou qual das duas normas ele estava falando, logo imagino eu que tanto o "convém" quanto o "deve" tornariam a resposta correta.
  • É isso mesmo Leonardo, aí é complicado.
    Essa questão é facilmente anulável.
    Acho que isso se acontece pela tradução ruim que o examinador fez da norma original, cujo verbo utilizado é o should.
  • Nessas questões sobre 27001 e 27002 deve-se ter uma atenção redobrada ao enunciado...
    Se ele mencionar que deve-se ter como base a 27001 então a os controles são obrigatórios... "DEVE"
    Se ele mencionar que deve-se ter como base a 27002 então a os controles são uma sugestão... "CONVÉM"
    Mas se no enunciado mencionar que é com base nas duas, daí tanto faz...

  • Pois é, eu to vendo um DEVE ali e um ESTABELECE, então deveria estar errada a questão.
  • pois é, eu entraria com um recurso citando as questões anteriores da CESPE que consideraram erradas as preposições semelhantes que tinham a palavra deve. Ora, a banca não pode ser incoerente com seus posicionamentos. Pode ser um bom argumento de recurso.

  • Errei por causa da "contínua pertinência", achei que era "melhorias continuas"

    A resposta está na ISO 27001

    Sessão 8. Operação


ID
245332
Banca
CESPE / CEBRASPE
Órgão
TRT - 21ª Região (RN)
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às normas NBR ISO/IEC 27001 e 27002, referentes à
gestão de segurança da informação, julgue os itens que se seguem.

O objetivo de controle Controles de Entrada Física estabelece que perímetros de segurança (barreiras, como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) devem ser utilizados para proteger as áreas que contenham informações e recursos de processamento da informação.

Alternativas
Comentários
  • ERRADO. A questão descreve o controle Perímetro de segurança física e não o Controles de entrada física

    Crueldade do CESPE. Essa norma possui:

    11 sessões (A5 a A15)
    39 categorias e objetivos de controle
    133 controles de segurança

    Essa questão especificamente está cobrando um controle de segurança (A.9.1.1 e A.9.1.2) de um objetivo de controle (A.9.1) da sessão A9. Portanto, o CESPE espera que decoremos a norma toda. Impossível!

    9  Segurança física e do ambiente
    9.1 Áreas seguras

    9.1.1  Perímetro de segurança física
    Controle
    Convém que sejam utilizados  perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) para proteger as áreas que contenham informações e instalações de processamento da informação

    9.1.2  Controles de entrada física
    Controle
    Convém que as áreas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso.

    Fonte: ABNT NBR ISO/IEC 17799:2005

  • Eloh, ótimo comentário. Essa norma realmente é gigante e meio sacal de ler... mas vemos que realmente precisamos não apenas ler toda, como decorar cada seção.
  • Um detalhe que pode ajudar na resolução da questão:
    Ela fala "O objetivo de controle Controles de Entrada Física..."
    Porém, na realidade, "Controles de Entrada Física" é um CONTROLE, e não um objetivo de controle. Basta lembrar que "objetivos de controles" são "descrições" dos objetivos que se pretendem alcançar com a aplicação dos controles.
  • "... devem ser utilizados para proteger as áreas que contenham informações e recursos de processamento da informação."

    Só uma dica: o CESPE usa muito a palavra DEVE nas questões de ISO 27002, quando, na verdade, a norma explicita controles que são convenientes e que podem ser substituídos ou, até mesmo, ignorados. O
    convém é mais indicado que o deve.
    Quando tiver
    deve na assertiva, a chance de ser falsa é enorme.

ID
245335
Banca
CESPE / CEBRASPE
Órgão
TRT - 21ª Região (RN)
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às normas NBR ISO/IEC 27001 e 27002, referentes à
gestão de segurança da informação, julgue os itens que se seguem.

O objetivo de controle Análise Crítica dos Direitos de Acesso de Usuário estabelece que deve existir um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços.

Alternativas
Comentários
  • ERRADO.

    O item descreve o controle A.11.2.1 e diz ser o A.11.2.4. Só um detalhe. A norma tem 133 controle. Impossível decorar tudo!!!

    A.11.2.1  Registro de usuário
    Controle

    Deve existir um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços.

    A.11.2.4 Análise crítica dos direitos de acesso de usuário
    Controle

    O gestor deve conduzir a intervalos regulares a análise crítica dos direitos de acesso dos usuários, por meio de um processo formal.

  • Se não for excesso de formalismo, daria para matar  pelo enunciado, pois diz que Análise Crítica dos Direitos de Acesso de Usuário é um objetivo de controle. Fui de errado por causa disto.
    Mas como diz o Machado (considerando que não haja o rigor na nomenclatura) só conhecendo todos os 133 controles. Aí fica osso.
  • Fechei os olhos e marquei errado exatamente por "Análise Crítica dos Direitos de Acesso de Usuário" não ser um objetivo de controle e sim um controle. Poxa, é impossível decorar isso! E o pior é que cada vez mais questões que, não satisfeitas em cobrar Categorias,Objetivos de Controle e Controles, cobram as DIRETRIZES! Como se não existisse maldade suficiente no mundo...
  • Segundo a ISO 27002:2013,"

    9.2.1 Registro e cancelamento de usuário
    Controle
    Convém que um processo formal de registro e cancelamento de usuário seja implementado para permitir atribuição de direitos de acesso.

    ___________________

    9.2.5 Análise crítica dos direitos de acesso de usuário
    Controle
    Convém que os proprietários de ativos analisem criticamente os direitos de acesso dos usuários, a intervalos regulares.

    "

     

  • ERRADO

    "...para garantir e revogar acessos em todos os sistemas de informação e serviços..." - Não são todos os sistemas que precisam de controle de acesso, apesar de ser recomendado, como exemplo um sistema de pesquisas de um biblioteca pública.

    E nem é necessário garantir ou revogar acesso a TODOS os sistemas, o usuário só deve ter acesso aos sistemas aos quais ele tem necessidade.

    Analisando isso não se faz necessário decorar todos os controles.


ID
245338
Banca
CESPE / CEBRASPE
Órgão
TRT - 21ª Região (RN)
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às normas NBR ISO/IEC 27001 e 27002, referentes à
gestão de segurança da informação, julgue os itens que se seguem.

O objetivo de controle Uso Aceitável dos Ativos estabelece que devem ser identificadas, documentadas e implementadas regras para que seja permitido o uso de informações e de ativos associados aos recursos de processamento da informação.

Alternativas
Comentários
  • CORRETO

    ABNT NBR ISO/IEC 27001:2006

    A.7.1.3  Uso aceitável dos ativos
    Controle

    Devem ser identificadas, documentadas e implementadas regras para que seja permitido o uso de informações e de ativos associados aos recursos de processamento da informação.

  • Só fazendo uma correção no comentário acima, a transcrição é da norma ISO 27002
  • A questão fala que "Uso Aceitável dos Ativos" é objetivo de controle, quando na verdade é um controle.
  • O BELO EXAMINADOR que fez essa questão não sabe a diferença de Objetivo de Controle para Controle. 

    OBJETIVO DE CONTROLE: RESPONSABILIDADE PELOS ATIVOS

    CONTROLES PARA ATINGIR ESSE OBJETIVO DE CONTROLE:

    INVENTÁRIO DOS ATIVOS
    PROPRIETÁRIO DOS ATIVOS
    USO ACEITÁVEL DOS ATIVOS
    DEVOLUÇÃO DOS ATIVOS



ID
260206
Banca
FCC
Órgão
TRT - 4ª REGIÃO (RS)
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

A norma ABNT NBR ISO/IEC 27001:2006 cobre organizações do tipo

Alternativas
Comentários
  • Na realidade, a norma ISO 27001 cobre todos os tipos de organizações (por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos). A norma especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamete, manter e melhorar um SGSI documentado dentro do contexto de riscos de negócio globais da organização.
  • A informação dada pelo Thiago acima é válida, pois foi retirada da própria Norma.
  • letra E
    Excelente o comentário do Thiago. Segue apenas mais uma complementação conforme a norma.

    Segundo a ISO 27001, p.4,"Os requisitos definidos nesta Norma (ISO 27001) são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independente de tipo, tamanho e natureza."

      Portanto, a ISO 27001 abrange as demais organizações, e não somente as organizações comerciais, governamentais e sem fins lucrativos.

    Bibliografia:

    ISO 27001, página 4, tópico 1.2 APLICAÇÃO
  • Esse é o tipo de questão que nunca cai no concurso que eu faço rsrs.

  • Dica: a única alternativa que não contém a palavra -somente- está correta.


ID
270931
Banca
CESPE / CEBRASPE
Órgão
TRE-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de segurança da informação e de sistemas de gestão de
segurança da informação (SGSIs), julgue os próximos itens.

De acordo com as normas de segurança de TI, o desenvolvimento de práticas de gestão da segurança da informação e procedimentos de segurança contempla a gestão de ativos, que, por sua vez, inclui, entre outros, o inventário dos ativos, a identificação do proprietário dos ativos e as diretivas de classificação de informação.

Alternativas
Comentários
  • CERTO

    Desmembrando a danada.

    1) De acordo com as normas de segurança de TI, o desenvolvimento de práticas de gestão da segurança da informação e procedimentos de segurança contempla 

    **Qual norma, por exemplo? R: ABNT NBR ISO/IEC 27001.



    2)a gestão de ativos, que, por sua vez, inclui, entre outros, 

    **Essa norma possui entre outras, a seção A.7 Gestão de ativos


    3)o inventário dos ativos, a identificação do proprietário dos ativos e as diretivas de classificação de informação.

    R: Na seção Gestão de Ativos há a seguinte estrutura:

         A.7.1 Responsabilidade pelos ativos

                A.7.1.1 Inventário dos ativos

                A.7.1.2 Proprietário dos ativos

                A.7.1.3 Uso aceitável dos ativos

        A.7.2 Classificação da informação

                A.7.2.1 Recomendações para classificação

                A.7.2.2 Rótulos e tratamento da informação


  • 4. Gestão de Ativos 

    a. Responsabilidade pelos ativos 

    Objetivo - Identificar os ativos da organização e definir as devidas responsabilidades pela proteção dos ativos.

    i. Inventário dos ativos 

    Convém que os ativos associados à informação e aos recursos de processamento da informação sejam identificados e um inventário destes ativos seja estruturado e mantido.

    ii. Proprietário dos ativos 

    Convém que os ativos mantidos no inventário tenham um proprietário

    iii. Uso aceitável dos ativos

    Convém que regras para o uso aceitável das informações, dos ativos associados com a informação e dos recursos de processamento da informação sejam identificados, documentadas e implementadas.

     iv. Devolução dos ativos

    Convém que todos os funcionários e partes externas devolvam todos os ativos da organização que estejam em sua posse, após o encerramento de suas atividades, do contrato ou acordo.

     b. Classificação da Informação 

    Objetivo - Assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância para a organização.

    i. Classificação da Informação 

    Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada.

    ii. Rótulos e tratamento da Informação

    Convém que um conjunto apropriado de procedimento para rotular e tratar a informação seja desenvolvido e implementado de acordo com o esquema de classificação da informação adotada pela organização.

    iii. Tratamento dos Ativos 

    Convém que os procedimentos para tratamento dos ativos sejam desenvolvidos e implementados de acordo com esquema de classificação da informação adotada pela organização.

    c. Tratamento de Mídias 

    Objetivo -  Prevenir a divulgação não autorizada, modificação, remoção ou destruição da informação armazenada nas mídias.

    i. Gerenciamento de mídias removíveis 

    Convém que existam procedimentos implementados para o gerenciamento de mídias removíveis de acordo com o esquema de classificação adotado para organização

    ii. Descarte de mídias 

    Convém que as mídias sejam descartadas de forma segura, quando não forem mais necessárias, por meio de procedimentos formais.

    iii. Transferência física de mídias

    Convém que mídias contendo informações sejam protegidas contra acesso não autorizado, uso impróprio ou corrupção, durante o transporte.


ID
270934
Banca
CESPE / CEBRASPE
Órgão
TRE-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de segurança da informação e de sistemas de gestão de
segurança da informação (SGSIs), julgue os próximos itens.

As normas de segurança de TI determinam a realização de cópias de segurança, protegidas sempre por meio de encriptação, de todas as informações de usuários disponibilizadas na rede ou nos servidores cadastrados no SGSI da organização.

Alternativas
Comentários
  • Trecho da norma:
    10.5.1 Cópias de segurança das informações

    Controle
    Convém que as cópias de segurança das informações e dos softwares sejam efetuadas e testadas
    regularmente conforme a política de geração de cópias de segurança definida.

    Diretrizes para implementação
    Convém que recursos adequados para a geração de cópias de segurança sejam disponibilizados para garantir
    que toda informação e software essenciais possam ser recuperados após um desastre ou a falha de uma
    mídia.
     
    Convém que os seguintes itens para a geração das cópias de segurança sejam considerados:

    h) em situações onde a confidencialidade é importante, cópias de segurança sejam protegidas através de encriptação.

     
    Portanto nem sempre a informação precisa ser cifrada.

ID
270937
Banca
CESPE / CEBRASPE
Órgão
TRE-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de segurança da informação e de sistemas de gestão de
segurança da informação (SGSIs), julgue os próximos itens.

Os procedimentos de recuperação devem ser verificados regularmente para que se garanta que sejam confiáveis; e as mídias utilizadas nas cópias de segurança devem ser testadas e armazenadas em local distante da fonte original das informações para não serem afetadas caso ocorra algum desastre na localidade principal.

Alternativas
Comentários
  • Correto conforme afirma a Norma ISO 27002 no tópico: 

    10.5 (CÓPIAS DE SEGURANÇA)
    10.5.1 CÓPIAS DE SEGURANÇA DAS INFORMAÇÕES



    O.B.S: não copiei porque é um pouco extenso, mas achei pertinente compartilhar a fonte da resposta. 



ID
270940
Banca
CESPE / CEBRASPE
Órgão
TRE-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de segurança da informação e de sistemas de gestão de
segurança da informação (SGSIs), julgue os próximos itens.

De acordo com as normas de segurança de TI, o desenvolvimento de SGSI abrange, em suas diversas fases, a definição de escopo e limites, a identificação de riscos, a execução de procedimentos de controle e monitoramento, a medição de eficácia de controles implantados, entre outros requisitos.

Alternativas
Comentários
  • Correto, trata-se do ciclo PDCA observado pela norma ISO 27001 quando estabelece os requisitos para um SGSI.


ID
271090
Banca
CESPE / CEBRASPE
Órgão
PREVIC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com as normas NBR/ISO/IEC 27002/2005 e
NBR/ISO/IEC 27001/2006 e com o modelo PDCA (plan, do,
check, act
), adotado por esta última para estruturar os processos do
sistema de gestão da segurança da informação (SGSI), julgue os
itens a seguir.

Na prática, os padrões 27001 e 27002 normalmente são usados em conjunto, embora seja possível o uso de outros controles de segurança da informação juntamente com o padrão 27001, até mesmo em substituição ao padrão 27002.

Alternativas
Comentários
  • Segundo a própria Norma 27001 "Esta Norma é projetada para permitir a uma organização alinhar ou integrar seu SGSI com requisitos de sistemas de gestão relacionados."
  • Anexo A (Objetivos de Controle e Controles) - que é a base da norma ISo 27001 - define:

    "Os  objetivos  de  controle  e  controles  listados  na  tabela  A.1  são  derivados  diretamente  e  estão  alinhados  com
    aqueles listados na ABNT NBR ISO/IEC 17799:2005 – seções 5 a 15. As listas na tabela A.1 não são exaustivas e
    uma organização pode considerar que objetivos de controle e controles adicionais são necessários. Os objetivos
    de  controle  e  controles  desta  tabela  devem  ser  selecionados  como  parte  do  processo  de  SGSI  especificado 
    em 4.2.1.  

    A  ABNT  NBR  ISO/IEC  17799:2005  -  seções  5  a  15  fornece  recomendações  e  um  guia  de  implementação  das
    melhores práticas para apoiar os controles especificados em A.5 a A.15. "


    A 17799 é a atual 27002. Ou seja, você pode muito bem substituir a 27002 pela 27001.
  • Roberto vc falou besteira nesse trecho: " Ou seja, você pode muito bem substituir a 27002 pela 27001."

    Esse item é polêmico pq a 27001 prevê controles adicionais e não a substiuição dos presentes na 27002. 
  • De acordo com a Norma é possível excluir controles, adicionar controles, e até mesmo permanecer controles já existentes, desde que justificados na Declaração de Aplicabilidade.

  • Mas Silvio, os controles que devem ser citados na declaração de aplicabilidade, na minha opinião, são os listados na ISO 27002. A organização tem liberdade para escolher os controles, desde que eles estejam elencados na 27002. Meu entendimento a respeito do assunto é esse e é por isso que eu também marquei a questão como errada.
  • O gabarito dessa questão é discutível! Na minha opinião deveria ser ERRADO.

    1.  Segundo a -> 2.  Referência Normativa da ISO/IEC 27001:2006 :

    A ABNT ISO/IEC 17799:2005 (27002) é indispensável para a aplicação desta norma.
     

    2. Segundo a -> 1.2 Aplicação da ISO/IEC 27001:2006 :

    "Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada..."

    Mesmo se não implementados, os controles da ISO 27002 devem ter a exclusçao justificada. Portanto, mesmo se utilizados outros controles de SI, não poderão ser em substituição aos da ISO 27002.
     

    3. Alguns controles da ISO 27002 são universais e indispensáveis, portanto serão fatalmente aplicados.


    Agora, tudo isso são requisitos de conformidade com a ISO 27001. Se você não utilizar a ISO 27002, não terá conformidade.
    E para que uma organização vai aplicar a ISO 27001 se ela não quer conformidade???
    Se o raciocínio do examinador foi o de aplicar a ISO 27001 sem conformidade - nesse caso o gab será CERTO -, ele foi de encontro aos princípios da própria norma... E seguindo esse raciocínio ainda, você pode desconsiderar qualquer outras exigências da norma que ta tudo bem!
    Elaborar questões pensando assim deixa a coisa bem sem critérios...


     

  • Ao meu ver a questão deveria ser considerada ERRADA por conta do seguinte trecho "até mesmo em substituição ao padrão 27002".
    O trecho dá a entender que alguma outra norma pode substituir TODA a norma 27002 o que não é verdadeiro... outras normas podem ser usadas em conjunto com a 27001 e 27002, mas não substituir uma delas por completo...
  • A meu ver, a pegadinha está em dizer  "Na prática", pois na prática o que é auditado é o somente o padrão 27001 -  que são os requisitos - enquanto o padrão 27002 -  que são os controles -  dizem quais controles convém serem implementados para atingirem os requisitos da 27001, ou seja, se for implementado outros controles de outra norma que atinjam os requisitos da 27001 então a 27001 está em conformidade. Na prática os auditores validam somente o padrão 27001, não existe auditoria em cima do padrão 27002.

    Se for considerar na teoria então temos que usar a 27002 de acordo o objeto 2 do padrão 27001:

    2 - Referência normativa
     
    O documento a seguir referenciado é indispensável para a aplicação desta Norma. Para referência datada, aplica-
    se apenas a edição citada. Para referência não datada, aplica-se a última edição do documento referenciado
    (incluindo as emendas).
     
    ABNT NBR ISO/IEC 17799:2005, Tecnologia da informação – Técnicas de segurança – Código de prática para a
    gestão da segurança da informação.

    Obs.: A 17799:2005 é a atual 27002.
  • Meu entendimento foi o seguinte: é possível a substituição de algum controle de segurança da informação presente na 27002, de qualquer outra fonte de informação que seja aceita e válida para sua situação, que possa ser aplicado juntamente com a 27001, e que ainda assim o padrão 27001 esteja perfeitamente adequado? Sim, é possível.
  • 0.5 Seleção de Controles - página xi

    De onde podem ser selecionados os controles para assegurar que os riscos sejam reduzidos a um nível aceitável? {3 lugares}

    A partir desta norma;
    outro conjunto de controles;
    ou novos controles podem ser desenvolvidos.

  • CORRETÍSSIMA

    ISO27001 é uma norma e a 27002 é uma norma que apoia a 27001, não há a obrigação de se usar as duas juntas, não há nem a obrigação de se usar a 27001 para melhorar a segurança. a ISO é um padrão para se alcançar a Segurança da Informação, não é uma regra.


ID
271093
Banca
CESPE / CEBRASPE
Órgão
PREVIC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com as normas NBR/ISO/IEC 27002/2005 e
NBR/ISO/IEC 27001/2006 e com o modelo PDCA (plan, do,
check, act
), adotado por esta última para estruturar os processos do
sistema de gestão da segurança da informação (SGSI), julgue os
itens a seguir.

A organização deve fazer análises críticas com o objetivo de identificar tentativas e violações de segurança bem-sucedidas, sendo esta uma atividade verificada na fase check (checar).

Alternativas
Comentários
  • A fase de Check (checar) consiste em: monitorar, analisar criticamente, realizar auditorias e medir desempenho dos processos. Como a questão cita analises criticas facilita a sua resolução
  • Para completar o comentário do nosso amigo:

    Check (checar) (monitorar e analisar criticamente o SGSI) : Avaliar e, quando aplicável, medir o desempenho de um processo frente  à política,  objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção.  
  • A norma ISO/IEC 27.001 estabelece que, in verbis:

    7 Análise crítica do SGSI pela direção
     
    7.1 Geral
     
    A direção deve analisar criticamente o SGSI da organização a intervalos planejados (pelo menos uma vez por ano) para assegurar a sua contínua pertinência, adequação e eficácia. Esta análise crítica deve incluir a avaliação de oportunidades para melhoria e a necessidade de mudanças do SGSI, incluindo a política de segurança da informação e objetivos de segurança da informação. Os resultados dessas análises críticas devem ser claramente documentados e os registros devem ser mantidos (ver 4.3.3).
     
    7.2 Entradas para a análise crítica
     
    As entradas para a análise crítica pela direção devem incluir:
    (...)
    e) vulnerabilidades ou ameaças não contempladas adequadamente nas análises/avaliações de risco anteriores;

    Note-se que a norma é taxativa ao afirmar que as vulnerabilidades ou ameaças não contemplateas adequadamente devem servir de entradas para a análise crítica da organização.

    Por outro lado, o trecho destacado - "Esta análise crítica deve incluir a avaliação de oportunidades para melhoria e a necessidade de mudanças do SGSI" - que esta faze envolve identificar, claramente, oportunidades de melhorias. Assim, está de fato relacionado à fase Check do ciclo PDCA (Plan, Do, Check, Act).

    Razões pelas quais trata-se de um item certo.
  • Questão Correta.
    Item 4.2.3 - Monitoramento e análise criticamente o SGSI da norma ISO 27001:2006.
    "Executar procedimentos de monitoramento e análise críticas e outros controles para prontamente identificar tentativas de violações bem-sucedidas, e incidentes de segurança da informação."

ID
271099
Banca
CESPE / CEBRASPE
Órgão
PREVIC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à classificação e controle de ativos da informação,
segurança de ambientes físicos e lógicos e controle de acesso,
julgue os itens que se seguem de acordo com as normas
NBR/ISO/IEC 27001/2006 e 27002/2005.

Alcançar e manter a proteção adequada dos ativos da organização é um objetivo de controle estabelecido na norma NBR/ISO/IEC 27001/2006. Associado a esse objetivo, há o controle relativo à remoção de propriedade, o qual determina que um ativo não mais utilizado por um proprietário deverá ser dele desvinculado.

Alternativas
Comentários
  • Segundo a norma 27001, o controle relativo a remoção de propriedade quer dizer que nenhum equipamento, informação ou software deve ser retirado do lugar sem autorização prévia.
    Não faz nenhuma referência ao controle de acesso ao ativo.
  • Além disso, este objetivo de controle "Alcançar e manter a proteção adequada dos ativos da organização" não existe na referida norma
  • A primeira parte da questão está correta, pois segundo a própria Norma, no tópico 1) Objetivos 1.1) Geral: "O SGSI é projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas."

    O erro está na segunda sentença, no que se refere ao controle à remoção de propriedade como nosso amigo já informou. Só para completar e deixar a informação mais completa e confirmar o que foi dito, a Norma diz no tópico A.9.2.7 "Equipamentos, informações ou software não devem ser retirados do local sem autorização prévia."

    Sendo este um tópico a respeito de Controle em relação a Segurança de Equipamentos.
  • Chega de Core, core e core galera.  

    A questtão diz: há o controle relativo à remoção de propriedade, o qual determina que um ativo não mais utilizado por um proprietário deverá ser dele desvinculado

    A questão diz que o que não for mais utilizado deverá ser DESVINCULADO, isso é errado. De acordo com a norma deve ser DESTRUIDO e não desvinculado. É só isso galera.
  • Exite sim o objetivo referido na questão na norma ISO/IEC 27002:2005:

    Categoria - A.7 Gestão de Ativos
                         A.7.1 Responsabilidades pelos ativos

    Objetivo: Alcançar e manter a proteção adequada dos ativos da organização

    Controle - A.7.1.2 Proprietário dos ativos: Todas as informações e ativos associados com os recursos de processamento da informação devem ter um proprietário designado por uma parte definida da organização.

    O que não existe é o controle definido na segunda parte da questão.
  • Há vários erros nessa questão:

    Ela se refere à norma ISO 27002 e não à ISO 27001.

    "Alcançar e manter a proteção adequada dos ativos da organização." não é um controle, e sim um objetivo do controle de 7.1 Responsabilidade pelos ativos.

    Remoção de propriedade não tem nada a ver com "determina que um ativo não mais utilizado por um proprietário deverá ser dele desvinculado.", e sim com "Convém que equipamentos, informações ou software não sejam retirados do local sem autorização prévia. " e pertence ao controle 9.2  Segurança de equipamentos.

    P.S. É cada comentário que a gente encontra por aqui..
  • Remoção de propriedade tem na ISO 27001 sim.

    A.9.2.7 -> Remoção de propriedade - Controle -> Equipamentos, informações ou software não devem ser retirados do local sem autorização prévia. 


  • Prezados,

    A questão acerta ao afirmar que alcançar e manter a proteção adequada dos ativos da organização é um objetivo de controle estabelecido pela norma ISO 27001, vemos esse controle no Anexo A , A.7.1 Responsabilidade pelos ativos, cujo objetivo é alcançar e manter a proteção adequada dos ativos da organização.

    Porém, a questão erra ao afirmar que associado a esse objetivo há o controle relativo à remoção de propriedade. Vemos no anexo da ISO 27001 a seguinte relação de controles para responsabilidade pelos ativos :

    A.7.1 – Responsabilidade pelos ativos

      A.7.1.1 Inventário dos ativos : Todos os ativos devem ser claramente identificados e um inventário de todos os ativos importantes deve ser estruturado e mantido

      A.7.1.2 Proprietário dos ativos : Todas as informações e ativos associados com os recursos de processamento da informação devem ter um proprietário designado por uma parte definida da organização

      A.7.1.3 Uso aceitável dos ativos : Devem ser identificadas, documentadas e implementadas, regras para que seja permitido o uso de informações e de ativos associados aos recursos de processamento da informação.

    Portanto, questão errada.


    A alternativa correta é : ERRADO.

  • De acordo com a NBR/ISO/IEC 27001/2013:

    A.8 Gestão de ativos
    A.8.1. Responsabilidade pelos ativos

    Objetivo: Identificar os ativos da organização e definir as devidas responsabilidades pela proteção dos ativos.
    A.8.1.1 Inventário dos ativos
    Controle
    Os ativos associados com informação e com os recursos e processamento da informação devem ser identificados e um inventário destes ativos deve ser estruturado e mantido.
    A.8.1.2 Proprietário dos ativos
    Controle
    Os ativos mantidos no inventário devem ter um proprietário.
    A.8.1.3 Uso aceitável dos ativos
    Controle
    Regras para o uso aceitável das informações, dos ativos associados com informação e os recursos de processamento da informação, devem ser identificados, documentados e implementados.
    A.8.1.4 Devolução de ativos (NOVO CONTROLE EM RELAÇÃO À VERSÃO ANTERIOR)
    Controle
    Todos os funcionários e partes externas devem devolver todos os ativos da organização que estejam em sua posse após o encerramento de suas atividades, do contrato ou acordo.

  • Ué, pra mim a ISO 27001 não fala sobre isso mesmo não. Só a ISO 27002.


ID
271102
Banca
CESPE / CEBRASPE
Órgão
PREVIC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à classificação e controle de ativos da informação,
segurança de ambientes físicos e lógicos e controle de acesso,
julgue os itens que se seguem de acordo com as normas
NBR/ISO/IEC 27001/2006 e 27002/2005.

Um arquivo de texto, uma IDE para desenvolvimento em linguagem C e um pendrive são classificados como ativos de software, de serviço e físico, respectivamente.

Alternativas
Comentários
  • Os ativos de informação são classificados como: ativos de informação, ativos de software, ativos físicos e serviços. Dessa forma, as classificações corretas dos ativos apresentados na questão são:

    arquivo de texto --> Ativo de informação
    IDE para desenvolvimento --> Ativo de software
    pendrive --> Ativo físico


    Abaixo, para ampliar o debate, posto o resumo obtido do Walter Cunha  (http://waltercunha.com/blog/wp-content/uploads/2009/06/resumo-norma-17799.pdf)

    Tipos de ativos:
     # Ativos de Informação: base de dados e arquivos, contratos e acordos;
     # Ativos de Software: aplicativos, sistemas, ferramentas de desenvolvimento e
    utilitários;
     # Ativos físicos: equipamentos computacionais, equipamentos de comunicação,
    mídia removíveis e outros equipamentos;
    # Serviços: serviços de computação e comunicações, utilidades gerais;
    # Pessoas: pessoas e suas qualificações habilidades e experiências;
    # Intangíveis: reputação e imagem da empresa
  • Tipos de ativos:
    # Ativos de Informação: base de dados e arquivos, contratos e acordos;
    # Ativos de Software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;
    # Ativos Físicos: equipamentos computacionais, equipamentos de comunicação, mídia removíveis e outros equipamentos;

ID
311821
Banca
FCC
Órgão
TRT - 14ª Região (RO e AC)
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização. No modelo PDCA aplicado aos processos do SGSI da NBR ISO/IEC 27001, esta definição pertence a

Alternativas
Comentários
  • Fases do PDCA:

    Planejar -  ESTABELECER a PSI - Objetivos, processos e os procedimentos do SGSI
    Fazer - IMPLEMENTAR E OPERAR- Política, os procedimentos, controles e processos do SGSI
    Checar - MONITORAR, ANALISAR CRITICAMENTE, Realizar auditorias e Medir o desempenho dos processos
    Agir - MANTER E MELHORAR com ações corretivas e preventivas o SGSI. Contínuo aperfeiçoamento
  •  

    Plan (planejar) (estabelecer o SGSI) Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização.
    Do (fazer) (implementar e operar o SGSI) Implementar e operar a política, controles, processos e procedimentos do SGSI
    Check (checar) (monitorar e analisar
    criticamente o SGSI)
    Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do
    SGSI e apresentar os resultados para a análise crítica pela
    direção.
     
    Act (agir) (manter e melhorar o SGSI) Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a
    melhoria contínua do SGSI.
     

    Fonte: Norma ISO 27001 
  • EIOMAMM -> Estabelecer, Implementar e Operar, Monitorar e Avaliar críticamente, Manter e Melhorar

    E   IO  MA MM
    P   D    C    A

ID
314626
Banca
FCC
Órgão
TRT - 1ª REGIÃO (RJ)
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a NBR ISO/IEC 27001, integridade é

Alternativas
Comentários
  • A define disponibilidade
    B define confidencialidade
    C define evento
    E define ativo. 
  • De acordo com a NORMA NBR ISO/IEC 27001 ( pág. 03) :
    Integridade é a propriedade de salvaguarda da exatidão e completeza de ativos.
  • Item 3 - Termos e definições seguido do subitem 3.8 da norma 27001:2006
    Propriedade de salvaguarda* da exatidão e completeza** de ativos.

    *Salvaguarda = Proteção concedida por uma autoridade.
    **Completeza = Algo que mantém a integridade preservada.



     


ID
320377
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

À luz das normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, assinale a opção correta acerca de segurança da informação. Nesse sentido, considere que a sigla SGSI, sempre que utilizada, se refere a sistema de gestão de segurança da informação.

Alternativas

ID
320380
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale a opção correta a respeito do SGSI de uma organização, segundo o especificado na NBR ISO/IEC 27001.

Alternativas

ID
320386
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da análise de riscos, julgue os itens abaixo segundo a NBR ISO/IEC 27001.

I No que se refere ao modelo PDCA, a análise de riscos é uma etapa do planejamento.

II Uma vez finalizada a análise/avaliação de riscos, os controles são selecionados para o tratamento dos riscos na fase de execução.

III A reavaliação dos riscos é parte da fase de checagem.

IV A análise de riscos preocupa-se apenas com a resposta a incidentes de segurança.

V A análise de riscos é uma etapa dependente de uma política de segurança com o foco em segurança física.

Estão certos apenas os itens

Alternativas
Comentários
  • II- Assim que acaba a Análise/Avaliação dos riscos, os controles já são escolhidos na fase de planejamento através do documento de aplicabilidade. Na fase de execução, estes controles são de fato implantados.


ID
320851
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos controles recomendados nas normas 27001 e 27002, assinale a opção correta.

Alternativas
Comentários
  •     a) Todos os controles que constam da norma devem ser implementados. (Errado, a norma não exige que todos os controles sejam implementados, apenas que a não implementação de um controle seja justificada)

        b) A implementação dos controles permite garantir a segurança da informação. (Errado, A implementação dos controles garante que as boas práticas de segurança da informação estão sendo seguidas)

        c) Os controles referentes à segurança de redes não são detalhados. (Correto)

        d) A norma 27001 define os controles que devem ser implementados. (Errado, refere-se a norma 27002)

        e) A norma 27002 define os requisitos de um sistema de gestão de segurança da informação. (Errado, refere-se a norma 27001)
  • Achei muito mal formulada a questão...
    Encontrei os seguintes controles (em negrito) na estrutura da ISO 27002 relacionados com a segurança de redes:
    5. Política de Segurança da Informação
    6. Organizando a Segurança da Informação
    7. Gestão de Ativos
    8. Segurança em Recursos Humanos
    9. Segurança Física e do Ambiente
         9.2. Segurança de Equipamentos
    (pág. 35)
                 9.2.3. Segurança do Cabeamento (pág. 37)
                 9.2.4. Manutenção dos Equipamentos (pág. 38)
                 9.2.7. Remoção de Propriedade (pág. 39)
    10. Gerenciamento das Operações e Comunicações
         10.6. Gerenciamento da Segurança em Redes
    (pág. 49)
               10.6.1. Controles de Redes (pág. 49)
               10.6.2. Segurança dos Serviços de Redes (pág. 50)
    11. Controle de Acessos
    12. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
    13. Gestão de Incidentes de Segurança da Informação
    14. Gestão da Continuidade do Negócio
    15. Conformidade

    Fonte: ABNT NBR ISO/IEC 17799:2005 (27002)

    Como assim "os controles referentes à segurança de redes não são detalhados"?
    Que deus nos ajude...
  • Por que a D está errada? Os controles não estão todos lá explicitados do anexo A (tabela A.1) da 27001?

  • D)A norma 27001 define os controles que devem(PODEM) ser implementados.
  • A questão deveria ter sido anulada. A letra C está correta. 
  • Concordo que deveria ser anulada.

    Para mim a letra C está correta.
  • Ué pessoal, mas a letra C é a letra correta mesmo. Foi pedido qual é a certa, C.


  • Realmente a norma não é muito clara quanto ao detalhamento sobre redes.

    Nós sabemos que tem que ter pelo nosso conhecimento implícito, mas na norma em si não tem nada muito claro, mesmo tendo diversos OBJETIVOS DE CONTROLE espalhados dentre as seções que nos induzem à isso.

  • Respondido por Thiago Fagury de Sá em 13 março 2013 at 13:59


    A) Não, nem todos os controles precisam ser implementados. A declaração de aplicabilidade é usada justamente para explicitar quais serão e quais não serão usados.

    B) Estranhíssima, mas errada. Não considero como resposta correta, uma vez que os controles existem para satisfazer os requisitos e prover segurança da informação. O termo garantia é complicado de ser usado. Portanto, errada.

    C) Errada. Há diversos controles tratando do assunto. Um aspecto importante: concordo parcialmente com a questão no sentido de que os controles não são aprofundados. Mas são detalhados, sim. Se a FCC quis dizer que não há uma seção específica de segurança de redes, tudo bem. Mas não é isso que a assertiva diz. Listo alguns controles de segurança de redes:

    Controles de redes, Segurança dos serviços de rede, Política de uso dos serviços de rede, Identificação de equipamento em redes, Controle de Roteamento e Conexão em Redes ... Se isso não é detalhar controles referentes à segurança de redes, eu não sei o que é.

    O problema aqui é que o boçal que fez a questão não conhece o assunto e a norma, e acha que segurança é provida somente por controles técnicos, mas não gerenciais. 

    D) e E) Estão invertidas.

    Por exclusão, letra C. Mas muito mal elaborada.

  • Eu cai na pegadinha da garantia... kkk


    Não existe sistema 100% seguro e garantido.... bobagem a minha.....

  • Realmente, Marcos. Várias bancas gostam desse termo, "garantir". Vem meio escondido no meio da frase e, normalmente, se refere a alguma alternativa falsa.

    Vamos na fé.

  • Vejam esta questão Com relação à gestão de segurança da informação e às normas NBR

    ISO/IEC 27.001 e 27.002, julgue os itens de 107 a 111.

    Os requisitos de controle, apesar de específicos e detalhados, são aplicáveis à ampla maioria das organizações, independentemente de tipo, tamanho e natureza.

    O gab é errado.

    Pelo que eu entendi de acordo com os comentários do QC e com a norma é que os objetivos de controle são genéricos e que os controles podem ser específicos e detalhados.


ID
332800
Banca
CESPE / CEBRASPE
Órgão
Correios
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir.

Nas referidas normas, é prevista a implementação de controles contra códigos maliciosos, mas ainda não há previsão acerca de controle contra códigos móveis.

Alternativas
Comentários
  • Definição de código móvel: http://www.cic.unb.br/~jhcf/MyBooks/ciber/doc-ppt-html/CodigoMovel.html

    Trecho da 27002:
    10.4.2 Controles contra códigos móveis
    Controle
    Onde o uso de códigos móveis é autorizado, convém que a configuração garanta que o código móvel
    autorizado opere de acordo com uma política de segurança da informação claramente definida e códigos
    móveis não autorizados tenham sua execução impedida. 
  • 1°) Código Móvel
    “Código móvel” é um código que tem sua  fonte em um sistema remoto
    possivelmente “não confiável” porém executado em um sistema local.
    Esse conceito de “código móvel” tem recebido diversos nomes: agentes
    móveis,  downloadable code, conteúdo executável, cápsulas ativas, código remoto e
    outros. Todos lidam com a execução local de código com fonte remota. 
    Fonte: (
    http://www-di.inf.puc-rio.br/~endler/semGSD/monografias/leonardo-godinho.pdf)

    Código móvel é definido, no Dicionário de Segurança de Internet, como um programa que podem executar em locais remotos com qualquer modificação no código. [Ele] pode viajar e executar a partir de uma máquina para outra em uma rede durante a sua vida. 
    Código móvel inclui ActiveX, Java, JavaScript, VBScript, macros do MS Word ePostScript. Esses códigos podem ser usados ??para coletar informações a partir de um sistema de destino, para introduzir código malicioso ou um cavalo de Tróia, ou para modificar ou destruir informações. Macros são normalmente encontrados em documentos; JavaScript roda em websites e discos mais pop-ups e uma série de outras características mais importantes; ActiveX permite a um PC para fazer o download crítica plug-ins mais sua carga secreta.
    Fonte: Livro de Alan Calder em IT Gov

    2°) Onde?

    A.10  Gerenciamento das operações e comunicações 

    A.10.4   Proteção contra códigos maliciosos e códigos móveis 

     
    A.10.4.1 Controle contra códigos maliciosos 

    A.10.4.2 Controles contra códigos móveis

  • Repare q essa questao é uma pegadinha. A referida norma foi lançada em 2006 e não havia tantos dispositivos moveis como ha hje em dia.
    Adicionalmente, transcrevo trecho da seçao A.10.4 (Proteção contra códigos maliciosos e códigos móveis) da 27001:

    A.10.4.2 Controles contra códigos móveis:
    Onde o uso de códigos móveis é autorizado, a configuração deve garantir que o código móvel autorizado opere de acordo com uma política de segurança da informação claramente definida e que códigos móveis não autorizados tenham sua execução impedida.
  • Não podemos confundir código móvel com algo relacionado a dispositivos móveis.
    Um código móvel é um código que é executado remotamente e pode controlar o seu equipamento (ou apenas uma parte), transformando-o em uma máquina zumbi que faz parte de um ataque DDoS a um determinado domínio, por exemplo.

  • Gabarito Errado

    ISO 27001

    A.10.4.2 Controles contra códigos móveis:
    Onde o uso de códigos móveis é autorizado, a configuração deve garantir que o código móvel autorizado opere de acordo com uma política de segurança da informação claramente definida e que códigos móveis não autorizados tenham sua execução impedida.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
332803
Banca
CESPE / CEBRASPE
Órgão
Correios
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir.

Entre os objetivos de controle de manuseio de mídias inclui-se o controle de descarte de mídias, sendo previstas, nessas normas, diretrizes de implementação para o descarte de forma segura e protegida.

Alternativas
Comentários
  • 10. Gerenciamento das operaçções e comunicações
          10.7 Manuseio de mídias
               10.7.2 Descarte de mídias 
                         Convém que as mídias sejam descartadas de forma segura e protegida quando não forem mais necessárias, por meio de procedimentos formais. 
                Diretrizes para implementação:
                Convém que procedimentos formais para o descarte seguro de mídias sejam definidos para minimizar o risco de vazamento de informações sensiveis para pessoas não autorizadas. Convém qe os procedimentos paradescarte seguro de mídias, contendo informações sensíveis, sejam relativos a sensibilidade das informações.
  • A questão deveria ter tido seu gabarito modificado para errado uma vez que a Norma ISO 27001 prevê o controle A.10.7.2 que trata sobre o descarte de mídias, mas não traz em seu corpo as diretrizes de implementação para o descarte de forma segura e protegida.

    A norma que traz as referidas diretrizes é apenas a ISO 27002, antiga ISO 17799.
  • Só lembrando que um dos anexos da norma 27001 compreende os objetivos de controle e controles contidos na norma 27002.
    Logo, a 27001 contém sim tais diretrizes.
  • Surreal que tanta gente tenha acertado essa questão (nov/2014 havia mais de 90% de acertos), pois o colega Paulo está certo ao afirmar que a 27001 não tem no seu anexo diretrizes, apenas objetivos de controle e controles.

  • Cristian, leia o enunciado da questão:

    "Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir."

  • ERRADO CONFORME A ISO 27002:2013 E ISO 27001:2013.

    Atualizando para a versão da norma de 2013 tanto da ISO 27001, quanto da ISO 27002, esta questão teria gabarito com o valor "ERRADO", visto que o controle Decarte de Mídias está incluído dentro de outro Objetivo de controle, e este dentro de outra seção diferente do que diz a ISO 27002:2005.

    Nova estrutura:

    8 Gestão de ativos     (Seção)

    8.3 Tratamento de mídias   (Objetivo de controle)

    8.3.2 Descarte de mídias (Controle)

    As mídias devem ser descartadas de forma segura e protegida quando não forem mais necessárias, por meio de prodecimentos formais.

     


ID
332806
Banca
CESPE / CEBRASPE
Órgão
Correios
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir.

Em sistemas de gestão de segurança da informação, é necessário o estabelecimento de um plano de gestão de continuidade do negócio; entretanto, os testes e as atualizações desse plano são desnecessários.

Alternativas
Comentários
  • Em sistemas de gestão de segurança da informação, é necessário o estabelecimento de um plano de gestão de continuidade do negócio; entretanto, os testes e as atualizações desse plano são desnecessários necessários.
  • 14.1.1 Incluindo segurança da informação no processo de gestão da continuidade de negócio
     
    a) entendimento dos riscos a que a organização está exposta, no que diz respeito à sua probabilidade e impacto no tempo, incluindo a identificação e priorização dos processos críticos do negócio;
    b) identificação de todos os ativos envolvidos em processos críticos de negócio;
    c) entendimento do impacto que incidentes de segurança da informação provavelmente terão sobre os negócios (é importante que as soluções encontradas possam tratar tanto os pequenos incidentes, como os mais sérios, que poderiam colocar em risco a continuidade da organização) e estabelecimento dos objetivos do negócio dos recursos de processamento da informação;
    d) consideração de contratação de seguro compatível que possa ser parte integrante do processo de continuidade do negócio, bem como a parte de gestão de risco operacional;
    e) identificação e consideração da implementação de controles preventivos e de mitigação;
    f) identificação de recursos financeiros, organizacionais, técnicos e ambientais suficientes para identificar os requisitos de segurança da informação;
    g) garantia da segurança de pessoal e proteção de recursos de processamento das informações e bens organizacionais;
    h) detalhamento e documentação de planos de continuidade de negócio que contemplem os requisitos de segurança da informação alinhados com a estratégia da continuidade do negócio estabelecida;
    i) testes e atualizações regulares dos planos e processos implantados;
    j) garantia de que a gestão da continuidade do negócio esteja incorporada aos processos e estrutura da organização. Convém que a responsabilidade pela coordenação do processo de gestão de continuidade de negócios seja atribuída a um nível adequado dentro da organização.

    Fonte: ISO/IEC 27002:2005, página: 103
  • A ISO27001 adota o ciclo PDCA, melhoria contínua dos processos, ou seja, as atualizações são uma constante.
  • ERRADO.

    Segundo a ISO 27002,"

    14.1.5 Testes, manutenção e reavaliação dos planos de continuidade do negócio

    Controle

    Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade.

    "

  • Gabarito Errado

    Se tratando de normas, nunca as atualizações são desnecessárias.

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
332809
Banca
CESPE / CEBRASPE
Órgão
Correios
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir.

No processo de estabelecimento de um sistema de gestão de segurança da informação, deve ser definido o escopo, além de serem analisados e avaliados os riscos.

Alternativas
Comentários
  • 27001:

    4.2.1 Estabelecer o SGSI

    A organização deve:

    a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo.

  • No processo de estabelecimento do SGSI há:
    - Definição:
    do Escopo e Limites do SGSI
    da Política
    da abordagem de Análise/avaliação de riscos
    - Identificação:
    dos riscos
    das opções de tratamento dos riscos
    - Seleção: dos objetivos de controle e controles para tratamento de riscos
    - Análise e avaliação do riscos
    - Obtenção:
    da aprovação dos riscos residuais
    da autorização para implementar e operar o SGSI
    - Preparação da Declaração de Aplicabilidade


  • Visto de outra maneira:




    Ou ainda:


    Fonte:
    http://tecnoativa.wordpress.com/2010/02/23/a-maturidade-da-seguranca-da-informacao/
    http://www.normas-iso.com/iso-27001


ID
332812
Banca
CESPE / CEBRASPE
Órgão
Correios
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir.

Deve ser incluída na documentação do sistema de gestão de segurança da informação a identificação dos colaboradores da empresa.

Alternativas
Comentários
  • Eu errei essa. Mas avaliando bem, podemos denotar que nao seria impessoal identificar os colaboradores da empresa.
  • Eu errei a questão por interpretar que a documentação deve conter o "procedimento" de identificação dos colaboradores da empresa (cadastramento, crachá de idenificação ,etc)... Mas, pelo jeito o avaliador quiz dizer a listagem com dados dos funcionários, o que obviamente não faz parte da documentação de SGSI.
  • Segundo a ISO27001 os documentos devem incluir:
    Registros das decisões da organização
    Assegurar que as ações sejam rastreáveis às políticas e decisões de direção
    Assegurar que os resultados registrados sejam reproduzíveis

    Ou seja, NÃO CABE identificação dos Stakeholders.
  • ERRADO
    Conforme a ISO 27001, p.10, ".A documentação do SGSI deve incluir:
    a) declaração da política do sgsi documentada (ver 4.2.1b) e objetivos;
    b) o escopo do sgsi (ver 4.2.1a));
    c) procedimentos e controles que suportam o sgsi;
    d) uma descrição da metodologia de avaliação de risco (ver 4.2.1c));
    e) o relatório de avaliação de risco (ver 4.2.1c a 4.2.1g));
    f) o plano de tratamento de risco (ver 4.2.2b));
    g) procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, operação e
    controle de seus processos de segurança de informação, e descrever como medir a efetividade dos controles (ver
    4.2.3c));
    h) registros requeridos por esta Norma (ver 4.3.3); e
    i) a Declaração de Aplicabilidade."
  • Os colaboradores não. Os colaboradores que cuidam e são responsáveis pela Segurança da informação


ID
459337
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

No contexto do histórico do modelo que abrange as normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, é INCORRETO afirmar:

Alternativas
Comentários
  • a ISO 17799 não possui duas partes e controles não são selecionados da 27001.

  • A NBR ISO/IEC 17799:2005, essa norma teve sua numeração modificada para 27002 em 2007, sem modificação alguma no seu conteúdo.
  • 1989 - Elaborado pelo Commercial Computer Security Centre (CCSC), pertencente ao Departament of Trade and Industry, o "Código de Prática do Usuário" é publicado com a finalidade de auxiliar os usuários de TI;
    1995 - O "Código de Prática do Usuário" é aperfeiçoado, resultando no "Código de Prática para a Gestão da Segurança da Informação", que dá origem à norma BS 7799:1995 - Parte 1;
    1999 - A primeira revisão da BS 7799 - Parte 1 é publicada (BS 7799:1999 - Parte 1);
    2000 - Baseada na BS 7799 - Parte 1, a ISO propõe a norma ISO/IEC 17799:2000;
    2002 - A BS 7799:2002 - Parte 2 é lançada com o objetivo de implantar o Sistema de Gestão de Segurança da Informação (SGSI);
    2005 - Baseada na BS 7799:2002 - Parte 2, a ISO propõe a norma ISO/IEC 27001:2005.

    Fonte: FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a governança de TI: da estratégia à gestão dos processos e serviços. 2ª Ed. Rio de Janeiro: Brasport, 2008.
  • Resposta: Letra E. Muitas questões da FCC que envolvem as ISO 27K tentam confundir a função da ISO 27001 com a função da ISO 27002. Nesse caso, quem tem os controles é a ISO 27002. A 27001 é voltada para a certificação, desde que adotados os controles da 27002. Alguém me corrija se eu estiver errado :)

  • Letra E tem dois erros: 17799/2005 passou a ser chamada 27002 sem alterações de conteúdo e, segundo, na implantação do SGSI os controles são selecionados da 27002.

  • Item incorreto: alternativa E. O erros que eu identifiquei foram:

    - a ISO/IEC 17799-1:2005 sofreu correções e transformou-se na ISO/IEC 27002.

         Como já dito pelo colega a norma não sofreu correções ao mudar sua nomenclatura para ISO 27002

    - tendo como objetivo a implantação de um SGSI, considerando controles selecionados a partir da ISO/IEC 27001.

        A norma que possuí, bem claro, como um de seus objetivos implantar um SGSI (Sistema de Gestão da Segurança da Informação) é a ISO 27001:

    "A norma 27001:2006 especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI"

    "Já a norma 27002:2005 estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização."

    Fonte: material do Socrátes Filho 

  • Tá de sacanagem... pra que diabos um analista de redes ia precisar saber isso?

  • vtnc, qual a relevância disso para o concurso? pqp viu

  • Eita kkkk


ID
459340
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere:

I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle.

II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização.

III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas.

IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário.

Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em

Alternativas
Comentários
  • item I pertence à estrutura da norma 27002.
    item IV está incorreto porque o verbo convir é inerente a norma 27002.
  • "3.2 Principais categorias de segurança da informação
    Cada categoria principal de segurança da informação contém:

    a) um objetivo de controle que define o que deve ser alcançado; e
    b) um ou mais controles que podem ser aplicados para se alcançar o objetivo do controle."


    4.1 Analisando/avaliando os riscos de segurança da informação
    Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido
    para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se
    necessário.
    "

    Os item I e II estão errados porque os textos acima estão na NBR ISO/IEC 27002!!!
  • A primeira é dúbia pois na verdade, cada categoria principal (seção) de segurança da informação contém um ou mais objetivos de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. 
  • Estrutura da ISO 27002
    11 Seções de controles de segurança
    39 categorias principais, cada uma contendo um objetivo de controle
    133 controles

    Como dito nos comentários acima, apesar de a ISO 27001 elencar os 39 objetivos de controle e seus 133 controles no anexo I, ela não está organizada como dito no item I.
  • Palavras chaves para auxiliar na resolução dessa questão:

    27001: "DEVE...", REQUISITOS.
    27002: "CONVÉM...", "PODE SER...", CONTROLES.

    I - Fala de CONTROLES que PODEM SER aplicados... ou seja, 27002 - (apesar de parte da 27002 estar dentro da 27001 como anexo)
    II - Fala da norma que especifica REQUISITOS... ou seja, 27001
    III - Fala da norma que define REQUISITOS... 27001
    IV - Já começa com "CONVÉM..." ou seja, 27002

    respota d)

    Em outras questões a análise deve ser um pouco mais sutil, pois grande parte da 27002 está explicita na 27001.

ID
459532
Banca
CESPE / CEBRASPE
Órgão
HEMOBRÁS
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da norma ISO 27001, julgue os itens a seguir.

Essa norma evita explicitamente a definição de atividades que determinam o status da segurança da informação da organização, deixando essa atividade sob observação da alta administração da organização.

Alternativas
Comentários
  • Gabarito Errado

    A referente norma fala sobre SGSI e o gerente ou gestor de segurança deve estar ciente dos acontecimentos, os usuários, gestores  assim como a alta administração devem estar apoiando a referente norma, livrando a alta administração da organização.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
459535
Banca
CESPE / CEBRASPE
Órgão
HEMOBRÁS
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da norma ISO 27001, julgue os itens a seguir.

A referida norma prevê a definição de novos processos de gerenciamento de segurança da informação.

Alternativas
Comentários
  • Novos processos seriam os controles e objetivos de controle descritos no Anexo A. No qual é dito:

    As listas na tabela A.1 não são exaustivas e uma organização pode considerar que objetivos de controle e controles adicionais são necessários. 


  • 0.2 - Estratégia de Processo

    Uma organização precisa identificar e administrar muitas atividades para funcionar efetivamente. Qualquer atividade que
    faz uso de recursos e os gerencia para habilitar a transformação de entradas em saídas pode ser considerada um
    processo
    . Freqüentemente a saída de um processo forma diretamente a entrada do processo seguinte.


    Portanto podemos considerar que Controles e Objetivos de Controles são processos. A norma deixa claro que é permitido criar novos.


ID
459538
Banca
CESPE / CEBRASPE
Órgão
HEMOBRÁS
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da norma ISO 27001, julgue os itens a seguir.

A definição de requerimentos e objetivos de segurança na ISO 27001 cita que é necessário utilizar a norma ISO 27002, que trata de processos de negócios.

Alternativas
Comentários
  • Errada a questão: "A definição de requerimentos e objetivos de segurança na ISO 27001 cita que é necessário utilizar a norma ISO 27002, que trata de processos de negócios".

    A norma 27002 é um código de boas práticas voltadas para a segurança da informação, enumerando uma série de controles que podem ser usados para esse fim. Ela não trata dos processos de negócio específicos da empresa.

  • ERRADO.


    Segundo a ISO 27001,"

    2 Referência normativa

    O documento a seguir referenciado é indispensável para a aplicação desta Norma. Para referência datada, aplicase apenas a edição citada. Para referência não datada, aplica-se a última edição do documento referenciado (incluindo as emendas).


    ABNT NBR ISO/IEC 17799:2005, Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação.

    "


ID
459541
Banca
CESPE / CEBRASPE
Órgão
HEMOBRÁS
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da norma ISO 27001, julgue os itens a seguir.

A ISO 27001 pode ser utilizada como referência por auditores externos à organização para verificar o nível de conformidade das políticas de segurança.

Alternativas
Comentários
  • Certo.

    Ao contrário da norma 27002 (código de boas práticas em segurança da informação), a norma 27001 orienta na implementação de  um sistema de gerenciamento de segurança da informação e menciona os requisitos necessários para a sua certificação.

ID
459544
Banca
CESPE / CEBRASPE
Órgão
HEMOBRÁS
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da norma ISO 27001, julgue os itens a seguir.

A norma mencionada não prevê a disseminação de informação acerca de segurança para clientes externos à organização.

Alternativas
Comentários
  • No anexo A, capítulo 6.2 - partes externas (6. organizando a SI) trata clientes e acordos com terceiros (parceiros)
  • ISO 27001

    A.5.1.1 - Documento da política de segurança da informação

    Controle

    "Um documento da política de segurança da informação deve ser aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes."


ID
459655
Banca
CESPE / CEBRASPE
Órgão
HEMOBRÁS
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de segurança da informação, julgue os próximos itens.

A ISO/IEC 27001:2006 apresenta requisitos operacionais de segurança da informação que devem ser implementados nos servidores de arquivos e equipamentos de conectividade, para controle de acesso de usuários maliciosos.

Alternativas
Comentários
  • ISO/IEC 27001:2005 traduzida pela ABNT como ISO/IEC 27001:2006
  • ISO/IEC 27001 é um padrão para sistema de gestão da segurança da informação (ISMS - Information Security Management System) e não OPERAÇÃO como diz a questão. Além disso essa gestão é aplicada à organização como um todo e não apenas aos servidores de arquivos e equipamentos de conectividade.

    Afirmativa errada!

    http://pt.wikipedia.org/wiki/ISO_27001
  • ERRADO

    Segundo a ISO 27001,"

    1 Objetivo

    1.1 Geral

    Esta Norma especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. Ela especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes."


ID
471115
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação à norma NBR ISO/IEC 27002, para detalhes da implementação do controle “10.1.3 - Segregação de funções”, da norma NBR ISO/IEC 27001, convém que

Alternativas
Comentários
  • Gerenciamento da operações e comunicações
    A.10.1 _ Procedimentos e responsabilidade operacionais
    Objetivos: Garantir a operaçao segura e correta dos recursos de processamento da informação.

    A.10.1.3 - Segregação das funções
    Controle: Funções e áreas de responsabilidades devem ser segregadas para reduzir as oportunidades de modificação ou uso individo não autorizado ou não intencional dos ativos da organização.
  • Apenas complementando o comentário da Fernanda Gomes:

    Iso 27002

    10.1.3 Segregação de funções
    Controle

    Convém que funções e áreas de responsabilidade sejam segregadas para reduzir as oportunidades de modificação ou uso indevido não autorizado ou não intencional dos ativos da organização.

    Diretrizes para implementação A segregação de funções é um método para redução do risco de uso indevido acidental ou deliberado dos
    sistemas. Convém que sejam tomados certos cuidados para impedir que uma única pessoa possa acessar, modificar ou usar ativos sem a devida autorização ou detecção. Convém que o início de um evento seja separado de sua autorização. Convém que a possibilidade de existência de conluios seja considerada no projeto dos controles.

    As pequenas organizações podem considerar a segregação de funções difícil de ser implantada, mas convém que o seu princípio seja aplicado sempre que possível e praticável. Onde for difícil a segregação, convém que outros controles, como a monitoração das atividades, trilhas de auditoria e o acompanhamento gerencial, sejam considerados. É importante que a auditoria da segurança permaneça como uma atividade independente.
  • a B está errada porque ela faz parte do item A.6.1.2 - Coordenação da segurança da informação
  • Segundo a norma ISO/IEC 27002 a segregração de funções encontra-se na seção de Gestão de Operações e Comunicações
  • Segundo a ISO 27002:2013,

    "6.1.2 Segregação de funções

    Diretrizes para implementação
    Convém que sejam tomados certos cuidados para impedir que uma única pessoa possa acessar, modificar ou usar ativos sem a devida autorização ou detecção."

  • Atualizando segundo a ISO 27002:2013:

    6 Organização da segurança da informação

    6.1.2 Segregação de funções

  • Convém que sejam tomados certos cuidados para impedir que uma única pessoa possa acessar, modificar ou usar ativos sem a devida autorização ou detecção."

    Não está muito claro...então se essa pessoa tiver a devida autorização, poderá acessar todos os ativos...isso não é segregar funções!

    Acho que o mais correto seria: Convém que sejam tomados certos cuidados para impedir que uma única pessoa possa acessar, modificar ou usar todos os ativos da organização."

  • Pelo que aprendi, segregar funções, tem a ver com o fato de os proprietários dos ativos serem de diferentes setores, e ainda que os sistemas não se encontrem unicamente em um servidor ou num mesmo hd ou num mesmo espaço físico...

  • LETRA C

  • Não basta decorar os controles dessa merd@, tem que saber também em qual seção e subseção eles podem ser encontrados


ID
480175
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

A norma ISO/IEC 27001:2006 trata

Alternativas
Comentários
  • A) Quem trata da gestão de riscos é a 27005

    B) Quem fala de métrica, diretrizes e etc são as disciplinas de gestão de TI ( CMMI, Cobit, etc ). A ISO que faça em medição é a 27004, ISO que eu nunca li e não sei se traz essas descrições. Já a ISO 27007 trata sobre diretrizes para auditoria de SGSI ( no que tange a auditorias internas).

    C) ISO 27006 é quem trata de requisitos para corpo de auditoria e certificação de SGSI's.

    D) A redação ficou um tanto quanto exdrúxula, mas deu a entender que o examinador quis dizer da 27002, que de certa forma consta no Anexo A da 27001. Esta seria a única alternativa, na minha visão, que poderia levar a dúvida, mas diante da alternativa E, esta se torna a "menos" correta.

    E) Alternativa "mais" correta. Aliás, qdo se fala em PDCA, é a única norma da família 27000 que faz uso do PDCA. PS: ISO 27002 também faz uso do PDCA porém só na parte 2, ou seja, não usa na sua totalidade. O mesmo acontece na 15999

  • Na página v da Introdução da Norma tem essa frase:
    "Esta Norma adota o modelo conhecido como "Plan-Do-Check-Act” (PDCA), que é aplicado para estruturar todos os processos do SGSI."
    Portanto, letra E.
  • Concordo com os comentários, mas o enunciado da questão menciona trata. Na minha visão está muito ambígua. No meu entendimento a norma  27001 trata do sistema de gestão de segurança da informação (SGSI) utilizando-se do PDCA como metodologia norteadora para o seu desenvolvimento e implantação. De acordo com o enunciado, dá a entender que o foco da norma é o PDCA e isso não é verdade.

    Enfim, sigamos na luta para entender o que a banca quer dizer nos enunciados.

    Bons Estudos!

  • Bem eu marquei a "B" justamente pensando como o colega anterior. Pra mim seria a "menos errada"....(pois certa ao meu ver nenhuma está)

    A norma ISO 27001 não trata do PDCA! Trata sim dos requisitos para prover um modelo que estabeleça, Implemente, opere, Monitore, analise criticamente, mantenha e melhore um SGSI.. inclusive isso esta na introdução da norma!

    Ela USA o PDCA mas falar que ela TRATA o PDCA é d+

    a FCC nem pra copiar e colar presta....
  • Assino em baixo em tudo o q o colega Roberto Araujo disse. E tambem marquei a B.
    Consta na norma 27001:

    "A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI) documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. Para os efeitos desta Norma, o processo usado está baseado no modelo de PDCA mostrado na figura 1.
    (...)
    "Esta Norma adota o modelo conhecido como "Plan-Do-Check-Act” (PDCA), que é aplicado para estruturar todos os processos do SGSI.(...). A adoção do modelo PDCA também refletirá os princípios como definidos nas Diretrizes da OECD(http://www.oecd.org) para governar a segurança de sistemas de informação e redes. "
    Entao, como o colega citou, a norma nao trata do PDCA. Ela o adota como modelo para estruturar processos do SGSI.
    A forma como a questao e colocada dá a entender q a norma foi feita pra  tratar do PDCA, enquanto ela apenas o adota.
    Baita sacanagem com quem estuda, hem, FCC???
  • Questão mais capiciosa essa! Enunciado completamente inútil. A norma não trata do cico PDCA, ela adota o ciclo PDCA nos seus processos
  • Putz, mas uma questão de adivinhação. Conforme já mencionado pelos cologas, a norma 27001 não TRATA do modelo PDCA, e sim se BASEIA neste modelo para especificar os requisitos de um sistema de SGSI.
  • Questão muito mal elaborada. Vejamos:

    • a) da gestão de riscos em sistemas de gestão da segurança da informação.
    • Errado. É tratado pela ISO/IEC 27005.
    •  b) de requisitos de sistema de gestão da segurança da informação, métricas e medidas, e diretrizes para implementação.
    • Errado. A ISO/IEC 27001 não dá diretrizes para implementação tampouco métricas e medidas, embora, de fato, traga os requisitos. Diz que é preciso antender os requisitos e medir, mas não diz como exatamente. Tal detalhamento fica por conta da 27002, que delineia os objetivos de controle e controles.
    •  c) de requisitos para auditoria e certificação de um sistema de gestão da segurança da informação.
    • Eu a marquei pelo fato do cumprimento dos requisitos trazidos pela 27001 ser a base para certificação e realização de auditorias. Só é certificado que segue todos os requisitos - por isso a norma traz o "DEVE". Todavia, realmente a 27006 é a norma que possui esse foco.  Alternativa dúbia.
    •  d) das recomendações de controles para segurança da informação da antiga ISO/IEC 17799.
    • Recomendações de controle fica, essencialmente, a cargo da 27002. Todavia, cabe ressaltar que a 27001 lista os objetivos de controle em seu anexo A, que é normativo e não meramente informativo. Ou seja, a 27001 também traz textualmente tais controles, embora não os destrinche dizendo como usá-los/aplicá-los. Alternativa dúbia.
    •  e) do modelo conhecido como Plan-Do-Check-Act (PDCA), que é adotado para estruturar todos os processos do sistema de gerenciamento da segurança da informação.
    • Um absurdo! A norma não trata do modelo PDCA, apena utiliza-o. Assim como várias outras o fazem - vide 27005, 14001, etc. Ou será que este tanto de norma veio para abordar o "tão complicado" PDCA!? Ele é usado em quase tudo, afinal de contas! Usado! Não tratado na sua essência.
  • Sem preciosismo, segue um link para elucidar o assunto:

    http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Planning-for-and-Implementing-ISO27001.aspx


  • "A norma ISO/IEC 27001 trata do PDCA" forçou a barra.....

  • Eu também não concordo com a alternativa considerada correta pela banca. Marquei a letra C.

    Considero que a palavra "requisitos" deveria estar na resposta à pergunta.

    Entretanto, compartilho um trecho que achei interessante, retirado do link "http://advisera.com/27001academy/pt-br/blog/2014/04/15/o-ciclo-pdca-foi-removido-das-novas-normas-iso/":

    "

    [...]

    Aqui está como você pode reconhecer o ciclo PDCA na estrutura das normas ISO:

    - As cláusulas 4 (Contexto da organização), 5 (Liderança), 6 (Planejamento), e 7 (Apoio) não são nada mais do que a fase de planejar;

    - A cláusula 8 (Operações) trata da fase de fazer;

    - A cláusula 9 (Avaliação do desempenho) é, certamente, a fase de verificar; e

    - A cláusula 10 (Melhoria) é a fase de agir.

    [...]

    "

    Autor: Dejan Kosutic


  • Ridículo, tinha que ser FCC

ID
480181
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às responsabilidades da direção descritas na norma ISO/IEC 27001:2006, analise:

I. A direção deve fornecer evidência do seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do Sistema de Gestão da Segurança da Informação mediante a definição de critérios para aceitação de riscos e dos níveis de riscos aceitáveis.
II. A organização deve determinar e prover os recursos necessários para assegurar que os procedimentos de segurança da informação apoiem os requisitos de negócio.
III. A organização deve assegurar que todo o pessoal que tem responsabilidades atribuídas definidas no Sistema de Gestão da Segurança da Informação seja competente para desempenhar as tarefas requeridas, avaliando a eficácia das ações executadas.
IV. A organização deve determinar e prover os recursos necessários para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão da Segurança da Informação.

Está correto o que consta em

Alternativas
Comentários
  • Norma 27001, Cap 5 - Responsabilidades da Direção

    5.1 - Comprometimento da direção
    A Direção deve fornecer evidência do seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI mediante:
    f) a definição de critérios para aceitação de riscos e dos níveis de riscos aceitáveis;

    5.2 Gestão de recursos

    5.2.1 Provisão de recursos
    A organização deve determinar e prover os recursos necessários para:
    a) estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI;
    b) assegurar que os procedimentos de segurança da informação apoiam os requisitos de negócio;

    5.2.2 Treinamento, conscientização e competência
    A organização deve assegurar que todo o pessoal que tem responsabilidades atribuídas definidas no SGSI seja
    competente para desempenhar as tarefas requeridas:
    c) avaliando a eficácia das ações executadas

    Então todas estão certas, letra A.
  • As responsabilidades da direção se dividem em dois blocos: o primeiro se refere as EVIDÊNCIAS do seu compromentimento e o segundo é a gestão dos recursos.
    Neste caso o item I refere-se as EVIDÊNCIAS e os item II, III, IV se referem a gestão dos recursos (Financeiros e Humanos)

ID
515797
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

No âmbito do Sistema de Gestão de Segurança da Informação - SGSI, o procedimento: Monitorar e analisar criticamente o SGSI, recomenda:

I. Realizar análises críticas regulares da eficácia do SGSI independente dos resultados de auditorias de segurança da informação.

II. Medir a eficácia dos controles para verificar que os requisitos de segurança da informação foram atendidos.

III. Conduzir auditorias internas do SGSI a intervalos planejados.

Está INCORRETO o que consta APENAS em

Alternativas
Comentários
  • I - ERRADO

    Realizar análises críticas regulares da eficácia do SGSI levando em consideração:

    - os resultados de auditorias de segurança da informação; 
    - incidentes de segurança da informação;
    - resultados da eficácia das medições;
    - sugestões e realimentação de todas as partes interessadas.
  • ABNT NBR ISO/IEC 27001:2006

    Realizar análises críticas regulares da eficácia do SGSI (incluindo o atendimento da política e dos objetivos do 
    SGSI, e a análise crítica de controles de segurança), levando em consideração os resultados de auditorias de 
    segurança da informação, incidentes de segurança da  informação, resultados da eficácia das medições, 
    sugestões e  realimentação de todas as partes interessadas.
  • ISO IEC/27001:2006

    4.2.3 Monitorar e analisar criticamente o SGSI
    ...
    b) Realizar análises críticas regulares da eficácia do SGSI (incluindo o atendimento da política e dos objetivos do SGSI, e a análise crítica de controles de segurança), levando em consideração os resultados de auditorias de segurança da informação, incidentes de segurança da informação, resultados da eficácia das medições, sugestões e realimentação de todas as partes interessadas.

    Pág 15

    Bons estudos
  • "Realizar análises críticas regulares da eficácia do SGSI (incluindo o atendimento da política e dos objetivos do

    SGSI, e a análise crítica de controles de segurança), levando em consideração os resultados de auditorias de

    segurança da informação, incidentes de segurança da informação, resultados da eficácia das medições,

    sugestões e realimentação de todas as partes interessadas."

    O erro está na expressão "independente dos resultados" , o correto é "levando em consideração os resultados", conforme texto anterior.



     

  • Desatentos marcarão e) II e III.
    Muito cuidado com a FCC! hehe
  • Resposta correta é letra E:
    I -  Realizar análises críticas regulares da eficácia do SGSI independente dos resultados de auditorias de segurança da informação.ERRADO
    Realizar análises críticas regulares da eficácia do SGSI (incluindo o atendimento da política e dos objetivos do  SGSI, e a análise crítica de controles de segurança), levando em consideração os resultados de auditorias de segurança da informação, incidentes de segurança da informação, resultados da eficácia das medições, sugestões e realimentação de todas as partes interessadas.
    II -Medir a eficácia dos controles para verificar que os requisitos de segurança da informação foram atendidos. CORRETA
    ESTÁ IDENTICO O QUE ESTÁ NA LEI
    III-Conduzir auditorias internas do SGSI a intervalos planejados. CORRETA
    ESTÁ IDENTICO O QUE ESTÁ NA LEI

    RESPOSTA CERTA LETRA "E"

    FONTE:
    http://www.vazzi.com.br/moodle/pluginfile.php/135/mod_resource/content/1/ISO-IEC-27001.pdf
     
  • Pessoal, atentem para o enunciado da questão, que pede o que está  INCORRETO:


    "Está INCORRETO o que consta APENAS em.."


    Sendo assim, a resposta certa é a letra A.

  • Não me atentei ao comando INCORRETO e marquei a letra E com toda vontade, rsrs, é melhor aprender aqui a ler atentamente as questões, pra na hora da prova não cometer o mesmo erro.


ID
629014
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre a norma ABNT NBR ISO/IEC 27001:2006, é INCORRETO afirmar:

Alternativas
Comentários
  • "Esta Norma cobre todos os tipos de organizações  (por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos). Esta Norma especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização.  Ela especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes. 

    Os requisitos definidos nesta Norma são genéricos e é pretendido que sejam aplicáveis a TODAS as organizações, independentemente de tipo, tamanho e natureza."

     
  • Tirado da norma.

    1.2 Aplicação

    Os requisitos definidos nesta Norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. A exclusão de quaisquer dos requisitos especificados nas seções 4, 5, 6, 7, e 8 não é aceitável quando uma organização reivindica conformidade com esta Norma.