SóProvas



Prova CESPE - 2012 - Banco da Amazônia - Técnico Científico - Segurança da Informação


ID
770671
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de gestão de segurança da informação, seus conceitos e definições, julgue os itens que se seguem.


A atividade de avaliação de riscos em segurança da informação consiste na identificação de fontes e estimativas de riscos por meio do uso sistemático de informações, obtidas mediante observação.

Alternativas
Comentários
  • ERRADA. A questão trata da ANÁLISE DE RISCO:

    1 - ANÁLISE DE RISCO: Uso sistemático de informações para identificar fontes e estimar o risco. Estimar a magnitude dos riscos.
    2 - AVALIAÇÃO DE RISCOS: Comparar o risco estimado com critérios de risco pré-definidos para determinar a importância do risco. 
    3 - GESTÃO DE RISCOS: Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos.
    4 - TRATAMENTO DOS RISCOS: Processos de seleção e implementação de medidas para modificar um risco.
  • Na verdade o examinador quis confundir o Processo de Avaliação( Alguns autores o chamam de Avaliação/Análise), que envolve a Identificação, a Análise e a Avaliação dos riscos, com a Atividade de Avaliação propriamente dita.
  • Dá para matar essa questão com o trecho abaixo da norma ISO 27005,  OU com trecho da norma 27002 logo mais abaixo.

    ------------------ISO 27005------------------

    "

    8 Análise/avaliação de riscos de segurança da informação

    8.1 Descrição geral do processo de análise/avaliação de riscos de segurança da informação

    Diretrizes para implementação:

    A análise/avaliação de riscos consiste nas seguintes atividades:

     - Análise de riscos (Seção 8.2) compreende:

                   *Identificação de riscos (Seção 8.2.1)

                   *Estimativa de riscos (Seção 8.2.2)

     - Avaliação de riscos (Seção 8.3)"

    ------------------------ISO 27002----------------------------

    "2. Termos e Definições

    2.10

    análise de riscos: uso sistemático de informações para identificar fontes e estimar o risco

    [ABNT ISO/IEC Guia 73:2005]"


  • Mais um trecho da norma ISO 27002 que pode ser usado para matar esta questão.

    Segundo a ISO 27002,"

    4 Análise/avaliação e tratamento de riscos

    4.1 Analisando/avaliando os riscos de segurança da informação


    Convém que a análise/avaliação de riscos inclua um enfoque sistemático de estimar a magnitude do risco (análise de riscos) e o processo de comparar os riscos estimados contra os critérios de risco para determinar a significância do risco (avaliação do risco). "


ID
770674
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Um incidente, também conhecido como evento de segurança da informação, é definido como a ocorrência de uma situação inesperada, com a qual a organização não estava preparada para lidar

Alternativas
Comentários
  • ERRADO.

    Segundo a ISO 27002,"2.6

    evento de segurança da informação:ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.

    2.7

    incidente de segurança da informação:um incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação."

    **Portanto, eventos e incidentes de segurança da informação são conceitos distintos.



  •  Somente esse trecho já invalida a proposição "Um incidente, também conhecido como evento de segurança da informação" pois incidente e evento são diferentes.

  • Incidente de segurança da informação: é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

     

    Evento de segurança da informação: ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.

     

    *** Eventos e Incidentes de segurança da informação são conceitos distintos. ***

    Sempre tem dessa em provas que solicitam conhecimento em ISO 27002,27001.

     

    Fonte: 27002

     

     


ID
770677
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança da informação pode ser entendida como uma atividade voltada à preservação de princípios básicos, como confidencialidade, integridade e disponibilidade da informação

Alternativas
Comentários
  • CORRETA!

    Porém está faltando o princípio da AUTENTICIDADE.

    DISPONIBILIDADE
    Garante que uma informação estará disponível para acesso no momento desejado. Diz respeito à eficácia do sistema, ao correto funcionamento da rede para que quando a informação for necessária ela poderá ser acessada. A perda da disponibilidade se dá quando se tenta acessar uma informação e não se consegue o acesso esperado.

    INTEGRIDADE: 
    Garante que o conteúdo da mensagem não foi alterado ou violado indevidamente. Ou seja, mede a exatidão da informação e seus métodos de modificação, manutenção, validade. Há perda da integridade quando a informação é alterada indevidamente ou quando não se pode garantir que a informação é a mais atualizada, por exemplo.

    CONFIDENCIALIDADE: 
    Garantir que a informação só será acessível por pessoas autorizadas. A principal forma de garantir a confidencialidade é por meio do controle de acesso (autenticação), já que este controle garante que o conteúdo da mensagem somente será acessado por pessoas autorizadas. A confidencialidade (privacidade) se dá justamente quando se impede que pessoas não autorizadas tenham acesso ao conteúdo da mensagem. Refere-se à proteção da informação contra a divulgação não permitida. A perda da confidencialidade se dá quando alguém não autorizado obtém acesso a recursos/informações.

    AUTENTICIDADE
    Garante a identidade de quem está enviando a informação, ou seja, gera o não-repúdio que se dá quando há garantia de que o emissor não poderá se esquivar da autoria da mensagem (irretratabilidade). Normalmente não entre como um dos pilares da segurança da informação, mas fica aqui para fechar o mnemônico DICA.

  • Faltando também o não redúdio...

  • CERTO

     

     

    MACETE: DICA

     

     

    D-----> Disponibilidade

     

     

    I-----> Integridade

     

     

    C-----> Confidencialidade

     

     

    A-----> Autenticidade

     

     

     

    OBS: Questão incompleta  das CESPE não descarateriza como certa.

     

     

     

    Deus é Fiel!!!    Bons Estudo!

  • Gabarito Certo

    Portanto os atributos básicos da segurança da informação, segundo os padrões internacionais (ISO/IEC 17799:2005) são os seguintes:

    Confidencialidade: propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação;

    Integridade: propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (Corrente, intermediária e permanente). O ciclo de vida da informação orgânica - criada em ambiente organizacional - segue as três fases do ciclo de vida dos documentos de arquivos; conforme preceitua os canadenses da Universidade do Quebec (Canadá): Carol Couture e Jean Yves Rousseau, no livro Os Fundamentos da Disciplina Arquivística;

    Disponibilidade: propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação;

    Autenticidade: propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de mutações ao longo de um processo;

    Irretratabilidade ou não repúdio: propriedade que garante a impossibilidade de negar a autoria em relação a uma transação anteriormente feita;

    Conformidade: propriedade que garante que o sistema deve seguir as leis e regulamentos associados a este tipo de processo.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Doutrina CESPE, "questão incompleta é questão certa".

    Senão vier com o SOMENTE,APENAS,EXCLUSIVAMENTE amigão, já era !

  • Minha contribuição.

    Segurança da Informação: proteção de informações e de sistemas de informação contra acesso, uso, divulgação, interrupção, modificação ou destruição não autorizados. Conjunto de estratégias para gerenciar processos, ferramentas e políticas necessárias, a fim de prevenir, detectar, documentar e combater ameaças às informações organizacionais.

    Princípios: CIDA + Não repúdio

    Confidencialidade

    Integridade

    Disponibilidade

    Autenticidade

    +

    Não repúdio

    Fonte: Estratégia

    Abraço!!!

  • Falou em: "os pilares / as propriedades fundamentais / as propriedades básicas / os princípios / a tríade" , tem-se o CID:

    Confidencialidade

    Integridade

    Disponibilidade

    * A banca pode trocar os conceitos do CID, por isso é necessário manter-se atento.


ID
770680
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Ativo, em segurança da informação, refere-se aos itens financeiros que precisam ser protegidos, pois representam valor para a organização e devem ser preservados.

Alternativas
Comentários
  • Ativo não é somente itens financeiros. Na segurança da informação os tipos de ativos são:

    Ativos de informação => Base de dados, documentos, arquivos, etc..
    Ativos de software => Aplicativos sistemas, etc...
    Ativos físiscos => Equipamentos computacionais, mídias removiveis, etc...
    Serviços => Serviços de computação e comunicação ,etc...
    Pessoas e suas qualificações => habilidades, experiências, etc...
    Intangiveis => Reputação e imagem da empresa.
  • Segundo a ISO 27002,"

    2 Termos e definições

    Para os efeitos desta Norma, aplicam-se os seguintes termos e definições.

    2.1

    ativo:qualquer coisa que tenha valor para a organização

    "

    ----------------------------------

    Segundo a ISO 27005,"8.2.1.2 Identificação dos ativos

    Um ativo é algo que tem valor para a organização e que, portanto, requer proteção. Para a identificação dos ativos convém que se tenha em mente que um sistema de informação compreende mais do que hardware e software."

  • A interpretação que tive foi que itens financeiros englobasse qualquer coisa com  relevância na organização. 

    E tem coisa mais importante numa organização que ativos ?

    não captei...

  • Ativo não é somente itens financeiros. Na segurança da informação os tipos de ativos são:

    Ativos de informação => Base de dados, documentos, arquivos, etc..

    Ativos de software => Aplicativos sistemas, etc...

    Ativos físiscos => Equipamentos computacionais, mídias removiveis, etc...

    Serviços => Serviços de computação e comunicação ,etc...

    Pessoas e suas qualificações => habilidades, experiências, etc...

    Intangiveis => Reputação e imagem da empresa.

    Do Pedro de Freitas :)


ID
770683
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de aspectos gerais da norma ABNT NBR ISO/IEC27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre que empregada, refere-se a sistema de gestão da segurança da informação.

A respeito de aspectos gerais da norma ABNT NBR ISO/IEC 27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre que empregada, refere-se a sistema de gestão da segurança da informação


De acordo com a referida norma, a exclusão de qualquer critério de aceitação dos riscos deve ser feita mediante justificativa e evidências de que os riscos serão aceitos pelas pessoas responsáveis por eles.

Alternativas
Comentários
  • 1. Objetivo
    1.2 Aplicação
    "Qualquer exclusão de controlesconsiderados necessários para 
    satisfazer aos critérios de aceitação de riscos precisa ser justificadae 
    as evidências de que os riscos associados foram aceitos pelas pessoas 
    responsáveis precisam ser fornecidas. "

    27001
  • A norma no item 1.2 Aplicação diz que "... a exclusão de qualquer controles considerados necessários para satisfazer critérios de aceitação precisa ser justificada e as evidências que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas..."

    Como o item não menciona os controles e sim os critérios de aceitação dos riscos fiquei em dúvida e pensei assim:

    Item 4.2.1 c - afirma que é um requisito da norma "desenvolver critérios de aceitação de riscos..."
    e voltando no 1.2 - a norma afirma que "qualquer exclusão dos requisitos ... não é aceitável quando reivindicado a conformidade com a norma"

    Logo não interpretei como a exclusão do requisito possa ser justificada ou precise ser justificada, pois simplesmente não serão aceitos os pedidos de conformidade, mas se esse não é o objetivo a organização pode ter seu próprio SGSI da maneira que achar melhor.

    Se alguém puder contribuir...


  • Marquei ERRADO sem pensar, pois a questão falou sobre "qualquer critério de aceitação dos riscos" e não "controle dos riscos"
    Faz parte
  • Essa questão concerteza cabe recurso, pois o texto é claro "1.2 Aplicação...Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação" .   Meus amigos, os critérios de aceitação são os requisitos e estes não podem ser excluídos em hípotese alguma. Para que a organização reivindique a certificação é necessário estar em conformidade com todos os requisitos que a Norma estabelece. Logo a questão está ERRADA.
  • Prezados ,

    Segundo a ISO 27001, ao estabelecermos o SGSI , devemos definir uma abordagem de análise/avaliação de riscos da organização, e desenvolver critérios para a aceitação de riscos e identificar os níveis aceitáveis de risco ( página 5 ) .

    A norma também fala que qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. Onde quaisquer controles sejam excluídos, reivindicações de conformidade a esta Norma não são aceitáveis, a menos que tais exclusões não afetem a capacidade da organização, e/ou responsabilidade de prover segurança da informação que atenda os requisitos de segurança determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis.

    O que a questão quis fazer foi confundir o candidato, pois segundo a norma a exclusão de qualquer REQUISITO não é aceitável, enquanto a exclusão de controles e critérios de aceitação dos riscos, é aceitável desde que justificada e devidamente aprovada.


    a alternativa correta é : CERTO.

  • Achei que a questão estivesse errada.

  • Realmente não vejo como critérios de aceitação podem ser excluídos, uma vez que aceitar o risco e, por sua vez, excluir o controle, eu devo ter um critério estabelecido para tal, acredito eu.


ID
770686
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de aspectos gerais da norma ABNT NBR ISO/IEC27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre que empregada, refere-se a sistema de gestão da segurança da informação.

A abordagem em processo tem como ponto de partida a visão da gestão da segurança como um ciclo PDCA.

Alternativas
Comentários
  • Segundo a ISO 27001,"

    0.2 Abordagem de processo

    Esta Norma promove a adoção de uma abordagem de processo para estabelecer e implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI de uma organização.

    [...]Esta Norma adota o modelo conhecido como "Plan-Do-Check-Act” (PDCA), que é aplicado para estruturar todos os processos do SGSI. "

    SGSI= Sistema de Gestão de Segurança da Informação

  • Ciclo PDCA

     

    Plan (Planejar):

    -  Estabelecer o contexto;

    -  Avaliação dos riscos;

    -  Desenvolver plano de tratamento dos riscos;

    -  Aceitação dos riscos. 

    Do (Fazer):

    - Implementar o plano de tratamento dos riscos. 

    Check (Checar):

    - Monitoração e revisão contínua dos riscos. 

    Act (Agir):

    - Manter e melhorar o processo de gerenciamento dos riscos de segurança da informação

  • Gabarito Certo

    PDCA (do inglês: PLAN - DO - CHECK - ACT ou Adjust) é um método iterativo de gestão de quatro passos, utilizado para o controle e melhoria contínua de processos e produtos. É também conhecido como o círculo/ciclo/roda de Demingciclo de Shewhartcírculo/ciclo de controle, ou PDSA (plan-do-study-act). Outra versão do ciclo PDCA é o OPDCA, onde a letra agregada "O" significa observação ou como algumas versões dizem "Observe a situação atual". Esta ênfase na observação e na condição atual é utilizada frequentemente na produção enxuta (Lean Manufacturing / Toyota Production System) do Sistema Toyota de Produção.

    É uma ferramenta baseada na repetição, aplicada sucessivamente nos processos buscando a melhoria de forma continuada para garantir o alcance das metas necessárias à sobrevivência de uma organização. Pode ser utilizada em qualquer ramo de atividade, para alcançar um nível de gestão melhor a cada dia. Seu principal objetivo é tornar os processos da gestão de uma empresa mais ágeis, claros e objetivos. Segundo Vieira Filho “Esse método é largamente utilizado na busca da melhoria continua tão necessária para o sucesso dos negócios.”

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
770689
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de aspectos gerais da norma ABNT NBR ISO/IEC27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre que empregada, refere-se a sistema de gestão da segurança da informação.

A mencionada norma está voltada para criação de um SGSI, no entanto ela não possui alinhamento com as normas ISO 9001 ou 140001, visto que estas se referem a sistemas de gestão da qualidade.

Alternativas
Comentários
  • Vide o anexo Anexo C da 27001 “Correspondência entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO 14001:2004 e esta Norma”. Tem-se nesse anexo a tabelaC.1, que contem a correspondência da 27001 com a ABNT NBR ISO 9001:2000 e a ABNT NBR ISO 14001:2004.
  • A Norma ABNT NBR ISO 14001:2004 trata: Sistemas de Gestão Ambiental - Requisitos com orientações para uso. Portanto a questão está ERRADA.
  • Não concordo com o gabarito, pois a questão faz referência a norma 140.001 e não a norma 14.001.

    Posso até está errado, mas pra mim são normas bem diferentes.
  • ERRADO. Possui alinhamento sim, e o correto é ISO 14001.

    Segundo a ISO 27001,"

    0.3 Compatibilidade com outros sistemas de gestão

    Esta Norma está alinhada às ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004 para apoiar a implementação e a operação de forma consistente e integrada com normas de gestão relacionadas. Um sistema de gestão adequadamente projetado pode, assim, satisfazer os requisitos de todas estas normas. A tabela C.1 ilustra a relação entre as seções desta Norma, da ABNT NBR ISO 9001:2000 e da ABNT NBR ISO 14001:2004."


ID
770692
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de aspectos gerais da norma ABNT NBR ISO/IEC27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre que empregada, refere-se a sistema de gestão da segurança da informação.

A respeito de aspectos gerais da norma ABNT NBR ISO/IEC 27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre que empregada, refere-se a sistema de gestão da segurança da informação.

Os requisitos propostos pela referida norma são especificados apenas para planejar e desenhar um SGSI em forma de projeto, pois sua implementação fica a cargo de outras normas mais específicas da série 27000.

Alternativas
Comentários
  • "Esta Norma (27001) foi preparada para prover um 
    modelo para estabelecer, implementar, 
    operar, monitorar, analisar criticamente, 
    manter e melhorar (EIOMAMM) um Sistema 
    de Gestão de Segurança da Informação 
    (SGSI)"
  • Uma característica fundamental de um projeto é o fato de ter começo, meio e fim, ou seja, é um esforço temporário. Um SGSI não se enquadra no conceito de projeto, mas sim de PROCESSO, pois é baseado no PDCA, que define um CICLO.
  • Ano: 2014
    Banca: CESPE
    Órgão: TJ-SE
    Prova: Analista Judiciário - Tecnologia da Informação




    Resolvi certo
    Considerando o que dispõe a NBR ISO/IEC 27001, julgue os próximos itens.

    Essa norma aborda o processo que estabelece, implementa, opera, monitora, analisa criticamente, mantém e melhora o sistema gestão de segurança da informação de uma organização.














    certa






    b
    Organizar os mecanismos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um sistema para gerência da segurança da informação (ISMS–Information Security Management System), sendo a norma usada como base para a certificação em segurança da informação.

  • Memorização:

     

    E IO MA MM

     

    Plan -  Estabelecer - Objetivos, processos e os procedimentos do SGSI

    Do - Implementar e Operar - política, os procedimentos, controles e processos do SGSI             ---------> RESPOSTA

    Check - Monitorar e Analizar - realizar auditorias e Medir o desempenho dos processos

    Act - Manter e Melhorar - com ações corretivas e preventivas o SGSI.

  • O erro da afirmação está na palavra -apenas-


ID
770695
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de aspectos gerais da norma ABNT NBR ISO/IEC27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre que empregada, refere-se a sistema de gestão da segurança da informação.

A melhoria contínua do SGSI, assim como a análise crítica de sua implementação, faz parte da etapa DO (fazer) do PDCA aplicado ao processo.

Alternativas
Comentários
  • A melhoria contínua do SGSI faz parte da etapa ACT (AGIR) do PDCA, correspondente a etapa de Manter e Melhorar o SGSI.
  • A norma adota um modelo conhecido como PDCA, aplicado para estruturar todos os processos do SGSI:
    • PLAN (Planejar) - Estabelecer a política de segurança da informação, os objetivos, processos e procedimentos do SGSI.
    • DO (Fazer) - Implementar e operar a política, os procedimentos, controles e processos do SGSI.
    • CHECK (Checar) - Monitorar, analisar criticamente, realizar auditorias e medir o desempenho dos processos.
    • ACT (Agir) - Manter e melhorar, por meio de ações corretivas e preventivas, o SGSI visando ao seu contínuo aperfeiçoamento.
    OBS.: Atenção  aos verbos em negrito relacionados com ao PDCA.

    Sendo assim: A melhoria contínua do SGSI se relaciona com o ACT e análise crítica de sua implementação se relaciona com o CHECK. Portanto questão errada!
  • Gabarito Errado

    O certo seria o CHECK !

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
770698
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de aspectos gerais da norma ABNT NBR ISO/IEC27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre que empregada, refere-se a sistema de gestão da segurança da informação.

A grande contribuição da norma citada é o fato de ela destinar-se a todos os tipos de organizações, em qualquer país, que possuam a tecnologia da informação como a sua atividade-fim.

Alternativas
Comentários
  • O erro esta em "que possuam a tecnologia da informação como a sua atividade-fim."

    A norma não faz esta restrição.
    Tem-se na norma:

    "1.2 Aplicação
    Os requisitos definidos nesta Norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza."
  • O texto não fala "só" para a tecnologia da informação, então isso não poderia deixa-lo errado. Eu fiquei confuso.

  • Também errei esta questão pelo mesmo motivo do colega Kaio Peixoto! Mas analisando-a friamente, o erro que eu cometi foi de PORTUGUÊS!!!


    Temos que a oração "que possuam a tecnologia da informação como a sua atividade-fim" é do tipo RESTRITIVA, uma vez que ela não é separada por vírgula de sua oração principal (basta retirar o aposto "em qualquer país"), logo pode-se inferir que trata-se sim de um "SÓ" ou "SOMENTE" implícito, o que invalidaria a questão.


    Pois é... TI também é português!!! :)


    GABARITO: ERRADO

  • É isso que dá ler no automático. Errei pelo mesmo motivo.

  • Algumas questões do CESPE tem "cheiro" de gabarito Errado. O caráter restritivo da redação da assertiva torna a informação incorreta, pois o conjunto de normas 2700x pode ser aplicada em empresas de vários setores e tamanhos. Gabarito, ERRADO. FFF

ID
770701
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos requisitos para o SGSI, de acordo com a ABNT NBR ISO/IEC 27001, julgue os itens de 61 a 65.


Para que a implementação e a operação do SGSI sejam feitas em conformidade com a norma em questão, as organizações devem definir como será medida a eficácia dos controles ou grupos de controles selecionados. Assim, será possível comparar ou reproduzir os resultados da implementação desses controles.

Alternativas
Comentários
  • Segundo a norma:

    4.2.2 Implementar e operar o SGSI
    A organização deve:
    d) Definir como medir a eficácia dos controles ou grupos de controles selecionados, e especificar como estas medidas devem ser usadas para avaliar a eficácia dos controles de modo a produzir resultados comparáveis e reproduzíveis.
  • No monitoramento e análise crítica é que será realmente medida a eficácia dos controles, na implementação e operação apenas será definida como medir.


ID
770704
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A documentação de um SGSI é um item de grande importância no processo, pois contém informações sobre todo o processo. Essa documentação é composta, entre outras, pela declaração da política e dos objetivos do SGSI, de seu escopo e dos procedimentos e controles que apoiam o SGSI.

Alternativas
Comentários
  • Segundo a norma:

    A documentação do SGSI deve incluir:
    a) declarações documentadas da política e objetivos do SGSI;
    b) o escopo do SGSI;
    c) procedimentos e controles que apoiam o SGSI;
    d) uma descrição da metodologia de análise/avaliação de riscos;
    e) o relatório de análise/avaliação de riscos;
    f) o plano de tratamento de riscos;
    g) procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, a operação e o controle de seus processos de segurança de informação e para descrever como medir a eficácia dos controles;
    h) registros requeridos por esta Norma; e
    i) a Declaração de Aplicabilidade.
  • Gabarito Certo

    Documentos e registros obrigatórios requeridos pela ISO 27001:2013

     

    Aqui estão os documentos que você precisará produzir se quiser estar em conformidade com a ISO 27001: (Por favor note que documentos do Anexo A são obrigatórios apenas se existirem riscos que requeiram a implementação deles.)

    Escopo do SGSI (cláusula 4.3)

    Política de segurança da informação e objetivos (cláusulas 5.2 e 6.2)

    Metodologias de análise e avaliação de risco e de tratamento de risco (cláusula 6.1.2)

    Declaração de aplicabilidade (cláusula 6.1.3 d)

    Plano de tratamento de risco (cláusulas 6.1.3 e e 6.2)

    Relatório de levantamento de riscos (cláusula 8.2)

    Definição de papéis e responsabilidades pela segurança (cláusulas A.7.1.2 e A.13.2.4)

    Inventário de ativos (cláusula A.8.1.1)

    Uso aceitável de ativos (cláusula A.8.1.3)

    Política de controle de acesso (cláusula A.9.1.1)

    Procedimentos operacionais para a gestão de TI (cláusula A.12.1.1)

    Princípios da engenharia de segurança de sistemas (cláusula A.14.2.5)

    Política de segurança para fornecedores (cláusula A.15.1.1)

    Procedimento para a gestão de incidentes (cláusula A.16.1.5)

    Procedimentos de continuidade de negócio (cláusula A.17.1.2)

    Requisitos estatutários, regulatórios e contratuais (cláusula A.18.1.1)

    E aqui estão os registros obrigatórios:

    Registros de treinamento, habilidades, experiências e qualificações (cláusula 7.2)

    Resultados de monitoramento e medição (cláusula 9.1)

    Programa de auditoria interna (cláusula 9.2)

    Resultados de auditorias internas (cláusula 9.2)

    Resultados de análises críticas pela direção (cláusula 9.3)

    Resultados de ações corretivas (cláusula 10.1)

    Registros de atividades de usuários, exceções e eventos de segurança (cláusulas A.12.4.1 e A.12.4.3)

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
770707
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Selecionar objetivos de controle e controles para o tratamento de riscos não é tarefa inerente ao estabelecimento do SGSI, pois essa atividade é própria do tratamento dos riscos, que é feito apenas após a ocorrência de eventos e incidentes.

Alternativas
Comentários
  • errado-
    ISO/IEC 27001 é um padrão para sistema de gestão da segurança da informação (ISMS - Information Security Management System)

    Esta norma foi elaborada para prover um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A especificação e implementação do SGSI de uma organização são influenciadas pelas suas necessidades e objetivos, exigências de segurança, os processos empregados e o tamanho e estrutura da organização.
  • Questão errada.

    A norma ISO 27002 deve: PROTEGER A INFORMAÇÃO por meio de CONTROLES ADEQUADOS(políticas, processo, procedimentos, estruturas organizacionais e funções de software e hardware) PARA ATENDER aos REQUISITOS IDENTIFICADOSpor meio de uma ANÁLISE/AVALIAÇÃO DOS RISCOS DA ORGANIZAÇÃO.
  • Questão errada.

    Selecionar objetivos de controle e controles para o tratamento de riscos não é tarefa inerente ao estabelecimento do SGSI, pois essa atividade é própria do tratamento dos riscos, que é feito apenas após a ocorrência de eventos e incidentes.

    Selecionar objetivos de controle e controles para o tratamento de riscos É tarefa inerente ao estabelecimento do SGSI.

    4. Sistema de Gestão de Segurança da Informação
    4.2 Estabelecendo e gerenciamendo o SGSI
    4.2.1 Estabelecer o SGSI
    4.2.1 f) Selecionar objetivos de controle e controles para o trtamento de riscos.

    fonte: ISO 27001, pag. 06
  • Outro erro (“brutal”) não comentado: “... que é feito apenas após a ocorrência de eventos e incidentes”.

    Bons estudos e sucesso, galera!
  • Tratamento de risco: 'MATE'

    Mitigar
    Aceitar
    Transferir
    Evitar

  • Gabarito Errado

    Na verdade é realizado também antes da ocorrência de eventos e incidentes.

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
770710
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A responsabilidade pela implantação do SGSI cabe exclusivamente aos profissionais da área de TI; a direção da organização apenas acompanha o processo.

Alternativas
Comentários
  • ISO/IEC 27001 padroniza segurança da informação (ISMS - Information Security Management System) promovendo-lhe um modelo para estabelecer, implementar, operar, monitorar, revisar, manter essa segurança.

    A especificação do SGSI de uma empresa são influenciadas pelas suas necessidades e objetivos, exigências de segurança, os processos empregados e o tamanho e estrutura da organização.

    Certificação ISO/IEC 27001 geralmente envolve um processo de auditoria em dois estágios:

    Estágio um é uma revisão em cima da mesa da existência e completude de documentação chave como a política de segurança da organização, declaração de aplicabilidade (SoA-statement of applicability) e plano de tratamento de risco (RTP-Risk treatment plan).

    Estágio dois tem grande auditoria para efetividade do controle ISMS declarado no SoA e PTR, bem como a documentação de suporte. Renovação do certificado implica revisões periódicas e re-declaração confirmando que o ISMS continua operando como desejado.
  • Simples, rápido e fácil. Na 27001, segurança da informação é do nível estratégico, cabe aos níveis gerenciais (direção) praticamente tudo relacionado a isso. As decisões devem vir e ser autorizadas pela diretoria.

    Agora, na norma. 27001:2006, seção 5. Responsabilidades da direção 5.1 Comprometimento da direção A Direção deve fornecer evidências do seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI mediante: (...) c) o estabelecimento de papéis responsabilidades pela segurança da informação. e 5.2 Gestão de recursos
    Agora, sobre a implementação: 4.2.2 Implementar e operar o SGSI A organização deve: a) Formular um plano de tratamento de riscos que identifique a ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança
    Observa-se, portanto, que a direção tem participação ativa na fase de implementação do SGSI.
  • Gabarito Errado

    Na verdade a organização também participa da implantação.

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
770713
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos requisitos para o SGSI, de acordo com a ABNT NBR ISO/IEC 27001, julgue o item.

O processo de melhoria do SGSI, previsto pela norma em apreço, consiste em identificar não conformidades potenciais e suas causas; avaliar a necessidade de ações para evitar a ocorrência de não conformidades; determinar e implementar ações preventivas necessárias.

Alternativas
Comentários
  • questão correta, segundo a norma 27001 no processo de melhoria em que temos açao repressiva e açao preventiva temos:
    8.3 Ação preventiva
    A organização deve determinar ações para eliminar as causas de não-conformidades potenciais com os requisitos do SGSI, de forma a evitar a sua ocorrência. As ações preventivas tomadas devem ser apropriadas aos impactos dos potenciais problemas. O procedimento documentado para ação preventiva deve definir requisitos para:
    a) identificar não-conformidades potenciais e suas causas;
    b) avaliar a necessidade de ações para evitar a ocorrência de não-conformidades;
    c) determinar e implementar as ações preventivas necessárias;
    d) registrar os resultados de ações executadas (ver 4.3.3); e
    e) analisar criticamente as ações preventivas executadas.

ID
770716
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere aos objetivos de controle, contidos no Anexo A (normativo) ABNT NBR ISO/IEC 27001, julgue os itens subsequentes.


Conforme prevê a norma em apreço, em acordo com terceiros referente à aquisição de produtos de TI, dispensa-se o controle do SGSI no que diz respeito a segurança da informação.

Alternativas
Comentários
  • Segundo o anexo A da iso 27001 na parte de controle:

    Controle
    Os acordos com terceiros envolvendo o acesso,
    processamento, comunicação ou gerenciamento dos recursos
    de processamento da informação ou da informação da
    organização, ou o acréscimo de produtos ou serviços aos
    recursos de processamento da informação devem cobrir todos
    os requisitos de segurança da informação relevantes.
  • Mesmo se você não soubesse esta regra de cabeça seria possível resolver a questão.

    É só pensar:
    Adquiri algo de terceiro para minha empresa de TI, correrei muito risco se não fizer nenhum controle de segurança em relação a esse novo item.

    abrasss
  • Errado.
     
    Seção 8 - Segurança em Recursos Humanos:
    • No caso de desenvolvimento de software por mão-de-obra terceirizada, é necessário estabelecer controles adicionais para testar e detectar, antes da instalação desse software, a presença de código troiano.
  • ABNT NBR ISO/IEC 27001:2006 - ANEXO A

    Lembrando que os objetivos de controle e controles listados na tabela A.1 do anexo A são derivados diretamente e estão alinhados com aqueles listados na ISO/IEC 27002.

    A.10 - Gerenciamento das operações e comunicações

    A.10.2 - Gerenciamento de serviços terceirizados 
    Objetivo: Implementar e manter o nível apropriado de segurança da informação e de entrega de serviços em consonância com acordos de entrega de serviços terceirizados.

    A.10.2.3 Gerenciamento de mudanças para serviços terceirizados 
    Controle 
    Mudanças no provisionamento dos serviços, incluindo manutenção e melhoria da política de segurança da informação, dos procedimentos e controles existentes, devem ser gerenciadas levando-se em conta a criticidade dos sistemas e processos de negócio envolvidos e a reanálise/reavaliação de riscos.

ID
770719
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A violação da política de segurança da informação deve ser apurada por meio da aplicação de processo disciplinar formal: é o que estabelece o controle de processo disciplinar contido no grupo de controle de segurança em recursos humanos.

Alternativas
Comentários
  • 8.2 DURANTE A CONTRATAÇÃO
    8.2.3 Processo Disciplinar
    Controle:
    Convém que exista um processo disciplinar formal para os funcionários que tenham cometido uma violação da SI.

    Fonte: ISO/IEC 27002
  • Ainda segundo a ISO 27002, 8 Segurança em recursos humanos,8.2.3 Processo disciplinar

    Informações adicionais

    Convém que o processo disciplinar também seja usado como uma forma de dissuasão, para evitar que os funcionários, fornecedores e terceiros violem os procedimentos e as políticas de segurança da informação da organização, e quaisquer outras violações na segurança.



  • A 27002 fala que CONVÊM  e na questão fala que DEVE.  Não estaria errado??

  • A 27002 fala que CONVÊM e na questão fala que DEVE.  Não estaria errado?

    Faço coro ao colega Waldyr

     

    Sempre a mesma indefinição: CONVÊM ou DEVE.

    A norma diz uma coisa a jurisprudência cespiana outra, assim eu fico maluco.


ID
770722
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A integridade de informações disponibilizadas em sistemas acessíveis publicamente não precisa ser alvo da política de segurança, visto que são, por natureza, informações não confidenciais, ou seja, públicas.

Alternativas
Comentários
  • A tríade CIA (Confidentiality, Integrity and Availability) -- Confidencialidade, Integridade e Disponibilidade -- representa os principais atributos que, atualmente, orientam a análise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja proteger. Outros atributos importantes são a irretratabilidade e a autenticidade. Com o evoluir do comércio electrónico e da sociedade da informação, a privacidade é também uma grande preocupação.

    Os atributos básicos (segundo os padrões internacionais) são os seguintes:
    • Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
    • Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).
    • Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
  • Mesmo que a informação seja classificada como pública, ela DEVE manter os três aspectos que o colega mencionou acima: C.I.D.
  • Apesar dos comentários anteriores, o que deve ser levado em consideração, segundo o comando da questão, é o Anexo A da 27001. Dessa forma:
    A.10 Gerenciamento das operações e comunicações A.10.9.3 Informações publicamente disponíveis - Controle - A integridade das informações disponibilizadas em sistemas publicamente acessíveis deve ser protegida, para prevenir modificações não autorizadas.
    Não devemos falar sobre confidencialidade em se tratando de informações públicas. Esse controle estabelece o único requisito em relação a informações públicas da norma.
  • Gabarito Errado

    Mesmo a informação sendo classificada como pública os controles de segurança devem ser implementados também, pois a C.I.D deve estar incluída em todos os conceitos.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
770725
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Entre os controles referentes ao gerenciamento de acesso do usuário, tendo-se em vista assegurar o acesso autorizado e prevenir o não autorizado, o anexo em questão estabelece que a análise crítica de direitos de acesso dos usuários deve ser feita por meio de um processo formal e conduzida em intervalos regulares.

Alternativas
Comentários
  • A.11.2 Gerenciamento de acesso do usuário

    A.11.2.4 Análise crítica dos direitos de acesso de usuário

    "O gestor deve conduzir a intervalos regulares a análise crítica dos direitos de acesso dos usuários, por meio de um processo formal."


    Fonte: NBR/ISO 27001:2006


ID
770728
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A referida norma é explícita ao afirmar que, em razão de seu caráter privativo, as políticas e procedimentos de segurança de uma organização não podem ser expostos à opinião de outros, o que impossibilita contatos com grupos de interesses especiais ou ainda a promoção de fóruns especializados de segurança da informação e associações profissionais.

Alternativas
Comentários
  • A norma 27001:06 não afirma o caráter privativo das políticas. E, pelo contrário, no anexo A da 27001:
    A.6.1.7 Contato com grupos especiais
    Contatos apropriados com grupos de interesses especiais ou outros fóruns especializados de segurança da informação e associações profissionais devem ser mantidos.
  • Norma NBR ISO/IEC 27002:2005

    6.1.7 Contato com grupos especiais

    Controle
    Convém que sejam mantidos contatos apropriados com grupos de interesses especiais ou outros fóruns especializados de segurança da informação e associações profissionais.
  • Segundo a ISO 27002:2013,"

    6.1.4 Contato com grupos especiais

    Controle
    Convém que contatos apropriados com grupos especiais, associações profissionais ou outros fóruns especializados em segurança da informação sejam mantidos."

     


ID
770731
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com base nos aspectos gerais da norma ABNT NBR ISO/IEC 27002, que estabelece o código de prática para a gestão da segurança da informação, julgue os itens que se seguem.

A conformidade não é um dos conteúdos da referida norma, pois não visa à obtenção de certificação, já que essa incumbência fica a cargo de empresas privadas responsáveis pala análise de conformidade da prática de empresas às práticas recomendadas tanto pela NBR 27002 quanto pela NBR 27001.


Alternativas
Comentários
  • Gabarito "E". A conformidade é uma das categoria tratadas na norma 27002, são 11 no total:
    (Seção 5) Políticas de Segurança da Informação
    (Seção 6) Organizando a Segurança da Informação
    (Seção 7) Gestão de Ativos
    (Seção 8) Segurança em Recursos Humanos
    (Seção 9) Segurança Física e do Ambiente
    (Seção 10) Gerenciamento das Operações e Comunicações
    (Seção 11) Controle de Acessos
    (Seção 12) Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
    (Seção 13) Gestão de Incidentes de Segurança da Informação
    (Seção 14) Gestão da Continuidade do Negócio 
    (Seção 15) Conformidade.
    Essa norma é considerada um Código de Boas Práticas para a Segurança da Informação e, diferente da 27001, não é voltada para fins de certificação.
  • Complementando o comentário anterior, o item de Conformidade da 27002 trata de assuntos voltados a requisitos legais, direito autoral, privacidade, controles de auditoria, dentre outros.
  • Segundo a ISO 27002:2013,

    "18 Conformidade
    18.1 Conformidade com requisitos legais e contratuais

    18.2 Análise crítica da segurança da informação"

     

     

    _______________

    ISO 27001: PERMITE CERTIFICAÇÃO PARA A EMPRESA

    ISO 27002: PERMITE CERTIFICAÇÃO PARA O PROFISSIONAL

     

     

     


ID
770734
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com base nos aspectos gerais da norma ABNT NBR ISO/IEC27002, que estabelece o código de prática para a gestão da segurança da informação, julgue os itens que se seguem.

Uma análise de riscos deve ser realizada periodicamente em um ambiente computacional, principalmente quando houver a mudança nos requisitos de segurança ou quando surgirem novas ameaças ou vulnerabilidades que ponham em risco a segurança.

Alternativas
Comentários
  • CERTO. 

    Segudo a ISO 27002, Termos e Definições,

    "2.11 análise/avaliação de riscos:processo completo de análise e avaliação de riscos"

    Segundo a ISO 27002, 4.1 Analisando/avaliando os riscos de segurança da informação,

    "Convém que as análises/avaliações de riscos também sejam realizadas periodicamente, para contemplar as mudanças nos requisitos de segurança da informação e na situação de risco, ou seja, nos ativos, ameaças, vulnerabilidades, impactos, avaliação do risco e quando uma mudança significativa ocorrer."


  • Para mim, a resposta estaria INCORRETA. Pois a norma convém e não obriga

    Portanto a palavra deve no texto "Uma análise de riscos DEVE ser realizada periodicamente em um ambiente computacional,". estaria incorreta.

    Além disso, a análise de risco não deve ser necessariamente ser realizada em ambiente computacional.


ID
770737
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com base nos aspectos gerais da norma ABNT NBR ISO/IEC27002, que estabelece o código de prática para a gestão da segurança da informação, julgue os itens que se seguem.

Requisitos de segurança da informação podem ser obtidos a partir da análise/avaliação dos riscos da organização com base nos seus objetivos estratégicos; a partir da legislação vigente; e, finalmente, a partir dos requisitos do negócio para o processamento da informação que a organização desenvolve para realizar suas operações.

Alternativas
Comentários
  • A questão aborda a ISO 27002.

    A resposta para a questão está no item 0.3: "Como estabelecer requisitos de segurança da informação"
    Existem três fontes:
    1) análise/avaliação dos riscos da organização
    2) legislação vigente
    3) "A terceira fonte é um conjunto particular de princípios, objetivos e os requisitos do negócio para o
    processamento da informação que uma organização tem que desenvolver para apoiar suas
    operações."
  • Complemento. 

    Segundo a ISO 27002, "

    0.4 Analisando/avaliando os riscos de segurança da informação

    Os requisitos de segurança da informação são identificados por meio de uma análise/avaliação sistemática dos riscos de segurança da informação."


ID
770740
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com base nos aspectos gerais da norma ABNT NBR ISO/IEC27002, que estabelece o código de prática para a gestão da segurança da informação, julgue os itens que se seguem.

A proteção de dados e privacidade de informações pessoais, de registros organizacionais e os direitos de propriedade intelectual muitas vezes são vistos erroneamente como controles essenciais para uma organização.

Alternativas
Comentários
  • A Questão aborda a ISO 27002, na parte da Introdução (Seção 0):

    0.6 Ponto de partida para a segurança da informação
    "Os controles considerados essenciais para uma organização, sob o ponto de vista legal, incluem, dependendo da legislação aplicável:
    a) proteção de dados e privacidade de informações pessoais (ver 15.1.4);
    b) proteção de registros organizacionais (ver 15.1.3);
    c) direitos de propriedade intelectual (ver 15.1.2)."

    Portanto, a questão está errada.
  • Os controles citados pelo avaliador são exatamente os três (3) considerados essenciais segundo a norma.


ID
770743
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com base nos aspectos gerais da norma ABNT NBR ISO/IEC27002, que estabelece o código de prática para a gestão da segurança da informação, julgue os itens que se seguem.

A norma em apreço estabelece diretrizes e princípios para a segurança da informação, no entanto a implementação de seus objetivos de controles e dos controles não garante o atendimento aos requisitos de segurança da informação, pois a implementação é de responsabilidade do SGSI

Alternativas
Comentários
  • ISO 27001
    1. Objetivos
    O SGSI é projetado para assegurar a seleção de controles adequados e proporcionados para proteger os ativos da organização e propiciar segurança às partes interessadas.
  • O erro estaria em dizer que a implementação de objetivos de controle não garante o atendimento dos requisitos, uma vez que isso é um objetivo da norma.
  • Também existe erro na afirmação de que implementação é de responsabilidade do SGSI, pois de acordo com a norma em apreço, a implementação é de responsabilidade da organização.

    4 – SGSI

    4.2 Estabelecendo e gerenciando o SGSI

    4.2.2 Implementar e operar o SGSI

    A organização deve:

    .......

    c) Implementar os controles selecionados para atender aos objetivos de controle.

    .......


  • A norma que estabelece diretrizes e princípios para a segurança da informação é a 27002. Os requisitos de segurança da informação são atendidos através da aplicação de controles e a implementação é de responsabilidade da organização, e não do SGSI.

  • Errado, a norma 27001 estabelece o modelo.

  • Ano: 2012
    Banca: CESPE
    Órgão: TRE-RJ
    Prova: Analista Judiciário - Análise de Sistemas




    Resolvi errado
    texto associado  
    Com relação à norma ISO/IEC 27001:2006 e ao sistema de gestão de segurança da informação (SGSI), julgue os itens que se seguem.

    A política de segurança da informação integra o SGSI e a diretriz para a implementação dessa política é detalhada na referida norma.




























    errraaadaaa

  • "A norma em apreço estabelece diretrizes e princípios para a segurança da informação, (...)": 1. OBJETIVO:  Esta Norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta Norma provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação. 


    "(...) no entanto a implementação de seus objetivos de controles e dos controles não garante o atendimento aos requisitos de segurança da informação, (...)": Na minha opinião, está ok essa afirmação! Por mais que os controles sejam selecionados para atender os requisitos, você não tem garantia que eles foram escolhidos adequadamente ou mesmo que a organização possui competência/maturidade para aplicar eles de maneira correta e garantir os requisitos de SI.


    "(...) pois a implementação é de responsabilidade do SGSI": O SGSI é um sistema de gestão, que possui vários procedimentos documentados e controles (PLAN-DO-CHECK-ACT). Ele fala dos requisitos para implementação, mas quem implementa de fato é a organização.

  • Para matar de vez a questão:

    ISO 27002 

    6.1.1 Responsabilidades e papéis pela segurança da informação

    PG. 11 "Muitas organizações atribuem a um gestor de segurança da informação a responsabilidade global pelo desenvolvimento e implementação da segurança da informação, e para apoiar a identificação de controles.
    Entretanto, a responsabilidade por pesquisar e implementar os controles frequentemente permanecerá com os gestores individuais."

  • É plenamente possível utilizar as boas práticas de controle em segurança da informação, as quais são escopo da 27002/2013, sem que se implemente um SGSI (escopo da 27001/2013). Isso é notável pela ordem de criação das referidas normas, onde 27002, antiga BS 7799 parte 1 e posteriormente ISO/IEC 17999, foi criada antes da 27001 (BS 7799 parte 2).


ID
770755
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue o item a seguir:


Cabe exclusivamente aos gestores e administradores a coordenação da segurança da informação dentro de uma organização


Alternativas
Comentários
  • 6.1.2 Coordenação da segurança da informação

    Controle
    Convém que as atividades de segurança da informação sejam coordenadas por representantes de diferentes
    partes da organização
    , com funções e papéis relevantes.

    Diretrizes para implementação
    Convém que a coordenação da segurança da informação envolva a cooperação e colaboração de gerentes,
    usuários, administradores, desenvolvedores, auditores, pessoal de segurança e especialistas com habilidades
    nas áreas de seguro, questões legais, recursos humanos, TI e gestão de riscos.

    Fonte: ISO 27002
  • Convêm que todos os envolvidos no processo possam contribuir para a segurança da informação, dentro da organização.

  • Gabarito Errado

    Representantes de diferentes partes da organização.

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
770758
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue o item a seguir:


A responsabilidade por um ativo de informação na organização deve ser atribuída às equipes de suporte estabelecidas e nomeadas. De acordo com a norma vigente, veda-se, por exemplo, responsabilizar um usuário por um ativo inventariado

Alternativas
Comentários
  • Como na norma 27002:
    7. Gestão de ativos
    7.1 Responsabilidade pelos ativos

    Convém que todos os ativos sejam inventariados e tenham um proprietário responsável.
    A norma nao limita ou especifica responsaveis, apenas indica a necessidade de tal.
  • Norma ISO 27002. Dica:
    Se a questão trouxer a palavra 'deve', 'cabe exclusivamente a', etc, há uma grande probabilidade dela estar errada.
    A 27002 é um guia de boas práticas. Ela não impõe qualquer regra à organização.

    Bons estudos
  • Segundo a ISO 27002:2013,

    "8.1.2 Proprietário dos ativos
    Controle
    Convém que os ativos mantidos no inventário tenham um proprietário.

    Diretrizes para implementação
    Convém que as pessoas e outras entidades que tenham responsabilidades aprovadas pela direção para qualificar o ciclo de vida do ativo sejam designadas como o proprietário deste ativo.

    [...]

    Informações adicionais
    O proprietário identificado pode ser um indivíduo ou uma entidade que aprovou a responsabilidade pela gestão, para controlar todo o ciclo de vida de um ativo."


ID
770761
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue o item a seguir:


Em gestão da segurança da informação, só devem ser classificadas as informações que possuam algum valor para a organização, ou seja, aquelas cuja divulgação traga algum malefício financeiro ou de imagem a qualquer indivíduo que nela trabalhe.

Alternativas
Comentários
  • O termo "... so devem ser.." é muito restritivo, como padrao toda informaçao gerada dentro da organizaçao possui valor e deve ser protegida.
  • Não é que a informação deva ser classificada somente se possuir algum valor para a organização, mas sim, ela deve ser classifica em termos do seu valor:

    7.2.1 Recomendações para classificação

    Controle
    Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização.

    fonte: NBR ISO 27002.
  • Norma ISO 27002. Dica:
    Se a questão trouxer a palavra 'deve', 'cabe exclusivamente a', etc, há uma grande probabilidade dela estar errada.
    A 27002 é um guia de boas práticas. Ela não impõe qualquer regra à organização.

    Bons estudos
  • Toda informação relacionada direta ou indiretamente à organização deve ser classificada, mesmo aquelas que deixaram der ser sensíveis ou críticas. Atividade comprovada pelo texto da norma ISO/IEC 27.002:2005 (pag. 23): 

    "A informação freqüentemente deixa de ser sensível ou crítica após um certo período de tempo, por exemplo quando a informação se torna pública. Convém que estes aspectos sejam levados em consideração, pois uma classificação superestimada pode levar à implementação de custos desnecessários, resultando em despesas adicionais".
    Bons estudos!
  • Segundo a ISO 27002:2013,

    "8.2 Classificação da informação
    Objetivo: Assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância para a organização.

    8.2.1
    Classificação da informação
    Controle
    Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada."


ID
770764
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue o item a seguir:


Uma informação deve ser classificada de acordo com os seus requisitos de confidencialidade, integridade e disponibilidade, não havendo, nessa norma, indicação de parâmetros para outros tipos de requisitos a serem considerados.

Alternativas
Comentários
  • A tríade CIA (Confidentiality, Integrity and Availability) -- Confidencialidade, Integridade e Disponibilidade -- representa os principais atributos que, atualmente, orientam a análise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja proteger. Outros atributos importantes são a irretratabilidade e a autenticidade. Com o evoluir do comércio electrónico e da sociedade da informação, a privacidade é também uma grande preocupação.
  • A questão cobra o conhecimento da ISO 27002.
    Na seção 7, categoria principal "7.2 Classificação da informação", controle "7.2.1 Recomendações para classificação", Informações adicionais, temos:
    "O nível de proteção pode ser avaliado analisando a confidencialidade, a integridade e a disponibilidade da informação, bem como quaisquer outros requisitos que sejam considerados."
  • 7.2.1 - Recomendações para classificação
    Controle: A informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade  e criticidade para a organização.
  • Segundo a ISO 27002:2013,

    "8.2 Classificação da informação
    Objetivo: Assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância para a organização.

    8.2.1
    Classificação da informação
    Controle
    Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada."


ID
770767
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue o item a seguir:


A ação de se evitar um risco, de modo a eliminar a ocorrência de suas consequências e, naturalmente, a realização da atividade que o ocasionaria, não faz parte do tratamento do risco, pois o tratamento refere-se ao risco que se toma, não ao que se evita.

Alternativas
Comentários
  • Na norma ISO/IEC 27002: 4.2 Tratando os riscos de segurança da informação "Possíveis opções para o tratamento do risco, incluem: (...) c) evitar riscos, ão permitindo ações que poderiam causar a ocorrência de riscos".
    Do glossário, o tratamento de risco é o "processo de seleção e implementação de medidas para modificar um risco". Qualquer medida tomada que venha a modificar (e no caso evitar) o risco é um tratamento.
  • O tratamento do risco se faz com META:

    Mitigar
    Evitar
    Transferir
    Aceitar
  • errado, pois evitar o risco é uma das formas de se tratar o risco. Segue mais duas fontes para comprovar isso.

    --------------------ISO 27001------------------------

    "4.2.1 Estabelecer o SGSI

    A organização deve:

    f) Identificar e avaliar as opções para o tratamento de riscos.

    Possíveis ações incluem:

    1) aplicar os controles apropriados;

    2) aceitar os riscos consciente e objetivamente, desde que satisfaçam claramente às políticas da

    organização e aos critérios de aceitação de riscos (ver 4.2.1c)2));

    3) evitar riscos; e

    4) transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores."

    -----------------------ISO 27005----------------------------

    "9 Tratamento do risco de segurança da informação

    9.1 Descrição geral do processo de tratamento do risco

    Diretrizes para implementação:

    Há quatro opções disponíveis para o tratamento do risco: redução do risco (ver 9.2), retenção do risco (ver 9.3), evitar o risco (ver 9.4) e transferência do risco (ver 9.5)."



  • A ação de evitar os riscos é uma forma de tratamento de riscos. Questão errada, portanto!

    Segue a definição mais atual (ISO/IEC 27.005:2008):

    3.3 ação de evitar o risco: decisão de não se envolver ou agir de forma a se retirar de uma situação de risco.

    Bons estudos!


  • Tratamento de risco: 'MATE'

    Mitigar
    Aceitar
    Transferir
    Evitar

ID
770770
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue o item a seguir:


As consequências da violação da política de segurança devem ser incluídas em um plano de tratamento de riscos, mas não devem fazer parte do documento da política em si.

Alternativas
Comentários
  • O conteúdo da PSI (Política de Segurança da Informação) varia, de organização para organização, em função de seu estágio de maturidade, grau de informatização, área de atuação, cultura organizacional, necessidades requeridas, requisitos de segurança, entre outros aspectos. No entanto, é comum a presença de alguns tópicos na PSI, tais como:
     

    ? definição de segurança de informações e de sua importância como mecanismo que possibilita o compartilhamento de informações;

    ? declaração do comprometimento da alta administração com a PSI, apoiando suas metas e princípios;

    ? objetivos de segurança da organização;
    ? definição de responsabilidades gerais na 
    gestão de segurança de informações;

    ? orientações sobre análise e gerência de riscos;

    ? princípios de conformidade dos sistemas computacionais com a PSI;

    ? padrões mínimos de qualidade que esses sistemas devem possuir;

    ? políticas de controle de acesso a recursos e sistemas computacionais;

    ? classificação das informações (de uso irrestrito, interno, confidencial e secretas);

    ? procedimentos de prevenção e detecção de vírus;

    ? princípios legais que devem ser observados quanto à tecnologia da informação (direitos de propriedade de produção intelectual, direitos sobre software, normas legais correlatas aos sistemas desenvolvidos, cláusulas contratuais);

    ? princípios de supervisão constante das tentativas de violação da segurança de informações;

    ? conseqüências de violações de normas estabelecidas na política de segurança;

    ? princípios de gestão da continuidade do negócio;

    ? plano de treinamento em segurança de informações.

  • Conforme NBR/ISO 27002:2005 :

    5 Política de segurança da informação

    5.1.1 Documento da política de segurança da informação

    Convém que o documento da política contenha declarações relativas a (...)

    4) conseqüências das violações na política de segurança da informação;

  • Documento da política de segurança de informações - ISO 27002

    Um documento com a política deve ser aprovado pela gerência, publicado e divulgado, conforme apropriado, para todos os empregados e partes interessadas. Ele deve declarar o comprometimento da gerência e estabelecer a abordagem da organização quanto à gestão da segurança de informações. No mínimo, convém que a seguinte orientação deva ser incluída:

    c) uma breve explanação das políticas, princípios e padrões de segurança e das exigências a serem obedecidas que são de particular importância para a organização, por exemplo:

         1) obediência às exigências legislativas e contratuais;
         2) necessidades de educação (treinamento) para segurança;
         3) prevenção e detecção de vírus e outros softwares prejudiciais;
         4) gerenciamento da continuidade do negócio;
         5) consequências das violações da política de segurança;


ID
770773
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue o item a seguir:


Segundo a citada norma, convém que a política de segurança seja analisada crítica e periodicamente, à luz do resultado do desempenho do processo e de acordo com a política de segurança da informação.

Alternativas
Comentários
  • Correto.
    O título 5.1.2 - Análise crítica da política de Segurança da Informação da norma diz:
    Convém que a política de segurança da informação seja analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.
  • Gabarito: Correto

    5.1.2 Análise crítica da política de segurança da informação
    Convém que as entradas para a análise crítica pela direção incluam informações:
    [...]
    e) desempenho do processo e conformidade com a política de segurança da informação;
  • O que exatamente quer dizer a política de segurança ser analisada criticamente de acordo com a política de segurança da informação? Achei que "política de segurança" se referia a algo maior que a política de segurança da informação.

  • Segundo a ISO 27002:2013,

    "5.1.2 Análise crítica das políticas para segurança da informação

    Convém que a análise crítica inclua a avaliação de oportunidades para melhoria da política de segurança da informação da organização e tenha um enfoque para gerenciar a segurança da informação em resposta às mudanças ao ambiente organizacional, às circunstâncias do negócio, às condições legais, ou ao ambiente de tecnologia.
    Convém que a análise crítica das políticas de segurança da informação leve em consideração os resultados da análise crítica pela direção."


ID
770776
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue o item a seguir:


A norma em questão recomenda que sejam incluídas, na política de segurança da informação, declarações que esclareçam termos e condições de trabalho de recursos humanos, incluindo até responsabilidades que se estendam para fora das dependências da organização e fora dos horários normais de trabalho.

Alternativas
Comentários
  • Na ISO 27002, temos os seguintes controles
    5 Política de segurança da informação. 5.1.1 Documento da política de segurança da informação - Diretrizes - Convém que o documento da política contenha as declarações relativas a: f) referências à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários devem seguir.
    8 Segurança em recursos humanos. 8.1.3 Termos e condições de contratação - Diretrizes - Convém que os termos e condições de trabalho reflitam a política de segurança da organização, esclarecendo e detalhando: f) responsabilidades que se estendem para fora das dependências da organização e fora dos horários normais de trabalho, como, por exemplo, nos casos de execução de trabalhos em casa.
  • Gabarito questionável.


    A norma em questão recomenda que sejam incluídas, na política de segurança da informação, declarações que esclareçam termos e condições de trabalho de recursos humanos, incluindo até responsabilidades que se estendam para fora das dependências da organização e fora dos horários normais de trabalho.


    Agora o que diz a norma:


    8.1.3 Termos e condições de contratação

    Convém que os termos e condições de trabalho reflitam a política de segurança da organização


    A meu ver, "REFLETIR" a política de segurança é diferente de "INCLUIR" na política as declarações a que a questão se refere.



ID
770779
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue o item a seguir:


Recuperação de erros, procedimentos de reinicialização e planos de contingência, apesar de serem bem específicos ao processo de aceitação de sistemas, devem ser considerados para minimizar os riscos de falhas de sistemas, no gerenciamento de operações e comunicações preconizado pela norma 27002.

Alternativas
Comentários
  • Norma 27002

    10 Gerenciamento das operações e comunicações

    10.3 Planejamento e aceitação dos sistemas

    Objetivo: Minimizar o risco de falhas nos sistemas.

    10.3.2 Aceitação de sistemas

    b) recuperação de erros, procedimentos de reinicialização e planos de contingência;
  • pensei que tinha mais relação com o plano da continuidade dos negócios

  • Por que planos de contingência são bem específicos ao processo de aceitação de sistemas, se eles aparecem em outros processos?

  • Não são bem específicos a ele...simplesmente descrevem o controle...principalmente planos de contingência!


ID
770782
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue o item a seguir:


A norma referida recomenda que se realizem treinamento, educação e conscientização de pessoas apenas antes da contratação, para assegurar que os novos recursos humanos saibam agir com segurança diante das atividades a serem desenvolvidas por eles.

Alternativas
Comentários
  • "Conscientização, educação e treinamento em segurança da informação" é um dos 7 controles considerados práticas para a segurança da informação, os outros são:
    (1) Documento da Política da Segurança da Informação
    (2) Atribuição de Responsabilidades para a Segurança da Informação
    (3) Conscientização, Educação e Treinamento em Segurança da Informação
    (4) Processamento Correto das Aplicações
    (5) Gestão das Vulnerabilidades Técnicas
    (6) Gestão da Continuidade do Negócio
    (7) Gestão de Incidentes de Segurança da Informação e Melhorias
    Segundo a 27002, para o controle Conscientização, Educação e Treinamento em Segurança da Informação convém que  "Todos os funcionários da organização e, onde pertinente, fornecedores e terceiros devem receber treinamento apropriado em conscientização, e atualizações regulares nas políticas e procedimentos organizacionais relevantes para as suas funções" e isso é realizado  durante a contratação. Gabarito "E".
  • 8.2.2 Conscientização, educação e treinamento em segurança da informação.
    Controle
    Convém que todos os funcionários da organização e, onde pertinente, fornecedores e terceiros recebam treinamento apropriados em concientização, e atualizações regulares nas políticas e procedimentos organizacionais, relevantes para suas funções.
    Fonte: NBR ISO 27002

    Como podem ver, "atualizações regulares" deixa claro que o processo precisa ser atualizado, é contínuo e não apenas antes da contratação. 
  • Conscientização, educação e treinamento em segurança da informação fica na seção 8.2 da norma, que trata da segurança de recursos humanos durante a contratação.

    bons estudos.
  • Atualizando os comentários com embasamento na ISO 27002 - 2013.

    7.2 Durante a contratação

    Objetivo: Assegurar que os funcionários e partes externas estão conscientes e cumprem as suas responsabilidades pela segurança da informação.

    7.2.2 Conscientização, educação e treinamento em segurança da informação

    Controle: Convém que todos os funcionários da organização e, onde pertinente, partes externas devem recebam treinamento, educação e conscientização apropriados, e as atualizações regulares das políticas e procedimentos organizacionais relevantes para as suas funções.




ID
770785
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de ataques maliciosos a redes de computadores, julgue os itens seguintes.


Normalmente, no planejamento de um ataque, o invasor determina o caminho e os filtros de acesso implementados nos roteadores e firewalls.

Alternativas
Comentários
  • Em geral, um ataque virtual é composto por quatro etapas:

    1. Planejamento;
    2. Coleta de dados;
    3. Invasão;
    4. Exploração.

    No planejamento são definidos os objetivos e as estratégias do ataque.
    O momento de captar o maior número de informações sobre o alvo é a fase da coleta de dados.  
    Durante a invasão são efetivamente testadas  as  técnicas  e  conhecidas  as  reais vulnerabilidades do alvo.
    E finalmente é chegado o ato da exploração, caracterizada pelo furto de dados e informações e até mesmo pela danificação parcial ou total do alvo.

  • Se no lugar de "planejamento" tivesse "coleta de dados" o item ficaria correto ?
  • É na fase de Aproximação.


    Fonte: http://www2.dem.inpe.br/ijar/GuiaFebraban.pdf

  • A certificação CEH (Certified Ethical Hacker) é mais abrangente quanto à
    metodologia de ataque apresentada no Guia Febraban. As verdaeiras fases são:

    1. Reconhecimento (Performing Reconnaissance)
    2. Escaneamento e enumeração (Scanning and enumeration)
    3. Obtendo acesso (Gaining access)
    4. Escalonamento de privilégios (Escalation of privilege)
    5. Mantendo o acesso (Maintaining access)
    6. Cobrindo/ocultando rastros (Covering tracks and placing backdoors)

    Fazendo agora uma relação entre as metodologias do Guia Febraban e da
    certificação CEH:

    Planejamento / Coleta de dados: Reconhecimento (Performing Reconnaissance);
    Aproximação: Escaneamento e enumeração (Scanning and enumeration);
    Invasão: Obtendo acesso (Gaining access) e Escalonamento de privilégios
    (Escalation of privilege);
    Exploração: Mantendo o acesso (Maintaining access) e Cobrindo/ocultando rastros
    (Covering tracks and placing backdoors).

    Fonte: http://br.dir.groups.yahoo.com/group/timasters/message/180971

  • "Normalmente, no planejamento de um ataque, o invasor determina o caminho e os filtros de acesso implementados nos roteadores e firewalls. "
    Se determinar o caminho, o atacante pode deixar rastros, logo achei que a questão está ERRADA.

  • GABARITO: ERRADO.


ID
770788
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A coleta de informações e dados sobre o sítio ou os servidores do alvo é um dos principais pontos de partida de um ataque a redes de computadores.

Alternativas
Comentários
  • Em geral, um ataque virtual é composto por quatro etapas:
    1. Planejamento;
    2. Coleta de dados;
    3. Invasão;
    4. Exploração.
    No planejamento são definidos os objetivos e as estratégias do ataque. O momento de captar o maior número de informações sobre o alvo é a fase da coleta de dados.  Durante a invasão são efetivamente testadas  as  técnicas  e  conhecidas  as  reais vulnerabilidades do alvo. E finalmente é chegado o ato da exploração, caracterizada pelo furto de dados e informações e até mesmo pela danificação parcial ou total do alvo.

  • Julio, seu comentario esta errado:

    A certificação CEH (Certified Ethical Hacker) é mais abrangente quanto à
    metodologia de ataque apresentada no Guia Febraban:

    1. Reconhecimento (Performing Reconnaissance)
    2. Escaneamento e enumeração (Scanning and enumeration)
    3. Obtendo acesso (Gaining access)
    4. Escalonamento de privilégios (Escalation of privilege)
    5. Mantendo o acesso (Maintaining access)
    6. Cobrindo/ocultando rastros (Covering tracks and placing backdoors)

    Fazendo agora uma relação entre as metodologias do Guia Febraban e da
    certificação CEH:

    Planejamento / Coleta de dados: Reconhecimento (Performing Reconnaissance);
    Aproximação: Escaneamento e enumeração (Scanning and enumeration);
    Invasão: Obtendo acesso (Gaining access) e Escalonamento de privilégios
    (Escalation of privilege);
    Exploração: Mantendo o acesso (Maintaining access) e Cobrindo/ocultando rastros
    (Covering tracks and placing backdoors).

    Fonte: http://br.dir.groups.yahoo.com/group/timasters/message/180971

  • Ataque virtual (mnemônico)

    PCI-Exp:


    1. Planejamento;
    2. Coleta de dados;
    3. Invasão;
    4. Exploração.

  • De forma geral, os ataques a redes de computadores compõem-se das seguintes fases: planejamento, coleta de dados, aproximação, invasão e exploração.

    C

  • GABARITO: CERTO.

  • MAIS GENÉRICO QUE PARACETAMOL.

  • Em geral, um ataque virtual é composto por quatro etapas:

    1. Planejamento;

    2. Coleta de dados;

    3. Invasão;

    4. Exploração.

    FONTE: PROF. RAFAEL ARAUJO/TIRADENTES CONCURSOS.


ID
770791
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Redes de Computadores
Assuntos

O invasor que idealiza um ataque a redes de computadores interessa-se, entre outros aspectos, pela topologia de rede, pelas informações úteis para ataques por meio de engenharia social, pelos tipos de serviços disponíveis, pelo cadastro da empresa na Internet e pelos ataques executados contra a empresa no passado.

Alternativas
Comentários
  • 1. Planejamento;
    2. Coleta de dados;
    3. Invasão;
    4. Exploração.

    No planejamento são definidos os objetivos e as estratégias do ataque. O momento de captar o maior número de informações sobre o alvo é a fase da coleta de dados. Durante a invasão são efetivamente testadas as técnicas e conhecidas as reais vulnerabilidades do alvo. E finalmente é chegado o ato da exploração, caracterizada pelo furto de dados e informações e até mesmo pela danificação parcial ou total do alvo.
  • Daniel, nao vejo relevancia nos seus argumentos para poder responder essa questão. Isso que voce falou são as fases do ataque virtual. Mas nao define precisamente, como as necessidades ou reais requisitos do invasor.

    E outra, voce esta errado:

    A certificação CEH (Certified Ethical Hacker) é mais abrangente quanto à
    metodologia de ataque apresentada no Guia Febraban:

    1. Reconhecimento (Performing Reconnaissance)
    2. Escaneamento e enumeração (Scanning and enumeration)
    3. Obtendo acesso (Gaining access)
    4. Escalonamento de privilégios (Escalation of privilege)
    5. Mantendo o acesso (Maintaining access)
    6. Cobrindo/ocultando rastros (Covering tracks and placing backdoors)

    Fazendo agora uma relação entre as metodologias do Guia Febraban e da
    certificação CEH:

    Planejamento / Coleta de dados: Reconhecimento (Performing Reconnaissance);
    Aproximação: Escaneamento e enumeração (Scanning and enumeration);
    Invasão: Obtendo acesso (Gaining access) e Escalonamento de privilégios
    (Escalation of privilege);
    Exploração: Mantendo o acesso (Maintaining access) e Cobrindo/ocultando rastros
    (Covering tracks and placing backdoors).

    Fonte: http://br.dir.groups.yahoo.com/group/timasters/message/180971

  • Anatomia de um Ataque
    1.Footprinting
    2.Varreduras
    3.Enumeração de vulnerabilidades
    4.Ataque
    5.Cobertura dos rastros
    6.Manutenção do acesso

     

    http://www.provasdeti.com.br/sgop04-para-concursos.html

  • Gabarito Certo

    Perfeito ! Tipo concreto de uma preparação de ataque de Crackers.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
770794
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de ataques maliciosos a redes de computadores, julgue os itens seguintes.


De forma geral, os ataques a redes de computadores compõem-se das seguintes fases: planejamento, coleta de dados, aproximação, invasão e exploração.

Alternativas
Comentários
  • Só não entendi pq está certa já que sobra o item aproximação...alguém sabe e pode explicar?
  • A certificação CEH (Certified Ethical Hacker) é mais abrangente quanto à
    metodologia de ataque apresentada no Guia Febraban:

    1. Reconhecimento (Performing Reconnaissance)
    2. Escaneamento e enumeração (Scanning and enumeration)
    3. Obtendo acesso (Gaining access)
    4. Escalonamento de privilégios (Escalation of privilege)
    5. Mantendo o acesso (Maintaining access)
    6. Cobrindo/ocultando rastros (Covering tracks and placing backdoors)

    Fazendo agora uma relação entre as metodologias do Guia Febraban e da
    certificação CEH:

    Planejamento / Coleta de dados: Reconhecimento (Performing Reconnaissance);
    Aproximação: Escaneamento e enumeração (Scanning and enumeration);
    Invasão: Obtendo acesso (Gaining access) e Escalonamento de privilégios
    (Escalation of privilege);
    Exploração: Mantendo o acesso (Maintaining access) e Cobrindo/ocultando rastros
    (Covering tracks and placing backdoors).

    Fonte: 
    http://br.dir.groups.yahoo.com/group/timasters/message/180971
  • Existem muitas fontes que enumeram as etapas de um ataque. Muitas sequer citam a fase de aproximação. Infelizmente este é o cenário para resolução destas questões. O que você precisa saber é se no enunciado não há nenhuma bobagem forçada escrita, e é preciso saber o que ocorre em cada etapa, porque isto também é cobrado.

  • errei porque em outra questão vi que o enunciado afirmou 4 etapas.... agora nessa questão houve 5 etapas...
    achei que era um padrão.


    Mas bom saber ae que devemos analisar bem o contexto e ver se o cara da banca não joga ali no meio "nada de absurdo" e tal né... ae sim conseguiremos matar essas questões sem maiores problemas.

    Vamo q vamo!


    Bons estudos!

  • Anatomia de um Ataque
    1.Footprinting (planejamento)
    2.Varreduras (coleta de dados)
    3.Enumeração de vulnerabilidades (aproximação)
    4.Ataque (invasão e exploração)
    5.Cobertura dos rastros
    6.Manutenção do acesso

     

    http://www.provasdeti.com.br/sgop04-para-concursos.html

  • Gabarito Certo

    Ataque virtual (mnemônico)

    PCI-Exp:


    1. Planejamento;
    2. Coleta de dados;
    3. Invasão;
    4. Exploração.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • GABARITO: CERTO.


ID
770797
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A técnica de spoofing é normalmente utilizada na fase de invasão a redes de computadores.

Alternativas
Comentários
  • Spoofing do IP é utilizado na fase de Aproximação.
  • Aproximação
    Após a coleta de dados e planejamento do ataque, o invasor iniciará a chamada aproximação. Nesta fase o invasor efetivamente começa a testar tecnicamente o site através de ferramentas e utilitários específicos. Neste momento o invasor normalmente já está utilizando técnicas de spoofing para mascarar seu endereço de rede e dificultar o rastreamento.

    Fonte: http://www2.dem.inpe.br/ijar/GuiaFebraban.pdf
     
  • Essa questão devia ser correta, pois técnicas de spoofing são usadas na fase de aproximação mas também são usadas na fase de invasão! Ou o invasor iria utilizar seu próprio IP e outras identidades para realizar o ataque? Mesmo que sejam usados rootkits para apagar logs, nenhum atacante se arrisca sem spoofing. Gabarito erradíssimo!

  • A questão está correta. O spoofing pode ser utilizado em qualquer fase que não se deseje ser identificado. O examinador simplesmente copiou um texto e trocou a fase. Contudo, isso não invalida a afirmação. 

  • Concordo com o colega Almeida Junior, IP spoofing é uma técnica para dificultar a identificação e normalmente os invasores não querem ser identificados, por isso usam em mais de uma fase.Questão mal formuladoa, no mínimo. 

  • Gabarito Errado

    No contexto de redes de computadores, IP spoofing é um ataque que consiste em mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados.

    Devido às características do protocolo IP, o reencaminhamento de pacotes é feito com base numa premissa muito simples: o pacote deverá ir para o destinatário (endereço-destino) e não há verificação do remetente — não há validação do endereço IP nem relação deste com o router anterior (que encaminhou o pacote). Assim, torna-se trivial falsificar o endereço de origem através de uma manipulação simples do cabeçalho IP. Assim,vários computadores podem enviar pacotes fazendo-se passar por um determinado endereço de origem, o que representa uma séria ameaça para os sistemas baseados em autenticação pelo endereço IP.

    Esta técnica, utilizada com outras de mais alto nível, aproveita-se, sobretudo, da noção de confiabilidade que existe dentro das organizações: supostamente não se deveria temer uma máquina de dentro da empresa, se ela é da empresa. Por outro lado, um utilizador torna-se também confiável quando se sabe de antemão que estabeleceu uma ligação com determinado serviço. Esse utilizador torna-se interessante, do ponto de vista do atacante, se ele possuir (e estiver usando) direitos privilegiados no momento do ataque.

    No entanto, através deste procedimento, a interação com as aplicações não existe. Além disso as características do protocolo IP permitem falsificar um remetente, porém não permitem receber as respostas — essas irão para o endereço falsificado. Assim, o ataque pode ser considerado cego. Essa técnica é conhecida por desvio de sessão TCP, ou TCP session hijacking em inglês.

    Existem métodos para evitar estes ataques, como a aplicação de filtros de pacotes, filtro ingress nos gateways; faz sentido bloquear pacotes provindos da rede externa com endereços da rede local. Idealmente, embora muito negligenciado, usar um filtro egress — que iria descartar pacotes provindos da rede interna com endereço de origem não-local que fossem destinados à rede externa — pode prevenir que utilizadores de uma rede local iniciem ataques de IP contra máquinas externas.

    Existem outros ataques que utilizam esta técnica para o atacante esconder a origem ou para potencializar um determinado ataque: ataques SYN (SYN flooding) ou ataques smurf são exemplos muito citados.

    A maior vantagem do Ip spoofing em relação a outros tipos de farejamento de conexões (como o DNS spoofing, por exemplo) é que ele funciona em nível de conexão, permitindo farejar e interceptar conexões e pacotes em redes de todos os sitemas, seja ele Linux, Unix, Windows, Solaris ou qualquer outro existente, desde que a conexão parta de um IP confiável com um endereço mac conhecido.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Spoofing

    - O endereço real do atacante é alterado, evitando assim que ele seja encontrado.
    - É uma espécie de impostura da identidade do remetente.
    - Modificação de campos de identificação, se passando por outro host.
    - Não é um ataque propriamente dito, mas sim parte dele.
    - Viabiliza o cache poisoning

  • GABARITO: ERRADO.

  • Spoffing é uma técnica usada em conjunto com qualquer ataque a ser realizado. 

    Gab: ERRADO.

    #AVANTE!

  • A FONTE QUE O EXAMINADOR TIROU ESSA QUESTÃO: ARIAL 12

  • a hora que eu paro e penso, me mato de estudar engenharia social mas acho que estudei errado

  • questão sem noção e o pessoal tenta justificar o gabarito...qual a dificuldade de admitir que existem questões mal formuladas? a galera não recorre tbm né

  • Fonte: Vozes da minha cabeça

  • Spoofing - Endereço falso

    - O endereço real do atacante é alterado, evitando assim que ele seja encontrado.

    - É uma espécie de impostura da identidade do remetente.

    - Modificação de campos de identificação, se passando por outro host.

    - Não é um ataque propriamente dito, mas sim parte dele.

    - Viabiliza o cache poisoning

    Da Priscila Muniz :)

  • IP-SPOOFING: Falsificação de e-mail. O que está atacando clona o IP de um usuário legítimo para ganhar um acesso não autorizado.


ID
770800
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de prevenção e tratamento de incidentes, julgue os itens que se seguem.


Convém que as organizações adotem uma estrutura simples, que permita uma rápida reestruturação e a confirmação da natureza e da extensão do incidente, além de possibilitar o controle da situação e do incidente e a comunicação com as partes interessadas

Alternativas
Comentários
  • certo.

    Convém que as organizações adotem uma estrutura simples, que permita uma rápida reestruturação e a confirmação da natureza e da extensão do incidente, além de possibilitar o controle da situação e do incidente e a comunicação com as partes interessadas.


ID
770803
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Um plano de gerenciamento de incidentes cria condições para que a organização gerencie todas as fases de um incidente.

Alternativas
Comentários
  • Segundo este artigo, as fases de um incidente são:
    Preparação, que envolve o estabelecimento e treinamento de um grupo de resposta a incidentes, aquisição de ferramentas e recursos necessários, armazenamento dos registos de atividades dos sistemas para futuras auditorias, etc.;
    Detecção e Análise, onde deve-se detectar ou identificar de fato a existencia de um incidente;
    Contenção, Mitigação e Recuperação, fundamental para evitar que o incidente se propague ou afete outros recursos da rede, e para restaurar o funcionamento normal dos serviços afetados;
    Ações Pós-Incidente, que consiste em avaliar o processo de tratamento 
    de incidentes e verificar a eficácia das soluções adotadas.

    Essas 4 fases não devem estar explícitas num plano de gerenciamento de incidentes?
  • Acho que a pegadinha aqui está em que o plano de gerenciamento de incidentes é resultante de um planejamento, e é elaborado para estabeler as diretrizes de como tratar um incidente. Ou seja, as fases de preparação e planejamento que antecedem o plano não são gerenciadas por ele.

  • Julgando a questão à luz da norma NBR/ISO 15999-1:2007, p. 25 que trata de Gestão de Continuidade de Negócios temos 3 planos acionados na linha do tempo de um incidente:

    - plano de gerenciamento de incidentes: gerencia a fase inicial (crítica) de um incidente / dentro de minutos a horas

    - plano de continuidade de negócios: continuidade de negócios em caso de interrupção / dentro de minutos a dias

    - plano de recuperação: recuperação - volta a normalidade / semanas a meses


    Portanto são utilizados 3 planos distintos.


ID
770806
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O plano de recuperação de negócios visa, entre outros objetivos, prevenir maiores perdas ou indisponibilidade de atividades críticas e dos recursos que as suportam.

Alternativas
Comentários
  • Não entendi o erro da questão. Alguém sabe explicar?
  • Acredito que o erro esteja em afirmar que o plano tem o objetivo de "Previnir" perdas ou indisponibilidade.
    Após o dano, o Plano visa garantir a preservação dos serviços essenciais até o retorno à normalidade... Não tem a intenção de previnir os danos.
  • Não tenho cohecimento muito profundo sobre o assunto, mas no link http://www.grupotreinar.com.br/blog/2013/4/3/plano-de-continuidade-de-neg%C3%B3cios,-voc%C3%AA-precisa-de-um!.aspx  trata da existência de 3 planos que compõem a documentação GCN. 

     Basicamente, um PCN é um conjunto de três outros planos, sendo que cada um  destes  planos  é  focado  em  uma determinada variável de risco, numa situação de ameaça ao negócio da empresa (ou ambiente):
    * O Plano de Gerenciamento de Crises  (PGC) - Para atividades que envolvem as respostas aos eventos]
    * O Plano  de  Continuidade  Operacional  (PCO) - Voltado para as atividades que garantam a realização dos processos
    * O Plano  de Recuperação  de  Desastres  (PRD) - Focado na substituição ou reposição de componentes que venham a ser danificados

    Com outras palavras encontrei esses mesmos planos na norma ABNT 15999, p. 19, Seção 5.5.  
    •Plano de Gerenciamento de Incidentes = Plano de Gerenciamento de Crises
    •Plano de Continuidade de Negócios = Plano  de  Continuidade  Operacional
    •Planos de Recuperação de negócios = Plano  de Recuperação  de  Desastres

    A definição no comando da questão trata do Plano de Continuidade Operacional ou Plano de Continuidade do Negócio e não plano de recuperação de negócios.
  • De acordo com a Norma 15999-1, o propósito do PCN é:

    " Permitir que uma organização recupere ou mantenha suas atividades em caso de uma interrupção das operações normais de negócios "

    Não previni ou evita desastres.
  • Estilo Questão Cespe(erro em uma palavra que as vezes passa despercebido pelo concurseiro).

    O plano de recuperação de negócios visa, entre outros objetivos, prevenir maiores perdas ou indisponibilidade de atividades críticas e dos recursos que as suportam.

    O PCN(Plano de continuidade de Negócio) age após a ocorrência de problemas e não de forma a prevenir.

  • Estou com o colega Wagner, pois o PCN tem objetivos preventivos sim, não sendo esse o ponto que torna a questão errada. Ver: 

    "O Plano de Continuidade de Negócios - PCN (do inglês Business Continuity Plan - BCP), estabelecido pela norma ABNT NBR 15999 Parte 1, é o desenvolvimento preventivo de um conjunto de estratégias e planos de ação de maneira a garantir que os serviços essenciais sejam devidamente identificados e preservados após a ocorrência de um desastre, e até o retorno à situação normal de funcionamento da empresa dentro do contexto do negócio do qual ela faz parte."
    O ponto é como o colega identificou: o Plano de Recuperação de Desastres (que a questão chamou de Plano de Recuperação de Negócios) trata a recuperação e/ou substituição de componentes/recursos necessários a normalidade dos negócios, e não trata das da indisponibilidade das atividades críticas. O plano responsável por tratar dos procedimentos a serem adotados é o Plano de Continuidade Operacional (PCO).
    Acredito ser esse o motivo da questão estar ERRADA.
    Bons estudos!
  • Prezados ,

    Segundo a ISO 15999 , o plano de continuidade de negócios ( PCN ) é a documentação de procedimentos e informações desenvolvida, consolidada e mantida de forma que esteja pronta para uso caso ocorra um incidente, de forma a permitir que a organização mantenha suas atividades críticas em um nível aceitável previamente definido.

    Planos de recuperação, continuidade, Disaster recovery , são implementados e postos em prática caso ocorra algum incidente  ou emergência grave no intuito de recuperar o negócio e garantir sua continuidade, sobrevivência . Para prevenir maiores perdas, mitigar o dano, usamos os controles e não planos de recuperação.


    A alternativa correta é : ERRADO.

  • Conseiderando a questão abaixo mesmo concurso), acredito que o erro dessa questão está no termo  "plano de recuperação de negócios "

    Ano:
    2012

    Banca: CESPE

    Órgão: Banco da Amazônia

    Prova: Técnico Científico - Segurança da Informação

    A organização deve manter e melhorar a eficiência e a eficácia do SGCN por meio de ações corretivas e preventivas, quando assim determinar a análise crítica da direção.
    CORRETO

     

  • Luciano Fracasso,  recuperar e manter suas atividades sao formas de previnir maiores perdas

     

    essa é uma tipica questao mata rato.. nenhum comentario explicou o erro

  • Plano de recuperação de desastres -> determinar o planejamento para que, uma vez controlada a contingência e passada a crise, retorne seus níveis originais de operação

    Não desiste!

  • Simplesmente nenhum comentário que fizeram faz sentido.

ID
770809
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com base na NBR ISO/IEC 15999, julgue os itens de 97 a 104.


As apólices de seguro são estratégias eficazes e suficientes para o tratamento de risco, pois garantem recompensa financeira para as perdas mais significativas da organização.

Alternativas
Comentários
  • ERRADO. Senhores, acredito que o erro está no trecho "suficientes". APESAR DA QUESTÃO CITAR A NORMA 15999, RESPONDEI O MEU PONTO DE VISTA CONFORME A ISO 27005. 

    Segundo a ISO 27005,"9.5 Transferência do risco

    A transferência do risco envolve a decisão de se compartilhar certos riscos com entidades externas. transferência do risco pode também criar novos riscos ou modificar riscos existentes e já identificados. Portanto, um novo tratamento do risco pode vir a ser necessário."

    **A transferência do risco para seguradoras, que utilizam as apólices de seguro, pode criar novos riscos(Será necessário um novo tratamento como redução ou evitar riscos, por exemplo), portanto, pode não ser suficiente para tratar os riscos.


  • Complemento. 

    Segundo a ISO 15999,P.23,

    "6.6.4 Transferência

    As apólices de seguro podem ser parte  de uma estratégia de tratamento de risco e fornecem ALGUMA recompensa finenceira por determinadas perdas. Porém, nem todas as perdas são totalmente seguráveis(por exemplo, incidentes não cobertos, danos à marca ou reputação, perda de valor para as partes interessadas, redução da participação no mercado e consequências humanas)."

  • Gabarito Errado

    O erro está na palavra "suficientes".

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • A ISO 15999-1 indica que um seguro não é capaz de cobrir sozinho todas as espécies de impactos na organização, como por exemplo, perdas de posição de mercado, ativos descobertos, impacto na imagem da organização, etc. Portanto, não é suficiente.


ID
770812
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A gestão de riscos de uma organização só será considerada eficiente se conseguir eliminar todos os riscos internos e também os externos.

Alternativas
Comentários
  • É impossível eliminar todos os riscos existentes na organização e fora dela.  Existem riscos que podem ser aceitos e mitigados pela organização. Essa aceitação dependerá da análise de risco e da decisão da direção.
  • Outro erro é que a organização será considera eficiente se conseguir se reestabelecer, de qualquer incidente, em um curto espaço de tempo.
    O examinador brincou com as palavras eficaz e eficiente.
  • É POSSÍVEL SIM ELIMINAR OS RISCOS!.------

    --------------------04/IN01/DSIC/GSI/PR-----------------------------

    Segundo a norma complementar 04/IN01/DSIC/GSI/PR sobre Gestão de Riscos

    4.9 Gestão de Riscos de Segurança da Informação e Comunicações – conjunto de processos que permitem identificar e implementar as medidas de proteção necessárias  para minimizar ou eliminar os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos; 

    --------------------------------ISO 27005-------------------------------------

    Lembrando também que conforme a ISO 27005,9.1 Descrição geral do processo de tratamento do risco,"

    Há quatro opções disponíveis para o tratamento do risco: redução do risco (ver 9.2), retenção do risco (ver 9.3), evitar o risco (ver 9.4) e transferência do risco (ver 9.5)."

    **Portanto, a palavra "só" da questão a torna errada, visto que os riscos podem ser minimizados (através de opções de tratamento de riscos)também tornando a gestão de riscos eficiente.

    Bibliografia:

    http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf

    - Norma ABNT/IEC ISO 27005


  • ERRADO. Complemento.

    Segundo a ISO 27002,"4.2 Tratando os riscos de segurança da informação

    Riscos podem ser aceitos se, por exemplo, for avaliado que o risco é baixo ou que o custo do tratamento não é economicamente viável para a organização."


    **Se os riscos podem ser aceitos, logo, não é necessário que todos riscos sejam eliminados, e, ainda assim, a gestão de riscos continuará a ser eficiente.



  • É impossível eliminar todos os riscos...

    (CESPE – TRE-RJ / ANALISTA – 2012) São opções para tratamento do risco: reduzi-lo, aceitá-lo, evitá-lo ou transferi-lo. C

    (CESPE – TRE-RJ / TÉCNICO – 2012) Para o gerenciamento de projetos, consideram-se riscos as ameaças e oportunidades,
    que podem ter impacto positivo ou negativo ao projeto. C


ID
770815
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A organização deve manter e melhorar a eficiência e a eficácia do SGCN por meio de ações corretivas e preventivas, quando assim determinar a análise crítica da direção.

Alternativas
Comentários
  • CERTO. Parafraseado do material do estratégia concursos,professor Victor Dalton.

    Segundo a ISO 22301,"6 – Avaliação de Desempenho

    A direção irá analisar criticamente o SGCN, para garantir sua contínua aptidão, adequação e eficácia.

    _________________

    7 – Melhoria
    Na melhoria, define-se procedimentos a serem tomados pela organização no caso de não conformidade, por meio de ações corretivas,
    e melhoria contínua, para que o SGCN permaneça atendendo às necessidades da organização.

    "


ID
770818
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Define-se a análise de impacto nos negócios — do inglês business impact analysis (BIA) — como o processo de análise das funções de negócio e dos possíveis efeitos causados nessas funções por uma interrupção.

Alternativas
Comentários
  • BIA - Business Impact Analysis ( Análise de Impacto no Negócio) vai informar quais recursos e serviços críticos a empresa utiliza e mostrar quais departamentos ou clientes são impactados com a interrupção de um serviço.

    Fonte: T.I. MUDAR E INOVAR - resolvendo conflitos com ITIL V.3, Marcelo Gaspar, Thierry Gomez, Zailto Miranda, 2011.
  • CERTO.

    Segundo a ISO 15999-1, 2 Termos e Definições ,"2.3 análise de impacto nos negócios (BIA- business impact analysis): processo de analisar as funções de negócios e os efeitos que uma interrupção possa causar nelas."

  • Gabarito Certo

    Business Impact Analysis

    A definição de BIA é a identificação e análise de processos de negócios / atividades (incluindo os recursos necessários), com o objetivo de compreender o impacto do tempo de inatividade, o que leva a atribuição de objetivos de recuperação e priorização.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • BIA -> definir e documentar o impacto de uma interrupção nas atividade de negócio

    Fonte: minhas anotações

  • Para complementação de conhecimento:

    O texto faz referência a ISO/IEC 15.999:

    "Com relação à documentação de GCN, é importante desenvolver diretrizes de recuperação de procedimentos identificados como críticos, para que as unidades de negócio possam operar entre o período de desastre e até a recuperação de processos críticos e eventualmente o retorno a normalidade. A identificação dos processos críticos é realizada através do questionário denominado Análise de Impacto nos Negócios (AIN ou BIA) e os procedimentos são elaborados através da documentação de:

    • Planos de Recuperação de Desastres (PRD); 

    • Plano de Continuidade Operacional (PCO); ou 

    • Planos de Gerenciamento de Incidentes."


ID
770821
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A política de gestão da continuidade de negócios (GCN), proposta pela direção administrativa da empresa, deve ser aprovada pela alta direção e, em seguida, comunicada somente aos empregados da área de TI, já que o sigilo é imprescindível para o seu sucesso.

Alternativas
Comentários
  • 3. Planejamento do SGCN - Estabelecendo e gerenciando o SGCN:
    - Política de GCN: A alta direção deve estabelecer e demostrar comprometimento com a política de GCN.

    Logo, é a alta direção que estabelece a política, não a direção administrativa.

    A política deve ser:
    - Aprovada pela alta direção
    - comunicada a todos os que trabalham para ou em nome da organização
    - analisada criticamente em intervalos planejados e quando alterações significativas ocorrerem.

    Outro erro, portanto, é que a comunicação é para TODOS, não somente para o pessoal de TI.
  • ERRADO.

    Segundo a ISO 15999-1,"10 Incluindo a GCN na cultura da organização

    Para obter sucesso, a continuidade de negócios precisa se tornar parte da gestão da organização, independentemente de seu tamanho ou setor. Em cada estágio do processo de GCN, existem oportunidades de se introduzir e melhorar a cultura de  GCN da organização."

    ** Não é só a área de TI que é importante para garantir a continuidade de négocios em uma empresa. A GCN pode envolver desde a área de limpeza até a área de processamento de dados, portanto deve abranger todas as áreas de uma empresa e partes externas relevantes.

  • Quanto mais gente souber lidar com incidentes internos, melhor para a organização


ID
770824
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O plano de continuidade de negócios deve ser testado, de forma que se garanta sua correta execução a partir de instruções suficientemente detalhadas. Adotado esse plano, não convém que a organização providencie auditoria externa, já que essa auditoria poderá comprometer os dados sigilosos da organização.

Alternativas
Comentários
  • Alguém explica esta questão?
  • 9.5.4
    A análise crítica pode ser realizada por meio de auditorias internas ou externas, ou auto-avaliações. A freqüência e a periodicidade destas análises críticas podem ser influenciadas por leis e regulamentações, dependendo do tamanho, natureza e situação legal da organização. Também podem ser influenciadas por necessidades das partes interessadas.

    Fonte: norma ISO/IEC 15999
  • "Adotado esse plano, não convém que a organização providencie auditoria externa, já que essa auditoria poderá comprometer os dados sigilosos da organização." <---ERRADO

    Segundo a ISO 15999,"9 Testando,mantendo e analisando criticamente os preparativos de GCN

    9.6 Auditoria

    Convém que a organização providencie uma auditoria independente para avaliar sua competência de GCN e sua capacidade de identificar falhas reais e potenciais. Convém que a organização estabeleça, implemente e mantenha procedimentos para lidar com a auditoria independente. Convém que auditorias independentes sejam conduzidas por pessoas competentes, sejam elas internas ou externas. "


ID
770827
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A alta direção deve participar da análise crítica da capacidade de gestão da continuidade do negócio da organização, de forma a garantir sua aplicabilidade, adequação e funcionalidade.

Alternativas
Comentários
  • Comentário alá Prof. Gabriel Pacheco:

    CLARO :)

    Tem questão que não tem nem o que comentar. hehehehe
  • CERTO

    Segundo a ISO 15999-1,p. 42, 9.5 Análise Crítica dos preparativos de GCN

    9.5.1 Convém que a alta direção da organização, nos intervalos  que considerar apropriados, analise criticamente a capacidade de GCN da organização, de forma a  garantir sua aplicabilidade, adequação e funcionalidade. Convém que a analise crítica seja documentada.

  • kkkk, refiz essa questão agora e pensei, ptuz não sei de onde tiraram essa questão. quando fui ver os comentários percebi que eu já tinha comentado ela. Tirei minha dúvida com meu próprio comentário. 

    Vamos comentar as questões galera. =]

  • Alta direção é parte imprescindível do pcn


ID
770830
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O tempo objetivado de recuperação (recovery time objective) é o tempo-alvo para a retomada da entrega de produtos, serviços ou atividades após a ocorrência de um incidente

Alternativas
Comentários
  • RTO – “Recovery Time Objective”: Tempo Objetivado de Recuperação:
    De acordo com a norma ABNT NBR 15999-1 RTO é o tempo alvo para:
    retomada da entrega de produtos ou serviços após um incidente; 
    recuperação do desempenho de uma atividade após um incidente; 
    recuperação de um sistema ou aplicação de TI após um incidente.
  • Gabarito Certo

    As instituições, independente de tamanho ou setor de atuação, são sensíveis a interrupções nos seus processos de negócio. Elas são vulneráveis a situações de riscos, que são originados por desastres naturais ou por pequenos incidentes, e a seus respectivos impactos. A ocorrência desses eventos pode causar uma interrupção parcial ou total das atividades da instituição, prejudicando seu negócio (FRIEDENHAIN, 2008, p. 11).

    Esta situação tem direcionado gradativamente a estrutura da Gestão de Continuidade de Negócios (GCN). Trata-se de um "“processo abrangente de gestão que identifica ameaças potenciais para uma organização e os possíveis impactos nas operações de negócio caso estas ameaças se concretizem"” (ABNT, 2013, p. 2). Para que a gestão de continuidade de negócios possa atingir seus objetivos, as seguintes etapas devem ser observadas:

    Análise de Impacto de Negócios (Business Impact Analysis – BIA): responsável por identificar e analisar os processos da organização e os efeitos que uma interrupção de negócio pode ter sobre eles. Ao final desta etapa, a organização será capaz de saber quais são seus processos de negócios mais críticos, suas interdependências e seus tempos de recuperação, objeto de estudo desta publicação;

    Avaliação de risco: processo de identificação, análise e tratamento dos riscos mais evidentes que podem afetar o funcionamento dos processos de negócio da organização. Para Ludescher (2011, p. 17) esta fase determina as possíveis causas de desastre e seus eventuais resultados.

    Elaboração da estratégia de continuidade de negócios: a partir dos resultados e dos requisitos de continuidade das duas etapas anteriores, identifica-se qual é a melhor abordagem, medida ou solução que a organização deve implementar para enfrentar uma interrupção de negócio. A estratégia de continuidade visa reduzir a chance e diminuir o tempo de interrupção ou, ainda, limitar seu impacto na execução de produtos e serviços da instituição (FAGUNDES ET AL, p. 254);

    Elaboração de planos de continuidade de negócios: criação da documentação de procedimentos e informações para que a instituição mantenha a continuidade dos seus processos críticos, caso ocorra algum tipo de interrupção neles. Guindani (2011, p. 71) ressalta que as atividades devem ser “"escritas como ordens de comando, curtas e simples, com maior detalhamento para as atividades diferentes do dia a dia"”;

    Teste e manutenção dos planos de continuidade de negócios e análise crítica: validação e atualização da documentação criada na fase anterior e identificação de melhorias no processo de GCN;

    Inclusão da cultura de GCN na organização: para ser efetiva, a GCN deve fazer parte da cultura da organização (VENEZIANO, p. 25; ABNT, 2007, p. 37). Envolve ações de conscientização e treinamento sobre o assunto. Guindani (op. Cit, p. 87) considera que é a etapa mais complexa de todo o processo.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
770833
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a NBR ISO/IEC 27005, julgue os próximos itens.


A conscientização dos gestores a respeito dos riscos, da natureza dos controles aplicados para mitigá-los e das áreas definidas como de interesse pela organização auxilia a organização na gestão dos incidentes e eventos previstos, porém não influencia no tratamento dos incidentes não previstos.

Alternativas
Comentários
  • Segundo norma 27005 

    A conscientização dos gestores a respeito dos riscos, da natureza dos controles aplicados para mitigá-los e das áreas definidas como de interesse pela organização auxilia a organização na gestão dos incidentes e não eventos previstos, porém não influencia no tratamento dos incidentes não previstos.

    Fonte: Norma 27005 Pág. 6

    PS. 
    Azul = INCLUIDO POR MIM
  • ERRADO

    Segundo a ISO 27005:2011, "6 Visão geral do processo de gestão de riscos de segurança da informação

    A conscientização dos gestores e pessoal no que diz respeito aos riscos, à natureza dos controles aplicados para mitigá-los e às áreas definidas como de interesse pela organização, auxiliam a lidar com os incidentes e eventos não previstos da maneira mais efetiva. "


ID
770836
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A existência de vulnerabilidade, ainda que não se verifique ameaça a ela relacionada, requer, necessariamente, a implementação de controle apropriado.

Alternativas
Comentários
  • Para resolver essa questão é necessário ter em mente os seguintes conceitos, segundo a 27002:
    vulnerabildade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças;
    ameaça: causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização;
    risco: combinação da probabilidade de um evento e de suas conseqüências
    controle: forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal 

    Como o risco é combinação da probabilidade de um evento e de suas consequências, e no texto da questão afirma que não foi verificado ameaça alguma a vulnerabilidade, então o risco é ZERO. Por isso, a vulnerabilidade não requer necessariamente a implementação de um controle apropriado.
  • Identificação de Vulnerabilidades.

    A presença de uma vulnerabilidade não causa prejuízo por si só, pois precisa haver uma ameaça presente para explorá-la. Uma vulnerabilidade que não tem uma ameaça correspondente pode não requerer a implementação de um controle no presente momento, mas convém que ela seja reconhecida como tal e monitorada, no caso de haver mudanças.

    Como notado, não há a obrigação da implementação imediata do controle, existe sim um aconselhamento para implementação futura para o caso onde ocorram alterações no contexto.
  • Nosso colega Diogo Brasil esqueceu de citar a fonte. Segue ela para ajudar os demais colegas.

    Segundo a ISO IEC 27005:2011,"8.2.5 Identificação das vulnerabilidades

    A presença de uma vulnerabilidade não causa prejuízo por si só, pois precisa haver uma ameaça presente para explorá-la. Uma vulnerabilidade que não tem uma ameaça correspondente pode não requerer a implementação de um controle no presente momento, mas convém que ela seja reconhecida como tal e monitorada, no caso de haver mudanças."


ID
770839
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Na fase “planejar” de um SGSI, define-se o contexto, procede-se à avaliação de riscos, desenvolve-se o plano de tratamento do risco e definem-se os critérios de aceitação do risco.

Alternativas
Comentários
  • Plan (planejar) - estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização.
    Do (fazer) - implementar e operar a política, controles, processos e procedimentos do SGSI.
    Check (checar) - avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresenta os resultados p/ a análise crítica pela direção.
    Act (agir) - Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.
    Fonte: 
    NBR ISO/IEC 27001
  • Questão diz:
    Na fase “planejar” de um SGSI, define-se o contexto, procede-se à avaliação de riscos, desenvolve-se o plano de tratamento do risco e definem-se os critérios de aceitação do risco.

    Mas venho estudando e percebido o abaixo:
    4.2.2 – DO – Implementar e Operar o SGSI:
    Fase “Fazer” do PDCA, onde deve-se:
    • A formular e implementar de um plano de tratamento de riscos;
    • Com o plano pronto, deve-se implementar os controles selecionados e deve-se também buscar uma forma de se medir a eficácia destes controles;
    http://www.leonardobastos.com.br/1/post/2012/03/clusulas-mandatrias-42-estabelecendo-e-gerenciando-o-sgsi.html

    Um fala que é no PLAN o outro fala que é no DO(Fazer), alguém se habilita a explicar por favor ??
  • Essa questão realmente gera muita confusão, pois as norma 27001 e 27005 tratam o plano de tratamento de risco em fases diferentes. Vejamos:

    27001:

    4.2.2 Implementar e Operar o SGSI (DO)

    A organização deve:

    a) Formular um PLANO DE TRATAMENTO DE RISCO que identifique a ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão de riscos de segurança. (ver Seção 5).

    27005:

    6 Visão geral do processo de gestão de riscos de segurança da informação - Pág 6

    (...)

    Em um SGSI, a definição do contexto, a análise/avaliação de riscos, o DESENVOLVIMENTO DO PLANO DE TRATAMENTO DE RISCOS e a aceitação do risco, fazem parte da fase "PLANEJAR".

    Como podemos perceber, na norma 27001, o plano de tratamento de risco é desenvolvido na fase DO, enquanto na norma 27005, é desenvolvido na fase PLAN. Como acertar essa questão? Basta, verificarmos o comando da questão:

    "De acordo com a NBR ISO/IEC 27005, julgue os próximos itens."

    De acordo com a 27005, o plano de tratamento risco é desenvolvido na fase "planejar", certa a resposta.

  • Na norma 27001:2005 - a formulação do plano de tratamento de riscos está em DO 

    Na norma 27001:2013, que é a vigente, a formulação do plano de tratamento de riscos está em PLAN. 

    A confusão era grande. Agora cada coisa esta no seu lugar.


ID
770842
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

No processo de identificação das ameaças, devem-se considerar o não atendimento à legislação, agentes de danos físicos ou tecnológicos, ações não autorizadas e aspectos culturais.

Alternativas
Comentários
  • Item correto

    As ameaças à segurança da informação são relacionadas diretamente à perda de uma de suas 3 características principais, quais sejam:

     Perda de Confidencialidade: seria quando há uma quebra de sigilo de uma determinada informação (ex: a senha de um usuário ou administrador de sistema) permitindo que sejam expostas informações restritas as quais seriam acessíveis apenas por um determinado grupo de usuários.
     Perda de Integridade: aconteceria quando uma determinada informação fica exposta a manuseio por uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão sob o controle do proprietário (corporativo ou privado) da informação.
     Perda de Disponibilidade: acontece quando a informação deixa de estar acessível por quem necessita dela. Seria o caso da perda de comunicação com um sistema importante para a empresa, que aconteceu com a queda de um servidor ou de uma aplicação crítica de negócio, que apresentou uma falha devido a um erro causado por motivo interno ou externo ao equipamento ou por ação não autorizada de pessoas com ou sem má intenção.

    No caso de ameaças à rede de computadores ou a um sistema, estas podem vir de agentes maliciosos, muitas vezes conhecidos como crackers, (hackers não são agentes maliciosos, pois tentam ajudar a encontrar possiveis falhas). Estas pessoas são motivadas para fazer esta ilegalidade por vários motivos. Os principais são: notoriedade, auto-estima, vingança e o dinheiro (motivos que são delineados por aspectos culturais). De acordo com pesquisa elaborada pelo Computer Security Institute, mais de 70% dos ataques partem de usuários legítimos de sistemas de informação (Insiders) -- o que motiva corporações a investir largamente em controles de segurança para seus ambientes corporativos (intranet).


  • GABARITO: CERTO.


ID
770845
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A definição, pela organização, dos critérios para aceitação do risco depende de suas políticas, metas e objetivos. Uma vez definidos, esses critérios devem ser utilizados para todas as classes de risco.

Alternativas
Comentários
  • Errado.
    Existem classes de risco.
    Gravíssimo - Grave - Mediato - Leve
    Riscos baixos podem ser aceitados (ou assumidos) dependendo da política, metas e objetivos da organização.
    Já riscos altos, por exemplo, os gravíssimos ou graves, não deve ser simplesmente assumidos sem trata-los.
  •   [...] devem ser utilizados para todas as classes de risco. (Trecho errado, o restante está correto)

    Segundo a ISO 27005,p.10,"

    7.2 Critérios básicos

    Critérios para a aceitação do risco

    Diferentes critérios para a aceitação do risco podem ser aplicados a diferentes classes de risco, por exemplo: riscos que podem resultar em não conformidade com regulamentações ou leis podem não ser aceitos, enquanto riscos de alto impacto poderão ser aceitos se isto for especificado como um requisito contratual."

  • Sobre a primeira parte que está correta. a PARTE ERRADA eu comentei na minha outra postagem logo abaixo.

    Segundo a ISO 27005,"

    Critérios para a aceitação do risco

    Convém que os critérios para a aceitação do risco sejam desenvolvidos e especificados e dependam freqüentemente das políticas, metas e objetivos da organização, assim como dos interesses das partes."



ID
770848
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O nível de detalhamento da identificação dos ativos de uma organização pode influenciar na quantidade de informações reunidas durante a avaliação de riscos.

Alternativas
Comentários
  • Quando aumentamos o nivel de detalhe da informações coletadas dos ativos da organização é influenciada para avaliação de riscos
  • CERTO

    Segundo a ISO 27005,8.2.1.2 Identificação dos ativos,"

    Convém que a identificação dos ativos seja executada com um detalhamento adequado que forneça informações suficientes para a análise/avaliação de riscos. O nível de detalhe usado na identificação dos ativos influenciará na quantidade geral de informações reunidas durante a análise/avaliação de riscos. O detalhamento pode ser aprofundado em cada iteração da análise/avaliação de riscos."


ID
770851
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Define-se evento como a combinação das consequências advindas da ocorrência de uma situação indesejada com a probabilidade de essa situação ocorrer.

Alternativas
Comentários
  • Evento de segurança da informação é uma ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.
    Não tem nada a ver com combinação das consequências somada à probabilidade, como diz a questão. Essa é a definição de Risco.

    Gabarito: Errado.
  • A questão definiu o que é um risco segundo a 27002.
    risco: combinação da probabilidade de um evento e de suas conseqüências
  • ERRADO

     

    Evento de segurança da informação: é uma ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.


    A questão definiu o que é um risco segundo a ISO 27002.
    Risco: combinação da probabilidade de um evento e de suas conseqüências


ID
770854
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A integração de novos controles de risco à infraestrutura existente e a interdependência entre controles existentes são fatores constantemente ignorados pelos gestores de segurança da informação.

Alternativas
Comentários
  • Item correto, conforme o anexo F(Restrições que afetam a redução do risco) da norma ISO 27005

    "A integração de controles novos a uma infra-estrutura existente e a interdependência entre controles são fatores

    freqüentemente ignorados. Controles novos podem não ser facilmente implementados se houver incongruência ou

    incompatibilidade com controles existentes."
    Abraços, vamo que vamo.

  • Rapaz, o CESPE foi no Anexo F da ISO/IEC 27.005! 

    Inclusive, é o último parágrafo da referida norma. Achei interessante o exemplo dado pela própria norma para nos atentarmos para possíveis conflitos entre controles: existentes e novos. Ver, em negrito, o exemplo:"A integração de controles novos a uma infra-estrutura existente e a interdependência entre controles são fatores freqüentemente ignorados. Controles novos podem não ser facilmente implementados se houver incongruência ou incompatibilidade com controles existentes. Por exemplo, um plano para usar dispositivos de identificação biométrica para controle de acesso físico pode conflitar com um sistema que se baseie na digitação de números de identificação pessoal (PIN, conforme a sigla em Inglês) para o controle de acesso. Convém que o custo da mudança dos controles existentes para os planejados inclua também os itens a serem adicionados ao custo geral do tratamento do risco. Talvez não seja possível implementar alguns dos controles selecionados devido aos conflitos com os controles atuais."Abs!