SóProvas

Questões de Políticas de Segurança de Informação

ID
5395
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2006
Provas
Disciplina
Segurança da Informação
Assuntos

Em uma das reuniões iniciais para a definição da Política de Segurança da Informação de uma empresa, os participantes estão discutindo afirmativas que foram feitas.

I - A política deve, sempre que possível, indicar alguma forma de punição para aqueles que a desrespeitarem ou, do contrário, ela simplesmente será ignorada. Por exemplo, as punições previstas para o não-cumprimento da política devem respeitar as leis de contrato de trabalho da organização, como a CLT, que prevê desde simples advertências até o desligamento por justa causa.

II - As pessoas, como ativos de informação, também possuem vulnerabilidades, entre as quais não conhecer as normas, não saber os limites, não saber o que é confidencial ou não, entre muitas outras. A política deve endereçar esse tipo de vulnerabilidade, diminuindo o risco de que ameaças consigam explorar as vulnerabilidades das pessoas.

III - A política regula o comportamento sobre o uso da informação em diversos níveis e meios. Sempre que for aplicável, ela deve apontar o responsável pela informação e a forma correta de uso, podendo estabelecer, por exemplo, que o sistema de correio eletrônico deve ser utilizado exclusivamente para fins profissionais relacionados com a empresa em questão.

IV - A classificação dos ativos de informação é uma etapa importante no processo de garantia de segurança da informação. Classificar envolve, por exemplo, inventariar, definir o grau de relevância e identificar esses ativos de informação. Esse processo, além de estruturar e permitir uma gestão mais eficiente dos ativos, contribui significativamente para a análise e tratamento de riscos de segurança da informação.

Com base nos aspectos relacionados à Política de Segurança da Informação em uma empresa estão corretos apenas os conjuntos de afirmativas:

Alternativas
ID
7357
Banca
ESAF
Órgão
CGU
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

Analise as seguintes afirmações relativas a conceitos de Segurança da Informação:

I. Política de Segurança é um conjunto de diretrizes que definem formalmente as regras e os direitos dos funcionários, prestadores de serviços e demais usuários, visando à proteção adequada dos ativos da informação.

II. Integridade é a condição na qual a informação ou os recursos da informação são protegidos contra modificações não autorizadas.

III. Confiabilidade é a característica da informação que se relaciona diretamente com a possibilidade de acesso por parte daqueles que a necessitam para o desempenho de suas atividades.

IV. Disponibilidade é a propriedade de certas informações que não podem ser disponibilizadas ou divulgadas sem autorização prévia do seu dono.

Estão corretos os itens:

Alternativas
Comentários
  • III - Disponibilidade
    IV - Confidencialidade

  • RESPOSTA LETRA A, nas respostas III e IV estão invertidos os conceitos com o nome da característica

ID
7360
Banca
ESAF
Órgão
CGU
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

Analise as seguintes afirmações relativas aos conceitos de Segurança da Informação:

I. Cofidencialidade é a propriedade de manutenção do sigilo das informações. É uma garantia de que as informações não poderão ser acessadas por pessoas não autorizadas.

II. Irretratabilidade é a propriedade de evitar a negativa de autoria de transações por parte de usuários, garantindo ao destinatário o dado sobre a autoria da informação recebida.

III. Autenticidade é a proteção da informação contra acessos não autorizados.

IV. Isolamento ou modularidade é a garantia de que o sistema se comporta como esperado, em especial após atualizações ou correções de erro.

Estão corretos os itens:

Alternativas
Comentários
  • * Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
    * Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).
    * Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
  • Autenticidade é a garantia da origem da informação, não confundir com confidencialidade. Este implica em autorização e aquele em consistência.

  • GAB. A

    I. Cofidencialidade é a propriedade de manutenção do sigilo das informações. É uma garantia de que as informações não poderão ser acessadas por pessoas não autorizadas. 

    Correto.

    II. Irretratabilidade é a propriedade de evitar a negativa de autoria de transações por parte de usuários, garantindo ao destinatário o dado sobre a autoria da informação recebida. 

    Correto. Também chamada de não-repúdio.

    III. Autenticidade é a proteção da informação contra acessos não autorizados. 

    Errado. Diz respeito ao autor da informação, que ele realmente é quem diz ser.

    IV. Isolamento ou modularidade é a garantia de que o sistema se comporta como esperado, em especial após atualizações ou correções de erro.

    Errado. Não se trata de um principio de segurança da informação. Isolamento me parece uma propriedade do SGBD relacional (banco de dados)

    Qualquer equívoco, notifiquem-me.

ID
7405
Banca
ESAF
Órgão
CGU
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

Analise as seguintes afirmações relativas a aspectos que devem ser considerados quanto à política de segurança:

I. Uma boa política de segurança independe do treinamento aplicado aos funcionários.

II. A criptografia pode garantir a integridade dos dados e proteger informações sigilosas enviadas através de linhas inseguras.

III. Controle de acesso é aplicado após a implementação da política de segurança para garantir que todos os itens da política estão sendo cumpridos.

IV. A autenticação é como os usuários informam à infra-estrutura de rede quem são eles.

Estão corretos os itens:

Alternativas
Comentários
  • I - O treinamento aos funcionarios eh a principal caracteristica para se manter uma boa politica de seguranca.
    II - correto
    III - contexto errado.
    IV - correto
  • Para mim o item II está totalmente errado já que criptografia não garante integridade e sim confidencialidade. Tanto que o IPSec no modo AH (Authentication Header) garante autenticidade (o conteúdo não foi modifiado) e integridade (o conteúdo não está corrompido) sem usar criptografia. Quando falamos em integridade estamos falando das tecnologias de HASH (MD5, HMAC, SHA1).

  • A questão fala que a criptografia pode garantir a integridade e no meu entender pode sim. A própria assinatura digital é uma utilização da criptografia com essa finalidade. Além disso uma informação modificada durante a transferência não poderá ser lida na saída já que existe um formato requerido pela aplicação que na prática não será respeitado caso haja uma alteração.

ID
8371
Banca
ESAF
Órgão
Receita Federal
Ano
2005
Provas
Disciplina
Segurança da Informação
Assuntos

Analise as seguintes afirmações relacionadas a definição, implantação e gestão de políticas de segurança:

I. Uma das medidas que pode ser tomada para prevenir ser o intermediário de ataques do tipo Smurf é configurar o roteador de modo a receber e deixar passar pacotes para endereços de broadcast por meio de suas interfaces de rede.

II. O War dialer é uma ferramenta utilizada pelos hackers para fazer a varredura visando à identificação de modems, que também pode ser utilizada por auditores para fazer auditoria de segurança de uma organização. Como ferramenta de auditoria, algumas dessas ferramentas são capazes de detectar fax, identifi car conexões PPP e detectar modems não-autorizados em uso nas máquinas da organização.

III. A possibilidade de automatização de escolha de rota, isto é, roteamento dinâmico, pode ser utilizada para permitir que os dados sejam transmitidos em rotas fi sicamente variáveis, garantindo que informações que necessitam de segurança extra sejam transportadas em rotas cujos canais de comunicação forneçam os níveis apropriados de proteção.

IV. Na sua instalação e utilização padrão, o SNMP (Simple Network Management Protocol), utilizado para gerenciamento de equipamentos de rede, permite falhas de segurança relacionadas ao vazamento de informações sobre o sistema, tabelas de rotas, tabelas ARP e conexões UDP e TCP.

Indique a opção que contenha todas as afirmações verdadeiras.

Alternativas
ID
10573
Banca
ESAF
Órgão
CGU
Ano
2006
Provas
Disciplina
Segurança da Informação
Assuntos

Em termos das questões relacionadas à política de segurança e auditoria é correto afirmar que

Alternativas
Comentários
  • sobre alternativa B, podemos dizer que está incorreta, porque a norma ISO 17799:2005 tem uma seção de Gestão da continuidade do negócio, que reforça a necessidade de se ter um plano de continuidade e contingência desenvolvido, implementado, testado e atualizado.
  • Where can I find references concerning this subject. It's quite hard to solve these questions, because the knowledge is too scattered.
  • Bom, fiquei na duvida entre A e C.

    letra B, DEFINE regras para gestão da continuidade do negócio.

    letra D,  política de segurança de informação independe do hardware.

    letra E (ao meu ver equivocado gabarito)... a AUDITORIA de TECNOLOGIA DA INFORMAÇÃO que faz parte da auditoria de segurança... que ENGLOBA, além da TI, outros sistemas e processos dentro da organização...

    CONFUSA... muito confusa a questão.
ID
10579
Banca
ESAF
Órgão
CGU
Ano
2006
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação às questões que envolvem a segurança na Internet é incorreto afirmar que

Alternativas
Comentários
  • e) na Internet, é aconselhável utilizar soluções baseadas em criptografia com vistas a proporcionar a confidencialidade de dados. Em particular, o SSL (Secure Socket Layer) é baseado, em sua completude, na criptografia de chaves assimétricas.

    Pegadinha só pela palavra "completude". Na verdade as chaves assimétricas são usadas somente no momento do estabelecimento da conexão, sendo que no restante a chave é simétrica.

    "A criptografia de chave pública envolve muito processamento, portanto, a maioria dos sistemas utiliza uma combinação da chave pública e simétrica. Quando dois computadores iniciam uma sessão segura, um computador cria uma chave simétrica e a envia ao outro usando a criptografia de chave pública. Os dois computadores podem então se comunicar utilizando a criptografia de chave simétrica. Uma vez que a sessão é terminada, cada computador descarta a chave utilizada naquela sessão. Todas as sessões adicionais requerem que uma nova chave simétrica seja criada e que o processo seja repetido." http://informatica.hsw.uol.com.br/criptografia4.htm

    Eu respondi letra b. Nem sempre o endereço é interno, pode ser um endereço externo de uma máquina conhecida pelo destinatário, porém o fato de ser um endereço interno não torna a questão errada.
  • a) sem comentáriosb) um endereço de host interno? não necessariamente, depende da finalidade. Se for apenas se camuflar ou promover um ataque, não precisa ser um endereço interno. Poderia estar melhor formulada...c)utilização de autenticação e criptografia? Autenticação pode até ser,mas criptografia? O que tem a ver?d)sem comentáriose) SSL utiliza simétrica e assimétrica em conjunto.
  • a) confidencialidade ou privacidade corresponde a um dos serviços de segurança cujo objetivo é a proteção dos dados transmitidos contra ataques passivos, assim como a proteção do tráfego contra análise.Verdade. Por ataques passivos podemos entender um sniffer rodando na rede.b) em casos de spoofing de endereço IP (Internet Protocol), o intruso externo transmite pacotes com o campo de endereço IP origem contendo um endereço de um host interno.Verdade. Intruso externo é um pleonasmo, se é intruso é pq é externo a quem de direito fazer a comunicação. O spoofing é justamente quando um intruso faz-se passar por um host transmitindo pacotes e recebendo pacotes.c) o ataque DDoS (Distributed Denial of Service) é uma variação de ataques DoS. Ambos resultam em perdas ou redução de disponibilidade e são amenizados, em alguns casos, com a utilização de autenticação e criptografia.Verdade. Existem casos em que o DDOS não pode ser evitado, como por exemplo o flood de pings sobre um servidor. Mesmo que o servidor não aceite ping, as requisições acontecem e ocupam espaço na largura de banda do meio físico.d) o software VPN (Virtual Private Network) atua como um filtro porque permite que os dados trafeguem apenas entre dispositivos para os quais o software VPN foi configurado, garantindo conexões seguras usando uma infra-estrutura pública de comunicação.Verdade. É uma forma definir o túnel VPN.e) na Internet, é aconselhável utilizar soluções baseadas em criptografia com vistas a proporcionar a confidencialidade de dados. Em particular, o SSL (Secure Socket Layer) é baseado, em sua completude, na criptografia de chaves assimétricas.Falso. O SSL usa chave assimétrica para trocar as chaves simétricas e se beneficiar da rapidez da simetria e da confiança da assimetria.
ID
12070
Banca
CESPE / CEBRASPE
Órgão
Polícia Federal
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

A política de segurança é um conjunto de diretrizes, normas, procedimentos e instruções de trabalho que estabelecem os critérios de segurança para serem adotados no nível local ou a institucional, visando o estabelecimento, a padronização e a normalização da segurança tanto no âmbito humano quanto tecnológico. Acerca das boas práticas para elaboração, implantação e monitoração da política de segurança, julgue os itens seguintes.

A elaboração de uma política de segurança institucional deve refletir, sobretudo, o know-how de segurança dos profissionais envolvidos com a sua elaboração e não a cultura da organização.

Alternativas
Comentários
  • Esta na Iso 17799:2005.Política de segurança da informação.Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização.
  • É claro que a cultura da organização deve ser levada em consideração. Questãozinha óbvia.
  • Não gostei da elaboração desta pergunta. Acho justa a preocupação com a cultura mas o que adianta você definir regras e colocar nas mãos de profissionais incapazes ou inidôneos para a devida implementação. 

  • Gabarito Errado

    Vejam:

    De acordo com a norma ABNT NBR ISO/IEC 17799:2005, o objetivo da política de segurança da informação é "Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização".

    Se a orientação e o apoio aos objetivos da segurança da informação devem partir da direção da organização, fica claro que o profissional de TI é peça chave nesse contexto, já que uma das principais responsabilidades do mesmo é a gerência, manutenção e segurança das informações, dos servidores e dos equipamentos da rede. Este profissional deverá estar comprometido, apoiando ativamente todos os processos e diretrizes implementadas. Caso seja necessário, a direção da organização poderá direcionar e identificar as necessidades para a consultoria de um especialista interno ou externo em segurança da informação, analisando e coordenando os resultados desta consultoria por toda a organização.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • GABARITO: ERRADO.

ID
12073
Banca
CESPE / CEBRASPE
Órgão
Polícia Federal
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

A política de segurança é um conjunto de diretrizes, normas, procedimentos e instruções de trabalho que estabelecem os critérios de segurança para serem adotados no nível local ou a institucional, visando o estabelecimento, a padronização e a normalização da segurança tanto no âmbito humano quanto tecnológico. Acerca das boas práticas para elaboração, implantação e monitoração da política de segurança, julgue os itens seguintes.

A política de segurança não deve ter caráter punitivo, mas conscientizador e participativo. Assim, na política de segurança não se definem sanções ou penalidades aplicáveis em caso de descumprimento das normas. Ao contrário, definem-se responsabilidades e o impacto do não cumprimento adequado do papel de cada um na gestão da segurança como um todo.

Alternativas
Comentários
  • A Política de Segurança deve também ter caráter punitivo e citar as sanções.
  • Deve-se definir sanções, por exemplo, para o caso de um administrador de rede for negligente com a guarda da senha de administrador.

    Ou seja, o indivíduo deve guardar em segredo a sua senha.

    Da mesma forma, quando um funcionário que trabalha com informações confidenciais. Após a assinatura de um termo de confidencialidade, ele não pode deixar que essas informações vazem.

  • ERRADO.

    Segundo Nakamura(2010,p. 197),"A política de segurança deve definir também, do modo mais claro possível, as punições e os procedimentos a serem adotados, no caso do não-cumprimento da política definida. Esse é um aspecto importante que precisa ser definido, para que os abusos sejam evitados e os usuários tenham consciência de que a política de segurança é importante para o sucesso da organização."


    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA-2010.

  • Tecnica Nishimura!

  • Possui carácter repressivo, porém, não é o foco principal de políticas de segurança da informação.

  • GABARITO: ERRADO.

  • Gabarito:ERRADO!

    A política de segurança deve ter caráter punitivo também, pois deve revelar as punições aos que prejudicarem a organização.

    Professor Léo Matos

ID
12076
Banca
CESPE / CEBRASPE
Órgão
Polícia Federal
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

A política de segurança é um conjunto de diretrizes, normas, procedimentos e instruções de trabalho que estabelecem os critérios de segurança para serem adotados no nível local ou a institucional, visando o estabelecimento, a padronização e a normalização da segurança tanto no âmbito humano quanto tecnológico. Acerca das boas práticas para elaboração, implantação e monitoração da política de segurança, julgue os itens seguintes.

A política precisa ser aprovada pela administração da organização e formalmente comunicada a todos que devem cumpri-la, caso contrário sua aplicação torna-se de difícil controle e aceitação.

Alternativas
Comentários
  • Novamente está na ISO 17799:2005.Política de segurança da informação.Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização.

  • CERTO

    Complemento

    Ainda segundo a ISO 27002, "

    5.1.1 Documento da política de segurança da informação

    Controle

    Convém que um documento da política de segurança da informação seja aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes."

  • Errei pelo termo administração, irei adicionar este termo como sinônimo de Direção ou Alta Administração, para a Cespe. =P

  • GABARITO: CERTO.

ID
28993
Banca
CESGRANRIO
Órgão
CAPES
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Uma autenticação é caracterizada como forte quando estão presentes 2 ou mais itens dos seguintes fatores:

Alternativas
Comentários
  • Algo que você sabe: senha;
    Algo que você possui: token;
    Algo que você é: biometria.
  • O canal Internet passou a ser cada vez mais, alvo de ataques inescrupulosos, e a mera autenticação por “nome/senha” passou a ser ineficiente. Precisamos utilizar um novo método de autenticação denominado “autenticação forte”, tais como tokens (o que você tem), assinaturas eletrônicas (o que você sabe), sistemas de biometria (o que você é).

    fonte: http://www.s4n.com.br/Autenticacao.aspx


  • Segundo Nakamura(2010,p.364),"

    Com base no que o usuário sabesenha, chave criptográfica ou Personal Identification Number(PIN).

    Com base no que o usuário possuitoken,cartão ou smart card.

    Com base nas características do usuário: biometria, ou seja reconhecimento de voz,impressão digital,geometria das maos, reconhecimento da retina,reconhecimento da íris,reconhecimento digital de assinaturas etc."

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA-2010.


ID
32803
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Integridade, confidencialidade e disponibilidade das informações constituem alguns dos aspectos que orientam a análise, o planejamento e a implementação da segurança dentro das empresas. Dentro deste contexto, pode-se afirmar que

Alternativas
Comentários
  • a) O gerenciamento da capacidade é um processo da ITIL que visa fornecer a capacidade exigida de processamento e armazenamento no momento e no custo adequado.

    Os benefícios do gerenciamento da capacidade são principalmente a reduções de riscos e custos e a possibilidade de se obter previsões mais confiáveis.
  • Porque a alternativa A não está correta:"a disponibilidade das informações está intimamente relacionada à tolerância a falhas dos sistemas": até aqui, tudo certo."sendo a investigação das razões das falhas uma das principais atividades do Gerenciamento da Capacidade do ITIL": errado! Quem cuida de investigar causas de falhas, ou incidentes, é a Gestão de Problemas.
  • ISO/IEC 27001 é um padrão para sistema de gestão da segurança da informação (ISMS - Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commision. Seu nome completo é ISO/IEC 27001:2005 - Tecnologia da informação - técnicas de segurança - sistemas de gerência da segurança da informação - requisitos mas conhecido como "ISO 27001".Seu objetivo é ser usado em conjunto com ISO/IEC 17799, o código de práticas para gerência da segurança da informação, o qual lista objetivos do controle de segurança e recomenda um conjunto de especificações de controles de segurança.http://pt.wikipedia.org/wiki/ISO_27001
  • a) O ITIL é um conjunto de melhores práticas de gerenciamento de servicos. O gerenciamento da capacidade diz: "Enfatiza o planejamento e o alinhamento com a demanda de forma a garantir que os niveis de Servico acordados possam ser cumpridos." Ou seja, nao tem haver com disponibilidade.
    Já o gerenciamento da Disponibilidade diz: "Processo de garantir uma disposicao adequada dos recursos,  metodos e tecnicas, para dar suporte a disponibilidade dos servicos de ti."
  • Conforme a ISO 27001, item A.7 Gestão de Ativos e mais precisamente: o item A.7.2 Classificação da Informação, tem por objetivo "assegurar que a informação receba um nível adequado de proteção". Sendo assim, o item A.7.2.1 Recomendações de classificação orienta: "A informação deve ser classificada em termos de seu valor, requisitos legais, sensibilidade e criticidade para a organização".
  • Resposta letra D

    auto explicativa :

    segundo a ISO 27001:2005, a informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a empresa
  • A) Errada. A investigação das causas de uma falha é uma atividade do Gerenciamento de Problemas do ITIL.
    B) Errada. O Cobit define 7 critérios para a informação: dois fiduciários (conformidade e confiabilidade), dois de qualidade (Efetividade e Eficiência) e três de segurança (Disponibilidade, Confidencialidade e Integridade). Além disso, também define o processo DS5 - Assegurar a Segurança dos Serviços. Logo, o Cobit trata de aspectos de segurança.
    C) Errada. Acho que nenhum documento do mundo deva conter "todos os aspectos técnicos" de alguma coisa. Ia ser papel que não acaba mais. Bom, existe um requisito de controle genérico do cobit (PC5 - Políticas Planos e Procedimentos) que define e comunica como todas as políticas, planos e procedimentos que direcionam os processos de TI  devem ser documentados. Resumidamente, esse PC5 diz que esses documentos devem ser "acessíveis, corretos, entendidos e atualizados". (Cobit 4.1, pag 18)
    D) Correta. Os comentários acima já são ótimos. Na verdade, marquei a "d" por eliminação. =P
    E) Errada. O comprometimento da segurança é lógico.
ID
47053
Banca
ESAF
Órgão
ANA
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

A política de segurança de uma organização pressupõe, primordialmente,

Alternativas
Comentários
  • Como a questão pede o que PRIMORDIALMENTE pressupõe uma PS, a ISO 27002 (27002 = renumeração da 17799) quando começa a falar sobre os objetivos e o que deve conter na PS, deixa claro que deve prover apoio da direção...... leiam.. ISO 17799/2005 - (Cap. 5)"Política de segurança da informaçãoObjetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização."
  • A resposta da questão está na palavrinha PRESSUPÕE.
    Isso quer dizer que para existir a Política de Segurança, para ela ser aprovada, deve antes de mais nada ser aprovada pela alta direção e, claro, estar alinhada com os requisitos do negócio, por isso a letra C está correta.

    a) Sim, a política deve ser de conhecimento de todos mas isso vem depois da aprovação dela.
    b) Sim, a política deve ser revista periodicamente, até mesmo porque é baseada no modelo PDCA, mas isto também vem depois da aprovação da política.
    c) CORRETA
    d) Sim, a deve ser feita a declaração de responsabilidades para SI, que é o proprietário, custodiante, controlador e o usuário dos ativos de informação, mas isso também vem depois.
    e) Sim, todos os riscos devem ser identificados inclusive os relacionados com partes externas, mas também isso vem depois da aprovação da política de segurança.

    Questão muito boa pois ela toda é verdade, mas o examinador pediu o que antecede a política de segurança e não o que sucede.
ID
59581
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere a cópia de segurança de arquivos e
procedimentos de backup, julgue os itens subseqüentes.

A criação de uma rotina de cópia de segurança, um procedimento que faz parte de uma política de segurança da instituição, deve prever a cópia de todo e qualquer dado que precise ser recuperado em caso de falha.

Alternativas
Comentários
  • Não concordo com o gabarito. Se analisarmos dados do sistema, p.e, temos alguns que são de suma importância e que realmente deverão fazer parte da política de backup, como por exemplo cópia do AD. Porém, na mesma análise temos outros dados que poderão ser recuperados sem a necessidade de uma cópia, como os arquivos de sistema. Um outro exemplo: é prudente se ter cópias das VM's num esquema de virtualização, mas posso reconfigurá-las caso essas cópias não estejam mais ao alcance.

    Portanto, acho muito forte e genérica a expressão: todo e qualquer dado.

    Alguem concorda?
  • Ativo, segundo a série ISO 27000, é qualquer coisa que tenha valor para a instituição: pessoas, equipamentos, sua reputação, suas informações. Se uma informação precisa ser recuperada, é porque tem algum valor relevante. A questão, contudo, não trata do valor ordinal ou cardinal da informação, o que não lhe permite atribuir uma prioridade de guarda. Desta maneira, toda e qualquer informação que precise ser recuperada em caso de falha precisa, sim, possuir uma cópia de segurança; como vai ser feito, contudo, é outro juízo. 

  • QUESTÃO CORRETA em minha opinião.

    O detalhe da questão está em "de uma política de segurança da instituição". Afirmação que nos leva a pensar prontamente na PSI da Instituição. Contudo, "A criação de uma rotina de cópia de segurança", pode ser encontrada em outra política da Instituição, como a Política de Segurança de Comunicações.

    Outro aspecto, é que na Política de Segurança da Informação não devem existir procedimentos muito específicos, uma vez que é uma política com visão macro sobre a segurança da Instituição.


  • prever a copia de todo e qualquer dado?

  • apesar de ter marcado correto, fiquei em dúvida realmente sobre ser muito técnico a ação de 'criar rotina', enfim, a banca deu como certa nessa.

  • Esse "todo e qualquer" deixa a gente de pernas bambas.

  • eu acabei de fazer uma questão dizendo que nada é garantido como podem cobrar que todo e qualquer dado deve ser copiado se não posso garantir a copia e o backup desses dados... acertei a questão pq to acostumado com as merdas do cespe, mas depois que eu passar não quero mais brincar de disse não disse com essa porra nunca mais. 

ID
79273
Banca
FCC
Órgão
TRT - 18ª Região (GO)
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Prover uma orientação e apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes, é um objetivo de controle obtido por meio

Alternativas
Comentários
  • Esta é uma recomendação do ISO / IEC 17799Prover gerenciamento e suporte para segurança de informação em conformidade com os requisitos de negócio e leis e regulações relevantes.

  • a) 

    documento da política de segurança da informação.

ID
101428
Banca
FGV
Órgão
SEAD-AP
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

O planejamento da política de segurança deve ser realizado tendo como diretriz o caráter geral e abrangente de todos os pontos, incluindo as regras que devem ser obedecidas por todos.

Essas regras devem especificar quem pode acessar quais recursos, quais os tipos de uso permitidos no sistema, bem como os procedimentos e controle necessários para proteger as informações.

Assinale a alternativa que apresente uma visão geral do planejamento.

Alternativas
Comentários
  • Resposta Letra B
    Políticas - Normas e Procedimentos.

    A Resposta parte do mais geral para o mais específico. Primeiro devem ser respeitadas as políticas, como forma de diretrizes, de guia. A partir destas é que são elaboradas as normas, mais específicas, ainda que genérica quanto a ação. E é justamente em relação a ação que entra o procedimento. 
ID
102031
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2007
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a norma ISO 17799, julgue os itens a seguir.

Tendo em vista o ambiente de TI implantado em uma entidade, faz-se necessário que essa entidade disponha de critérios de aceitação para novos sistemas.

Alternativas
Comentários
  • Fiquei um pouco na dúvida no "faz-se necessário", porém como é dito na própria norma:
    Devem ser estabelecidos critérios de aceitação para novos sistemas...
    Logo, deve é sinônimo de necessário (obrigatoriedade).

  • CERTO.

    Segundo a ISO 27002,"

    10.3.2 Aceitação de sistemas

    Controle

    Convém que sejam estabelecidos critérios de aceitação para novos sistemas, atualizações e novas versões, e que sejam efetuados testes apropriados do(s) sistema(s) durante seu desenvolvimento e antes da sua aceitação."

ID
104821
Banca
FCC
Órgão
TCM-PA
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A norma NBR ISO/IEC 17799:2005 apresenta os tópicos sobre segurança da informação em seções, cada uma com os conteúdos estruturados na seguinte ordem:

Alternativas
Comentários
  • Veja o exemplo

    A.5 - POLITICA DE SEGURANÇA DA INFORMAÇÃO { Categoria de segurança / Cláusula ou Seção }
         A.5.1  - Politica de Segurança da Informação { Objetivo de Controle}
                   A.5.1.1 - Documento da política de segurança da informação { Controle de segurança}
                               Diretrizes para implementação
                                Convém que o documento da política de segurança da ibnformação declare o comprometimento da direção e estabeleça  o enfoque da   
                                organização para gerenciar a segurança da informação. (...)

    O mesma estrutura de organização ocorre em todas as outras seções quais sejam A.6 à A.15

  • Complemento.

    Segundo a ISO 27002, "3.2 Principais categorias de segurança da informação

    Cada categoria principal de segurança da informação contém:

    a) um objetivo de controle que define o que deve ser alcançado; e

    b) um ou mais controles que podem ser aplicados para se alcançar o objetivo do controle.

    As descrições dos controles estão estruturadas da seguinte forma:

    Controle

    Define qual o controle específico para atender ao objetivo do controle.

    Diretrizes para a implementação

    Contém informações mais detalhadas para apoiar a implementação do controle e atender ao objetivo de diretrizes podem não ser adequadas em todos os casos e assim outras formas de implementação do controle podem ser mais apropriadas.

    Informações adicionais

    Contém informações adicionais que podem ser consideradas, como, por exemplo, considerações legais e referências a outras normas."

  • não teria sentido apresentar as diretrizes de implantação de controle, antes do próprio controle, assim como os objetivos de controle antes das categorias de segurança. Em resumo, devemos saber o que é cada item, pois a ordem é deduzida logicamente

ID
104827
Banca
FCC
Órgão
TCM-PA
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

O objetivo de controle da Política de Segurança da Informação, estabelecido na norma NBR ISO/IEC 17799:2005, é

Alternativas
Comentários

  •  Objetivo

    Esta Norma fornece recomendações para gestão da segurança da informação para uso por aqueles que são responsáveis

    pela introdução, implementação ou manutenção da segurança em suas organizações. Tem como propósito prover uma
    base comum para o desenvolvimento de normas de segurança organizacional e das práticas efetivas de gestão da
    segurança, e prover confiança nos relacionamentos entre as organizações. Convém que as recomendações descritas
    nesta Norma sejam selecionadas e usadas de acordo com a legislação e as regulamentações vigentes.
  • Comentando as questões:
     
    b) Objetivo da seção 6 - Organizando a segurança da informação sendo a categoria especifica nesse item 6.1 - Infra-estrutura da segurança da informação 
    c) Objetivo da seção 7 - Gestão de ativos sendo a categoria especifica nesse item 7.1 - Responsabilidade pelos ativos 
    d) Objetivo da seção 8 - Segurança em recursos humanos da parte sendo a categoria especifica nesse item 8.1 Antes da contratação
    e) Objetivo da seção 10 - Gerenciamento das operações e comunicações  sendo a categoria especifica nesse item 10.2 Gerenciamento de serviços terceirizados 
     
    e por fim:
     
    a) Objetivo da seção 5 Política de segurança da informação sendo categoria especifica 5.1 Política de segurança da informação =)
     
    O item 5.1 ainda conta com mais duas seções: 
    5.1.1 Documento da política de segurança da informação; e
    5.1.2 Análise crítica da política de segurança da informação.
     

     

  • 5 Política de segurança da informação 5.1 Política de segurança da informação Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização.

  • Onde cada alternativa está na norma ISO/IEC 17799:2005:

     a) prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Objetivo de controle da seção 5. Política de Segurança da Informação. Motivo pelo qual a alternativa A é a correta!b) gerenciar a segurança da informação dentro da organização. Objetivo de controle da seção 6. Organizando a Segurança da Informação.c) alcançar e manter a proteção adequada dos ativos da organização. Objetivo de controle da seção 7. Gestão de Ativosd) assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis, e reduzir o risco de roubo, fraude ou mau uso de recursos. Objetivo de controle da seção 8. Segurança em Recursos Humanos e) implementar e manter o nível apropriado de segurança da informação e de entrega de serviços em consonância com acordos de entrega de serviços terceirizados. Objetivo de controle da seção 10. Gerenciamento das operações e comunicações (mais especificamente: 10.2. Gerenciamento de serviços tercerizados).Bons estudos!
ID
104848
Banca
FCC
Órgão
TCM-PA
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A categoria de segurança "proteção contra códigos maliciosos e códigos móveis" é descrita pela norma NBR ISO/IEC 17799:2005 na seção

Alternativas
Comentários
  • 10.4.1 Controles contra códigos maliciosos : Seção de Gerenciamento das operações e comunicações.
    Fonte: Pág 46 da ISO 17799 ou acessem esse Mindmap das ISOs 17799 e série 27000 :
    http://www.mindomo.com/mindmap/seguranca-ad42d67cb46a4bb6a7f2961252e6b553

  • Segue outra fonte

    Segundo a ISO 27001,

    "ANEXO A

    A.10 Gerenciamento das operações e comunicações

    A.10.4 Proteção contra códigos maliciosos e códigos móveis

    Objetivo: Proteger a integridade do software e da informação.

    -Controle contra códigos maliciosos

    Controle

    Devem ser implantados controles de detecção, prevenção e recuperação para proteger contra códigos maliciosos, assim como procedimentos para a devida conscientização dos usuários.

    -Controles contra códigos móveis

    Controle

    Onde o uso de códigos móveis é autorizado, a configuração deve garantir que o código móvel autorizado opere de acordo com uma política de segurança da informação claramente definida e que códigos móveis não autorizados tenham sua execução impedida. "

  • Seção de Gerenciamento das operações e comunicações é gigante e trata de muitos  assuntos. Se estiver em dúvidas, escolha a opção dessa seção.

  • Só lembrando que na nova versão (ISO 27002:2013), A gestão das operações e comunicações foi dividida em Segurança nas operações (seção 12) e Segurança nas comunicações (seção 13).


    Sendo que:


    a) Proteção contra códigos maliciosos (subseção 12.2), agora se encontra na Seção 12. Segurança das Operações; e


    b) Dispositivos móveis e trabalho remoto, anteriormente em Controle de acesso, é agora 6.2 – parte da seção 6 Organização da segurança da informação.
     

  • Note o nível de detalhe na cobrança dessa questão.

    Tem que tentar correlacionar as seções e seus tópicos... não há como decorar.

ID
120694
Banca
FCC
Órgão
SERGAS
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A Segurança da Informação deve ser tratada como um conjunto de mecanismos que garantam a continuidade dos serviços de TI. Nesse sentido, é correto afirmar que um sistema de segurança da informação tem como finalidade

Alternativas
Comentários
  • Questão horrível com pessímas opções de resposta.
  • Respondi a questão com o seguinte pensamento:

    Nenhum sistema de SI consegue ELIMINAR nada. O que se procura com sua implantação é a redução, e consequente minimização dos impactos trazidos por eventuais incidentes de segurança. So aqui eliminamos as alternativas B, C e E.

    A letra A diz que não podemos transpor as fornteiras de hardware e software que protegem dados armazenados no BD. Fronteira essa que não existe em SI. Devemos sim incluir esses ativos no plano de segurança.

    Com isso resta apenas a alternativa D.
  • Pessoal, o principal para responder essa questão é se deter no enunciado da questão, que ele limita o escopo a "mecanismos que garantam a CONTINUIDADE do negócio.

    Se não não tivesse isso no enunciado, ficaria muito abrangente.
  • perfeito os comentários dos colegas! a palavra chave que matava a questão estava no enunciado: "continuidade"

  • Verdade. Não me atentei ao termo "continuidade".

  • A alternativa D é a menos pior, mal redigida, deveria ser "recuperar-se dos danos" no meu ponto de vista.

ID
122749
Banca
ESAF
Órgão
SUSEP
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Por política de segurança entende-se

Alternativas
Comentários
  • A política de segurança da informação é de responsabilidade da alta direção (ISO 27001); segue o modelo PDCA, portanto, sofre melhorias continuamente; deve ser clara, simples e de conhecimento de todos da organização, pois somente com a ajuda de todos a segurança da informação será efetivada.
    • a) política planejada, válida para os setores críticos da organização, com regras o mais claro e simples possível, e estrutura gerencial de fiscalização dessa política, claramente sustentada pela alta hierarquia da área de informática.
      -O erro esta em dizer que é sustentada pela alta hierarquia da informática, não deixando claro que deve ser sustentada pela alta hierarquia em geral da instituição, e não somente de um setor
    • b) política elaborada, implantada e em contínuo processo de revisão, válida para toda a organização, com regras o mais claro e simples possível, e estrutura gerencial e material de suporte a essa política, claramente sustentada pela alta hierarquia.
      -Està correta
    • c) política e diretrizes de implantação, em contínuo processo de desenvolvimento, fiscalizada por toda a organização, com regras criptografadas e estrutura matricial e material de priorização dessa política, claramente sustentada pela alta hierarquia.
      -O erro esta em "regras criptografadas", pois a politica deve ser de facil acesso e assimilação e amplamente divulgada entre os colaboradores, e em nenhum momento ser escondida ou criptografada
    • d) política elaborada, implantada e imune a revisões, válida para toda a organização,com estrutura gerencial de regras de formalização individualizada dessa política nas unidades organizacionais, claramente sustentada pelos gestores do nível operacional.
      - o erro esta em dizer que é imune a revisões, pois a todo momento pode e deve ser revisada
    • e) o conjunto de diretrizes e metas elaboradas, implantadas e em contínuo processo de revisão, válidas para os responsáveis pela segurança, com técnicas criptográficas o mais claro e simples possível, e estrutura gerencial e material de terceirização de procedimentos, sustentada pela alta hierarquia, quando possível.
      -o erro esta em supor que só é valida para os responsaveis pela segurança, não deixando claro que deve considerar as outras areas, e tambem dizer que ira usar tecnicas criptograficas claras e simples

  • Conceitto básico da política de segurança é ser válida para toda a organização, e não para determinados setores ou hierarquias.

    Vamos na fé.

  • A ESAF extraiu essa definição de um parágrafo grifado na página 24 do livro
    do Caruso, Segurança em Informática e de Informações. Esse livro não nos será
    necessário.


    A norma ISO 27002 define a Segurança da Informação como “a proteção da
    informação de vários tipos de ameaças para garantir a continuidade no
    negócio, minimizar o risco ao negócio, maximizar o retorno sobre os
    investimentos e as oportunidades de negócio”.


    Ainda, esta mesma norma diz que o objetivo da política da segurança da
    informação é “prover uma orientação e apoio da direção para a segurança da
    informação de acordo com os requisitos do negócio e com as leis e
    regulamentações relevantes”, e que “convém que a direção estabeleça uma
    política clara, alinhada com os objetivos do negócio e demonstre apoio e
    comprometimento com a segurança da informação por meio da publicação e
    manutenção de uma política de segurança da informação para toda a
    organização.”


    Sendo conhecedor esta definição e entendendo o intuito dela, veja que
    podemos trabalhar as alternativas por eliminação:


    a)a alternativa “a” fala em política apenas para os setores críticos da
    organização. Segurança da informação é preocupação de TODOS! Eliminada;
     

    c)Política ”com regras criptografadas”? Estamos falando de políticas,
    diretrizes, alto nível. Eliminada;
     

    d)Política “imune a revisões”. Nem precisa continuar lendo;
     

    e)Nesta os erros estão um pouco mais velados. Fala em “terceirização de
    procedimentos” e em suporte “quando possível”. Na pior das hipóteses, dá pra
    ficar em dúvida entre a letra e) e a letra b), e uma observação mais atenta nos
    conduzirá à resposta correta.


    Ao longo das questões de Segurança da Informação, você constatará que o
    bom-senso pode ser um forte aliado na resolução deste tipo de questão.

     

    Confirmando, letra b).

     

    Prof Victor Dalton
     

ID
129967
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito das normas de segurança da informação, julgue os
itens subseqüentes.

Uma política de segurança da informação, preconizada pelas normas, é composta por critérios sugeridos para a gestão da segurança, configuração de ativos, etc., o que vai atribuir aos gestores a liberdade de escolher a forma mais inteligente, setorizada, de se adotar segurança.

Alternativas
Comentários
  • Common Criteria (CC) é um padrão internacional (ISO/IEC 15408) para segurança de computadores. Este padrão é voltada para a segurança lógica das aplicações e para o desenvolvimento de aplicações seguras. Ele define um método para avaliação da segurança de ambientes de desenvolvimento de sistemas.
  • O erro desta questão está no fato dos gestores terem a liberdade de adotar a segurança, sendo que a PSI é padronizada para toda a empresa e não setorizada.

  • Essa discricionariedade dos gestores é relativa. Eles podem até optar por não adotar um controle, mas, caso isso seja feito, deverão justificar claramente os motivos.

    "Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia,  incluindo detalhes e justificativas para quaisquer exclusões do escopo"  - ISO 27001

  • Questão estranha, uma vez que não foi citada a norma a ser analisada.

    Quando olhamos para segurança da informação, encontramos duas normas primordiais 27001 e 27002.

    27001 - Sistema de Gestão de Segurança da Informação - Norma destinada para a implementação de um sistema de segurança da informação. Nesta norma observamos passos a serem dados, medidas preestabelecidas a serem tomadas, portando OK.

    27702 - Código de práticas para a segurança da informação - Sobre esta norma NÃO se constata obrigação quanto a aplicabilidade de um critério ou outro, sendo portanto livre ao gestor a escolha de forma inteligente, setorizada de se adotar a segurança.

    Pra mim, questão CORRETA, por não especificar a NORMA.
  • Galera, acho que o erro da questão é esse:


    "Uma política de segurança da informação, preconizada pelas normas, é composta por critérios sugeridos para a gestão da segurança, configuração de ativos,(...)": O política de segurança não possui detalhes técnicos, ou seja, configuração de ativos não deve estar incluída no documento da política.

    "(...) o que vai atribuir aos gestores a liberdade de escolher a forma mais inteligente, setorizada, de se adotar segurança.": Essa frase deixa dúvida, mas me parece correta. Segundo a ISO 27002:2005:

    0.5 Seleção de controles

    Uma vez que os requisitos de segurança da informação e os riscos tenham sido identificados e as decisões para o tratamento dos riscos tenham sido tomadas, convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nível aceitável. Os controles podem ser selecionados a partir desta Norma ou de um outro conjunto de controles ou novos controles podem ser desenvolvidos para atender às necessidades específicas, conforme apropriado. 


    Ao meu ver, os gestores possuem a liberdade de escolher como se adotar a segurança, seja pela seleção de controles descritos na norma, seja por controles que ele julgar serem mais eficazes... É claro, ele vai ter que responder por qualquer problema que ocorrer, mas não me parece o erro da questão essa frase.
ID
131308
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Atualmente, a informação é um importante ativo para praticamente todo o tipo de organização. A segurança desse ativo faz-se
necessária, seja por questão de conformidade com leis e contratos, seja para assegurar a continuidade do negócio. Acerca da segurança
da informação, bem como das normas e políticas a ela aplicáveis, julgue os itens a seguir.

O estabelecimento da política do sistema de gestão de segurança da informação (SGSI) é de responsabilidade da equipe de segurança da informação.

Alternativas
Comentários
  • errado!!! é responsabilidade da Alta Direção.A análise crítica do SGSI deve ser realizada pelo corpo diretivo da organização das ações efetuadas pelo SGSI;Na lista a seguir apresentam-se os requisitos existentes na norma ISO 27001.1 - Escopo: Responsabilidade da Alta Direção: Abrangência da Norma (estabelecimento da política do sistema de gestão de segurança da informação2 - Referência Normativa: Normas e padrões relacionados à norma 27001;3 - Termos e Definições: Termos e definições relacionados à segurança da informação;4 - Sistema de Gestão de Segurança da Informação: Referente à criação, implementação, monitoramento e melhoria do SGSI, também trata de documentação e registros de informações;5 - Responsabilidade da Direção: Definição de responsabilidades, treinamento e provisão de recursos do SGSI;6 - Auditorias Internas: Auditorias internas realizadas por pessoal treinado e comprometido com o SGSI;7 - Analise crítica do SGSI: Análise realizada pelo corpo diretivo da organização das ações efetuadas pelo SGSI;8 - Melhoria do SGSI: Trata das ações corretivas e preventivas efetuadas pelo SGSI .

  • Gabarito Errado

    A Alta direção é quem estabelece a política do sistema de gestão de segurança da informação.

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
131317
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Atualmente, a informação é um importante ativo para praticamente todo o tipo de organização. A segurança desse ativo faz-se
necessária, seja por questão de conformidade com leis e contratos, seja para assegurar a continuidade do negócio. Acerca da segurança
da informação, bem como das normas e políticas a ela aplicáveis, julgue os itens a seguir.

Entre as atividades contempladas na fase agir (act) está a necessidade de identificar não-conformidades potenciais e suas causas, objetivando alcançar a melhoria contínua do sistema de gestão de segurança da informação.

Alternativas
Comentários
  • ERRADO.
    A necessidade de identificar não-conformidades potenciais e suas causas é realizada na fase de verificação (check)

    O PDCA foi criado na década de 20 por Walter A. Shewart, mas foi William Edward Deming, o “guru do gerenciamento da qualidade”, quem disseminou seu uso no mundo todo (por isso, a partir da década de 50, o ciclo PDCA passou a ser conhecido como “Ciclo Deming”).

    “PDCA” é a sigla das palavras em inglês que designam cada etapa do ciclo:

    “Plan”, planejar; “Do”, fazer ou agir; “Check”, checar ou verificar; e “Action”, no sentido de corrigir ou agir de forma corretiva.



  • As justificativas para o erro da questão informam que a atividade de "identificar não-conformidades potenciais e suas causas" é contemplada na fase check (monitorar e analisar criticamente o sgsi).
     
    No entanto, conforme se vê na norma a fase act (mante e melhorar o sgsi) é responsável por executar **ações corretivas e preventivas**, com base nos resultados da auditoria interna do sgsi e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do sgsi.
     
    As ações corretivas são abordadas no item 8.2 do processo 8. Melhoria do SGSI
    As ações preventivas são abordadas no item 8.3 do referido processo e elenca os seguintes requisitos:
    a) identificar não-conformidades potenciais e suas causas
    b) avaliar a necessidade de ações para evitar a ocorrência de não-conformidades;
     
    Pergunta:
    Faltou recurso ou o erro está ao tratar como atividades o que a norma descreve como requisitos?
  • A questão está Errada pelo seguinte:

    A fase que IDENTIFICA as não-conformidades e suas causas é a fase Check, por meio das medições da eficácia e do desempenho, além das análises críticas dos controles implantados na fase Do.

    Já a fase que IMPLEMENTA as modificações a serem feitas e que foram identificadas na fase Check, é a fase Act.


    Em suma, a identificação das não conformidades é feita na fase Check. Já a implementação das correções dessas não-conformidades é implementada na fase Act.
  • A questão, conforme já bem explicado pelos colegas trata da fase check.
    A figura abaixo é a que está na norma, que mostra todas as fases do ciclo (EIOMAMM):

    Fonte:
    http://share.pdfonline.com/64e684132dcb4d4da7c60111899c89eb/Estado_Arte_Israel_Araujo.htm

  • Não entendo erro da questão.. olha essa


    Ano: 2012

    Banca: CESPE

    Órgão: Banco da Amazônia

    Prova: Técnico Científico - Segurança da Informação

    Resolvi certo

    O processo de melhoria do SGSI, previsto pela norma em apreço, consiste em identificar não conformidades potenciais e suas causas; avaliar a necessidade de ações para evitar a ocorrência de não conformidades; determinar e implementar ações preventivas necessárias.

    certa




    Ano: 2013

    Banca: CESPE

    Órgão: Telebras

    Prova: Especialista em Gestão de Telecomunicações - Analista de TI

    Resolvi errado

    texto associado   

    Definir requisitos para registrar os resultados de ações executadas é uma forma de prevenção realizada com o objetivo de eliminar as causas de não conformidades potenciais alinhadas aos requisitos do SGSI.

    certa

ID
134053
Banca
CESPE / CEBRASPE
Órgão
CEHAP-PB
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com as normas de segurança de informações relativas aos processos de definição, implantação e gestão de políticas de segurança, assinale a opção correta.

Alternativas
Comentários

  •     * a) Convém que a alta administração da empresa esteja comprometida com a implantação, mas não é necessário aprovarse o documento da política de segurança.

        * b) CORRETO

        * c) Convém que as responsabilidades gerais e específicas na gestão da segurança da informação sejam definidas, excluindo-se o registro dos incidentes de segurança.

        * d) Entre outras informações, convém incluir-se no documento de política uma definição de segurança da informação e a importância da segurança como mecanismo que desabilita o compartilhamento da informação.

  • A letra D está errada no fato de dizer que como mecanismo que desabilita o compartilhamento da informação.
    Deveria ser algo do tipo: como mecanismo que controla o compartilhamento da informação.
ID
144784
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito dos conceitos de políticas, de normas e de modelos de
segurança em TI, julgue os seguintes itens.

Acerca de parâmetros para criação de políticas de gerenciamento de senhas considera-se que: para sítios com baixa necessidade de segurança, é indicado que um usuário empregue uma senha comum a todos os sítios; a exigência de que usuários nunca escrevam a senha em um papel, pois esta atitude pode tornar difícil a gerência de senhas, havendo outras formas de garantir segurança que permitam o registro de senhas escritas; o aumento da frequência de troca de senhas, o que tende a diminuir a força das senhas empregadas.

Alternativas
Comentários

  • alguém achou alguma referência para  sítios com baixa necessidade de segurança?

     

     

  • Velho essa é de rir eu estudo tecnólogia da informação.

    E o que mais meus professores falam e dificultar o acesso não autorizado.

    Criando senhas diferentes e misturadas com números e letras.

    O Cara que elaboro uma questão dessa tem e que perde o emprego.

    Não importa se o site tem baixa necessidade de segurança. Através do site ele pode ter acesso a outras áreas.

  • Questão que deveria ter sido anulada.

    "para sítios com baixa necessidade de segurança, é indicado que um usuário empregue uma senha comum a todos os sítios" - não existe referência para essa afirmação monstruosa. ERRADO

    "o aumento da frequência de troca de senhas, o que tende a diminuir a força das senhas empregadas." - A norma indica a troca frequente de senhas e indica a utilização de senhas fortes.



  • acertou miserávelll..com quem vc aprendeu isso? com seu pofêssôr? de ciências? ah disgraçadoooo

ID
144787
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito dos conceitos de políticas, de normas e de modelos de
segurança em TI, julgue os seguintes itens.

Em um conjunto de práticas de segurança física estabelecidas pela NBR ISO/IEC 17799 destaca-se: o uso de perímetros de segurança; a proteção contra ameaças do meio ambiente; a segurança do cabeamento de energia e telecomunicações; a manutenção de equipamentos e a autorização prévia quando da retirada de equipamentos, informações e software do sítio gerenciado.

Alternativas
Comentários
  • Questão correta! 
    São controles da seção 9. Seg. Física e do Ambiente (os em negrito são abordados pela questão):

    - Controles:

    * Perímetro de Segurança

    * Segurança em escritórios, salas e instalações;

    * Proteção contra ameaças externas e do meio ambiente;

    * Trabalho em áreas seguras;

    * Acesso do público, áreas de entrega e carregamento;

    * Instalação e proteção do equipamento;

    * Utilidades;

    * Segurança do cabeamento;

    * Manutenção dos equipamentos;

    * Segurança de equipamentos fora das dep. da organização;

    * Reutilização e alienação segura de equipamentos;

    * Remoção de propriedade.

    Bons estudos!
  • Retirada de software tem a ver com segurança física?

ID
147454
Banca
FCC
Órgão
SEFAZ-SP
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Se qualquer não-conformidade for encontrada como um resultado da análise crítica nas áreas sobre o cumprimento das políticas e normas de segurança da informação, NÃO convém que os gestores

Alternativas
Comentários
  • Questão estupidamente fácil que eu errei de besteira.

    d) avaliem a necessidade de ações para assegurar que a conformidade não se repita.

    A conformidade deve se repetir. Quem não deve se repetir é a não-conformidade.
  • pegadinha do malandro!!!!!!!!

  • falta de leitura crítica

ID
148474
Banca
FCC
Órgão
MPU
Ano
2007
Provas
Disciplina
Segurança da Informação
Assuntos

Um termo de compromisso ou um aditivo ao contrato de trabalho deve ser estabelecido pela política de segurança da organização para definir

Alternativas
Comentários

  • Questãozinha ridiculamente formulada.

ID
158395
Banca
FCC
Órgão
MPE-RN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Instrumento que define as normas a serem aplicadas na empresa e praticadas por seus funcionários, colaboradores, prestadores de serviço, clientes e fornecedores, com o objetivo de preservar os ativos de informação livres de risco, assegurando a continuidade dos negócios. É a definição de

Alternativas
Comentários

  • Palavras-chave do enunciado:  "...o objetivo de preservar os ativos de informação livres de risco, assegurando a continuidade dos negócios."

    Mais informações: 
    Algumas normas definem aspectos que devem ser levados em consideração ao elaborar políticas de segurança. Entre essas normas estão a BS 7799 (elaborada pela British Standards Institution) e a NBR ISO/IEC 17799 (a versão brasileira desta primeira). A ISO começou a publicar a série de normas 27000, em substituição à ISO 17799 (e por conseguinte à BS 7799), das quais a primeira, ISO 27001, foi publicada em 2005.

    Existem duas filosofias por trás de qualquer política de segurança: a proibitiva (tudo que não é expressamente permitido é proibido) e a permissiva (tudo que não é proibido é permitido).

    Os elementos da política de segurança devem ser considerados:

    • A Disponibilidade: o sistema deve estar disponível de forma que quando o usuário necessitar, possa usar. Dados críticos devem estar disponíveis ininterruptamente.
    •  
    • A Utilização: o sistema deve ser utilizado apenas para os determinados objetivos.
    • A Integridade: o sistema deve estar sempre íntegro e em condições de ser usado.
    • A Autenticidade: o sistema deve ter condições de verificar a identidade dos usuários, e este ter condições de analisar a identidade do sistema.
    • A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado.
ID
162256
Banca
FCC
Órgão
TCE-AL
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Considere a seguinte definição: "Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentação ou obrigações contratuais; evitar a violação de direitos autorais dos software ? manter mecanismos de controle dos softwares legalmente adquiridos".

De acordo com as especificações das normas brasileiras de segurança da informação, esta definição se inclui corretamente em

Alternativas
Comentários
  •  Conformidade
    Conformidade com requisitos legais: evitar violação de qualquer lei criminal ou civil, estatutos, regulamentação ou obrigações contratuais; evitar a violação de direitos autorais dos software - manter mecanismos de controle dos softwares legalmente adquiridos.
     
    Veja que ainda existem inúmeros itens relacionados a Segurança da Informação não totalmente relacionados a Tecnologia da Informação, lhe demos alguns exemplos para que você reflita na sua implantação.
     
    O ideal é a criação de um Comitê de Segurança dentro da empresa constituído por pessoas de diversas áreas distintas afim de discutir assuntos relacionados.

    Fonte: http://www.focosecurity.com.br/artigos/art_003_Nao_so_TI.asp
ID
162874
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

As políticas de segurança da informação devem ser definidas pela equipe de segurança e estar alinhadas com os demais departamentos da empresa. Antes de definir as regras e as políticas de segurança, é preciso determinar, em relação ao projeto de segurança a ser implementado, a(o)

Alternativas
Comentários

  • A Política de Segurança da Informação e Comunicações (POSIC) tem por objetivo a instituição de diretrizes estratégicas que visam garantir a disponibilidade, integridade, confidencialidade, autenticidade

ID
162877
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Ao contratar uma empresa de tecnologia para criar novo software visando à otimização de seus negócios, a organização contratante exigiu que o software fosse desenvolvido de acordo com as regras definidas para a segurança da informação, porque uma boa política de segurança, entre outras normas, estabelece

Alternativas
Comentários

  • A política de segurança de informações deve estabelecer princípios institucionais de como a organização irá proteger, controlar e monitorar seus recursos computacionais e, consequentemente, as informações por eles manipuladas. É importante que a política de segurança de informações estabeleça ainda as responsabilidades das funções relacionadas com a segurança e discrimine as principais ameaças, riscos e impactos envolvidos.

     

    Fonte: Política De Segurança De Informações; Por Alberto Albertin, Luis Pinochet

ID
173263
Banca
FGV
Órgão
MEC
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a ISO 17799, assinale a alternativa que apresenta dois procedimentos que devem ser considerados:

Alternativas
Comentários
  • De acordo com a ISO 17799 (27002) não DEVE nada. Esta norma é um código de boas práticas, orientações. O verbo desta norma é CONVÉM.
    A questão se fundamenta no controle 9.2.3 Segurança do cabeamento.

    Diretrizes de implementação.
    Convém que sejam levadas em consideração as seguintes diretrizes para a segurança do cabeamento:
    a) as linhas de energia e de telecomunicação que entram nas instalações de processamento da informação sejam subterrâneas (ou fiquem abaixo do piso), sempre que possível, ou recebam proteção alternativa adequada.
    c) os cabos de energia sejam segregados dos cabos de comunicações, para evitar interferências.

    A banca vacilou, mas como o objetivo é passar, vamo que vamo.
  • Já vi enunciados mais absurdos... a questão não diz que os controles "devem ser implementados" e sim que "devem ser considerados". E a 27002 fornece um conjunto de recomendações das melhores práticas em Segurança da Informação que devem sim ser considerados. Agora se eles serão ou não implementados, vai depender da sua análise/avaliação de risco.
  • Análise de risco. 

  • LETRA B

    CORRIGINDO CONFORME A VERSÃO DE 2013.

    Segundo a ISO 27002:2013,"11.2.3 Segurança do cabeamento

    Diretrizes para implementação
    Convém que sejam levadas em consideração as seguintes diretrizes para a segurança do cabeamento:
    a)convém que as linhas de energia e de telecomunicações que entram nas instalações de processamento da informação sejam subterrâneas (ou fiquem abaixo do piso) sempre que possível, ou recebam uma proteção alternativa adequada;

    b)convém que os cabos de energia sejam segregados dos cabos de comunicações, para evitar interferências;"

ID
186817
Banca
FCC
Órgão
TRE-RS
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A política de segurança da informação deve indicar como as coisas devem acontecer na organização no que se refere à segurança da informação. Para recomendar ou apoiar um comportamento desejado dos colaboradores da organização são definidas regras genéricas denominadas diretrizes de segurança da informação. Considerando que as diretrizes definem regras genéricas, marque a alternativa que contém uma diretriz adequada da política de segurança da informação:

Alternativas
Comentários

  • A política de Segurança da Informação da instituição deve conter

    - Diretrizes

    São regras gerais, genéricas sobre o que será protegido, não devendo entrar em detalhes.

    - Carta do Presidente

    Esta carta também é necessária, pois é nela que o presidente da instituição confirma seu apoio a todas as regras que estão contidas na política

    - Normas

    E nela que serão normatizadas as políticas e atribuições de responsabilidades da política de segurança

    - Procedimentos operacionais.

    Não faz parte da política, mas deve existir, pois define a operacionalização do plano.

  • Não consegui mapear o comentário do colega abaixo com a questão. Minha interpretação da questão foi bem simples, mas deu certo:

     

    1 - A questão pede para considerarmos "que as diretrizes definem regras genéricas", logo:

    a) define diretriz específica para as quantidades e níveis de estoque ERRADA

    b) exemplifica e especifica para quem não divulgar os resultados ERRADA

    c) específica para os relatórios de venda do gerente de vendas ERRADA

    d) genérica! CORRETA

    e) específica para as informações de vendas do gerente de vendas. ERRADA

ID
189457
Banca
CESGRANRIO
Órgão
ELETROBRAS
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Por ter sofrido recentemente uma invasão em seu website, determinado órgão público deseja implantar uma política de segurança de informação. Tal política possui três blocos: diretrizes, normas e procedimentos, que correspondem, respectivamente, às camadas

Alternativas
Comentários

  •  ESTRATÉGICAS
    Decisões da alta admi nistração que geram atos com efeito duradouro, a partir do planejamento estratégico, como por exemplo, uma nova fábrica, nova linha de produção, novos mercados, novos produtos, novos serviços, que envolvem toda a estrutura organizacional, com informações macro, ou seja, utilizam informações internas e externas.


    TÁTICAS
    Decisões que ocorrem no nível gerencial e produzem efeitos a médio prazo e de menor impacto na estratégia da organização, com informações sintetizadas por unidade departamental, de um negócio ou uma atividade da empresa.


    OPERACIONAIS
    Decisões ligadas ao controle e às atividades operacionais da empresa, para alcançar os padrões de funcionamento pré-estabelecidos, com controles do detalhe ou do planejamento operacional, criando condições para a realização adequada dos trabalhos diários da organização, com nível de informação de pormenores de um dado, uma tarefa ou uma atividade.

  • Eu explicaria assim:

    plano estrategico: plano a longo prazo da empresa -> influenciado pelas diretrizes da empresa
    plano tático: planos a curtos prazos, mutáveis -> determinado pelas normas atuais de uma empresa
    plano operacional: como a empresa deve realizar suas operações -> procedimentos
ID
191956
Banca
CESGRANRIO
Órgão
ELETROBRAS
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Informações confidenciais de uma importante multinacional vazaram para a concorrente e, devido ao grande prejuízo, o alto escalão resolveu dar uma atenção para a segurança da informação. Com base nessa situação, é INCORRETO afirmar que

Alternativas
Comentários

  • Funcionário insatisfeito não é vulnerabilidade, e sim ameaça.

  • A vulnerabilidade é um ponto fraco do próprio sistema. A vulnerabilidade é um fator interno. A existência de vulnerabilidades permite a ação dos agentes externos.
    Por exemplo: se seu computador não tem um anti-virus, essa é uma vulnerabilidade; se um data center não tem dispositivos anti-incêndio, ele tem uma vulnerabilidade.

    A ameaça é um agente ou ação, espontâneo ou proposital, que se aproveita das vulnerabilidades de um sistema para conseguir seu intento. A ameaça é um fator externo.
    Por exemplo: emails falsos são uma ameaça (que se aproveitam da vulnerabilidade de não haver anti-virus no sistema do usuário); uma chuva com tempestades é uma ameaça, pois pode causar um incêndio.

    Quando existem uma vulnerabilidade E uma ameaça simultaneamente, ocorre o que se chama, em segurança da informação, um RISCO.
    Risco é o produto vulnerabilidade X ameaça. Assim, se há uma vulnerabilidade (falta de proteção contra terremotos), mas não há ameaça (sabe-se que na área não ocorrem terremotos), o risco é minimizado.
    O objetivo das contra-medidas preventivas é minimizar o risco. Isso se consegue ou diminuindo as vulnerabilidades (instalar anti-virus, atualizar as versões, treinar os funcionários) ou - mais raramente - diminuindo as ameaças (seguir regras de segurança, cultivar boas relações)
ID
191959
Banca
CESGRANRIO
Órgão
ELETROBRAS
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Uma empresa de porte deseja orientar seus funcionários em relação à segurança da informação. Com base nessa situação, analise as responsabilidades que serão colocadas aos funcionários.

I - Manter a confidencialidade das senhas.

II - Utilizar os recursos da organização apenas para os propósitos aprovados pela gestão.

III - Reportar à gestão quaisquer eventos ou incidentes de segurança.

É correto o recomendado em

Alternativas
Comentários
  • Letra E. Todas as afirmações estão corretas. Os funcionários devem manter confidencialidade das senhas, e se houver a necessidade de passar para outro funcionário, esta deverá ser trocada na primeira oportunidade. O uso dos recursos computacionais da organização para fins pessoais é um dos principais fatores que provocam vulnerabilidades no sistema de segurança. Um evento é um acontecimento, enquanto que um incidente é um acontecimento com desdobramentos.
  • Fiquei em dúvida entre as letras D) e E), mas depois vi que a empresa irá orientar os funcionários. Os incidentes ou eventos devem ser registrados através de logs, não deve ficar sob a responsabilidade do usuário reportar estas informações.

    Neste caso específico, a empresa "repassou" esta tarefa aos usuários.

  • III - Reportar à gestão quaisquer eventos ou incidentes de segurança. 

     

    Questão estranha. Falaar simplesmente em "segurança" é muito vago. Não necessariamente de Segurança da Informação. Nesse caso, não ajuda em nada a qualquer polpitica de SI, eu reportar à gestão um embroglio entre o segurança e alguém que passava pela portaria.

    "Há, não viaja..."... Mas a banca, quando quer bagunçar a vida do candidato, viaja.... 

ID
191965
Banca
CESGRANRIO
Órgão
ELETROBRAS
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Determinado órgão público sofre com vazamento de informações sigilosas para imprensa. Para evitar esse tipo de incidente, o órgão discute uma estratégia de segurança da informação, que, entre outras ações derivadas, deve

Alternativas
ID
204775
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à segurança de redes, julgue os itens que se seguem.

A política de segurança cumpre três principais funções: define o que e mostra por que se deve proteger; atribui responsabilidades pela proteção; e serve de base para interpretar situações e resolver conflitos que venham a surgir no futuro.

Alternativas
Comentários

  • Política de Segurança da Informação (PSI) é um documento que deve conter um conjunto de normas, métodos e procedimentos, os quais devem ser comunicados a todos os funcionários, bem como analisado e revisado criticamente, em intervalos regulares ou quando mudanças se fizerem necessárias. É o SGSI que vai garantir a viabilidade e o uso dos ativos somente por pessoas autorizadas e que realmente necessitam delas para realizar suas funções dentro da empresa. (FONTES, 2006)

ID
205501
Banca
FEPESE
Órgão
SEFAZ-SC
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à política de segurança da informação, assinale a alternativa correta.

Alternativas
Comentários

  • b) A política não deve ser detalhada.

    c) Todos os empregados da organização devem ter acesso a esse documento.

    d) Regras de controles físicos também devem ser especificadas na política de segurança.

    e) O cumprimento das responsabilidades é de todos na organização e não apenas do pessoal de TI.

  • LETRA A. 

    Segundo a ISO 27002,"

    5.1.2 Análise crítica da política de segurança da informação

    Controle

    Convém que a política de segurança da informação seja analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

    "

  • Prezados,

    A ABNT NBR ISO/IEC 27002 afirma que convém que a política de segurança da informação seja analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia. 

    Portanto a alternativa correta é a letra A

ID
208954
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a segurança de redes de computadores, julgue os itens
a seguir.

A política de segurança define o que deve ser feito para proteger a informação, seja ela armazenada ou esteja em trânsito.

Alternativas
Comentários
  • Não encontrei esse trecho em nenhuma das normas.
    ISO27002 (pág. 55): Convém que políticas, procedimentos e normas para proteger as informações e as mídias em trânsito sejam estabelecidos e mantidos, além de serem referenciados nos mencionados acordos para a troca de informações.
    Me parece que esse questão está imprecisa.
  • A PSI é um documento estratégico que define o que deve ser feito e não como deve ser feito.

  • CERTO

    Segundo Nakamura(2010,p.188),"A política de segurança é a base para todas as questões relacionadas à proteção da informação, desempenhando um papel importante em todas as organizações."

    **Portanto, independentemente da informação ser armazenada ou em trânsito, ela será protegida.

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA

ID
208957
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a segurança de redes de computadores, julgue os itens
a seguir.

É recomendável que a política de segurança determine medidas específicas a serem implementadas e a forma de implementá-las.

Alternativas
Comentários

  • A política de segurança NÃO indica a forma de implementar as medidas.

  • ISO 27002política: intenções e diretrizes globais formalmente expressas pela direção

    ISO 27001. A organização deve (...) definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos
    e tecnologia que:
    1) inclua uma estrutura para definir objetivos e estabeleça um direcionamento global e princípios para ações
    relacionadas com a segurança da informação;
    2) considere requisitos de negócio, legais e/ou regulamentares, e obrigações de segurança contratuais;
    3) esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento
    e manutenção do SGSI irão ocorrer ;
    4) estabeleça critérios em relação aos quais os riscos serão avaliados (ver 4.2.1c)); e
    5) tenha sido aprovada pela direção.

    Nenhuma das normas faz menção nem a medidas espefícas e nem a forma de implementá-las.
  • ok, se a política de segurança não define quais são as medidas específicas, qual documento irá defini-las?

ID
235978
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Quanto ao tipo regulatório de política de segurança da informação, é correto dizer que:

Alternativas
Comentários
  • Fiquei em dúvida da letra b) ....

    "Além disso, a política de segurança também estipula as penalidades às quais estão sujeitos àqueles que a descumprem."

    p.15
    http://www.rlmti.com/documentos/Monografia_SegInfDoc.pdf
  • Fala, Cozer!!! Cara, a questão está falando de tipo regulatório. Quando há esse termo que dizer que a PSI deve "assegura que a organização está seguindo normas estabelecidas de forma específica à indústria". Ou seja, a PSI deve estar em conformidade com a letra D.

    A questão não está pedindo o que tem em uma PSI.

    Beleza?

    []s

  • Gabarito D

    O que faz uma boa política de segurança?

    As características de uma boa política de segurança são:

    Ela deve ser implementável através de procedimentos de administração, publicação das regras de uso aceitáveis, ou outros métodos apropriados.

    Ela deve ser exigida com ferramentas de segurança, onde apropriado, e com sanções onde a prevenção efetiva não seja tecnicamente possível.

    Ela deve definir claramente as áreas de responsabilidade para os usuários, administradores e gerentes.

    Os componentes de uma boa política de segurança incluem:

    Guias para a compra de tecnologia computacional que especifiquem os requisitos ou características que os produtos devem possuir.

    Uma política de privacidade que defina expectativas razoáveis de privacidade relacionadas a aspectos como a monitoração de correio eletrônico, logs de atividades, e acesso aos arquivos dos usuários.

    Uma política de acesso que define os direitos e os privilégios para proteger a organização de danos, através da especificação de linhas de conduta dos usuários, pessoal e gerentes. Ela deve oferecer linhas de condutas para conexões externas, comunicação de dados, conexão de dispositivos a uma rede, adição de novos softwares, etc. Também deve especificar quaisquer mensagens de notificação requeridas (por exemplo, mensagens de conexão devem oferecer aviso  sobre o uso autorizado, e monitoração de linha, e não simplesmente "welcome".

    Uma política de contabilidade que defina as responsabilidades dos usuários. Deve especificar a capacidade de auditoria, e oferecer a conduta no caso de incidentes (por exemplo, o que fazer e a quem contactar se for detectada uma possível intromissão.

    Uma política de autenticação que estabeleça confiança através de uma política de senhas efetiva, e através da linha de conduta para autenticação de acessos remotos e o uso de dispositivos de autenticação.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
235993
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Dentre as alternativas abaixo, a que representa um objetivo ou um dever da política de segurança da informação é:

Alternativas
Comentários

  • De acordo com o RFC 2196 (The Site Security Handbook), uma política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização.

    As políticas de segurança devem ter implementação realista, e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização. As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na sequência de ataques.

    O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de implementação dos mecanismos de segurança, pois essa implementação pode variar ao longo do tempo. Deve ser também um documento de fácil leitura e compreensão, além de resumido.

    Algumas normas definem aspectos que devem ser levados em consideração ao elaborar políticas de segurança. Entre essas normas estão a BS 7799 (elaborada pela British Standards Institution) e a NBR ISO/IEC 17799 (a versão brasileira desta primeira). A ISO começou a publicar a série de normas 27000, em substituição à ISO 17799 (e por conseguinte à BS 7799), das quais a primeira, ISO 27001, foi publicada em 2005.

    Existem duas filosofias por trás de qualquer política de segurança: a proibitiva (tudo que não é expressamente permitido é proibido) e a permissiva (tudo que não é proibido é permitido).

    Os elementos da política de segurança devem ser considerados:

    • A Disponibilidade: o sistema deve estar disponível de forma que quando o usuário necessitar, possa usar. Dados críticos devem estar disponíveis ininterruptamente.
    • A Legalidade
    • A Integridade: o sistema deve estar sempre íntegro e em condições de ser usado.
    • A Autenticidade: o sistema deve ter condições de verificar a identidade dos usuários, e este ter condições de analisar a identidade do sistema.
    • A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado.
ID
235996
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

De modo a oferecerem uma boa razão custo-benefício, os principais valores que devem ser apurados ao elaborar o orçamento para instalações de segurança:

Alternativas
Comentários
  • Não é prova de Português mas como o sujeito "principais valores" está no plural, já dá para eliminar as opções C e E.

    Dano não é valor (dano "tem" valor, em forma de prejuízo, de custo de correção), então eliminamos também a letra D.

    Faturamento em si não indica necessidade maior ou menor de investimento em segurança. Eliminamos também a A.

    Letra B é a correta.

  • Gabarito B

    Essa foi por eliminação hehe...

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
235999
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Quanto à política de segurança da informação organizacional, considere as afirmativas a seguir.

I. A gestão determina como um programa de segurança será criado.
II. A gestão estabelece os objetivos do programa.
III. A gestão atribui responsabilidades e mostra o valor estratégico e tático de segurança.
IV. A gestão realiza a atualização dos sistemas legados que apresentam falhas de segurança.

Assinale:

Alternativas
Comentários
  • A gestão sempre está no alto nível das decisões, portanto não executa nada, apenas delega e ordena a execução.

    A alternativa IV está escancaradamente errada, logo eliminam-se alternativas B) e E).

    Das alternativas resultantes, tem-se que II está correto.

    Resta ao candidato saber que I e III estão corretas porque tais atribuições fazem parte do papel da Gestão, conforme ratificado nas normas ISO e nos modelos de Gestão de TI.

  • De acordo com a ISO 27.002, a política de segurança da informação deve conter:
    * Definição de Segurança da Informação, metas globais e escopo
    * Declaração do comprometimento da direção com a Segurança da Informação
    * Estrutura para estabelecer os objetivos de controle e os controles de Segurança da Informação
    * Definição de responsabilidades referentes à Segurança da Informação

  • O comentário do Junior não condiz com a questão. Política está relacionado ao nível estratégico e não tático, que é o que a questão pede.

    a) Política (nível estratégico): constituída do presente documento, define as regras de alto nível que representam os princípios básicos que a IMA decidiu incorporar à sua gestão de acordo com a visão estratégica da alta direção. Serve como base para que as normas e os procedimentos sejam criados e detalhados;

    b) Normas (nível tático): especificam, no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes da política;

    c) Procedimentos (nível operacional): instrumentalizam o disposto nas normas e na política, permitindo a direta aplicação nas atividades da IMA.

  • Letra A

    Complementando, uma PoSIC compreende todo arcabouço de:

    - Diretrizes: definem a estratégia. Por que proteger?

    - Normas: definem a tática. O que proteger? 

    - Procedimentos: definem o operacional. Como fazer para proteger?

ID
236002
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da política de segurança da informação, considere as afirmativas a seguir.

I. Uma política específica de sistema pode definir como o banco de dados será utilizado e protegido.
II. Uma política específica de sistema pode definir o nível de privacidade para os conteúdos dos e-mails corporativos.
III. Uma política específica de sistema pode definir como serão aplicados firewalls e sistemas de detecção de intrusos.
IV. Uma política específica de sistema pode atribuir responsabilidades aos funcionários em cargos de confiança.

Assinale:

Alternativas
Comentários

  • Questão muito estranha. De acordo com a ISO 27.002, a política de segurança da informação deve conter:
    * Definição de Segurança da Informação, metas globais e escopo
    * Declaração do comprometimento da direção com a Segurança da Informação
    * Estrutura para estabelecer os objetivos de controle e os controles de Segurança da Informação
    * Definição de responsabilidades referentes à Segurança da Informação

  • Repetindo a resposta da pelo colega abaixo, no fórum da timasters, com a qual concordo:
    "
    Revendo a questão acho que dá para justificar a resposta.

    Apesar do comando falar em política de segurança da informação, talvez
    intencionalmente para confundir, as alternativas falam de política
    específica e esta é feita sistema a sistema individualmente.
    Então temos:
    I - Política específica para BD
    III - Política especifica para firewall e para IDS

    II - Definição de nível de privacidade para conteúdo de emails é bastante
    geral e não corresponde a um sistema em si, está mais ligada a regras
    corporativas.
    IV - Atribuição de responsabilidades também está mas ligada a uma gestão de
    RH / controles de pessoal.

    --
    Leonardo Marcelino
    Belo Horizonte - MG
    "
  • Complementando, uma PoSIC compreende todo arcabouço de:
    - Diretrizes: definem a estratégia. Por que proteger?
    - Normas: definem a tática. O que proteger? 
    - Procedimentos: definem o operacional. Como fazer para proteger?

    Em suma, todos os itens podem estar compreendidos dentro da PoSIC, entretanto quando se refere a sistemas, a política está próximo dos procedimentos, o que torna as afirmativas I e III estiverem corretas.
ID
236041
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale a seguir a única alternativa que apresenta a definição de políticas de segurança.

Alternativas
Comentários

  • A norma ISO 27002 traz a seguinte passagem:

    Convém que a política de segurança da informação declare o comprometimento da direção e estabeleça o enfoque da organização para gerenciar a segurança da informação. 

  • De acordo com o RFC 2196 (The Site Security Handbook), uma política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização.

    As políticas de segurança devem ter implementação realista, e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização. As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na sequência de ataques.

  • Outra definição segundo a norma 03/IN01/DSIC/GSIPR

    4.4 Política de Segurança da Informação e Comunicações (POSIC): documento aprovado  pela autoridade responsável do órgão ou entidade da APF, com o objetivo de fornecer diretrizes,  critérios e suporte administrativo suficientes à implementação da segurança da informação e comunicações;

    Fonte:

    http://dsic.planalto.gov.br/documentos/nc_3_psic.pdf



  • Letra B.

    Complementando, uma PoSIC compreende todo arcabouço de:

    - Diretrizes: definem a estratégia. Por que proteger?

    - Normas: definem a tática. O que proteger? 

    - Procedimentos: definem o operacional. Como fazer para proteger?

    Pense numa pirâmide em que as diretrizes (regras) encontram-se no topo e apresentam as regras gerais de alto nível.

    Abaixo delas, no meio da pirâmide, encontram-se as normas em que já podem conter algum regramento mais específico.

    E, na base da pirâmide, encontram-se os procedimentos que entra na seara das atividades necessárias para se implementar a política da informação.

ID
236176
Banca
FCC
Órgão
TCE-SP
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Instruções: Para responder à  questão, considere que os aplicativos devem ser reputados sempre na
originalidade da versão referenciada e não quaisquer  outras passíveis de modificação (customização,
parametrização, etc.) feita pelo usuário. Quando não explicitados nas questões, as versões dos
aplicativos são: Windows XP edição doméstica (Português), Microsoft Office 2000, SGBD MS-SQL
Server 2000 e navegador Internet Explorer 8. Mouse padrão destro.

NÃO é um requisito de segurança da informação a

Alternativas
Comentários

  • E) INCORRETO

    A Segurança da Informação se refere à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto às pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição.

    Os atributos básicos (segundo os padrões internacionais) são os seguintes:

    Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
    Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).
    Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
    "Autenticidade" - Identificação e a segurança da origem da informação.


    O nível de segurança desejado, pode se consubstanciar em uma "política de segurança" que é seguida pela organização ou pessoa, para garantir que uma vez estabelecidos os princípios, aquele nível desejado seja perseguido e mantido
     

  • http://mapasmentais2.blogspot.com/2011/06/principios-seguranca-informacao.html

    Mapinha para facilitar.

    Abraços
  • Esta questão seria passível de recurso pedindo anulação, caso houvesse a palavra Confidencialidade ou Sigilo.

    Privacidade não é requisito da segurança da informação, visto que não é, ou não deveria ser, sinônimo de Sigilo ou Confidencialidade.

    Eu mesmo expus um comentário na questão Q111672 sobre isso. Diferentemente da FCC, a FGV colocou Confidencialidade e Privacidade no mesmo grupo de opções, mas não considerou como sinônimas.

    Conforme meu comentário naquela questão:

    À primeira vista, o termo Privacidade poderia parecer um sinônimo com Confidencialidade ou Sigilo. Mas privacidade não se aplica, por também poder denotar a propriedade/posse restrita de algo.

    No caso de Confidencialidade/Sigilo, o princípio é de restringir o conhecimento ouacesso à informação apenas às pessoas autorizadas, que não precisam, necessariamente, ser proprietárias ou detentoras do conteúdo. 
  •  Uma dicazinha..."a CIDA conhece todos os requisitos da segurança da informação"Confidencialidade;Integridade;Disponibilidade;Autenticidade.

  • LETRA E. 

    Segundo a ISO 27001,"

    3.4

    segurança da informação:preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras

    propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas."

    **confidencialidade= privacidade.

ID
236776
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

O Decreto n.º 3.505/2000 institui a Política de Segurança da
Informação (PSI) nos órgãos e entidades da administração pública
federal, tendo como um dos pressupostos básicos o uso soberano de
mecanismos de segurança da informação, com o domínio de
tecnologias sensíveis e duais. Com base nesse enunciado e no
disposto no referido decreto, julgue os itens que se seguem.

De acordo com as normas da Secretaria Executiva do Conselho de Defesa Nacional, para o uso e a comercialização de recursos criptográficos pelas entidades e órgãos da administração pública federal, deve-se dar preferência, em princípio, no emprego de tais recursos, a produtos de origem nacional.

Alternativas
Comentários
  •  Art. 4o  Para os fins deste Decreto, cabe à Secretaria-Executiva do Conselho de Defesa Nacional, assessorada pelo Comitê Gestor da Segurança da Informação de que trata o art. 6o, adotar as seguintes diretrizes:

    IX - estabelecer as normas gerais para o uso e a comercialização dos recursos criptográficos pelos órgãos e pelas entidades da Administração Pública Federal, dando-se preferência, em princípio, no emprego de tais recursos, a produtos de origem nacional;

    Fonte: http://www.planalto.gov.br/ccivil_03/decreto/D3505.htm
  • Prezados,

    Segundo o Art. 4º do regimento interno do comité gestor da segurança da informação - CGSI , temos :

    IX - estabelecimento de normas gerais para o uso e a comercialização dos recursos criptográficos pelos órgãos e pelas entidades da Administração Pública Federal, dando-se preferência, em princípio, no emprego de tais recursos, a produtos de origem nacional;Portanto a questão está correta.

    Portanto a questão está correta.

    Fonte : http://dsic.planalto.gov.br/legislacao/port_1622_j...

  • Gabarito Certo

    DECRETO No 3.505, DE 13 DE JUNHO DE 2000.

    Art 4.

    IX - estabelecer as normas gerais para o uso e a comercialização dos recursos criptográficos pelos órgãos e pelas entidades da Administração Pública Federal, dando-se preferência, em princípio, no emprego de tais recursos, a produtos de origem nacional;

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
236779
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

O Decreto n.º 3.505/2000 institui a Política de Segurança da
Informação (PSI) nos órgãos e entidades da administração pública
federal, tendo como um dos pressupostos básicos o uso soberano de
mecanismos de segurança da informação, com o domínio de
tecnologias sensíveis e duais. Com base nesse enunciado e no
disposto no referido decreto, julgue os itens que se seguem.

É objetivo da PSI, entre outros, a eliminação da dependência externa dos órgãos da administração federal em relação a sistemas, equipamentos, dispositivos e atividades vinculadas à segurança dos sistemas de informação, cabendo à Secretaria-Executiva do Conselho de Defesa Nacional, com o assessoramento do Departamento de Pesquisa e Desenvolvimento Tecnológico da ABIN, estabelecer as normas gerais para o uso e a comercialização dos recursos criptográficos pelos órgãos e pelas entidades da administração pública federal.

Alternativas
Comentários

  • Entendo que o objetivo da PSI é gerir a segurança da informação dentro da organização, com diretrizes, planos, métodos, etc. Como a administração pública irá organizar uma medida coletiva de estruturação da segurança foge aos limites de uma PSI.

  • As empresas hoje em dia precisam lidar com uma crescente estrutura de TI. Um dos componentes mais relevantes disso é a segurança.

    Por que o PCI é importante?

    Apesar de parecer uma elaboração opcional, a política de segurança da informação deve ser encarada como sendo indispensável para o sucesso.

    Acima de tudo, ela garante que os dados sejam protegidos, especialmente de concorrentes e outras pessoas não autorizadas. Portanto, é uma forma de manter elementos estratégicos longe de vazamentos.

    Essa política ainda promove a homogeneização de atuação, de modo que todos saibam o que fazer e o que evitar.

    Para completar, ela serve para administrar corretamente emergências. Com um plano de contingência, é possível saber como agir para prevenir danos maiores nos dados.

    Como elaborar uma PSI?

    Para criar esse documento, é necessário seguir algumas etapas lógicas. Elas darão estrutura para a política e garantirão que ela seja tão efetiva quanto o esperado.

    Os principais passos são:

    Faça um diagnóstico prévio

    Tudo deve partir de um entendimento sobre quais são os ativos de informação do negócio. Sem saber quais dados devem ser protegidos, é impossível ter sucesso na missão.

    Portanto, faça uma análise de quais são os dispositivos utilizados, o comportamento, as informações protegidas e os níveis de acesso que serão empregados. Ao reconhecer as principais necessidades, a política se tornará mais efetiva.

    Use os três princípios básicos da segurança

    A segurança da informação se baseia em três pilares: confiabilidade, integridade e disponibilidade.

    O primeiro determina que os dados só podem ser acessados por pessoas autorizadas, enquanto o segundo dispõe que somente quem tiver a permissão pode modificar as informações.

    O terceiro estabelece que as informações precisam estar sempre disponíveis para os autorizados, conforme o solicitado.

    Ao seguir esses pontos, há maiores garantias sobre a efetividade de ações.

    Aposte na criação colaborativa

    Embora a PSI deva incluir níveis de acesso à informação, hierarquização de permissões e controles de acesso, é importante que ela não seja definida de forma isolada.

    Como todos os colaboradores serão afetados, o ideal é que os vários setores participem dessa elaboração. Assim, é possível atender a certas necessidades e reconhecer padrões de atuação, além de aumentar as chances de tudo ser seguido.

    Comunique o resultado

    Quando ela estiver pronta, é fundamental que ocorra a comunicação da política. Todos devem estar cientes de quais práticas serão observadas e o que precisa ser evitado.

    Se for necessário, realize alguns treinamentos e não se esqueça de prever sanções e algumas punições para o descumprimento dos pontos mais importantes.

    Sabendo a importância da PSI e como planejá-la, a sua empresa terá todas as condições de maximizar a segurança da informação. Assim, ficará fácil garantir que tudo esteja sempre protegido!

ID
237553
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da Política de Segurança da Informação (PSI) nos órgãos e entidades da administração pública federal, instituída pelo Decreto n.º 3.505/2000, julgue o  seguinte  item.


Os membros do Comitê Gestor da Segurança da Informação só podem participar de processos, no âmbito da segurança da informação, de iniciativa do setor privado, caso essa participação seja julgada imprescindível para atender aos interesses da defesa nacional, a critério do Comitê Gestor e após aprovação do Gabinete de Segurança Institucional da Presidência da República.




Alternativas
Comentários

  • A questão exigia do candidato o conhecimento do artigo 7º, §2º do Decreto 3505/00, a seguir:

     

    "Art. 7o  O Comitê será integrado por um representante de cada Ministério e órgãos a seguir indicados:...

    § 2o  Os membros do Comitê Gestor não poderão participar de processos similares(no âmbito da segurança da informação) de iniciativa do setor privado, exceto nos casos por ele julgados imprescindíveis para atender aos interesses da defesa nacional e após aprovação pelo Gabinete de Segurança Institucional da Presidência da República"

  • Prezados,

    Segundo o art. 7º do decreto 3.505/2000, temos :

    § 2o  Os membros do Comitê Gestor não poderão participar de processos similares de iniciativa do setor privado, exceto nos casos por ele julgados imprescindíveis para atender aos interesses da defesa nacional e após aprovação pelo Gabinete de Segurança Institucional da Presidência da República.

    Portanto a questão está correta.

  • GABARITO: CERTO

ID
237556
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da Política de Segurança da Informação (PSI) nos órgãos e entidades da administração pública federal, instituída pelo Decreto n.º 3.505/2000, julgue o  seguinte  item.


Entre os objetivos da PSI, insere-se o estímulo à participação competitiva do setor produtivo no mercado de bens e de serviços relacionados com a segurança da informação,incluindo-se a fabricação de produtos que incorporem recursos criptográficos.




Alternativas
Comentários

  •  A questão exige do candidato a memorização do artigo 3º, VII, "in fine":

    "Art. 3o  São objetivos da Política da Informação:

    VII - promover a capacitação industrial do País com vistas à sua autonomia no desenvolvimento e na fabricação de produtos que incorporem recursos criptográficos, assim como estimular o setor produtivo a participar competitivamente do mercado de bens e de serviços relacionados com a segurança da informação"

  • Prezados,

    Segundo o decreto 3.505/2000, temos :

    Art. 3o  São objetivos da Política da Informação:
    VII - promover a capacitação industrial do País com vistas à sua autonomia no desenvolvimento e na fabricação de produtos que incorporem recursos criptográficos, assim como estimular o setor produtivo a participar competitivamente do mercado de bens e de serviços relacionados com a segurança da informação;

    Portanto a questão está correta.



ID
237559
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da Política de Segurança da Informação (PSI) nos órgãos e entidades da administração pública federal, instituída pelo Decreto n.º 3.505/2000, julgue o  seguinte  item.

Cabe à Secretaria de Defesa Nacional, assessorada pelo Comitê Gestor da Segurança da Informação e pelo Departamento de Pesquisa e Desenvolvimento Tecnológico da ABIN, estabelecer normas, padrões, níveis, tipos e demais aspectos relacionados ao emprego dos produtos que incorporem recursos criptográficos, de modo a assegurar-lhes confidencialidade, autenticidade e integridade, assim como a garantir a interoperabilidade entre os sistemas de segurança da informação.

Alternativas
Comentários

  • O único erro da questão encontra-se no nome do órgão(Secretaria da Defesa Nacional) que deveria ser Secretaria-Executiva do Conselho de Defesa Nacional, conforme artigo 4º, VIII do Decreto 3505/00 c/c artigo 12, III do Decreto 6408/08. Ainda faltou na questão a previsão de mais um princípio da segurança da informação além dos famosos CIA(Confidencialidade, Integridade e Autenticidade): "não repúdio", vejam

    Decreto 3505/00

    "Art. 4o  Para os fins deste Decreto, cabe à Secretaria-Executiva do Conselho de Defesa Nacional, assessorada pelo Comitê Gestor da Segurança da Informação de que trata o art. 6o, adotar as seguintes diretrizes:

    VIII - estabelecer normas, padrões, níveis, tipos e demais aspectos relacionados ao emprego dos produtos que incorporem recursos critptográficos, de modo a assegurar a confidencialidade, a autenticidade, a integridade e o não-repúdio, assim como a interoperabilidade entre os Sistemas de Segurança da Informação;

    Art. 6o  Fica instituído o Comitê Gestor da Segurança da Informação, com atribuição de assessorar a Secretaria-Executiva do Conselho de Defesa Nacional na consecução das diretrizes da Política de Segurança da Informação nos órgãos e nas entidades da Administração Pública Federal, bem como na avaliação e análise de assuntos relativos aos objetivos estabelecidos neste Decreto

    Decreto 6408/08

    "Art. 12.  Ao Departamento de Pesquisa e Desenvolvimento Tecnológico compete:

    III - apoiar a Secretaria-Executiva do Conselho de Defesa Nacional, no tocante a atividades de caráter científico e tecnológico relacionadas à segurança da informação."

ID
240625
Banca
FCC
Órgão
TRT - 22ª Região (PI)
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a NBR ISO/IEC 17799 (vigente a partir de 30/09/2001), existem controles considerados essenciais para uma organização, sob o ponto de vista legal e os considerados como melhores práticas para a segurança da informação. São, respectivamente, um essencial e um de melhor prática:

Alternativas
Comentários

  • Essenciais

    15.1.2 - Direito de propriedade intelectual
    15.1.3 - Proteção de registros organizacionais
    15.1.4 - Proteção de dados e privacidade de informações pessoais

    Prática

    5.1.1 - documento da política de segurança da informação;
    6.1.3 - atribuição de responsabilidades para a segurança da informação;
    8.2.2 - conscientização, educação e treinamento em segurança da informação;
    12.2 - processamento correto nas aplicações;
    12.6 - gestão de vulnerabilidades técnicas;
    13.2 - gestão de incidentes de segurança da informação e melhorias.
    14 - gestão da continuidade do negócio;

  • Controle essencial: Direitos de propriedade intelectual
    Controle Prático: gestão da continuidade do negócio.

  • Prezados,

    Segundo a ISO 27002, os controles considerados essenciais para uma organização, sob o ponto de vista legal, incluem, dependendo da legislação aplicável:

    a) proteção de dados e privacidade de informações pessoais;

    b) proteção de registros organizacionais;

    c) direitos de propriedade intelectual.

    Os controles considerados práticas para a segurança da informação incluem:

    a) documento da política de segurança da informação;

    b) atribuição de responsabilidades para a segurança da informação;

    c) conscientização, educação e treinamento em segurança da informação;

    d) processamento correto nas aplicações;

    e) gestão de vulnerabilidades técnicas;

    f) gestão da continuidade do negócio;

    g) gestão de incidentes de segurança da informação e melhorias.


    A alternativa correta é : A.


  • Está desatualizada. A norma 17799 virou 27002, que por sua vez, foi atualizada em 2013.

ID
241861
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança da informação, julgue os itens seguintes.

É tarefa da administração de segurança, e não dos usuários, a implantação de controles para reduzir a introdução de códigos maliciosos em uma rede, ou seja, é resultado exclusivo de procedimentos definidos para filtragem de pacotes e o gerenciamento de software antivírus.

Alternativas
Comentários
  • É tarefa da administração de segurança, e não dos usuários, a implantação de controles para reduzir a introdução de códigos maliciosos em uma rede, ou seja, é resultado exclusivo de procedimentos definidos para filtragem de pacotes e o gerenciamento de software antivírus.

    A norma estabelece, no item 10.4 que os usuários estejam conscientes e preparados para os perigos de códigos maliciosos.

  • ERRADO.

    Segundo a ISO 27002,"10.4 Proteção contra códigos maliciosos e códigos móveis

     Convém que os usuários estejam conscientes dos perigos do código malicioso. Convém que os gestores, onde apropriado, implantem controles para prevenir, detectar e remover código malicioso e controlar códigos móveis.

    10.4.1 Controles contra códigos maliciosos

    Controle

    Convém que sejam implantados controles de detecção, prevenção e recuperação para proteger contra códigos maliciosos, assim como procedimentos para a devida conscientização dos usuários."


  • Gabarito Errado

    Os usuários também precisam ajudar a equipe de segurança, através da conscientização. Treinamentos e palestras também devem ser realizadas.

     

    Vamos na fé !

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
245350
Banca
CESPE / CEBRASPE
Órgão
TRT - 21ª Região (RN)
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de ataques a redes de computadores, prevenção e
tratamento de incidentes, julgue os itens subsecutivos.

A fim de proteger a integridade do hardware e da informação, devem ser implantados, em locais apropriados, controles de detecção, prevenção e recuperação para proteger contra códigos maliciosos, assim como procedimentos para a devida conscientização dos usuários.

Alternativas
Comentários

  • ERRADO.

    Controles de detecção, prevenção e recuperação contra códigos maliciosos não são efetivos para proteger a integridade de um hardware. Para tal, seria necessário controles de ambiente físico.

  • Os procedimentos para a devida conscientização dos usuários são fundamentais para manter a integridade do hardware. Por isso entendi como errada.
  • Proteção contra códigos maliciosos é uma forma de proteger a integridade APENAS DE SOFTWARE e não de Hardware e Software
  • O que invalida a questão é tão somente o termo 'hardware', pois substituindo-o por 'software' a tornaria correta:

    "Objetivo: Proteger a integridade do software e da informação."

    "A.10.4.1 Controle contra códigos maliciosos

    Devem ser implantados controles de detecção, prevenção e

    recuperação para proteger contra códigos maliciosos, assim

    como procedimentos para a devida conscientização dos

    usuários."


  • Essa me enganou fácil.

  • Eu discordo do gabarito, apesar da maioria dos componentes de hardware virem com proteção contra códigos maliciosos, muitos deles ainda tem falhas, principalmente os mais antigos(o que é uma realidade bem comum no Brasil).

    Sendo assim não é impossível que um malware execute algo capaz de fritar um processador.

  • GABARITO: ERRADO.

  • Dê-me o gabarito, dar-te-ei a justificativa.

  • Códigos maliciosos podem sim prejudicar os hardwares, dessa forma necessita sim de proteção contra esses códigos para proteger determinados hardwares. Questão antiga, se fosse nos tempos de hoje seria facilmente anulada.

  • Questão saf.ada. O stuxnet danificou hardware das centrífugas. Atacar o sistema de ar condicionado pode danificar hardware. A instalação de um firmware pode bricar um hardware.
ID
255844
Banca
FCC
Órgão
TRT - 24ª REGIÃO (MS)
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Considere:

I. Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.

II. Salvaguarda da exatidão e completeza da informação e dos métodos de processamento.

III. Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

Na ISO/IEC 17799, I, II e III correspondem, respectivamente, a

Alternativas
Comentários
  • Confidencialidade: é a propriedade da informação de que ela estará disponível ou divulgada a individuos, entidades ou processo que estão autorizados, ou seja, garante que a informação seja acessivel somente a quem está autorizado a ter acesso.

    Integridade:  propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).

    Disponibilidade: propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
  • só um macete para Lembrar

    Informação CORRETA=>INTEGRIDADE
    para a pessoa CERTA==>CONFIDENCIALIDADE
    no momento CERTO==>DISPONIBILIDADE

    ou o mneumonico "CID"

  • Segundo a ISO 27001,"

    3.2 disponibilidade:propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada


    3.3 confidencialidade:propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados


    3.8 integridade:propriedade de salvaguarda da exatidão e completeza de ativos"

ID
267841
Banca
CESPE / CEBRASPE
Órgão
TRE-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com base na ABNT NBR ISO/IEC 17799/2005, que trata de
questões de segurança da informação nas organizações, julgue os
próximos itens.

O documento relativo à política de segurança da informação deve ser aprovado pela direção da empresa, publicado e comunicado a todos os funcionários e às partes externas relevantes.

Alternativas
Comentários
  • No que se refere a ISO 27001 é DEVE, e no que se refere a 27002 é CONVÉM.

    Lembrando que a 27002 é boas práticas, então quando vier deve, fique atento.
  • O documento relativo à política de segurança da informação deve  CONVÈM ser aprovado pela direção da empresa, publicado e comunicado a todos os funcionários e às partes externas relevantes.

    A iso 27002 não é uma norma obrigatória, é de boas práticas, então sempre CONVÉM
  • Confirmando o que o pessoal disse
    Trecho da Norma: 
    5.1.1 Documento da política de segurança da informação
    Controle
    Convém que um documento da política de segurança da informação seja aprovado pela direção, publicado e
    comunicado para todos os funcionários e partes externas relevantes.
  • Que é isso! Acho até que se cair uma questão como essa novamente, coloco certo de novo! ISO/IEC 2002 é CONVÉM e não DEVE! Tá bom, vou ver se guardo!

  • Não sei de onde o CESPE tirou isso... Fui até o site para conferir o gabarito definitivo e realmente está como ERRADO. Porém a questão é completamente copiada e colada da 27001. Será que ninguém tentou recurso?? Segue:


    A.5.1.1 - Um documento da política de segurança da informação deve ser aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.


    Diferente do comentado anteriormente, no texto da 27001 está o DEVE.

  • Já vi muitas questões CESPE das normas  de segurança da informação ignorando o uso do DEVE e CONVÉM das respectivas normas, assim fica difícil... 

  • Segundo a ISO/IEC 27001, "
    A.5.1 Política de segurança da informação
    Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.
    A.5.1.1


    Documento da política de segurança da informação

    Controle
    Um documento da política de segurança da informação deve ser aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes."

  • outra questãao


    Para a NBR ISO/IEC 27001:2006, tem-se que um documento da política de segurança da informação deve ser aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes. Isto é um controle.


    CERTA

  • Essa lógica do deve e do convém está errada:

    Julgue os itens que se seguem, considerando a norma ABNT NBR

    ISO/IEC 27002:2005.

    É imprescindível que a política de segurança da informação, definida com base na realidade e na necessidade da organização, de seus colaboradores, de seu negócio e de sua infraestrutura de TI, seja divulgada, acompanhada, passe por análise crítica no que se refere aos controles estabelecidos e, principalmente, seja objeto de treinamento pelas equipes.

    Na questão falou 27002 e disse imprescidível, ou seja, DEVE e a questão foi dada como certa.
    É sentar e chorar

  • Olha o comportamento da banca para outras questões...

     

    Ano: 2010 Banca: CESPE Órgão: TRT - 21ª Região (RN) Prova: Analista Judiciário - Tecnologia da Informação

    Um dos controles da política de segurança da informação estabelece que ela deve ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

    Resposta: Certa

     

    Ano: 2013 Banca: CESPE Órgão: TCE-RO Prova: Analista de Informática

    A política de segurança da informação deverá ser analisada criticamente em intervalos planejados, incluindo-se na análise as tendências relacionadas a ameaças e vulnerabilidades.

    Resposta: Certa

     

    5.1.2 Análise crítica da política de segurança da informação - Controle
    Convém que a política de segurança da informação seja analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

    Fonte: ABNT NBR ISO/IEC 27002:2005

     

    Ano: 2012 Banca: CESPE Órgão: Banco da Amazônia Prova: Técnico Científico - Segurança da Informação

    A violação da política de segurança da informação deve ser apurada por meio da aplicação de processo disciplinar formal: é o que estabelece o controle de processo disciplinar contido no grupo de controle de segurança em recursos humanos.

    Resposta: Certa

     

    8.2.3 Processo disciplinar - Controle
    Convém que exista um processo disciplinar formal para os funcionários que tenham cometido uma violação da segurança da informação.

    Fonte: ABNT NBR ISO/IEC 27002:2005

  • por que as pessoas não recorrem das questões ein? poha... é um direito do candidato, recorre aí pessoal, eu recorro até de questão que eu acertei

ID
267844
Banca
CESPE / CEBRASPE
Órgão
TRE-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com base na ABNT NBR ISO/IEC 17799/2005, que trata de
questões de segurança da informação nas organizações, julgue os
próximos itens.

As instalações de processamento da informação gerenciadas pela organização podem permanecer fisicamente juntas das que são gerenciadas por terceiros, desde que o acesso ao local seja devidamente controlado.

Alternativas
Comentários
  • No texto da própria norma consta que os locais devem ser fisicamente separados:

    "7.1.3 Segurança em escritórios, salas e instalações de processamento
     
    f) Convém que as instalações de processamento da informação gerenciadas pela organização fiquem fisicamente
    separadas daquelas gerenciadas por prestadores de serviço"
  • Norma ISO 27002

    9  Segurança física e do ambiente 
    9.1.1  Perímetro de segurança física 
    Controle 
    Convém que sejam utilizados  perímetros de segurança (barreiras tais como paredes, portões de entrada 
    controlados por cartão ou balcões de recepção com recepcionistas) para proteger as áreas que contenham 
    informações e instalações de processamento da informação.
    Diretrizes para a implementação
    ...
    g) as instalações de processamento da informação gerenciadas pela organização devem ficar 
    fisicamente separadas daquelas que são gerenciadas por terceiros. 
     
  • Pessoal, uma ressalva quanto ao item "podem permanecer fisicamente juntas ".

    Se a norma diz CONVÉM, não exclui a possibilidade de permanecer juntas as instalações de processamento de informação.
  • Pensei da mesmo forma que o Alexandre e também errei essa. Acho que daria para anular essa.
  • 9.1.1 Perímetro de segurança física
    Controle
    Convém que sejam utilizados perímetros de segurança...

    PORÉM...

    g) as instalações... pela organização DEVEM ficar fisicamente separadas...



    Não sei de onde o Filipe tirou aquele item 7.1.3, mas não foi da 27001(não tem 7.1.3) ou 27002 (Uso aceitável dos ativos).

  • Errei pelo mesmo motivo!

    A norma fiz "convém" o que nao quer dizer que não "podem"
  • Esse "pode" da banca é tenso. Uma hora pode tudo, noutra não pode nada. =/
ID
267847
Banca
CESPE / CEBRASPE
Órgão
TRE-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com base na ABNT NBR ISO/IEC 17799/2005, que trata de
questões de segurança da informação nas organizações, julgue os
próximos itens.

As ações que minimizam o risco de vazamento de informações mediante o uso e a exploração de covert channels incluem a varredura do envio de mídias e comunicações, para verificação da presença de informação oculta; o mascaramento e a modulação do comportamento dos sistemas e das comunicações, a fim de evitar que terceiros subtraiam informações dos sistemas; e o monitoramento regular do uso dos recursos computacionais e das atividades do pessoal.

Alternativas
Comentários
  • ABNT NBR ISO/IEC 17799/2005

    12.5.4 Vazamento de informações

    Controle
    Convém que oportunidades para vazamento de informações sejam prevenidas.

    Diretrizes para implementação
    Convém que os seguintes itens sejam considerados, para limitar o risco de vazamento de informações, por exemlpo através do uso e exploração de covert channels*:

    a) a varredura do envio de mídia e comunicações para verificar a presença de informação oculta;

    b) o mascaramento e a modulação do comportamento dos sistemas e das comunicações para reduzir a possibilidade de terceiros deduzirem informações a partir do comportamento dos sistemas;

    c) a utilização de sistemas e software reconhecidos como de alta integridade, por exemplo utilizando produtos avaliados;

    d) o monitoramento regular das atividades do pessoal e do sistema, quando permitido pela legislação ou regulamentação vigente;

    e) o monitoramento do uso de recursos de sistemas de computação.

    * Os covert channels são caminhos não previstos para conduzir fluxo de informações, mas que no entanto podem existir num sistema ou rede. Por exemplo, a manipulação de bits no protocolo de pacotes de comunição poderia ser utilizada como um método oculto de sinalização. Devido à sua natureza, seria difícil, se não impossivel, precarver-se contra a existência de todos os possíveis covert channels. No entanto, a exploração destes canais frequentemente é realizada por código troiano. A adoção de medidas de proteção contra código troiano reduz, consequentemente, o risco de exploração de covert channels.

  • Certo.


    Covert channel: Canal de comunicações que permite o fluxo de informações de uma maneira que viole a política de segurança do sistema.

     

ID
267853
Banca
CESPE / CEBRASPE
Órgão
TRE-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com base na ABNT NBR ISO/IEC 17799/2005, que trata de
questões de segurança da informação nas organizações, julgue os
próximos itens.

Nessa norma, são estabelecidos as diretrizes e os princípios gerais para o início, a implementação, a manutenção e a melhoria da gestão de segurança da informação em uma organização.

Alternativas
Comentários
  • É transcrição literal da parte 1 da norma:
    "Esta norma estabelece diretrizes e os princípios gerais para o iniciar, a implementar, a manuter e a melhorar a gestão de segurança da informação em uma organização"

  • 27001 --> requisitos (deve ser feito)

    27002 --> diretrizes (convem que seja feito)

ID
271108
Banca
CESPE / CEBRASPE
Órgão
PREVIC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da definição, implantação e gestão de políticas de segurança
e auditoria, julgue os itens subsequentes.

Registros ou logs de auditoria podem conter dados pessoais confidenciais e de intrusos; por isso, é importante que medidas de proteção adequadas sejam tomadas, como, por exemplo, não permitir, quando possível, que administradores de sistemas não tenham permissão de exclusão ou desativação de registros de suas próprias atividades.

Alternativas
Comentários
  • Peguinha curel.

    Não + Não = Sim

    não permitir que administradores de sistemas não tenham permissão = permitir que TENHAM permissão.

    Logs não se podem apagar. É um registro de tudo. Se pudessem ser apagados não teria sentido eles existirem como provas em auditorias
  • Para confirmar o raciocínio do colega olhem a lista ti-masters: http://br.groups.yahoo.com/group/timasters/message/89433
  • Outra parte da assertiva que esta errada, ou no minímo estranha, é a parte que afirma que os logs contem dados pessoais confidenciais e de intrusos;
    Quais os dados pessoais confidenciais que teríamos em um log? Até pensei nas senhas de usuários, mas elas não ficam registradas nos logs.

  • Complementando o comentário dos colegas, segue o que diz a norma:

     

    10.10.1 Registros de auditoria

     
    Os registros (log) de auditoria podem conter dados pessoais confidenciais e de intrusos. Convém que medidas apropriadas de proteção de privacidade sejam tomadas (ver 15.1.4). Quando possível, convém que administradores de sistemas não tenham permissão de exclusão ou  desativação dos registros (log) de suas próprias atividades

     

    Fonte: ABNT NBR ISO/IEC 27002:2005

     

     

    Sobre a dúvida do colega lucas moraes...

    Acredito que entre esses dados poderiam conter informações pessoais, como nome, data de nascimento, telefone, endereço... como também, dados bancários, saldos, extratos, transferências...

    Imagine uma tabela de log que guarda todos os dados de uma tupla que houve uma alteração. Se nessa tabela de log não tiver, pelo menos, os mesmos níveis de segurança da tabela original, poderá ocorrer uma violação na confidencialidade dos dados.

ID
271111
Banca
CESPE / CEBRASPE
Órgão
PREVIC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da definição, implantação e gestão de políticas de segurança
e auditoria, julgue os itens subsequentes.

Uma política de segurança eficaz parte da premissa do uso efetivo de um conjunto de ferramentas de segurança, como firewalls, sistemas de detecção de intrusos, validadores de senha e criptografia forte.

Alternativas
Comentários
  • Pessoal, atenção! Notem que os concursos estão atualmente voltando suas questões para Gestão de TI.
    Essa idéia de sair comprando ferramentas sem planejamento só existe na cabeça de Analistas pouco experientes.
    É isso que o governo não quer: gastos injustificados.

    A questão está cobrando isso de nós: a política parte da premissa de um plano de segurança definido, aceito, divulgado, etc etc etc
    Depooooooiiiiss pensamos em ferramentas E treinamentos para execução de nossas políticas definidas.
  • A questão esta errada pois a premissa é tratar o fator pessoal que é o elo de segurança mais frágil.  Então a politica de segurança enfatiza muito não só criar uma politica mas tambem dissemina-la para toda organização. Destaca cuidados que o usuário deve ter para com uso de senhas e recursos.

    A maior parte dos ataques a organização são internos e não externos.
  • A Política de Segurança da Informação deve ser um documento formalizado pela empresa em que esta declara a sua responsabilidade na proteção de suas informações ou das informações que estejam sob sua guarda, que deve ser de conhecimento e que deve ser cumprida por todos os seus funcionários, ou terceiros que a estas informações tenham acesso devido a natureza de sua prestação de serviço.
    Nela devem vir diretrizes a serem seguidas, obrigações referentes à segurança da informação. Deve ser aprovada pelo alto escalão da organização.

    Não se fala em mecanismos diretamente na política, que deve ser um assunto tratado pelos responsáveis pela TI para que esses mecanismos atendam o que está estabelecido na Política de Segurança da Informação.
  • Política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização. 

    O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de implementação dos mecanismos de segurança, pois essa implementação pode variar ao longo do tempo. Deve ser também um documento de fácil leitura e compreensão, além de resumido.

  • Complemento.

    Segundo Nakamura(2010,p.189),"Assim, a política de segurança trata dos aspectos humanos,culturais e tecnológicos de uma organização,levando também em consideração os processos e os negócios,além da legislação local."

    Segundo Nakamura(2010,p.193),"Assim, a política de segurança NÃO deve conter detalhes técnicos específicos de mecanismos a serem utilizados ou procedimentos que devem ser adotados por indivíduos particulares,mas, sim,regras gerais e estruturais que se aplicam ao contexto de toda a organização."

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-2010-NAKAMURA

  • Política de segurança é o conjunto de REGRAS que devem ser seguidas pelos usuários. Não é o conjunto de ferramentas.

    As ferramentas citadas são usadas para segurança (firewalls, IDS, validadores de senha e criptografia), porém não constituem a política de segurança, mas sim o sistema/mecanismos de segurança.

  • Só aceita que dói menos!

ID
277390
Banca
CESPE / CEBRASPE
Órgão
TRE-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito do estabelecimento de um sistema de gestão da
segurança, julgue os itens seguintes.

No modelo PDCA, o estabelecimento de uma política de segurança é efetuado durante a fase de planejamento, pois, não se configura como controle de segurança, que deve ser implementado durante a fase de execução.

Alternativas
ID
285985
Banca
FUNIVERSA
Órgão
SEPLAG-DF
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

A política de segurança é um conjunto formal de regras que devem ser seguidas por todas as pessoas ou sistemas que utilizam as informações. Ela é primordial para a criação de procedimentos que levarão à implementação de mecanismos de proteção da informação. A respeito da política da informação, é correto afirmar que

Alternativas
ID
308746
Banca
CESPE / CEBRASPE
Órgão
TJ-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens que se seguem, relativos a segurança no âmbito das
tecnologias da informação (TIs).

Entre as principais ameaças ao ambiente de TI podem ser citadas a falta de política de segurança e a ausência de procedimentos de restauração do ambiente computacional em caso de indisponibilidade de serviços, além da falta de atualização do parque tecnológico de hardware e software.

Alternativas
Comentários
  • Ameaça é a causa potencial de um incidente indesejado. (Exemplos de ameaças: Fraude eletrônica, espionagem, terremotos, terrorismo)

    Incidente é uma série de eventos indesejados ou inesperados que possam comprometer a segurança do sistema de informação.

    Evento é a ocorrência identificada de um sistema, serviço ou rede, que indica a possivel violação da política de segurança de um sistema de informação.

    Politica de Segurança refere-se as intenções e diretrizes formalmente expressas pela organização, definindo, dentre outras coisas, o que deve ser protegido, por que deve ser protegido e por quem.

    Diretrizes são descrições que orientam o que deve ser feito e como, para se alcançar um objetivo estabelecido na política de segurança da informação.
  • Considero que o examinador se apegou rigidamente aos conceitos de segurança da informação para que a questão fosse considerada errada. Para resolver a questão é necessário entender os conceitos de vulnerabilidade e ameaça.
    Pode-se dizer que vulnerabilidade é uma fragilidade que um ativo possui e a ameaça é a exploração dessa vulnerabilidade.
    Assim, podemos considerar que a falta de política de segurança e ausência de procedimentos de restauração do ambiente computacional são fragilidades (vulnerabilidades) inseridas no ambiente de TI.

    Quanto ao outro item - a falta de atualização do parque tenológico de hardware e software, pode haver entendimentos distintos.
    1. manter sempre as últimas versões de software e os equipamentos mais atuais. 
    procedimento incorreto, devido a possibilidade de inserir inúmeras outras vulnerabilidades ainda não verificadas/conhecidas.
    2. fazer as atualizações corretivas que fabricantes disponibilizam no intuito de eliminar vulnerabilidades.

    Então se o sentido for o segundo, sua falta também seria considerada uma vulnerabilidade. 
  • Resumindo com clareza e certeza: O erro na frase "Entre as principais AMEAÇAS" está em "ameaças". O certo seria VULNERABILIDADES.
  • O erro está na palavra ameaças?
    o certo seria riscos ou vulnerabilidades?
  • O erro da questão esta em afimrar que a falta de atualização do parque tecnológico de hardware e software é uma das principais ameaças ao ambiente de TI. Falta de atualização de hardware nem de longe esta entre as principais ameaças ao ambiente de TI, normalmente, nem é é considerada uma ameça.
    Mesmo que no ligar de "ameaça" tivesse sido usado "vulnerabilidade", a questão continuaria ERRADA.
  • Entre as principais AMEAÇAS ao ambiente de TI podem ser citadas a falta de política de segurança (VULNERABILIDADE) e a ausência de procedimentos de restauração do ambiente computacional em caso de indisponibilidade de serviços (VULNERABILIDADE), além da falta de atualização do parque tecnológico de hardware e software (VULNERABILIDADE).

  • A questão trata de vulnerabilidades que tornam frágeis e suscetíveis os ambientes de TI. A ameaça, por sua vez, será aquilo que explorará tais fragilidades.

  • GABARITO: ERRADO.

  • Trata-se de formas controle de segurança

ID
309817
Banca
CESPE / CEBRASPE
Órgão
TJ-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca do gerenciamento de segurança da informação, julgue os
itens a seguir.

As políticas de classificação da informação, fundamentais para permitir que os ativos e as informações neles contidas sejam gerenciados com base em classificações de sigilo, podem variar de acordo com a nomenclatura adotada pela organização, conforme a sua classificação como público (ostensivo) ou confidencial (sigiloso, secreto).

Alternativas
Comentários

  • CERTO
     

    Decreto 4553 - dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras providências.

     Art. 2º São considerados originariamente sigilosos, e serão como tal classificados, dados ou informações cujo conhecimento irrestrito ou divulgação possa acarretar qualquer risco à segurança da sociedade e do Estado, bem como aqueles necessários ao resguardo da inviolabilidade da intimidade da vida privada, da honra e da imagem das pessoas.

            Art. 4º Para os efeitos deste Decreto, são estabelecidos os seguintes conceitos e definições:

            II - classificação: atribuição, pela autoridade competente, de grau de sigilo a dado, informação, documento, material, área ou instalação;

            V - desclassificação: cancelamento, pela autoridade competente ou pelo transcurso de prazo, da classificação, tornando ostensivos dados ou informações;
            XIV - ostensivo: sem classificação, cujo acesso pode ser franqueado;

            Art. 5º Os dados ou informações sigilosos serão classificados em ultra-secretos, secretos, confidenciais e reservados, em razão do seu teor ou dos seus elementos intrínsecos.
  • ·      Com critérios de classificação definidos, é necessário atribuir níveis de classificação da informação.
    ·      Informação Pública: não necessitam de sigilo.
    ·      Informação Interna: deve ser evitado o acesso externo. Mas se acontecer, nada será muito crítico.
    ·      Informação confidencial: confidenciais dentro da organização e protegidas do acesso externo.
  • Questão sem pegadinhas, simples e objetiva. Para responder essa questão e só saber um pouco de questão de visivilidade que já daria para responder. Agora muito cuidado com a BANCA cespe, que fazendo um estudo a parte, sempre que a banca restringe  usando (deve, exclusivamente, sempre) em 85% das questão estavam errado. Então sempre preste atenção no português da banca, que isso vai ajudar muito na resolução das questões.
ID
311818
Banca
FCC
Órgão
TRT - 14ª Região (RO e AC)
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Na NBR ISO/IEC 17799, os controles considerados essenciais para uma organização, sob o ponto de vista legal, incluem:

I. Proteção de dados e privacidade de informações pessoais.

II. Salvaguarda de registros organizacionais.

III. Documento da política de segurança da informação.

Está INCORRETO o que se afirma em

Alternativas
Comentários

  • Os controles considerados essenciais são:
    - proteção de dados e privacidade de informações pessoais;
    - proteção de registros organizacionais;
    - direitos de propriedade intelectual.

  • Os controles considerados práticas para a segurança da informação incluem: 

     a) documento da política de segurança da informação

    Logo a III está incorreta, pois não se trata de um controle essencial, já que o mesmo comenta:

    Os controles considerados essenciais para uma organização, sob o ponto de vista legal, incluem, dependendo da legislação aplicável:

     a) proteção de dados e privacidade de informações pessoais.
     b) proteção de registros organizacionais.
     c) direitos de propriedade intelectual. 

  • Realmente, os colegas acima têm razão... consultando-se  a referida Norma,
    é isto que está lá... será que esta questão não foi anulada?? Alguém sabe?

  • Colega Roberta, os demais colegas apenas confirmaram que a resposta está correta, a questão pedia qual era a INCORRETA dentro dos itens essenciais, o Josias explicou a questão.

  • Prezados,

    Segundo a NBR ISO/IEC 17799 , os controles considerados essenciais para uma organização, sob o ponto de vista legal, incluem, dependendo da legislação aplicável :

    - Proteção de dados e privacidade de informações pessoais

    - Proteção de registros organizacionais

    - Direitos de propriedade intelectual

    Portanto, o documento da política de segurança da informação não é considerado um controle essencial.

    Vale lembrar que o documento da política de segurança da informação segundo a NBR ISO/IEC 17799 é considerado uma prática para a segurança da informação.


    A alternativa correta é : C.


  • ISO/IEC 17799 = ISO 27.002

  • No meu ponto de vista, esse questão deveria ter sido anulada. Eu escoleria a letra C, mas, não que se falar em meio certo o itens III torna as aseertivas D e E tambem incorretas. Se consideramos a lógica proposicional , com o conector "e" basta que uma das proposições seja falsa para que o todo seja falso.

     

     

ID
319627
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando que uma organização esteja em processo de estabelecimento de uma série de políticas de segurança da informação, tanto relativas ao ambiente de tecnologia da informação (TI) quanto relativas ao ambiente organizacional de sistemas de informação em geral, assinale a opção que apresenta procedimento correto de acordo com os conceitos, as normas e as práticas da segurança da informação.

Alternativas
Comentários

  • Ninguém comentou, sobre... Ou é muito difícil ou ninguém realmente sabe. Vamos lá, a letra A eliminei depois de duas leituras, presume-se que há uma troca que as AMEAÇAS são algo interno, e na verdade não, é algo que vem de fora. Então descartei.

    Letra B: numa leitura mais aprofundada, todo evento de segurança da Informação não será enquadrado como um incidente(algo que aconteceu de dentro, imaginei assim).

    Letra C: acredito que seja a mais fácil. Óbvio que as informações contidas NÃO devem ser realizadas pelos usuários.

    E a D e a "E" foram as mais duvidosas. Gab: letra E

ID
320836
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos requisitos de segurança da informação, assinale a opção correta.

Alternativas
Comentários
  •     a) A integridade é diretamente obtida quando se tem a confidencialidade. (Falso, confidencialidade garante que somente quem é autorizado pode ler o conteudo, já integridade garante que a mensagem não foi alterada, ainda que não possa ser lida)

        b) A disponibilidade não é afetada pela obtenção da integridade e da confidencialidade. (Falso, caso não haja integridade, as mensagens podem ser alteradas limitando a disponibilidade por informações corretas)

        c) A integridade requer que a informação só seja acessada por quem estiver autorizado. (Falso, isso é definição de confidencialidade)

        d) A confidencialidade garante que a informação não será alterada por quem não estiver autorizado. (Falso, isso é definição de integridade)

        e) A adição da integridade a um sistema com confidencialidade eleva o seu nível de segurança. (Correto)

  • Sobre a letra E como resposta certa eu tenho dúvida.  "A adição da integridade a um sistema com confidencialidade eleva o seu nível de segurança" faz parecer que a integridade é a causa da segurança, e não seria justamente o contrário?  A integridade não seria a consequencia de um sistema seguro?  A informação só se mantém íntegra porque o sistema já é seguro... não é assim?

     

     

ID
320839
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à segurança da informação, assinale a opção correta.

Alternativas
Comentários
  • b) A avaliação de riscos deve abranger o que deve ser protegido e contra o quê. Porém, não deve levar em consideração o esforço, o tempo e os recursos necessários.
    Análise/ avaliação de risco: processo completo de análise e avaliação de riscos.
    Avaliação de riscos: Processo de comparar o risco estimado com critérios de riscos pré- definidos para determinar a importância do risco.

     c) Vulnerabilidade é uma feature de um software que, quando explorada, pode levar a comportamento não desejado.
    Vulnerabilidade: fragildade de umativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

    d) O risco de um ataque é proporcional à sua facilidade de execução.
    Risco: combinação da probabilidade de um evento e de suas consequências

    e) A ameaça é o produto do risco pelo custo da proteção.
    Ameaça: causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.
  • Mais uma mal formulada do CESPE

    Quando falamos em política de seguraça da informação devemos nos ater a um documento proposto pela alta cúpula da organização, ou seja, estamos aqui no nível estratégico, onde somente serão expostos macro-conceitos que serão desmembrados mais tarde.

    Deste modo teremos:

    4.ESTRUTURA NORMATIVA

    Os documentos que compõem a estrutura normativa são divididos em três categorias:

    a) Política (nível estratégico): constituída do presente documento, define as regras de alto nível que representam os princípios básicos que a organização decidiu incorporar à sua gestão de acordo com a visão estratégica da alta direção. Serve como base para que as normas e os procedimentos sejam criados e detalhados;

    b) Normas (nível tático): especificam, no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes da política;

    c) Procedimentos (nível operacional): instrumentalizam o disposto nas normas e na política, permitindo a direta aplicação nas atividades da organização.

    Definitivamente não caberá para o documento de política definições dispostas na questão 

    OK?

ID
321286
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Quanto à política de segurança da informação, assinale a opção correta.

Alternativas
Comentários

  • As “políticas de segurança” e as normas de auditoria são definidas visando garantir o atendimento dos requisitos de CID associados a cada um dos ativos de informação envolvidos. Quanto maior o valor de um ativo para o negócio, maior deve ser o nível de proteção implementado. As políticas consolidam regras de alto nível na organização, definindo o que deve ser protegido, quais as estratégias de ação em diferentes situações, quem são os responsáveis e qual sua autoridade quanto à tomada das decisões envolvidas.

     

    Fonte: Padrões, normas e política de segurança da informação - Fernandes Edson Aguilera - 2019

ID
326251
Banca
FUMARC
Órgão
CEMIG-TELECOM
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a norma ISSO 17799, assinale a alternativa que descreve corretamente um fator crítico de sucesso para a implantação da segurança da informação dentro de uma organização:

Alternativas
Comentários
  • Fatores críticos de sucesso:

    a)    política de segurança da informação, objetivos e atividades, que reflitam os objetivos do negócio;
    b)    uma abordagem e uma estrutura para a implementação, manutenção, monitoramento e melhoria da segurança da informação que seja consistente com a cultura organizacional;
    c)    comprometimento e apoio visível de todos os níveis gerenciais
    d)    um bom entendimento dos requisitos de segurança da informação, da análise/verificação de riscos e da gestão de riscos;
    e)    divulgação eficiente da segurança da informação para todos os gerentes, funcionários,  e outras partes envolvidas para se alcançar a conscientização;
    f)     distribuição de diretrizes e normas sobre a política de segurança da informação para todos os gerentes, funcionários e outras partes envolvidas
    g)    provisão de recursos financeiros para as atividades da gestão de segurança da informação
    h)    provisão da conscientização, treinamento e educação adequados
    i)      estabelecimento de um eficiente processo de gestão de incidentes de segurança da informação
    j)     implementação de um sistema de medição, que seja usado para avaliar o desempenho da gestão da segurança da informação e obtenção de sugestões para a melhoria
ID
337786
Banca
CS-UFG
Órgão
UFG
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

As políticas de segurança definem procedimentos de segurança adequados, processos de auditoria à segurança e uma base para procedimentos legais na sequência de ataques. As politicas de segurança da informação

Alternativas
Comentários
  • A PSI deve indicar como as coisas devem acontecer na organização no que se refere à SI. É um conjunto de regras, normas e procedimentos que determina qual deve ser o comportamento das pessoas que se relacionam com a organização no que se refere ao tratamento da informação.
    O objetivo é diminuir as vulnerabilidades das pessoas, que são ativos de informação.
    Respostas
    a- incorreta pq a política não interfere em aspectos técnicos.
    b- o documento deve ser de fácil leitura e compreensão, mas não necessariamente extenso.
    d- a PSI não intefere na estrutura de RH.
    RESPOSTA CORRETA C.

  • Acredito que outro erro da D é a "implementação obscura"

    PS: o verificador de soma dos comentários precisa urgentemente de umas aulas de matemática básica.
ID
337789
Banca
CS-UFG
Órgão
UFG
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A regra fundamental das politicas de uso de senhas é a conscientização dos colaboradores quanto ao seu uso e sua manutenção do controle de acesso. É recomendada a adoção da seguinte regra para minimizar o problema de escolha de senhas:

Alternativas
Comentários
  • Senhas fortes posuem caracteres numéricos, alfa numéricos (maiúsculos e minúsculos) e caracteres especiais.

    Uma boa politica de senhas nào permite a repetição de senhas ou partes de senhas em novas senhas e determina a periodicidade com que as mesmas devem ser trocadas

  • Dentre as políticas utilizadas pelas grandes corporações a composição da senha ou password é a mais controversa. Por um lado profissionais com dificuldade de memorizar varias senhas de acesso, por outro funcionários displicentes que anotam a senha sob o teclado no fundo das gavetas, em casos mais graves o colaborador anota a senha no monitor.

    Recomenda-se a adoção das seguintes regras para minimizar o problema, mas a regra fundamental é a conscientização dos colaboradores quanto ao uso e manutenção das senhas.

    • Senha com data para expiração
    Adota-se um padrão definido onde a senha possui prazo de validade com 30 ou 45 dias, obrigando o colaborador ou usuário a renovar sua senha.
    • Inibir a repetição
    Adota-se através de regras predefinidas que uma senha uma vez utilizada não poderá ter mais que 60% dos caracteres repetidos, p. ex: senha anterior “123senha” nova senha deve ter 60% dos caracteres diferentes como “456seuse”, neste caso foram repetidos somente os caracteres “s” “e” os demais diferentes.
    • Obrigar a composição com número mínimo de caracteres numéricos e alfabéticos
    Define-se obrigatoriedade de 4 caracteres alfabéticos e 4 caracteres numéricos, por exemplo:
    1s4e3u2s ou posicional os 4 primeiros caracteres devem ser numéricos e os 4 subseqüentes alfabéticos por exemplo: 1432seus.
    • Criar um conjunto com possíveis senhas que não podem ser utilizadas
    Monta-se uma base de dados com formatos conhecidos de senhas e proíbir o seu uso, como por exemplo o usuário chama-se Jose da Silva, logo sua senha não deve conter partes do nome como 1221jose ou 1212silv etc, os formatos DDMMAAAA ou 19XX, 1883emc ou I2B3M4
    • Recomenda-se ainda utilizar senhas com Case Sensitive e utilização de caracteres especiais como: @ # $ % & *

  • O propósito do diretor não é justamente gerenciar diferentes projetos demandados pelo restante da organização? Assim sendo, ele deve adotar a Estrutura Matricial, a qual promove reestruturação da cadeia de comando por meio da dupla subordinação...

    Não vejo como a Estrutura Linear, com cadeia única de comando, pode favorecer "os diversos setores do órgão aptos a gerenciar diferentes projetos demandados pelo restante da organização".

  • O propósito do diretor não é justamente gerenciar diferentes projetos demandados pelo restante da organização? Assim sendo, ele deve adotar a Estrutura Matricial, a qual promove reestruturação da cadeia de comando por meio da dupla subordinação...

ID
337792
Banca
CS-UFG
Órgão
UFG
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Algumas normas definem aspectos que devem ser levados em consideração ao elaborar políticas de segurança. A versão brasileira da norma para construção de políticas de seguranca é a

Alternativas
Comentários
  • Letra d)

    NBR ISO/IEC 17799: Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação.
  • Para esclarecer que esta norma, NBR ISO/IEC 17799, a partir de 2007  foi incorporada ao padrão ISO/IEC 27002.
ID
337795
Banca
CS-UFG
Órgão
UFG
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Existem duas filosofias por trás de qualquer política de segurança: a proibitiva (tudo que não é expressamente permitido é proibido) e a permissiva (tudo que não é proibido é permitido). Portanto, uma caracteristica da política de segurança válida é a

Alternativas
Comentários

  • Existem duas filosofias por trás de qualquer política de segurança: a proibitiva (tudo que não é expressamente permitido é proibido) e a permissiva (tudo que não é proibido é permitido).

    Os elementos da política de segurança devem ser considerados:

    • A Disponibilidade: o sistema deve estar disponível de forma que quando o usuário necessitar, possa usar. Dados críticos devem estar disponíveis ininterruptamente.
    • A Legalidade
    • A Integridade: o sistema deve estar sempre íntegro e em condições de ser usado.
    • A Autenticidade: o sistema deve ter condições de verificar a identidade dos usuários, e este ter condições de analisar a identidade do sistema.
    • A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado.
    fonte: pt.wikipedia.org/wiki/Segurança_da_informação#Pol.C3.ADticas_de_seguran.C3.A7a
ID
369913
Banca
CESPE / CEBRASPE
Órgão
TCE-RN
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da prevenção e do tratamento de incidentes, julgue o item subsequente.


A formulação de uma estratégia de resposta adequada é determinada não somente pela resposta inicialmente implementada, mas também pelos resultados da investigação do incidente após a coleta e análise dos dados relativos ao incidente.

Alternativas
ID
369916
Banca
CESPE / CEBRASPE
Órgão
TCE-RN
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da prevenção e do tratamento de incidentes, julgue o item subsequente.


A esterilização das mídias que são utilizadas para a cópia das informações armazenadas em HDs deve ocorrer como parte da resposta inicial.

Alternativas
Comentários
  • esterilização de mídias (sanitização de discos) é o ato de apagar, de forma irreversível, dados de um dispositivo de armazenamento, ou seja, eliminar permanentemente suas informações residuais. 
ID
370900
Banca
FCC
Órgão
TCE-GO
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Para os efeitos da Política de Segurança de Informações do Tribunal de Contas do Estado de Goiás, o princípio de segurança que garante a confiabilidade da informação, evitando que esta seja adulterada ou destruída sem a permissão de seu gestor denomina-se

Alternativas
Comentários
  • Letra A. A integridade dos dados (e respectivas mídias) deve ser garantida, evitando formas de adulteração ou destruição, de modo que a Política de Segurança seja implementada e eficazmente operada.
  • Todos os conceitos de Seguranca da Informação baseiam-se nos seguintes principios:
    Confidencialidade: informacao acessivel apenas por pessoas autorizadas;
    Integridade:  garantia de q a informaçao nao foi alterada durante seu trajeto ou armazenamento;
    Disponibilidade: A informacao deve estar disponivel sempre q requisitada pelos usuarios;
    Autenticidade: a garantia da identidade dos individuos com quem nos comunicamos(por meio de assinatura digital);
    Os principios anteriores garantem a:
    Confiabilidade: a informação e confiavel
    Irretratabilidade(nao repudio): o usuario nao podera negar falsamente a autoria da informação. 
    Privacidade: a informacao nao eh de dominio publico.

    Do q se concluir q 'A' eh a correta.
ID
442753
Banca
CESPE / CEBRASPE
Órgão
TCE-TO
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale a opção correta, acerca da legislação relativa à segurança dos sistemas de informação.

Alternativas
Comentários
  • a) A Lei 8.666/93 é a Lei de Licitações. A Lei a que se refere a assertiva é a 9.296/96 que regulamenta o inciso XII, parte final, do art. 5° da Constituição Federal.
    b) A Lei 8.112/90 enquadra como ilícito administrativo a revelação de segredo da repartição, cuja sanção aplicável não pode ser a demissão. Art. 132 inciso IX;
    c) Para o Código Penal o conceito de servidor público exclui inclui as pessoas que trabalham em empresas contratadas ...
    d) o Decreto 3.505/2000 Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal, apenas, não inclui a Estadual e/ou Minicipal.
    e) CORRETA.
  • O erro da letra B é que ele afirma que a revelação de segredo da repartição se enquadra como ilícito administrativo, e isso é incorreto, como exposto abaixo:

    Lei 8112/90

    Art. 132 - A demissão será aplicada nos seguintes casos:
    IX - revelação de segredo do qual se apropriou em razão do cargo
ID
459349
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Segundo a norma ISO/IEC 17799, são ativos de informação:

Alternativas
Comentários
  • 7.1.1 Inventário dos ativos
    ...
    Informações adicionais
    Existem vários tipos de ativos, incluindo:
    a) ativos de informação: base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas;
    b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;
    c) ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos;
    d) serviços: serviços de computação e comunicações, utilidades gerais, por exemplo aquecimento, iluminação, eletricidade e refrigeração;
    e) pessoas e suas qualificações, habilidades e experiências;
    f) intangíveis, tais como a reputação e a imagem da organização.
  • O ponto chave da questão é o termo "Ativos de Informação". Todas as alternativas, com exceção da C, apresentam ativos físicos, como roteadores, switches, etc, fugindo o conceito de Informação.

  • Ativo pode ser considerado como qualquer coisa que tenha valor para a organização.

    A alternativa que melhor se encaixa é a "c) banco de dados e arquivos de dados; documentação de sistemas; planos de continuidade."

  • Prezados , segundo a ISO 27002 , ativos são qualquer coisa que tenha valor para a organização.

    Na seção de Gestão de ativos, no controle 7.1.1 Inventário dos ativos, a ISO cita que existem vários tipos de ativos, incluindo:

    a) ativos de informação: base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas;

    b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;

    c) ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos;

    d) serviços: serviços de computação e comunicações, utilidades gerais, por exemplo aquecimento, iluminação, eletricidade e refrigeração;

    e) pessoas e suas qualificações, habilidades e experiências;

    f) intangíveis, tais como a reputação e a imagem da organização.

    Vemos que a questão limitou a questão perguntando especificamente exemplos de ativos de informação.


    A alternativa correta é : C.


ID
459658
Banca
CESPE / CEBRASPE
Órgão
HEMOBRÁS
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de segurança da informação, julgue os próximos itens.

A norma ISO/IEC 17799 estabelece a criação de um sistema de gestão da segurança da informação.

Alternativas
Comentários
  • A questão descreve a ISO 27001. Para fins de estudo, as demais normas são:
     
              -27001 -Requisitos e Especificações SGSI 
              -27002 -Código de prática para GSI 
              -27003 -Guia de implantação do SGSI
              -27004 -Gestão do SI - Medição
              -27005 -Gestão de riscos de SI 
              -27006 -Req para corpo de auditoria e certificação de SGSI 
              -27007 -Diretrizes para auditoria de SGSI
  • Errado.

    O erro da questão está em: "estabelece a criação"

    A Norma ABNT NBR ISO/IEC-17799 estabelece as diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Também pode ser utilizada como um guia prático para desenvolver os procedimentos de segurança da informação da organização.

    Fonte: http://pt.wikipedia.org/wiki/ISO/IEC_17799
ID
480127
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre o uso e gerenciamento de senhas como parte da política de controle de acesso, é correto afirmar que

Alternativas
Comentários
  • os privilégios de acesso por meio de senha devem estar restritos à necessidade real de cada usuário ou grupo de usuários, tanto para acesso à rede quanto aos sistemas e ao banco de dados.
    CORRETO.

    uma forma de garantir o comprometimento dos colaboradores em manter a confidencialidade da senha é incluir uma cláusula no termo de confidencialidade dessas senhas, apesar desse procedimento não ser juridicamente legal.

    ainda não estão disponíveis tecnologias mais seguras para substituir o uso exclusivo da senha digitada.
    Biometria é uma possibilidade de tecnologia mais eficaz.

    a prática dos colaboradores emprestarem senhas, conduzidos pelo processo de negócio, sistema de informação ou sistema operacional da rede, é sinal de que uma nova Política de Segurança deve ser criada.
    Achei esta incorreta mas não sei explicar. Tá meio confuso.

    uma senha temporária deverá ser alterada quando o colaborador achar necessário.
  • Sobre a alternativa d): Acredito que não se justifica ter que criar uma nova PSI inteira por causa de falha na implementação de um controle. Seria o caso de analisar, revisar e sugerir mudaças para este controle e os seus relacionados apenas.
  • Sobre a alternativa D)

    Este fato mostra que a política de conscientização não está bem disciminado na empresa. O que se faz nesses casos são eventos com os setores da empresa explicando as implicações que esse tipo de atitude pode causar. Ou ainda, afixação das regras da política em locais visíveis ou mesmo o envio de tempos em tempos da política de segurança da empresa.

    Não se justifica de forma nenhuma o trabalho de refazer uma nova política, pois pode incorrer no mesmo problema se o staff da empresa não estiver conscientizado.

    Bons estudos.
  • Sobre a alternativa E.

    Segundo a ISO 27002,p.89,seção 11.3.1, "Convém que todos os usuários sejam informados para: f)  modificar senhas temporárias no primeiro acesso ao sistema."

    Fonte: ISO 27002
ID
480133
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Ao escrever e implementar uma política se segurança da informação, a organização cria mecanismos para orientar o comportamento das pessoas, o que se dará pela imposição de restrições e pela determinação de condutas obrigatórias. Apesar da melhor das intenções, os direitos das pessoas, de outras organizações e mesmo do Estado, poderão ser infringidos inadvertidamente. Ao se definir uma política de segurança da informação, no que diz respeito à legislação, é INCORRETO afirmar:

Alternativas
Comentários
  • Item 15.1.4 da ISO 27002: Proteção de dados e privacidade de informações pessoais

    "Convém que a privacidade e a proteção de dados sejam asseguradas conforme exigido nas legislações, regulamentações e, se aplicável, nas cláusulas contratuais pertinentes."

    Está errado em dizer: "em hipótese alguma"
  • Só completanto o comentário do colega, as informações dos colaboradores, fornecedores e clientes devem ser protegidas, mas caso haja uma ordem judicial compelindo a organização a entregar as informações, as informações devem ser entregues.
ID
495883
Banca
FUMARC
Órgão
BDMG
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Analise as seguintes afirmativas sobre política de segurança da informação e classificação da informação.

I. Todas as informações e ativos associados com os recursos de processamento da informação devem ter um “proprietário” designado por uma parte definida da organização. O termo “proprietário” não significa que a pessoa realmente tenha direito de propriedade pelo ativo.

II. Um documento da política de segurança da informação deve ser aprovado pela direção, mas deve ser mantido em sigilo em relação aos funcionários e partes externas relevantes.

III. A informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização. A classificação da informação deve ser instituída por uma política.

Marque a alternativa CORRETA:

Alternativas
Comentários
  • Com certeza o gabarito está errado.
    Não tem condições da alternativa II estar certa, tendo em vista que afirma que a política de segurança da informação deve ser mantida em sigilo em relação aos funcionários.
    Por exclusão a única alternativa possível é a B
  • Concordo contigo ML.

    No item 5.1.1 da norma está escrito o seguinte:

    "(...) Convém que um documento da política de segurança da informação seja aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes (...)"

    A única alternativa correta é a B.

  • Concordo, o gabarito deve está errado. Opção B.

    Política de segurança deve ser comunicada a todos os envolvidos. Senão não será aplicada.
     

  • também concordo com os colegas
  • I. Todas as informações e ativos associados com os recursos de processamento da informação devem ter um “proprietário” designado por uma parte definida da organização. O termo “proprietário” não significa que a pessoa realmente tenha direito de propriedade pelo ativo. 

    CORRETO.

    Isso está no item 7.1.2 da norma ISO 17799. 

    O controle:

    "Convém que as informações e ativos associados com os recursos de processamento da informação tenham um proprietário designado por uma parte da organização".

    A diretriz: 

    para esse proprietário serão dadas as responsabilidades de assegurar que as informações e os ativos associados aos recursos de processamento da  informação estejam adequadamente classificados.

    Definir periodicamente e analisar criticamente as classificações e restrições de acesso, levando em conta as políticas de controle de acesso.

    O proprietário pode ser designado para:

    a) Um processo de negócio
    b) Um conjunto de atividades definidas
    c) Uma aplicação
    d) Um conjunto de dados definidos

    As tarefas podem ser delegadas porém as responsabilidades permanecem com o proprietario.

    No final a norma diz que o termno "proprietário" não significa que a pessoa tenha realmente direitos de propriedade sobre o ativo de TI.

    II. Um documento da política de segurança da informação deve ser aprovado pela direção, mas deve ser mantido em sigilo em relação aos funcionários e partes externas relevantes. 

    CONTROVERSO.

    Conforme ML mencionou, a norma ressalta:

    No item 5.1 da norma 17799 temos que O DOCUMENTO da política de segurança da informação seja aprovado pela direção, publicado e COMUNICADO A TODOS OS FUNCIONARIOS e PARTES EXTERNAS RELEVANTES.

    III. A informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização. A classificação da informação deve ser instituída por uma política. 

    CORRETO.

    A norma retrata no item 7.2.1 Recomendações para a classificação

    "Convém que a informação seja classificada em termos de seu valor, requisitos legais, sensibilidade e criticidade para a organização"

    Ainda relacionado ao proprietario do ativo, a norma afirma que que é do proprietário desse ativo a responsabilidade de classificar este ativo.

    O nível de proteção pode ser classificado analisando a confidencialidade, integridade e disponibilidade de uma informação.
  • Olá, pessoal!

    O gabarito foi atualizado para "B", conforme edital publicado pela banca e postado no site.

    Bons estudos!
  • Quando um gabarito é mudado aqui, as estatísticas da questão e dos usuários são mudadas?
  • Pergunta interessante Tiago.
ID
595894
Banca
FESMIP-BA
Órgão
MPE-BA
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com base nos conhecimentos sobre a norma ABNT ISO/IEC 17799:2005, pode-se afirmar que os conceitos de evento e de incidente de Segurança da Informação estão indicados em

Alternativas
Comentários

  • Letra C

ID
599785
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Conforme a NBR/ISO 27002, o objetivo da Política de Segurança da Informação é

Alternativas
Comentários
  • Texto transcrito diretamente da Norma.
    Sessão 5.1 - Política de Segurança da Informação
    Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes.

    Convém que a direção estabeleça uma clara orientação da política, alinhada com os objetivos do negógio e demontre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização.


    ABNT NBR ISO/IEC 27002 - pag. 08

  • CONFORME A VERSÃO DE 2013 DA ISO 27002,

    "5
    Políticas de segurança da informação
    5.1
    Orientação da direção para segurança da informação
    Objetivo: Prover uma orientação e apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes."

  • Por que mesmo que a letra A estaria errada?

ID
622153
Banca
CESPE / CEBRASPE
Órgão
CBM-DF
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, referentes à gestão de segurança da
informação.

Uma política de segurança da informação deve ser elaborada a partir do posicionamento da administração superior, e sua formulação deve especificar detalhadamente processos, procedimentos e ferramentas a serem utilizados.

Alternativas
Comentários
  • Errado.
    Independentemente do posicionamento superior, seja empresa ou qualquer outro tipo de organização, a segurança da informação tem seus próprios
    pilares, suas diretrizes e objetivos. Não importa o posicionamento, filosofia ou cultura, os princípios permanecerão voltados à "segurança da informação"

    BONS ESTUDOS!
  • Ao meu ver, o erro da questão está em: e sua formulação deve especificar detalhadamente processos, procedimentos e ferramentas a serem utilizados.

    A política da segurança da informação é uma declaração formal da empresa acerca de seu compromisso com a proteção das informações de sua propriedade e/ou sob sua guarda, devendo ser cumprida por todos os seus colaboradores. Seu propósito é estabelecer as diretrizes a serem seguidas pela empresa no que diz respeito à adoção de procedimentos e mecanismos relacionados à segurança da informação.
  • O nosso colega Alexandre está correto. O erro está em afirmar que a PSI deve especificar detalhadamente processos, procedimentos e ferramenta. Com certeza a PSI deve ser elaborada a partir do posicionamento da administração superior.
  • O nosso colega Luciano Bonilha está equivocado em sua afirmativa. A política de segurança da informaçao deve sim ser definida a partir de posicionamento da direção, porém, conforme bem observado pelos outros colegas essa política não deve ser detalhada como a questão diz ser.
  • Complementando os comentários dos colegas segue a definição de PSI segundo a IN 1 GSI/PR.

    Art. 2º Para fins desta Instrução Normativa, entende-se por:
     
    I - Política de Segurança da Informação e Comunicações: documento aprovado
    pela autoridade responsável pelo órgão ou entidade da Administração Pública
    Federal, direta e indireta, com o objetivo de fornecer diretrizes, critérios e suporte
    administrativo suficientes à implementação da segurança da informação e comunicações;
  • As ferramentas não. A política de segurança deve ser independente das ferramentas utilizadas.
  • A politica está no alto nível e fornece o que deve ser feito e não como fazer.
    • Politica de segurança (Constituição => Diretrizes, Estratégico)

    Abaixo da PSI está as:
    • Normas => Tática
    • Procedimentos = > Operacional

  • ERRADO. 

    Segundo Nakamura(2010,p.193),"Assim, a política de segurança não deve conter detalhes técnicos específicos de mecanismos a serem utilizados ou procedimentos que devem ser adotados por indivíduos particulares, mas, sim, regras gerais e estruturais que se aplicam ao contexto de toda a organização. 

    [...]

    Uma característica importante de uma política é que ela deve ser curta o suficiente para que seja lida e conhecida por todos os funcionários da empresa"

    Bibliografia:

    SEGURANÇA DE DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA

ID
630919
Banca
FCC
Órgão
TRE-PE
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

As políticas, normas e procedimentos de segurança da informação

Alternativas
Comentários
  • a) não necessitam do envolvimento da alta administração, já que é uma são responsabilidade de todos da área de TI.

    b) devem estar alinhadas com as estratégias de negócio da empresa, padrões e procedimentos já existentes. Correto

    c) devem ser incluidas, mas não limitado a concentradas exclusivamente em ações proibitivas e punitivas, para garantir a segurança dos recursos de informação e a responsabilização legal daqueles que infringirem as normas e procedimentos de segurança. Devem incluir ações preventivas e de melhoria, entre outras

    d) são criadas e implantadas pelo Comitê de Segurança da Informação, constituído não somente por na sua totalidade por profissionais das áreas administrativas e de Tecnologia da Informação.

    e) devem abranger todos os serviços e áreas da organização e ser implantadas em partes de uma única vez para minimizar a possível resistência de alguns setores da empresa.

  • Questão para ser feita na base da eliminação.

    Mas fiquei entre a B e D

    Como a letra D está muito exclusiva maquei B mesmo

ID
630922
Banca
FCC
Órgão
TRE-PE
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Analise:
I. Inserir dados falsos em sistema de informações (Artigo 313-A do Código Penal).
II. Entrar em rede corporativa e alterar informações sem autorização prévia (Artigo 313-B do Código Penal).
III. Interceptação de comunicação de informática sem autorização judicial ou com objetivos não autorizados em lei (Artigo 10 da Lei nº 9.296/96).
IV. Copiar um conteúdo e não mencionar a fonte, baixar arquivos de mídia que não possua controle de direitos autorais (Artigo 139 do Código Penal).
No que se refere a crimes eletrônicos, está correto o que consta em

Alternativas
Comentários
  • Na minha opinião, somentre o item III está de fato correto. Os itens I e II, apesar de conterem a ideia do crime, do jeito que estão escritos na questão, não contemplam o tipo penal constante da lei, já que o artigo 313-A é explícito em dizer que se refere a "sistemas informatizados ou bancos de dados da Administração Pública". O 313-B não é tão explícito mas diz que o crime se dá "sem autorização ou solicitação de autoridade competente" então, também se refere à Administração.
  • O Artigo 139 do Código Penal trata os crimes de difamação. Não tem nada haver com direitos autorais.

  • Decoreba inútil!

ID
642292
Banca
FCC
Órgão
TCE-PR
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Convém que o documento da política da segurança da informação contenha, entre outras coisas, uma breve explanação das políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização, incluindo:

I. Conformidade com a legislação e com requisitos regulamentares e contratuais.

II. Gestão da continuidade do negócio.

III. Requisitos de conscientização, treinamento e educação em segurança da informação.

IV. Consequências das violações na política de segurança da informação.

Está correto o que se afirma em

Alternativas
Comentários
  • Letra nua e crua do item 5.1.1-d da ISO 27002.
  • Convém que o documento da política expresse as preocupações da direção e estabeleça as linhas-mestras para a gestão da segurança da informação. No mínimo, convém que as seguintes orientações sejam incluídas:

    a) definição de segurança da informação, resumo das metas e escopo e a importância da segurança como um mecanismo que habilita o compartilhamento da informação;

    b) declaração do comprometimento da alta direção, apoiando as metas e princípios da segurança da informação;

    c) breve explanação das políticas, princípios, padrões e requisitos de conformidade de importância específica para a organização, por exemplo:
    1) conformidade com a legislação e cláusulas contratuais;
    2) requisitos na educação de segurança;
    3) prevenção e detecção de vírus e software maliciosos;
    4) gestão da continuidade do negócio;
    5) conseqüências das violações na política de segurança da informação;

    d) definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança;

    e) referências à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que convém que os usuários sigam.
ID
647614
Banca
FCC
Órgão
TCE-AP
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 17799:2005 é correto afirmar:

Alternativas
Comentários
  • ISO/IEC 17799 foi atualizada para numeração ISO/IEC 27002 em julho de 2007

    A) Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta Norma provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação.

    After the introductory sections, the standard contains the following twelve main sections:

    1. Risk assessment
    2. Security policy - management direction
    3. Organization of information security - governance of information security
    4. Asset management - inventory and classification of information assets
    5. Human resources security - security aspects for employees joining, moving and leaving an organization
    6. Physical and environmental security - protection of the computer facilities
    7. Communications and operations management - management of technical security controls in systems and networks
    8. Access control - restriction of access rights to networks, systems, applications, functions and data
    9. Information systems acquisition, development and maintenance - building security into applications
    10. Information security incident management - anticipating and responding appropriately to information security breaches
    11. Business continuity management - protecting, maintaining and recovering business-critical processes and systems
    12. Compliance - ensuring conformance with information security policies, standards, laws and regulations
    Within each section, information security controls and their objectives are specified and outlined. The information security controls are generally regarded as best practice means of achieving those objectives. For each of the controls, implementation guidance is provided.
  • Item c
    Incidente de segurança da informação: um incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

    Item d
    Gestão de Riscos: atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos. NOTA: A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos.

    Item e
    Estrutura da Norma: A norma contém 11 seções de controles de segurança, totalizando 39 categorias (objetivos de controle/segurança) principais de segurança e uma seção introdutória que aborda a análise/avaliação e o tratamento de riscos. Ao todo, a norma apresenta 133 controles de segurança.

    Fonte: Material do Prof. Gleyson Azevedo

  • Gostaria de acrescentar um comentário em relação ao item b.

    b) Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados exclusivamente por meio da classificação das informações.

    Os requisitos são identificados através de 3 fontes:


    •análise/avaliação de riscos;
    •legislaçãovigente, estatutos, regulamentação, cláusulas contratuais;
    •conjunto de princípios, objetivose requisitos de negócios.


     
  • Me corrigam por favor! Mas o conceito vículado na letra A não está voltado a Norma ISO/IEC 27001 o qual foca Gestão?
  • Fiz a mesma pergunda do comentário acima do colega ao responder essa quesão. Pelo que estudei as normas gerais são estabelecidas na 27001, onde estabelecem os requisitos que DEVEM ser seguidos para estar em conformidade com a norma.

    Jà na 27002, define aspectos que CONVEM serem seguidos, são PRATICAS de segurança, e não normas gerais.

    Porém como todas as demais alternativas estavam erradas, só restava mesmo a letra A). Bem típico da FCC, não pode se atentar ao preciosismo ao responder as questões,

  • Sobre a letra A e B.

    Segundo a ISO 27002,P.13,

    "

    1 Objetivo

    A)Esta Norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta Norma provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação.

    B) Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados por meio da análise/avaliação de riscos."

  • IIManMe

  • Igual a questão http://www.questoesdeconcursos.com.br/questoes/31bf5781-83

  •  ctrl c + ctrl v  Norma ISO 27002

  • Segundo a ISO 27002:2013,"1 Escopo

    Esta Norma fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização."

ID
659980
Banca
FCC
Órgão
TRE-CE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Ao elaborar e comunicar uma Política de Segurança da Informação - PSI é necessário usar uma linguagem conhecida e meios adequados aos tipos de mensagens e usuários; adotar estilo simples e claro; respeitar o inter- locutor sem superestimá-lo nem subestimá-lo; respeitar a cultura organizacional e a do país a que se destina. Nesse sentido, é correto concluir que tal afirmação

Alternativas
Comentários
  • Letra C é a correta.
    Vejamos o que a ISO 27002 fala sobre a PSI:

    "Objetivo: Prover uma orientação e apoios da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes.
     [...]
    Convém que a PSI seja comunicada através de toda a organização para os usuários de forma que seja relevante, acessível e compreensível para o leitor em foco."

  • LETRA C. Complemento em outras palavras.

    Segundo Nakamura(2010,p.189),"Assim, a política de segurança  trata dos aspectos humanos,culturais e tecnológicos de uma organização,levando também em consideração os processos e os negócios,além da legislação local. É com base nessa política de segurança que as diversas normas e os vários procedimentos devem ser criados."

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-2010-NAKAMURA

ID
665866
Banca
FUNCAB
Órgão
MPE-RO
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

São algumas características e elementos de uma boa política de segurança da informação (PSI), EXCETO:

Alternativas
Comentários
  • Segundo a norma 27002 a PSI deve ser conhecida por todos e apoiada pela alta direção
  • resposta b,divulgação restrita moderada pelas normas , conforme norma 27002.
ID
677944
Banca
FEC
Órgão
DETRAN-RO
Ano
2007
Provas
Disciplina
Segurança da Informação
Assuntos

Na configuração e segurança do sistema de arquivos, o Netware utiliza três login scripts. O login script que é executado quando NÃO existe um login script criado pelo administrador é

Alternativas
ID
695242
Banca
FCC
Órgão
TRF - 2ª REGIÃO
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos controles e à política de segurança da informação de uma organização, analise:

I. A distribuição de diretrizes e normas sobre a política de segurança da informação para todos os gerentes, funcionários e outras partes envolvidas é um fator crítico para o sucesso da implementação da segurança da informação em uma organização.

II. A segurança da informação é obtida a partir da implementação de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.

III. Uma política de segurança da informação que reflita os objetivos do negócio, apesar de importante, não representa um fator crítico para o sucesso da implementação da segurança da informação dentro de uma organização.

IV. Um controle é uma forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal.

Está correto o que consta em

Alternativas
Comentários
  • Creio que o erro seja apenas a parte que está destacada
    III. Uma política de segurança da informação que reflita os objetivos do negócio, apesar de importante, não representa um fator crítico para o sucesso da implementação da segurança da informação dentro de uma organização.

    Os outros itens estão corretos. Espero ter ajudado.

  • Corrigindo a III conforme a ISO 27002.

    Segundo a ISO 27002,"

    0.7 Fatores críticos de sucesso

    A experiência tem mostrado que os seguintes fatores são geralmente críticos para o sucesso da implementação da segurança da informação dentro de uma organização:

    a) política de segurança da informação, objetivos e atividades, que reflitam os objetivos do negócio;

    "


    **Portanto, o erro da alternativa III está em afirmar que a PSI(Política de Segurança da Informação) não constitui um fator crítico de sucesso, quando na verdade, além de ser de suma importância a elaboração e manutenção da PSI, ela também é um fator crítico para garantir a segurança da informação organizacional.