SóProvas



Prova CESPE - 2014 - TJ-SE - Analista Judiciário - Segurança da Informação


ID
1213990
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de gestão, risco e conformidade, julgue os itens a seguir.

O ciclo de vida da informação, inclui as etapas de manuseio, de armazenamento, de transporte e de uso, mas não a de descarte, uma vez que esta, mesmo no caso de ser descarte inadequado, não é fonte de vulnerabilidade.

Alternativas
Comentários
  • ERRADO. Segue uma fonte que nos trás isso.

    Segundo a ISO 27002,10.7.2 Descarte de mídias,"Diretrizes para implementação

    Convém que procedimentos formais para o descarte seguro das mídias sejam definidos para minimizar o risco de vazamento de informações sensíveis para pessoas não autorizadas."

    -------------------------

    Segundo a ISO 27002,"2.17 vulnerabildade:fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

    ******PORTANTO, O DESCARTE INADEQUADO PODE EXPOR INFORMAÇÕES SENSÍVEIS DE UMA ORGANIZAÇÃO, O QUE CARACTERIZA UM ELO FRACO NA SEGURANÇA DA EMPRESA, OU SEJA CONSTITUI UMA FONTE DE VULNERABILIDADE.



  • O ciclo de vida da informação, inclui as etapas de manuseio, de armazenamento, de transporte, de uso, e de descarte

  • O ciclo da vida da informação, em segurança da informação, é:

    •     Manuseio: Criação e manipulação;

     

    •     Armazenamento: É armazenar a informação (digital ou analógica);

     

    •     Transporte: Transmitir a mensagem, seja por e-mail, compartilhamento; ligação telefônica, fax;

     

    •     Descarte: É o descarte da informação

     

     

    FONTE: Hachid Targino


ID
1213993
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de gestão, risco e conformidade, julgue os itens a seguir.

Caso não disponha de recursos para o desenvolvimento de plano de gestão de continuidade do negócio próprio, a organização pode, alternativamente, adquirir um plano padrão, que pode ser personalizado conforme as características da instituição.

Alternativas
Comentários
  • 14.1.4 Estrutura do plano de continuidade do negócio

    Controle

    Convém que uma estrutura básica dos planos de continuidade do negócio seja mantida para assegurar que todos os planos são consistentes, para contemplar os requisitos de segurança da informação e para identificar prioridades para testes e manutenção.

  • Vejamos o que diz a norma ABNT NBR 27.001, anexo A:
    A.14 Gestão da continuidade do negócio
    A.14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação
    A.14.1.1 Incluindo segurança da informação no processo de gestão da continuidade de negócio:
    Controle
    Um processo de gestão deve ser desenvolvido e mantido para assegurar a continuidade do negócio por toda a organização e que contemple os requisitos de segurança da informação necessários para a continuidade do negócio da organização.

    A norma 27002 diz:
    14 Gestão da continuidade do negócio
    14.1 Aspectos da gestão da continuidade do negócio
    ...
    Convém que o processo de gestão da continuidade do negócio seja implementado para minimizar um impacto sobre a organização e recuperar perdas de ativos da informação a um nível aceitável através da combinação de ações de prevenção e recuperação. Convém que este processo IDENTIFIQUE os processos CRÍTICOS e integre a gestão da segurança da informação com as exigências da gestão de continuidade do negócio com outros requisitos de continuidade relativo a tais aspectos como operações, funcionários, materiais, transporte e instalações.

    Embasado nas normas da família 27.000, podemos afirmar resumidamente:
    O Plano de continuidade deve contemplar os requisitos da organização. Estes requisitos são diferentes entre todas as organizações, seja pela localização geográfica, seja pelas pessoas contratadas, seja pela criticidade do negócio ou por qualquer outra especificidade da organização. Desta forma, é inadmissível a utilização de um plano de continuidade padrão.

    Bons estudos.


ID
1213996
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de gestão, risco e conformidade, julgue os itens a seguir.

A ISO/IEC n.º 17799 originou-se da adoção, pela ISO (International Organization for Standardization), da norma britânica BS 7799, anteriormente seguida de forma ampla.

Alternativas
Comentários
  • CERTO. Não achei informações históricas na própria ISO 27002(17799), contudo encontrei no livro do Aragon.

    Segundo Aragon(2012,p.410),"A British Standard (BS) 7799, que deu origem à ISO 17799 e agora foi substituída pela ISO/IEC 27002,nasceu no Commercial Computer Security Centre(CCSC) do Departament of Trade and Industry."

    Bibliografia:

    IMPLANTANDO A GOVERNANÇA DE TI-ARAGON-3 EDIÇÃO 2012


ID
1213999
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de gestão, risco e conformidade, julgue os itens a seguir.

Entre as formas de abordagem do risco inclui-se a transferência do risco, atividade que não se confunde com a abstenção do tratamento do risco.

Alternativas
Comentários
  • Repostas a riscos:

    Se Classificam as seguintes categorias:

    Evitar 

    Reduzir

    Compartilhar:Redução da probabilidade ou do impacto dos riscos pela transferência ou pelocompartilhamento de uma porção do risco. As técnicas comuns compreendem a aquisição de produtosde seguro, a realização de transações de headging ou a terceirização de uma atividade

    Aceitar


  • CERTO.

    Segundo a ISO 27005,"

    Diretrizes para implementação:

    Há quatro opções disponíveis para o tratamento do risco: redução do risco (ver 9.2), retenção do risco (ver 9.3), evitar o risco (ver 9.4) e transferência do risco (ver 9.5).

    "

     

    _________________________________________________________

    **Bom, a confusão da questão é o seguinte trecho: '(...) que não se confunde com a abstenção do tratamento do risco.', o que podemos interpretar como 'que não se confunde com deixar de realizar o tratamento do risco'.  Isso é verdade, pois, quando transferimos um risco para um terceiro(por exemplo, seguradora), não quer dizer que deixamos de tratar o risco. Quer dizer apenas que naquele momento foi mais conveniente compartilhar certos riscos com entidades externas. Portanto, transferir um risco não se confunde com abster-se(leia-se deixar) de tratar um risco, visto que realizar a transferência de um risco consiste em uma das quatro possíveis formas de se tratar um risco.  (Fui um pouco redundante, mas espero que compreendam!)

    ____________________________

    ATUALIZANDO PRA ISO 27005:2011, visto que nessa versão os nomes tiveram leves mudanças.

    Segundo a ISO 27005:2011,"Há quatro opções disponíveis para o tratamento do risco: modificação do risco (ver 9.2), retenção do
    risco (ver 9.3), ação de evitar o risco (ver 9.4) e compartilhamento do risco (ver 9.5)."

    **Na versão 2011, COMPARTILHAR O RISCO EQUIVALE A TRANSFERIR O RISCO DA VERSÃO DE 2008!

     

  • Muito Bom HTTP Concurseiro!

  • Vale observar que na versão 2011 da norma os controles possíveis são:

    Compartilhar (equivalente a transferir), Modificar (equivalente a reduzir), Reter (equivalente a aceitar) e Evitar (equivalente a evitar mesmo :D )

  • HTTP concurseiro é o cara que mais manja de NORMA em todo o QC


ID
1214002
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de gestão, risco e conformidade, julgue os itens a seguir.

Gestão de risco consiste no conjunto de procedimentos que permitem a proteção, de forma absoluta, contra quebras de confidencialidade.

Alternativas
Comentários
  • Errado

    Considerando as limitações do gerenciamento de riscos corporativos, três conceitos distintos devem ser reconhecidos:

    Primeiro: O risco está relacionado ao futuro, o qual é intrinsecamente incerto.

    Segundo: mesmo que eficaz – opera em diferentes níveis com relação a diferentes objetivos

    Terceiro: gerenciamento de riscos corporativos não é capaz de oferecer uma garantia absoluta emrelação a qualquer uma das categorias de objetivos.

    Fonte: http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_Portuguese.pdf

    Pag: 107

  • ERRADO.  Não é esse o objetivo da gestão de riscos. E dentro do contexto dessa questão pode-se dizer que, na verdade, pode haver situações em que a violação da confidencialidade pode ser aceita se tal ocorrência não for relevante para a organização. Se pode ser aceito, logo não é uma proteção absoluta!

    CONCEITO DE RISCO------------

     

    Segundo a ISO 27005:2011,"

    3.16 gestão de riscos:atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos"

    SOBRE A CONFIDENCIALIDADE CONFORME A ISO 27005-----

     

    Segundo a ISO 27005:2011,"8.4 Avaliação de riscos

     

    -Propriedades da segurança da informação: se um critério não for relevante para a organização (por exemplo: a perda da confidencialidade), logo, todos os riscos que provocam esse tipo de impacto podem ser considerados irrelevantes"

     

     

     

  • Dica para resolver estas e outras questões: cuidado com palavras do tipo "sempre", "absoluto". O CESPE gosta muito de fazer este tipo de pegadinha.

  • Prestar atenção nas palavras NEGATIVAS,e com MUITA INTENCIDADE. Na CESP geralmente estas questões são ERRADAS. 


ID
1214005
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à equipe de resposta e tratamento a incidentes (ETIR) e aos incidentes de segurança, julgue os itens que se seguem.

As diretrizes do trabalho da ETIR e o planejamento da estratégia de resposta a incidentes devem ser traçados pelo agente responsável e pelos membros da equipe, sem o envolvimento do gestor de segurança da informação, que tem a função de atuar como analista de conformidade do processo.

Alternativas
Comentários
  • Sem o envolvimento do gestor de segurança da informação?
    Que organização é essa? Que gestor é esse?

    ERRADO

  • Norma DSIC 5

    5 RESPONSABILIDADE 

    Os Gestores de Segurança da Informação e Comunicações são os responsáveis por coordenar a  instituição, implementação e manutenção da infraestrutura necessária às Equipes de Tratamento e Resposta a Incidentes em Redes Computacionais, nos órgãos e entidades da Administração Pública Federal, direta e indireta, conforme descrito no inciso V do art 5º da Instrução Normativa nº 01, do Gabinete de Segurança Institucional, de 13 de junho de 2008.

    http://dsic.planalto.gov.br/documentos/nc_05_etir.pdf


    -------------------------------

    NORMA GSI 1

    Art. 7º Ao Gestor de Segurança da Informação e Comunicações, de que trata o inciso IV do art. 5º, no âmbito de suas atribuições, incumbe:

    IV - coordenar o Comitê de Segurança da Informação e Comunicações e a equipe de tratamento e resposta a incidentes em redes computacionais;

    http://dsic.planalto.gov.br/documentos/in_01_gsidsic.pdf




ID
1214008
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à equipe de resposta e tratamento a incidentes (ETIR) e aos incidentes de segurança, julgue os itens que se seguem.

Incidente de segurança refere-se a qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores, incluindo aqueles decorrentes de conduta maliciosa, denominados ataques.

Alternativas
Comentários
  • NC 05 - CRIAÇÃO DE EQUIPES DE TRATAMENTO E RESPOSTA A INCIDENTES EM REDES COMPUTACIONAIS - ETIR
    4.6 Incidente de segurança: é qualquer evento adverso, confirmado ou sob suspeita, relacionado à
    segurança dos sistemas de computação ou das redes de computadores;

    Fonte: dsic.planalto.gov.br/documentos/nc_05_etir.pdf

    Veja o que diz a NBR ISO/IEC 27.001,
    3 - Termos e Definições
    3.6 incidente de segurança da informação
    um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. [ISO/IEC TR 18044:2004]

    O conceito expresso na questão não está em conformidade com o expresso na ISO 27.001, porém no edital consta várias outras normas que podem ter o conceito constante na NC05 do governo. Acredito que quem se baseia na ISO 27.001 acaba errando a questão.
    Bons estudos!!!


  • Achei que restringiu demais falando em sistemas de computação ou das redes de computadores..

  • Ameaça

    um agente externo que se aproveitando das vulnerabilidades para causar danos, caso ocorra um incidente, poderá haver dano ou não

    Ataque

    decorrente da exploração de uma vulnerabilidade por uma ameaça com o intuito de obter, alterar, destruir, implantar ou revelar informações sem autorização de acesso

    Evento

    indica uma possível violação da política de segurança da informação ou falha de controles

    Risco

    trata de um dano real, se houver incidente, haverá perdas ou danos

    Incidente

    qualquer evento adverso, pode decorrer de um ataque bem-sucedido, indicando uma falha ou situação desconhecida

    Fonte: estratégia

  • GABARITO: CERTO.


ID
1214011
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à equipe de resposta e tratamento a incidentes (ETIR) e aos incidentes de segurança, julgue os itens que se seguem.

Um processo seguro e tempestivo de notificação de incidentes de segurança é um componente crítico de qualquer programa de segurança no que se refere à gestão e ao tratamento de incidentes.

Alternativas

ID
1214014
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à equipe de resposta e tratamento a incidentes (ETIR) e aos incidentes de segurança, julgue os itens que se seguem.

Entre os modelos de formação do time de resposta a incidentes previstos pela ISACA, Central, Distributed, Coordinating e Outsourced, apenas o último não foi incorporado ao regramento do DSIC (NC 05/IN01/DSIC/GSIPR) para a administração pública, haja vista que, no âmbito dessa administração, a escolha preferencial, na formação da equipe, deve recair sobre servidor público ocupante de cargo efetivo ou militares de carreira

Alternativas

ID
1214017
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à equipe de resposta e tratamento a incidentes (ETIR) e aos incidentes de segurança, julgue os itens que se seguem.

A equipe de resposta e tratamento a incidentes pode ser formada por uma única pessoa.

Alternativas
Comentários
  • Poder... pode. Só não é recomendado.

  • Equipe de 1


ID
1214020
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à equipe de resposta e tratamento a incidentes (ETIR) e aos incidentes de segurança, julgue os itens que se seguem.

A implementação do monitoramento de uso do sistema dispensa a prévia análise de riscos.

Alternativas
Comentários
  • Sem a análise de riscos não é possível saber o que monitorar.


ID
1214023
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens, relativos ao uso de soluções criptográficas.

As soluções criptográficas, ainda que possam ser quebráveis, são empregadas para tornar o ataque custoso, em termos econômicos e procedimentais, e, consequentemente, inviabilizar o objetivo malicioso.

Alternativas
Comentários
  • é a diferença entre ser computacionalmente seguro e ser incondicionalmente seguro

  • Basta pensar no orçamento (e recursos humanos) usado para prover o serviço de "ráquer" na Quitanda do Seu Joaquim alí da esquina e o orçamento da NSA para infiltrações, espionagem e contrainteligência.

  • Errei por causa da parte final da questao.... acho que nao torna inviavel, pois se fosse assim a NASA e o FBI jamais seriam atacados por harckers... alguem tem uma fonte para justificar essa parte final da questao?

  • Gabarito Certo


    "Duas outras definições são dignas de nota. Um esquema de criptografia é incondicionalmente seguro se o texto
    cifrado gerado pelo esquema não tiver informações suficientes para determinar exclusivamente o texto claro correspondente, não importando quanto texto cifrado esteja à disposição. Ou seja, não importa quanto tempo um oponente
    tenha, é impossível que ele decodifique o texto cifrado, simplesmente porque a informação exigida não está Já. Com
    o escalonamento de um esquema conhecido como One-Time Pad (descrito mais adiante neste capítulo}, não existe
    algoritmo de criptografia que seja incondicionalmente seguro. Portanto, tudo o que os usuários de um algoritmo de
    criptografia podem se esforçar para obter é um algoritmo que atenda a um ou a ambos os critérios a seguir:
    • Custo para quebrar a cifra superior ao valor da informação codificada.
    • Tempo exigido para quebrar a cifra superior ao tempo de vida útil da informação.
    Um esquema de criptografia é considerado computacionalmente seguro se um desses dois critérios for atendido.
    O problema é que é muito difícil estimar a quantidade de esforço exigido para criptoanalisar o texto cifrado com
    sucesso."


    Fonte: Criptografia e Segurança de Redes, Princípios e Práticas - William Stallings - 4 Ed, página 21.

  • sistemas criptográficos computacionalmente seguro: tempo de quebrar maior que tempo util da informação protegida ou custo da quebra maior que o valor da info protegida

  • Não existem soluções 100% seguras. No entanto, existem mecanismos de segurança que fazem com que o atacante desista do ataque, justamente pela dificuldade imposta. A inviabilidade não significa dizer que a barreira seja inviolável, mas que torna a tentativa bastante custosa, árdua, dificultosa.


ID
1214026
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens, relativos ao uso de soluções criptográficas.

A colisão de hashes ocorre quando duas entradas de mensagens idênticas resultam em dois valores diversos de message digest ou hash, e pode decorrer, por exemplo, de exploração do tipo força bruta (ataque de dicionário)

Alternativas
Comentários
  • A colisão de hashes ocorre quando duas entradas distintas geram o mesmo número hash (messagedigest) e não o contrário.

  • conceitos invertidos

  • Quando se encontram mensagens diferentes com hashes iguais, é dito que foi encontrada uma colisão de hashes. Um algoritmo onde isso foi obtido deve ser abandonado.

  • Colisão = duas entradas distintas geram o mesmo hash. Colisões de hash já aconteceram apenas em laboratórios, por isso, o hash ainda é altamente utilizado.

  • O erro da questão está na colisão, onde duas entradas produzem o mesmo resumo.

  • Exemplo para facilitar...

    O resto da divisão de 10 por 3 é 1, mas o resto da divisão de 7 por 3 também é 1, ou seja, p/ entradas diferentes, tivemos a mesma saída. Em razão disso não é indicado usa-la para definir senhas.


ID
1214029
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens, relativos ao uso de soluções criptográficas.

O algoritmo AES, em relação ao DES, seu antecessor, apresenta as seguintes vantagens: maior tamanho de blocos, uso de chaves de tamanho variável e variabilidade do número de rounds.

Alternativas
Comentários
  • A questão ficaria mais clara se fosse assim: O algoritmo AES, apresenta as seguintes vantagens: sobre o DES, maior tamanho de blocos, uso de chaves de tamanho variável e variabilidade do número de rounds.

  • Segue pequeno resumo sobre o AES

        AES (Algoritmo de Rinjdael)

        Cifrador de Bloco

        Tamanho bloco: 128bits

        Tamanho da Chave: variável 128, 192, 256bits

        Tipo: Substituição

        APESAR DE SER sucessor do DES não segue o esquema de Feistel

        Funcionamento (4 operações)

        1 - Substituição complexa (utiliza tabela s-BOX, propriedade: confusão)

        2 - Deslocamento dentro das linhas (Função ShiftRows, permutação)

        3 - Combinação linear dentro das colunas (Função MixColumns, propriedade: difusão)

        4 - XOR usando a chave de round (Função AddRoundKey)

        - chaves de 128 -> 10 rounds

        - chaves de 192 -> 12 rounds

        - chaves de 256 -> 14 rounds

        - Antes do primeiro round é executada a AddRoundKey e no último round não é executada a MixColumns

  • questao mais punk q eu ja vi sobre AES foi esta:

     

    2015

    O algoritmo de criptografia AES utiliza quatro estágios diferentes, dois de permutação e dois de substituição.

    errada

  • Certa.

    Tamanho de blocos (AES possui bloco maior que o DES)

    DES: blocos de 64 bits

    AES: blocos de 128 bits.

    Uso de chaves de tamanho variável (AES possui chaves com tamanho variável)

    DES: chave de 56 bits

    AES: chaves de 128, 192 ou 256 bits.

    Variabilidade do número de rounds (AES possui número de rounds variável)

    DES: 16 rounds.

    AES: 10, 12 ou 14 rounds.

  • Respondendo à questao do Robô,

    "O algoritmo de criptografia AES utiliza quatro estágios diferentes, -- Certo

    dois de permutação e dois de substituição". -- Errado. Quatro estágios diferentes são usados, um de permutação e três de substituição, conforme afirma[1]".

    Fonte:

    [1] Stallings

  • EVOLUÇÃO:  DES → 3DES → AES


ID
1214032
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens, relativos ao uso de soluções criptográficas.

O criptex, sistema supostamente desenvolvido por Leonardo Da Vinci, não consiste em exemplo de criptografia aplicada a um texto-em-claro, mas de criptologia aplicada a controle de acesso.

Alternativas
Comentários
  • Certa.

    Criptex criado por Leonardo da Vinci tem a forma cilíndrica, sua tranca é feita por um conjunto de anéis com todas as letras do alfabeto gravadas para efetuar a senha e abri-lo. O objetivo de um críptex é esconder uma mensagem (ou informação) de tal forma que somente a entrada correta (a senha) é capaz de revelá-la, abrindo o criptex.

    Semelhante ao cadeado com segredo.

    Fonte: Wikipédia

  • O Criptex funciona com um cadeado;

  • Se você leu ou assistiu ao Código Da Vinci, você sabe a resposta, hehehe.

  • Mais uma vez, o CESPE alternando sua bibliografia .... "Wikipédia".

    Credibilidade zero ...

  • Mais uma questão do Estagiário! Foi lá copiou. Relevância do tema zero. E prejudica quem estuda. Infelizmente o estagiário ainda está trabalhando no CESPE. De qq forma, a questão está correta.  

  • Isso é sério????

  • Parece brincadeira! O estagiário viciado em Assassin's Creed... ¬¬

  • Não assisti o filme :(

  • O tipo de questão que não tem fundamento... Fala sério.

  • Sera que assistir o filme estava no Edital. Alguem feche o CESPE por favor...

  • Gabarito Certo

    Críptex é uma palavra-valise criada por Dan Brown das palavras criptologia e códice (codex). No livro e filme O Código Da Vinci ele é um cofre no formato de cilindro supostamente criado por Leonardo da Vinci.

    Hoje ele está sendo fabricado para usos comerciais. O Criptex tem a forma cilíndrica, sua tranca é feita por um conjunto de anéis com todas as letras do alfabeto gravadas para efetuar a senha e abri-lo. O objetivo de um críptex é esconder uma mensagem (ou informação) de tal forma que somente a entrada correta (a senha) é capaz de revelá-la, abrindo o criptex. Qualquer tentativa de abri-lo à força bruta, resulta na destruição imediata de seu conteúdo.

    O criptex foi supostamente desenhado por Da Vinci, em muitos de seus esboços ele a descrevia como "caixa do mistério" ou "santo graal", pouco se sabe da veracidade do criptex, porém uma cópia fiel se encontra no museu do louvre. O imaginário popular cresce cada vez que algo mais é encontrado. Em 1986 no túmulo de Da Vinci foi encontrado uma combinação de 5 letras que diziam "Domus" que em latim significa casa grande (O que possivelmente seria a senha do criptex).

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Leonardo da Vinci era polímata, em outras palavras, ERA O BRABO MESMO!

  • Nem sabia que tinha filme 0o

  • Bem, essa questao é horrivel...mas tinha assistido aos filmes tipo codigo da vinci e lembrei da palavra criptologia!!!

    Tbm tô ligado na LavaJato e lembrei do Triplex!!!

  • Já tem o cavalo de Tróia.

    agora descobrir outro: criptex de Leonardo da vinci

  • Questão só pra quem leu Dan Brown (brinks, nem li).


ID
1214035
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança da informação e continuidade do negócio, julgue os itens seguintes.

As etapas necessárias à adequada construção de uma garantia de continuidade do negócio são identificação da crise, análise de impactos no negócio, planejamento, política de continuidade, definição de estratégias de contingência e elaboração dos planos de contingência para os diversos perímetros.

Alternativas
Comentários
  • ERRADO.

    Segundo a ISO 15999-1,"3.7 Elementos do ciclo de vida da gestão da continuidade de negócios

    O ciclo de vida  de GCN é composto por seis elementos. São eles:

    -Gestão do programa de GCN.

    -Entendendo a organização

    -Determinando a estratégia de continuidade de negócios

    -Desenvolvendo e implementando uma resposta de GCN

    -Testando,mantendo e analisando criticamente os preparativos de GCN

    -Incluindo a GCN na cultura da organização."

  • Identificação da crise "gritou" no enunciado. 

    Questão Falsa.

  • O objetivo principal do plano de continuidade de negócios é a formalização de ações a serem tomadas para que, em momentos de crise, a recuperação, a continuidade e a retomada possam ser efetivas, evitando que os processos críticos de negócio da organização sejam afetados, o que pode acarretar em perdas financeiras.

    Entendo que a "identificação da Crise" acontece quando a crise esta em andamento e não no planejamento, pois não existe bola de cristal.


ID
1214038
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança da informação e continuidade do negócio, julgue os itens seguintes.

O BIA (business impact analysis) fundamenta todo o planejamento geral e os planos específicos da gestão de continuidade, sendo uma ferramenta empregada para realizar a identificação, a quantificação e a qualificação de perda, bem como a suspensão ou a interrupção dos processos de negócio. Além disso, mediante esse instrumento são estabelecidas as datas a partir das quais as estratégias de continuidade terão início.

Alternativas
Comentários
  • Na minha opinião deram muita responsabilidade ao BIA.

    Análise de Impacto no Negócio (BIA): Define e documenta o impacto de uma interrupção nas atividades (período máximo de interrupção tolerável, identificação de atividades interdependentes que precisam ser mantidos continuamente).


  • A análise de impacto no negócio, ou BIA, é uma avaliação direta e objetiva do impacto financeiro que a organização vai sofrer mediante uma falha da operação dos serviços de TI. Para poder alcançar estes resultados é necessário o correto entendimento dos processos de negócios e a real influência que eles sofrem pelos serviços de TI. Além disso, é necessário transformar um impacto intangível, o impacto temporal (tempo de parada), para um impacto tangível (através de valores financeiros), fornecendo uma estimativa muito assertiva.

    Com base nesta análise, os gestores e a alta direção possuirão uma ferramenta que realmente modela para valores financeiros, os valores intangíveis da organização e de sua operação de negócios.


    fonte: http://iso27000.com.br/index.php?option=com_content&view=article&id=79:servbia&catid=35:consult&Itemid=54

  • Acredito que o erro esteja no trecho "Além disso, mediante esse instrumento são estabelecidas as datas a partir das quais as estratégias de continuidade terão início.". Me corrijam se estiver errado.

  • O erro está em "...esse instrumento são estabelecidas as datas a partir das quais as estratégias de continuidade terão início."


    Como conseguimos prever uma data que o incidente vai ocorrer?? Se soubéssemos quando uma interrupção vai ocorrer, não precisaríamos nem do Planejamento de Continuidade....

  • ERRADO. Reescrevendo o erro para melhor entendimento: "O BIA (business impact analysis) fundamenta todo o planejamento geral e os planos específicos da gestão de continuidade, sendo uma ferramenta empregada para realizar a identificação, a quantificação e a qualificação de perda, bem como a suspensão ou a interrupção dos processos de negócio."  

    ________________________

    Enxugando mais ainda..."O BIA (business impact analysissendo uma ferramenta empregada para realizar a suspensão ou a interrupção dos processos de negócio."   what!?(VEJAM O ERRO!)

    ___________________________________

     

    ** A BIA não é usada pra suspender nem interromper os processos de negócios, mas sim para definir e documentar o impacto de uma interrupção nas atividades de negócios.(ISO 15999-1,6.2.1,p.20,PARAFRASEADO POR MIM). Com a BIA, define-se prioridades de contingência e os níveis de tolerância à indisponibilidade de cada processo/atividade.

     

     


ID
1214041
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança da informação e continuidade do negócio, julgue os itens seguintes.

O RPO (recovery point objective) é o ponto no tempo em que o reinício das operações após um desastre é desejável, considerando-se os custos da recuperação em face dos custos da interrupção.

Alternativas
Comentários
  • ERRADO.

    Segundo Veras(2009,p.231),"RPO(Recovery-Point Objective-objetivo de ponto de recuperação): é o processo de olhar para trás que mede o quanto será necessário retroceder no tempo para obter uma boa cópia de reinicialização dos dados,se algo de ruim acontecer a eles. Por exemplo, suponha-se que hoje seja sexta-feira,28 de abril,por volta das 9 da manhã,e que  a última vez  que você fez backup  de seus dados de negócios foi às 9 horas da manhã de ontem. Se algo acontecesse a seus dados agora,como seus sistema parar e os seus dados se perderem,você precisaria retroceder 24 horas no tempo a fim de obter uma cópia reinicializável de seus dados. Portanto,nesse caso,seu RPO seria de 24 horas."

    Bibliografia:

    DATACENTER-COMPONENTE CENTRAL DA INFRAESTRUTURA DE TI-MANOEL VERAS-2009

  • Segundo Veras(2009,p.232),"RTO(Recovery-Time Objective-objetivo de tempo de recuperação): é o processo de olhar para a frente que estima o tempo que levaria para seus negócios se tornarem totalmente operacionais novamente, uma vez  que você tenha uma boa cópia de seus dados. Essa é uma medição para tempo de inatividade."

    Bibliografia:

    DATACENTER-COMPONENTE CENTRAL DA INFRAESTRUTURA DE TI-MANOEL VERAS-2009


  • RTO vs RPO, bom saber a diferença!

  • RPOs (Recovery Point Objective) limitam o período de volta no tempo, e define a quantidade máxima permitida de dados perdidos de uma ocorrência de falha para o último backup válido.

    RTOs (Recovery Time Obective) estão relacionados ao tempo de inatividade e representam a quantidade de tempo que leva para se recuperar de um incidente até que as operações estejam disponíveis para os usuários.

  • Errado.

    A questão estã relacionada ao RTO.


ID
1214044
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança da informação e continuidade do negócio, julgue os itens seguintes.

O RTO (recovery time objective) representa o último ponto, na linha de tempo, anterior ao desastre e posterior ao último becape realizado que foi julgado como aceitável, em termos de custo, e considerando-se a avaliação de todas as circunstâncias do negócio em questão.

Alternativas
Comentários
  • ERRADO.


    Segundo Veras(2009,p.232),"RTO(Recovery-Time Objective-objetivo de tempo de recuperação): é o processo de olhar para a frente que estima o tempo que levaria para seus negócios se tornarem totalmente operacionais novamente, uma vez  que você tenha uma boa cópia de seus dados. Essa é uma medição para tempo de inatividade."

    Bibliografia:

    DATACENTER-COMPONENTE CENTRAL DA INFRAESTRUTURA DE TI-MANOEL VERAS-2009


  • Segundo Veras(2009,p.231),"RPO(Recovery-Point Objective-objetivo de ponto de recuperação): é o processo de olhar para trás que mede o quanto será necessário retroceder no tempo para obter uma boa cópia de reinicialização dos dados,se algo de ruim acontecer a eles. Por exemplo, suponha-se que hoje seja sexta-feira,28 de abril,por volta das 9 da manhã,e que  a última vez  que você fez backup  de seus dados de negócios foi às 9 horas da manhã de ontem. Se algo acontecesse a seus dados agora,como seus sistema parar e os seus dados se perderem,você precisaria retroceder 24 horas no tempo a fim de obter uma cópia reinicializável de seus dados. Portanto,nesse caso,seu RPO seria de 24 horas."

    Bibliografia:

    DATACENTER-COMPONENTE CENTRAL DA INFRAESTRUTURA DE TI-MANOEL VERAS-2009


  • O RTO(Recovery-Time Objective (objetivo do tempo de recuperação) é a duração de tempo necessária depois de um desastre com o objetivo de evitar consequências inaceitáveis com uma quebra na continuidade do negócio.

    The recovery time objective (RTO) is the targeted duration of time and a service level within which a business process must be restored after a disaster (or disruption) in order to avoid unacceptable consequences associated with a break in business continuity.[1]

    It can include the time for trying to fix the problem without a recovery, the recovery itself, testing, and the communication to the users. Decision time for users representative is not included.

    The business continuity timeline usually runs parallel with an incident management timeline and may start at the same, or different, points.

    In accepted business continuity planning methodology, the RTO is established during the Business Impact Analysis (BIA) by the owner of a process (usually in conjunction with the business continuity planner). The RTOs are then presented to senior management for acceptance.

  • Recovery Time Objective (RTO) (Objetivo do tempo de recuperação (RTO, Recovery Time Objective)) Define o limite máximo de tempo tolerável no qual os dados devem ser recuperados. No caso de um desastre, se você precisar ter os sistemas disponíveis imediatamente, mas puder permitir alguma perda de dados, seu RTO será zero. Porém, se você puder permitir uma hora de recuperação de dados, o RTO será de uma hora.

  • RPOs (Recovery Point Objective) limitam o período de volta no tempo, e define a quantidade máxima permitida de dados perdidos de uma ocorrência de falha para o último backup válido.

    RTOs (Recovery Time Obective) estão relacionados ao tempo de inatividade e representam a quantidade de tempo que leva para se recuperar de um incidente até que as operações estejam disponíveis para os usuários.

  • Errado. A definição é a de RPO.


ID
1214047
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança da informação e continuidade do negócio, julgue os itens seguintes.

A aprovação do plano de continuidade do negócio pelo nível executivo da organização (CEO e CSO) é dispensável.

Alternativas
Comentários
  • ERRADO. Não compreendi o significado da sigla CSO, portanto quem descobrir compartilhe ai. Bom marquei errado, pois o CEO pertence a alta direção e, portanto ele é indispensável para a Gestão de continuidade como um todo. Olhem o que achei na norma iSO 15999-1.

    Segundo a ISO 15999-1,5.2 Designando responsabilidades (governança),"As pessoas que  recebem a tarefa de implementar e manter o programa de continuidade de negócios podem ser de várias áreas de uma organização, dependendo do seu tamanho,escala e complexidade. É essencial,porém, que uma pessoa com a devida autoridade(por exemplo, proprietário, diretor do conselho executivo ou representante eleito) tenha a responsabilidade geral sobre o GCN e seja diretamente responsável por garantir a continuidade do sucesso desta capacidade."

    **Portanto, se o diretor do conselho executivo é essencial, logo ele é indispensável. E lembrando que o plano de continuidade de negócio está dentro da GCN(Gestão de continuidade de negócios)


  • CSO = Chief Security Officer

  • o Security Officer (CSO) é o responsável pela segurança das comunicações da empresa e outros sistemas de negócios, especialmente aqueles que agora expostos a intrusão de estranhos na Internet. O CSO também pode ter um papel, juntamente com o CIO, no planejamento e gerenciamento de recuperação de desastres

    http://cxosales.wordpress.com/2012/07/19/the-meaning-of-cxoceocfocioccocso/


  • Segundo o guia do TCU de segurança da informação,

    "3.6 Qual o papel da alta administração na elaboração do PCN?
    É imprescindível o comprometimento da alta administração com o Plano de Continuidade do Negócio. Na verdade, este Plano é de responsabilidade direta da alta administração, é um problema corporativo, pois trata de estabelecimento de procedimentos que garantirão a sobrevivência da instituição como um todo e não apenas da área de informática. Ainda, muitas das definições a serem especificadas são definições relativas ao negócio da instituição e não à tecnologia da informação.


ID
1214050
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança da informação e continuidade do negócio, julgue os itens seguintes.

Os princípios da confidencialidade, integridade e disponibilidade são objetivos da segurança da informação, entre os quais se incluem o da autoria, o de não repúdio, o da auditabilidade e o da legalidade.

Alternativas
Comentários
  • pra mim era só conf, integr, dispo e nao repudio

  • Atributos básicos da segurança da informação, segundo os padrões internacionais (ISO/IEC 17799:2005) são os seguintes:

    Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
    Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).
    Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
    Autenticidade - propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de mutações ao longo de um processo.
    Irretratabilidade ou não repúdio - propriedade que garante a impossibilidade de negar a autoria em relação a uma transação anteriormente feita.
    Não entendi onde entrou o "o da auditabilidade e o da legalidade"

  • Pessoal, vou tentar explicar com minhas palavras conforme uma aula do Professor Carlos Vianna:

    A Norma ISO 27001 também admite além dos princípios da confidencialidade, integridade e disponibilidade o princípio da autenticidade e não repúdio. A auditabilidade é um conjunto de conhecimentos dentro do "COBIT"(conformidade) das leis do governo americano para as empresas serem auditadas. Em outras palavras, as empresas americanas são auditadas segundo as normas do "COBIT". Espero ter ajudado

    Abraço


  • Segundo a norma ISO 27001, segurança da informação é "a preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas"


    Apesar da norma não citar explicitamente os termos auditabilidade e legalidade, ela inclui seções para cada um dos assuntos na norma.


    6. Auditorias internas do SGSI
    A organização deve conduzir auditorias internas do SGSI a intervalos planejados (...)

    A.15.1 Conformidade com requisitos legais


    Ademais, encontrei várias referências incluindo estes termos.


    Fontes: ISO 27001:2013
                http://dsic.planalto.gov.br/documentos/cegsic/monografias_1_turma/paulo_cesar.pdf
  • gab c

    autoria é o mesmo que autenticidade. Tem a ver com ''Autor''. Garantia da identidade do remetente.

    ps. . A auditabilidade é um conjunto de conhecimentos dentro do "COBIT"(conformidade) das leis do governo americano para as empresas serem auditadas. 

  • CERTO

    Acrescentando: a confidencialidade, a integridade, e a disponibilidade são princípios essenciais na segurança da informação.


ID
1214053
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos princípios gerais de controle de acesso, julgue os itens subsecutivos.

Os métodos de autenticação comumente empregados fundamentam-se na clássica divisão entre o que você sabe (senha ou número PIN); o que você tem (token ou um smart card); e o que você é (íris, retina e digitais).

Alternativas
Comentários
  • Achei um um pouco capciosa. A expressão "comumente empregados" no meu entendimento é o que pode ser usado no dia a dia. Eu pelo menos em 10 anos trabalhando e estudando TI nunca vi uma método de implementação usando a íris e a retina ao vivo.

  • se prepara ai pro novo iphone entao

  • Comumente ou raramente não foi o núcleo da questão. A afirmação diz basicamente que esse métodos existem, logo é verdadeiro.

    Delicado, mas...

  • A questão está correta. Vários serviços web já utilizam mecanismo de autenticação que combina 2 ou 3 desses fatores.


    Por exemplo: o Google suporta a autenticação de 2 fatores. Ao logar pode ser exigido a senha (o que você sabe) + um código SMS para celular (o que você tem).


    Fonte: https://nakedsecurity.sophos.com/pt/2013/10/10/security-essentials-what-is-two-factor-authentication/

  • 1, 2 e 3 - correto

    Resumindo:

    1º ponto de autenticação - O que você sabe ? Senha ou PIN.

    2º ponto de autenticação - O que você tem ? Token ou smart crachá.

    3º ponto de autenticação - O que você é ? Íris, retina ou biometria.

  • Gabarito: Correto.

    O que voce é: --> meios biométricos, tais como impressão digital, padrão de retina, padrão de voz, reconhecimento de assinatura, reconhecimento facial.

    O que você tem --> objetos, tais como cartões de identificação, smart cards, tokens USB. Também está sendo muito utilizado o próprio telefone do usuário, com o envio de um SMS, para que ele confirme o código que chegou no telefone. 

    O que você sabe -->senha, dados pessoais, frases secretas. Senha certamente é a forma de autenticação mais comum e utilizada.

    Os tokens são um híbrido entre o que se sabe e o que se tem.


ID
1214056
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos princípios gerais de controle de acesso, julgue os itens subsecutivos.

O controle de acesso RBAC (role-based access control) indica, com base em uma engenharia de papéis, o método de acesso, de modo que o nível de acesso de um colaborador, por exemplo, possa ser determinado a partir do tipo de atividade que este exerce.

Alternativas
Comentários
  • Um controle baseado em papéis (RBAC) é uma abordagem para restringir o acesso a usuários autorizados. Controles de acesso baseados em papéis (roles) definem os direitos e permissões baseados no papel que determinado usuário desempenha na organização. Esta estratégia simplifica o gerenciamento das permissões dadas aos usuários. - http://pt.wikipedia.org/

  • Complemento.

    Segundo Navathe(2011,p.572),"No controle de acesso baseado em papéis(RBAC) (...) os privilégios e outras permissões são associados a papéis organizacionais, em vez de a usuários individuais."

    Bibliografia:

    SISTEMAS DE BANCO DE DADOS-NAVATHE-6 EDIÇÃO 2011


  • Gabarito Certo

    Controle de Acesso Baseado em Papéis flexibiliza o gerenciamento de controle de acesso.

    Vamos lá....

    Existem 4 (quarto) componentes básicos, que são: usuários, papéis, permissões e sessões.

    Os usuários são os humanos ou algum agente controlado por software.
    As permissão é o direito de executar a ação.
    Os papéis são intermediários entre os usuários e permissões.

    Ao invés de conceder permissão diretamente aos usuários, as permissões são concedidas aos papéis (como por exemplo uma função ou cargo: Auditor, Contador) e daí os usuários são associados a um ou mais papéis.

    o acesso não é definido pela identidade, e sim pelo papel exercido pelo usuário na organização.

    Sessão é quando o usuário inicia e passa a usar o sistema, ele 'levanta' uma sessão.
    PS.: durante a sessão pode haver um ou mais papéis ativos.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Role-Based Access Control (RBAC)

    Implantado para atributir os privilégios necessários aos usuários, permitindo executar seus papéis.

    A separação clara das funções assegura que nenhum indivíduo único possa especificar uma ação e executá-la.

     

    É aconselhável considerar controles administrativos, como a "separação de funções", ao definir procedimentos de data centers.

    Exemplo: A pessoa que autoriza a criação de contas administrativas não deve ser a mesma que usa essas contas.

     

    4 (quarto) componentes básicos

    - usuários
    - papéis
    - permissões
    - sessões

     

     

     

    Certo

     

     

     

    Armazenamento e Gerenciamento de Informações - Somasundaram

  • RBAC - Role Based Acess Control: controle baseado em papéis. O administrador garante privilégios de acordo com a função exercida pelo usuário.

    Este é um modelo amplamente usado em organizações uma vez que reflete a estrutura da organização em termos dos papéis dos usuários em relação à instituição e permissões atreladas a estes. 


ID
1214059
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos princípios gerais de controle de acesso, julgue os itens subsecutivos.

Separação de tarefas, privilégio mínimo e necessidade de saber são conceitos que identificam os três principais tipos de controle de acesso.

Alternativas
Comentários
  • Os três conceitos na verdade compoem o controle de acesso e não são vistos de forma separada.

  • Só existe dois tipos de controle de acesso:filtragem de pacotes;

                                                                       e gateways de camada de aplicação.    

  • Não seriam....

    Identificação

    Autenticação

    Autorização 



  • As três principais categorias (modelos) de controle de acesso são: Controle de acesso Discricionário (DAC), Controle de acesso Mandatário (MAC) e Controle de acesso baseado em papéis (RBAC).


    Por outra classicação o controle de acesso pode ser classificado como controle de acesso físico ou controle de acesso lógico.


    Sem entrar em detalhes, se a questão se referia a tipos ou modelos/métodos, a questão está incorreta.

  • Em Segurança física e lógica, o controle de acesso utiliza três mecanismos de autenticação:

    (1) O que vc sabe (senha);

    (2) O que vc possui (token, cartão) e

    (3) o que vc é (controle biométrico).

    Espero ter ajudado!

  • Putz, Mariana, isso não tem nada a ver com a questão. Vc já esta tratando de tecnologias especificas pra segurança. Não vem ao caso.

    Concordo mais com o Luis H, na sua segunda afirmação, pois ela consta na ISO 27001(embora não como a questaõ pede). Mas pra mim essa questão ainda não tá respondida.


ID
1214062
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de controle de acesso e certificação digital, julgue os itens a seguir.

Em uma PKI (public key infrastructure), utiliza-se uma solução mista de troca de conteúdo encriptado, em que são manejadas soluções de criptografia simétrica, criptografia assimétrica e funções hash, para se garantir a disponibilidade das informações.

Alternativas
Comentários
  • onde está o erro?

  • Acho que o erro está em "garantir a disponibilidade"

  • Através da PKI se garante a autoria,

    Com todo respeito o comentário do Diego pode ser desconsiderado.

  • Não existe criptografia ( criptografia simétrica, criptografia assimétrica e funções hash ) que garanta "disponibilidade das informações". 


ID
1214065
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de controle de acesso e certificação digital, julgue os itens a seguir.

Um dispositivo do tipo IDS (intrusion detection system) atua com proatividade, prevendo ataques e antecipando-se a explorações de vulnerabilidades, a partir de assinaturas frequentemente atualizadas.

Alternativas
Comentários
  • quem atua de forma proativa é o IPS!!  o IDS, conjunto de hardware e software, apenas monitora o meio para verificar a presença de pacotes não compatíveis com a política de segurança adotada, procurando por intrusos ou até mesmo sniffing!! já o IPS detecta e previne atuando em conjunto com o firewall para bloquear pacotes ilegitimos. Visto como uma extensão do firewall, o IPS possibilita decisões de acesso baseadas no conteúdo da aplicação - e não apenas no endereço IP ou em portas, como os firewalls  tradicionais trabalham. Entretanto, nada impede que, para otimizar a performance, muitos IPS utilizem regras baseadas em portas e endereço IP.

  • IPS - Prevention = Proativo

  • Que bom que, ultimamente, a maioria das bancas está considerando o IDS como passivo e o IPS como proativo. Já vi algumas questões polêmicas relacionadas a esse assunto, justamente por não haver consenso nessas definições.

     

    Vamos na fé.

  • Errado

    O IDS é passivo, ele somente detecta o intruso e avisa o usuário da maquina, este sim irá bloquear ou não o intruso.

  • Errei por conta do proatividade, não se esqueça, IDS é PASSIVO

  • Um IDS passivo é projetado para detectar ameaças e informar ao administrador da rede sobre a atividade maliciosa detectada. O sistema de prevenção de intrusão (em inglês, Intrusion Prevention System - IPS), por outro lado, representa o comportamento de um IDS ativo (PROATIVO), ou seja, é projetado com o objetivo de bloquear automaticamente a atividade maliciosa, seja por configuração de firewalls e comutadores ou outras técnicas, como encerramento de conexão via envio de pacotes reset

    GAB E

  • IDS é passivo e IPS é proativo!

  • IPS -> Prevention -> Proativo

     IDS é PASSIVO

  • Gabarito: errado

    Diferenças entre IDS e IPS:

    (CESPE 2018) O dispositivo de IPS (do inglês intrusion prevention system) utilizado em redes corporativas tem como objetivo bloquear ataques a partir da identificação de assinaturas e(ou) anomalias. (CERTO)

    (CESPE/2016/FUB)Ferramentas IDS podem trabalhar simplesmente emitindo alertas de tentativa de invasão ou aplicando ações com a finalidade de contra-atacar a tentativa de invasão.(CERTO)

    (CESPE 2018) Um sistema de detecção de intrusão (intrusion detection system – IDS) consegue detectar comportamentos maliciosos tanto em computadores individuais quanto em redes de computadores. (CERTO)

  • IDS ⇢ DETECTA

    NÃO é PROATIVO

    É um Pinscher

    IPS ⇢ PREVINE (DETECTA E ATACA)

    É PROATIVO

    ▶ É um PITBULL


ID
1214068
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da análise de vulnerabilidades, julgue os itens seguintes.

Um computador com programa antivírus desatualizado é exemplo de vulnerabilidade.

Alternativas
Comentários
  • CERTO. Para responder essa vamos primeiro ao conceito puro de vulnerabilidade e ameaça.

    1) Segundo a ISO 27002,"2.17 vulnerabildade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças"

    Segundo a ISO 27002,"2.16 ameaça:causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização"

    ----------------

    2) Bom, agora vamos a questão. Um antivírus desatualizado constitui um ponto frágil em um computador, pois este software ao estar desatualizado, por exemplo, permite que novos malwares(vírus,worms,trojans,etc) que constituem as ameaças, passem despercebidos pelo antivírus, porque podem não terem sidos cadastrados na base de dados de assinaturas do antivírus pelo fabricante antes da atualização(atualização esta que ainda não foi aplicada).


  • CERTO

    Caso a atualização seja ignorada, você corre o risco de ter seus dados corrompidos, alterações no comportamento das ferramentas, e episódios de queda no sistema, levando a perda de trabalhos que não foram salvos. Tudo isso além de gerar uma porta de entrada para ataques cibernéticos.

    Fonte: https://garratech.com.br/atualizar-os-sistemas-operacionais/#:~:text=Caso%20a%20atualiza%C3%A7%C3%A3o%20seja%20ignorada,de%20entrada%20para%20ataques%20cibern%C3%A9ticos.


ID
1214071
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da análise de vulnerabilidades, julgue os itens seguintes.

Um funcionário mal remunerado e insatisfeito com a instituição onde trabalha não constitui fator de vulnerabilidade porque os recursos humanos são fatores excluídos da análise de vulnerabilidades.

Alternativas
Comentários
  • ERRADO.

    Segundo a ISO 27005,8.2.1.5 Identificação das vulnerabilidades,"

    Vulnerabilidades podem ser identificadas nas seguintes áreas:

      -Organização

     - Processos e procedimentos

     - Rotinas de gestão

      -Recursos humanos

      -Ambiente físico

      -Configuração do sistema de informação

      -Hardware, software ou equipamentos de comunicação

      -Dependência de entidades externas"


ID
1214074
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da análise de vulnerabilidades, julgue os itens seguintes.

A falta de auditorias periódicas ou de um plano de continuidade do negócio, dado estes serem fatores internos de controle, não constitui exemplo de vulnerabilidade.

Alternativas
Comentários
  • O plano de continuidade de negócios visa a não interrupção das atividades do negócio, e deve assegurar a sua retomada em tempo hábil, em caso de falhas.


    Auditorias periódicas verificam a efetividade dos controles de segurança da informação.


    A ausência de qualquer um deles contitui uma vulnerabilidade (fraqueza) do SGSI da organização.

  • ERRADO. 

    Segundo a ISO 27005:2011,p.65-66,"

    -A vulnerabilidade "Inexistência de auditorias periódicas (supervisão)" tem como ameaça o" abuso de direitos";

    -A  vulnerabilidade "Inexistência de um plano de continuidade" tem como ameaça a "falha de equipamentos""

    (PARAFRASEADO POR MIM)


ID
1214077
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da análise de vulnerabilidades, julgue os itens seguintes.

A análise de vulnerabilidades integra as atividades da gestão de riscos e, por meio dela, identificam-se fragilidades ou pontos fracos em ativos que possam ser explorados por ameaças.

Alternativas
Comentários
  • CERTO.

    Segundo a ISO 27005,"

    O processo de gestão de riscos de segurança da informação consiste na definição do contexto, análise/avaliação de riscos, tratamento do risco, aceitação do risco, comunicação do risco e monitoramento e análise crítica de riscos."

    Segundo a ISO 27005,"

    8.2 Análise de riscos

    8.2.1 Identificação de riscos

    8.2.1.5 Identificação das vulnerabilidades

    Ação: Convém que as vulnerabilidades que podem se exploradas por ameaças para comprometer os ativos ou a organização sejam identificadas."

    **Portanto, as vulnerabilidades são analisadas e identificadas dentro da análise de riscos, e esta trata-se de uma atividade que integra a gestão de riscos.


ID
1214080
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

O tribunal de justiça de determinado estado da Federação iniciou processo licitatório para a aquisição de geradores de energia elétrica, para evitar danos causados por eventuais falhas no fornecimento por parte da companhia elétrica responsável.

Com referência a essa situação hipotética, julgue os itens que se seguem.

Atividades como testes e revisões dos geradores integram o plano de continuidade do negócio, embora não estejam vinculados ao ciclo de gestão da continuidade do negócio.

Alternativas
Comentários
  • ERRADO.

    Segundo a ISO 15999-1,"3.7 Elementos do ciclo de vida da gestão da continuidade de negócios

    O ciclo de vida  de GCN é composto por seis elementos. Entre eles:

    -Testando,mantendo e analisando criticamente os preparativos de GCN"

    -------------------

    Segundo a ISO 27002,"14.1.5 Testes, manutenção e reavaliação dos planos de continuidade do negócio

    Controle

    Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade.

    "

    **Os testes e revisões fazem parte tanto do plano de continuidade de negócios(PCN), como da gestão de continuidade de negócios(GCN).

  • Simplificando: O plano de continuidade do negócio, esta vinculado ao ciclo de gestão da continuidade do negócio. 

    Questão ERRADA


ID
1214083
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

O tribunal de justiça de determinado estado da Federação iniciou processo licitatório para a aquisição de geradores de energia elétrica, para evitar danos causados por eventuais falhas no fornecimento por parte da companhia elétrica responsável.

Com referência a essa situação hipotética, julgue os itens que se seguem.

No que diz respeito à segurança da informação, a compra dos geradores atende à gestão da continuidade do negócio do tribunal.

Alternativas
Comentários
  • CERTO, pois o uso de geradores de energia elétrica permitirá que se tenha energia mesmo na ausência da energia proveniente de concessionárias que forneçam energia elétrica, e portanto manteriam os negócios da empresa em operação mesmo diante de quedas na rede elétrica.

    **Segue o um conceito de gestão de continuidade de negócio e um cenário ideal para um sistema de energia que permita a continuidade de negócio.

    -----------------------

    CONCEITO.

    Segundo a ISO 27002,"14 Gestão da continuidade do negócio

    Objetivo: Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso."

    --------------------------

    CENÁRIO IDEAL

    Segundo Veras(2009,p.301),"O fornecimento de energia,feito por uma ou duas concessionárias,deve ser baseado em rigoroso contrato de nível de serviço. Os equipamentos de energia utilizam camadas múltiplas redundantes, incluindo suprimento ininterrupto de energia ,geradores a diesel,bancos de baterias,unidades de distribuição de energia e no-breaks."

    Bibliografia:

    -NORMA ISO 27002;

    -LIVRO DATACENTER-COMPONENTE CENTRAL DA INFRAESTRUTURA DE TI-MANOEL VERAS-2009


ID
1214086
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca dos procedimentos de segurança da informação, julgue os seguintes itens.

Caso uma empresa decida pôr em prática controle da implementação de mudanças no sistema de informação que utiliza em suas operações, é correto afirmar que essa decisão se deu pela necessidade da empresa em minimizar riscos de falha de becape.

Alternativas
Comentários
  • Se realizar controle de mudanças, pode ser que o problema da empresa seja em inconsistência na migração do sistema, ou em indisponibilidades causadas por incompatibilidade gerada pela mudança de versão do sistema. O "becape" é feito antes da mudança como parte do plano de rollback. Questão errada

ID
1214089
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca dos procedimentos de segurança da informação, julgue os seguintes itens.

Os procedimentos de segurança da informação são componentes táticos da política de segurança da informação.

Alternativas
Comentários
  • a) Política (nível estratégico): constituída do presente documento, define as regras de alto nível que representam os princípios básicos que a IMA decidiu incorporar à sua gestão de acordo com a visão estratégica da alta direção. Serve como base para que as normas e os procedimentos sejam criados e detalhados;

    b) Normas (nível tático): especificam, no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes da política;

    c) Procedimentos (nível operacional): instrumentalizam o disposto nas normas e na política, permitindo a direta aplicação nas atividades da IMA.

    http://www.ima.sp.gov.br/politica-de-seguranca-da-informacao

  • Estaria certa se fosse assim:

    Os procedimentos de segurança da informação são componentes OPERACIONAIS da política de segurança da informação.

  • A norma ABNT NBR ISO/IEC 27001 estabelece que a segurança da informação esteja implementada e operada de acordo com as políticas e procedimentos da organização. Dessa forma, os procedimentos de segurança da informação não são componentes táticos da política de segurança da informação, são operacionais.


ID
1214092
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca dos procedimentos de segurança da informação, julgue os seguintes itens.

Considere que uma empresa tenha introduzido sistema de autenticação biométrica como controle de acesso de seus funcionários às suas instalações físicas. Nessa situação, o uso desse tipo de controle é um procedimento de segurança da informação.

Alternativas
Comentários
  • GABARITO:CORRETO

     

    1.Politicas de segurança(Documento ou conjunto de documentos que definem os principios básicos da gestão de S.I..Servem tambem de guia para as normas e procedimentos de segurança da informação) = nivel Estratégico.

    2.Normas de segurança(Especificam normas que foram propostas no nível estratégico da politica de segurança que deverão ser implementadas no nível operacional) = nivel Tático.

    3.Procedimentos de segurança(É a aplicação das normas especificadas no nível tático) = nivel Operacional.

  • Exatamente! Vale ressaltar que em uma autenticação forte, baseada em mais de um fator, a leitura biométrica diz respeito a algo que você é.


ID
1214095
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

No contexto da segurança da informação, as informações são ativos da organização e podem ser classificadas de diferentes maneiras. A respeito desse assunto, julgue os próximos itens.

A informação deve ser classificada de acordo com o seu valor, seus requisitos legais e sua sensibilidade ou criticidade.

Alternativas
Comentários
  • Justificativa da banca:


    A utilização do termo “ou” na redação do item prejudicou seu julgamento objetivo. Por esse motivo, opta‐se por sua

    anulação.



ID
1214098
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

No contexto da segurança da informação, as informações são ativos da organização e podem ser classificadas de diferentes maneiras. A respeito desse assunto, julgue os próximos itens.

É responsabilidade da equipe de segurança da informação da instituição a classificação de um ativo ou de uma informação.

Alternativas
Comentários
  • É responsabilidade do gestor da informação ao meu ver.

  • ERRADO. É responsabilidade do proprietário do ativo. Seguem dois trechos da norma ISO que comprovam isso.

    1)Segundo a ISO 27002,"7.1.2 Proprietário dos ativos

    Diretrizes para implementação

    Convém que o proprietário do ativo seja responsável por:

    a) assegurar que as informações e os ativos associados com os recursos de processamento da informação estejam adequadamente classificados;"

    ----------------------------

    2) Segundo a ISO 27002,"7.2.1 Recomendações para classificação

    Convém que seja de responsabilidade do proprietário do ativo (ver 7.1.2) definir a classificação de um ativo, analisando-o criticamente a intervalos regulares, e assegurar que ele está atualizado e no nível apropriado.

    "

  • GABARITO :ERRADO

    Quem deve classificar o ativo ou a informação é o PROPRIETÁRIO do ativo.


ID
1214101
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

No contexto da segurança da informação, as informações são ativos da organização e podem ser classificadas de diferentes maneiras. A respeito desse assunto, julgue os próximos itens.

Com a classificação das informações, busca-se assegurar níveis adequados de proteção das informações.

Alternativas
Comentários
  • CERTO.

    Segundo a ISO 27002,"7.2 Classificação da informação

    Objetivo: Assegurar que a informação receba um nível adequado de proteção."


ID
1214104
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de auditoria e conformidade, julgue os itens subsequentes, a respeito de segurança da informação.

Em uma auditoria, para a verificação dos sistemas operacionais, os processos do negócio seguem seu fluxo sem interrupções.

Alternativas
Comentários
  • O controle 15.3.1 da 27001 é descrito como: "

    Convém que requisitos e atividades de auditoria envolvendo verificação nos sistemas operacionais sejam cuidadosamente planejados e acordados para minimizar os riscos de interrupção dos processos do negócio. ".

    Acredito que o erro desta questão seja afirmar que não ocorram interrupções, enquanto a norma fala em minimizar.


ID
1214107
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de auditoria e conformidade, julgue os itens subsequentes, a respeito de segurança da informação.

Conformidade é um conceito relacionado à adesão dos sistemas de informação às políticas e às normas organizacionais de segurança da informação.

Alternativas
Comentários
  • Galera tomei como base para resolver a questão as normas ISO 27001 e 27002.

    Segundo a ISO 27001,Anexo A, "A.15 Conformidade

    A.15.1 Conformidade com requisitos legais

    Objetivo: Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação.

    A.15.2 Conformidade com normas e políticas de segurança da informação e conformidade técnica

    Objetivo: Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação."

  • Essa questão foi retirada do objetivo de controle 15.2 da ISO 27002:2005:


    15.2 Conformidade com normas e políticas de segurança da informação e conformidade técnica

    Objetivo: Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação.

    Convém que a segurança dos sistemas de informação seja analisada criticamente a intervalos regulares.

    Convém que tais análises críticas sejam executadas com base nas políticas de segurança da informação apropriadas e que as plataformas técnicas e sistemas de informação sejam auditados em conformidade com as normas de segurança da informação implementadas pertinentes e com os controles de segurança documentados.

  • A Auditoria em Segurança da Informação busca medir o quanto o

    sistema está em conformidade com um conjunto de critérios

    estabelecidos.

    A Conformidade está relacionado com a adesão dos sistemas de

    informação às políticas e às normas organizacionais de segurança da

    informação.

    Gabarito: Certo.


ID
1214110
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de auditoria e conformidade, julgue os itens subsequentes, a respeito de segurança da informação.

Atividades de usuários, exceções e outros eventos são registros ou logs de eventos produzidos e mantidos pela instituição, mas, por constituírem eventos qualitativos, não são objetos apropriados para futuras investigações ou auditorias.

Alternativas
Comentários
  • Em uma investigação qualquer informação é válida para apreciação.

  • Eventos qualitativos também são passíveis de mensuração e classificação. Além disso, são informações importantes que não devem ser desprezadas para futuras investigações ou auditorias.


ID
1214113
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de auditoria e conformidade, julgue os itens subsequentes, a respeito de segurança da informação.

A regulamentação de controles de criptografia obriga a conformidade do uso de criptografia com leis, acordos e regulamentações pertinentes.

Alternativas
Comentários
  • 15.1.6 Regulamentação de controles de criptografia. Convém que os seguintes itens sejam considerados para conformidade com leis, acordos e regulamentações relevantes:

    • Restrições à importação e/ou exportação de hardware e software de computador para execução de funções criptográficas;
    • Restrições à importação e/ou exportação de hardware ou software de computador que foi projetado para ter funções criptográficas embutidas;
    • Restrições no uso de criptografia;
    • Métodos mandatários ou discricionários de acesso pela autoridades dos países à informação cifrada por hardware ou software para fornecer confidencialidade ao conteúdo.

    http://pt.wikipedia.org/?title=ISO/IEC_17799

  • Essa questão é complicada de adivinhar o que o examinador quer .... na ISO 27002(17999) usa-se o termo "Convém" dando a ideia de sugestão, contudo na ISO 27001, há o uso do termo "deve" dando-nos uma ideia de obrigatoriedade, e esta questão não menciona nenhuma norma. 

    Como o colega citou a ISO 17999, cito aqui a ISO 27001.

    "

    A.15.1.6 Regulamentação de controles de criptografia

    Controle

    Controles de criptografia devem ser usados em conformidade com leis, acordos e regulamentações relevantes."

    Questões assim são de pura sorte.

  • A palavra "Obriga" deixa a questão errada.

  • Obriga por força da lei a meu ver.. marquei certo.

  • ah mano, tá zuando né?

    está CERTO sim CESPE!!! se não atender a lei vai para a cadeia, fecha a empresa, paga multa (vou até pegar meu resumo de autoexecutoriedade aqui, já que desse jeito estou acertando mais de Dir. Administrativo do que de TI, mesmo sendo de TI!!!)

  • Gente, a norma ISO não obriga ninguém a nada. São apenas diretrizes...

  • Gabarito Errado

    Extrapolou... "obriga".

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Altamente anulável.

    A própria Cespe se contradiz em outra questão da mesma prova:

    Considerando o que dispõe a NBR ISO/IEC 27005, julgue os itens subsecutivos.

    Requisitos legais e regulatórios a serem necessariamente atendidos pela organização devem fazer parte do escopo da gestão de riscos de segurança da informação.

    https://www.qconcursos.com/questoes-de-concursos/questoes/750709ac-09

  • uma hora a cespe usa o convém e dá errado, outra hora ela usa deve e dá certo... que coisa não?

  • Questão muito vaga. como colocaram. Apesar do título segurança da informação, não dá pra tirar uma conclusão pq não é possivel inferir se trata da ISO 27001:2013. Se trata da ISO 27001:2013, a questão esta errada, veja:

    10.1 Controles Criptográficos

    Convém que seja desenvolvida e implementada uma politica sobre o uso de controles criptogråficos para a protecäo da informacäo (identificar o nivel requerido de protecäo dos dados, papéis e responsåveis)[1][2]. 

    Quanto à colocação do colega "CincoQuatroTres", vejo que trata-se de um caso distinto deste questao(Considerando que Conformidade é a propriedade que garante que o sistema deve seguir as leis e regulamentos associados a este tipo de processo):

    Vamos à questão dele:

    Requisitos legais e regulatórios a serem necessariamente atendidos pela organização devem fazer parte do escopo da gestão de riscos de segurança da informação.

    Essa questao trata da gestão de riscos em SI, que é regida por outra norma, que é a ISO 27005.

    São questões diferentes, respondidas por normas diferentes.

    Fontes:

    [1] ISO 27002:2013

    [2] Estratégia


ID
1214116
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de auditoria e conformidade, julgue os itens subsequentes, a respeito de segurança da informação.

A execução correta dos procedimentos de segurança da informação, em conformidade com normas e com a política de segurança da empresa, deve ser garantida pelos vários gestores, cada um em sua área.

Alternativas
Comentários
  • Texto retirado da seção 15. Conformidade, da norma NBR ISO/IEC 27002:2005. Transcrevo o controle inteiro abaixo:


    15.2.1 Conformidade com as políticas e normas de segurança da informação

    Controle
    Convém que gestores garantam que todos os procedimentos de segurança da informação dentro da sua área de responsabilidade estão sendo executados corretamente para atender à conformidade com as normas e políticas de segurança da informação.

    Diretrizes para implementação
    Convém que os gestores analisem criticamente, a intervalos regulares, a conformidade do processamento da informação dentro da sua área de responsabilidade com as políticas de segurança da informação, normas e quaisquer outros requisitos de segurança.

    Se qualquer não-conformidade for encontrada como um resultado da análise crítica, convém que os gestores:

    1. a)  determinem as causas da não-conformidade;

    2. b)  avaliem a necessidade de ações para assegurar que a não-conformidade não se repita;

    3. c)  determinem e implementem ação corretiva apropriada;

    4. d)  analisem criticamente a ação corretiva tomada.

    Convém que os resultados das análises críticas e das ações corretivas realizadas pelos gestores sejam registrados e que esses registros sejam mantidos. Convém que os gestores relatem os resultados para as pessoas que estão realizando a análise crítica independente (ver 6.1.8), quando a análise crítica independente for realizada na área de sua responsabilidade.

    Informações adicionais
    A monitoração operacional de sistemas em uso é apresentada em 10.10. 


  • Atualização na norma 27002:2013:


    "18 Conformidade

    18.2.2 Conformidade com as políticas e procedimentos de segurança da informação"

  • deve é diferente de covém.

    Acho que ninguem recorreu


ID
1214119
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os seguintes itens, com base na NBR ISO/IEC 15408.

O TSF (TOE (target of evaluation) security functions) representa as funções de segurança de um TOE que serão avaliadas.

Alternativas
Comentários
  • Alvo de Avaliação (Target of Evaluation – TOE)

    produto ou sistema alvo de avaliação

    deve verificar as características (FUNÇÕES)  de segurança do produto ou sistema

  • 15408 - terminologia 

    O 15408 define uma serie de termos e abreviações que são necessárias para entender a norma. 

    • TOE - target of evaluation - é o sistema que esta sendo avaliado (ou definido) 

    Target Of Evaluation (TOE) - Avaliação - a avaliação desses critérios fornecidos por vendedores do produto é feita na prática verificando as características da segurança do produto e considerando as exigências particulares de cada cliente. 

    • TSF - TOE security functions - é a parte de segurança do TOE – são estas funcionalidades que serão avaliadas 

    • ST - security target - é o conjunto de requisitos de segurança que o TOE deve satisfazer 

     PP - protection profile - ST que estão pré-definidos (para aplicações genéricas como firewalls, etc). 

    Protection Profile (PP) - Análise do perfil do produto - um produto original é criado para um usuário ou por uma comunidade de usuários, com objetivo de identificar exigências de segurança relevantes a esses usuários para finalidades.

  • Gabarito Certo

    Segundo a ISO/IEC 15408:

    Alvo de Avaliação (Target of Evaluation – TOE): consiste do produto ou sistema que é alvo da avaliação. A análise tem por intuito validar afirmações feitas a cerca do alvo. Em termos práticos, a avaliação deve verificar as características de segurança do produto ou sistema.



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !


ID
1214122
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os seguintes itens, com base na NBR ISO/IEC 15408.

O PP (protection profile) compõe os requisitos de auditoria para a avaliação do sistema.

Alternativas
Comentários
  • A questão se refere aos ST - SecurityTarget : um conjunto de requisitos e especificação de segurança para ser usado como base para a avaliação de um TOE identificado.

  • A PP especifica os critérios genéricos de avaliação da segurança de uma determinada família de produtos de sistemas de informação. Entre outros, ele normalmente especifica o Evaluation Assurance Nível (EAL), um número de 1 a 7, indicando a profundidade e o rigor da avaliação de segurança, geralmente sob a forma de documentação de apoio e de testes, que um produto cumpre os requisitos de segurança especificados no PP.


    Segurança Target (ST) pode ser definido como uma "declaração de aplicação específica das necessidades de segurança de um alvo identificado específico de avaliação (TOE) "
  • Gabarito Errado

    Segunda a  ISO/IEC 15408:


    Perfil de Proteção (Protection Profile – PP): consiste de um documento tipicamente criado por um usuário, ou comunidade de usuários, o qual identifica requisitos de segurança para uma classe de dispositivos de segurança (por exemplo, smart cards utilizadas para prover Assinatura Digital, ou firewallsde rede) relevantes para aquele usuário ou grupo de usuários. Desenvolvedores de software podem escolher desenvolver os seus produtos de acordo com um ou mais PPs e, então, validar estes produtos de acordo com estes documentos. Neste caso, o PP pode servir como template para o ST (Security Target);




    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !



ID
1214125
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando o que dispõe a NBR ISO/IEC 27001, julgue os próximos itens.

A exclusão de controles considerados necessários deve ser justificada por meio do fornecimento de evidências a respeito da aceitação dos riscos pelas pessoas responsáveis.

Alternativas
Comentários
  • CERTO

    Segundo a ISO 27001,"1.2 Aplicação

    Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas."


  • Discordo, é preciso haver justificativa e aceitação, mas a aceitação não é o meio da justificativa. Assertiva falsa.

  • Mozart, a assertiva não está errada. Pode até estar incompleta, mas não errada, já que não diz que a exclusão de controles deve SOMENTE ser justificada.


ID
1214128
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando o que dispõe a NBR ISO/IEC 27001, julgue os próximos itens.

Um evento de segurança da informação inesperado e que pode comprometer uma operação do negócio da organização é denominado incidente de segurança da informação.

Alternativas
Comentários
  • CERTO.

    Segundo a ISO 27001,"3 Termos e definições

    3.5 evento de segurança da informação:uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação

    3.6 incidente de segurança da informação:um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação."

    **Observação: estudem esses dois conceitos, eles são muito recorrentes nas provas. Na maioria das vezes podemos nos confundir entre um e o outro.

  • Exato!

    Incidente - comprometimento da operação

    Evento - possível violação da política  ou falha de controles

  • Termos e Definições.

    3.5 - Evento de segurança da inform: Uma OCORRÊNCIA IDENTIFICADA DE UM ESTADO DE SISTEMA, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.

    3.6 - Incidente de segurança da infor: Um SIMPLES OU UMA SÉRIE DE EVENTOS de segurança da informação indesejados ou inesperados, que tenham uma GRANDE PROBABILIDADE DE COMPROMETER as operações do negócio e ameaçar a segurança da informação


ID
1214131
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando o que dispõe a NBR ISO/IEC 27001, julgue os próximos itens.

Denomina-se declaração de riscos a declaração documentada que contém informações referentes aos objetivos de controle e controles pertinentes ao sistema de gestão de segurança da informação da organização.

Alternativas
Comentários
  • ERRADO. Não há declaração de riscos na norma ISO 27001. O que há na norma é o conceito de declaração de aplicabilidade.

    Segundo a ISO 27001,"3 Termos e definições

    3.16

    declaração de aplicabilidade:declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização"

    **Lembrando que SGSI = Sistema de Gestão de Segurança da Informação

  • Questão nada a ver.... O examinador viajou na hora de fazer esse item...


    Não tem como colocar Certo nesse item...

  • Nem na 27005 tem tal conceito de 'declaração de riscos'

  • Como assim o "examinador viajou na hora de fazer esse item"?

     

    Se a afirmação está errada, o gabarito é E; não é "viagem" do examinador.

  • A versão 27001:2013 prevê a existência da "Declaração de Aplicabilidade".

     

    "6.1.3 Tratamento de riscos de segurança da informação.

    d) elaborar uma declaração de aplicabilidade que contenha os controles necessários (ver 6.1.3b ) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do anexo a;"

     

    Gabarito, ERRADO.

    FFF

  • ERRADO

    Marcos Osorio
    Muita prepotência achar que não tem como colocar CERTO nessa questão, as pessoas erram, e podem errar por N motivos.

    No mais quando uma questão de CERTO/ERRADO está ERRADA não se tem uma viagem, tem-se um erro proposital.

  • @Marcos: o examinador não está viajando. Ele tem que colocar itens certos e errados de propósito. Ele não faz toda questão com o intuito dela estar certa.


ID
1214134
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando o que dispõe a NBR ISO/IEC 27001, julgue os próximos itens.

Essa norma aborda o processo que estabelece, implementa, opera, monitora, analisa criticamente, mantém e melhora o sistema gestão de segurança da informação de uma organização.

Alternativas
Comentários
  • CERTO.

    Segundo a ISO 27001,"0.1 Geral

    Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI)."

  • EIOMAMM - Estabelecer, Implementar, Operar, Monitorar, Analisar Criticamente, Manter e Melhorar

  • "Essa norma aborda o processo..." Para mim, a norma que aborda o Processo (os controles) é a norma 27.002!
    A 27.001 provê um modelo, ou seja, estabelece os requisitos e não os processos...ERRADA

  • "Essa norma aborda o processo que ...", Nunca sei quando é uma pegadinha da CESPE, ou se é para relevar. Ao meu ver modelo é diferente de processo.
  • Memorização:


    E IO MA MM


    Plan -  Estabelecer - Objetivos, processos e os procedimentos do SGSI

    Do - Implementar e Operar - política, os procedimentos, controles e processos do SGSI

    Check - Monitorar e Analizar - realizar auditorias e Medir o desempenho dos processos

    Act - Manter e Melhorar - com ações corretivas e preventivas o SGSI.


ID
1214137
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às políticas de segurança da informação, julgue os itens subsequentes, de acordo com a NBR ISO/IEC 27002.

Para que haja confiabilidade, o documento de política de segurança da informação deve permanecer inalterado ao longo do tempo.

Alternativas
Comentários
  • ERRADO. 

    Segundo a ISO 27002,"5.1.2 Análise crítica da política de segurança da informação

    Controle

    Convém que a política de segurança da informação seja analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia."

    ------------------------------------------------

    Segundo Nakamura(2010,p.198),"A política de segurança deve evoluir constantemente,de acordo com os riscos e as mudanças na estrutura da organização."

    **Portanto, para que haja confiabilidade, é necessária a atualização do documento de política de segurança, logo este documento precisa ser alterado.

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA 2010

    -ISO 27002

  • 5.1.2 Análise crítica das políticas para segurança da informação
    Controle
    Convém que as políticas para a segurança da informação sejam analisadas criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

    FONTE: NBR ISO/IEC 27002:2013

  • A política de segurança da informação deve acompanhar o ciclo de vida natural da informação, bem como os ciclos de vida dos Sistemas de Informação.


ID
1214140
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às políticas de segurança da informação, julgue os itens subsequentes, de acordo com a NBR ISO/IEC 27002

O documento de política de segurança da informação de uma empresa deve definir as políticas dessa área, com base nos objetivos do negócio, na legislação e na regulamentação pertinente.

Alternativas
Comentários
  • CERTO

    Segundo a ISO 27002,5.1 Política de segurança da informação,"Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes."

  • Certo, é essencial que a organização identifique quais são os seus requisitos, existem três fontes:

    ·  1- baseada na estratégia da organização

    ·  2- baseada na legislação

    ·  3- baseada nos processos da organização

  • Ele só omitiu o risco, mas continua certa

    Norma 27001:2013 - Seção 5.1.1 - Políticas para segurança da informação


    8. (CESPE – BASA/2012 – Técnico Científico – Tecnologia da Informação – Segurança da Informação – 73) Requisitos de segurança da informação podem ser obtidos a partir da análise/avaliação dos riscos da organização com base nos seus objetivos estratégicos; a partir da legislação vigente; e, finalmente, a partir dos requisitos do negócio para o processamento da informação que a organização desenvolve para realizar suas operações

    certa


ID
1214143
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às políticas de segurança da informação, julgue os itens subsequentes, de acordo com a NBR ISO/IEC 27002

O principal objetivo das políticas de segurança da informação é colaborar com a gestão da segurança da informação, orientando-a e apoiando-a administrativamente.

Alternativas
Comentários
  • CERTO.

    Segundo a ISO 27002,"5.1 Política de segurança da informação

    Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.

    "

  • Por que será que essa banca sempre redige um texto totalmente diferente daquele que está na norma! Já ví que tenho que saber a norma como um norte e "decorar as formas da CESPE reescrever as normas de segurança da informação". Só assim a média de acertos irá aumentar.

     

    Como está na norma => Prover orientação da Direção e apoio para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.

    Como está na redação da CESPE => colaborar com a gestão da segurança da informação, orientando-a e apoiando-a administrativamente.


ID
1214146
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Ainda acerca de política de segurança da informação, julgue os itens a seguir, com base na NBR ISO/IEC 27002.

A situação de ações preventivas é uma saída da análise crítica da política de segurança da informação.

Alternativas
Comentários
  • ERRADO. É uma entrada, não uma saída.

    Segundo a ISO 27002,"5.1.2 Análise crítica da política de segurança da informação

    Convém que as entradas para a análise crítica pela direção incluam informações sobre:

    c) situação de ações preventivas e corretivas (ver 6.1.8 e 15.2.1);"


  • É uma entrada. 

  • Só pensar um pouco... Se você vai fazer uma análise crítica (o que está dando certo, o que está dando errado, o que precisa melhorar), uma das entradas desejáveis do processo é justamente a situação das ações preventivas e corretivos que já foram implementadas.

  • Errei por pensar diferente do Thiago. Imaginei que, ao analisar criticamente o SGSI, poderiam ser descobertas falhas que serviriam como entrada para ações preventivas. A análise crítica serviria como entrada para uma correção preventiva.


    Mas a norma é clara. É o inverso...

  • situação de ações preventivas e corretivas -> entrada;

    solução para ações preventivas e corretivas-> saída;


ID
1214149
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Ainda acerca de política de segurança da informação, julgue os itens a seguir, com base na NBR ISO/IEC 27002.

Comprometimento e apoio visível dos colaboradores do nível gerencial fazem parte dos fatores críticos de sucesso para a implementação de segurança da informação dentro da organização.

Alternativas
Comentários
  • CERTO

    Segundo a ISO 27002,"

    0.7 Fatores críticos de sucesso

    A experiência tem mostrado que os seguintes fatores são geralmente críticos para o sucesso da implementação da segurança da informação dentro de uma organização:

    c) comprometimento e apoio visível de todos os níveis gerenciais;"

  • 27002:2013 não tem mais esses FCS. (fonte: www.meubizu.com.br)

  • Um sistema de gestão da segurança da informação bem sucedido requer apoio de todos os funcionários da organização. 27002:2013 p. 4.


ID
1214152
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Ainda acerca de política de segurança da informação, julgue os itens a seguir, com base na NBR ISO/IEC 27002.

O documento de política de segurança da informação deverá conter a definição das responsabilidades gerais da gestão de segurança da informação. As responsabilidades específicas, como a gestão de incidentes de segurança da informação, devem ser contempladas em manuais de procedimentos.

Alternativas
Comentários
  • ERRADO.

    Segundo a ISO 27002,"5.1.1 Documento da política de segurança da informação

    Convém que o documento da política contenha declarações relativas a:

    e) definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança da informação;"

  • Uma coisa é conter as definições...outra coisa é conter declarações relativas às definições...acredito que a gestão de incidentes de forma específica, se encontre no plano de tratamento de riscos...o que a política faz é apenas indicar como estes registros devem ser feitos...

  • Ainda acerca de política de segurança da informação, julgue os itens a seguir, com base na NBR ISO/IEC 27002.

    O documento de política de segurança da informação deverá conter a definição das responsabilidades gerais da gestão de segurança da informação. As responsabilidades específicas, como a gestão de incidentes de segurança da informação, devem ser contempladas em manuais de procedimentos.

    5 Políticas de segurança da informação

    5.1 Orientação da direção para segurança da informação

    5.1.1 Políticas para segurança da informação.

    Diretrizes para implementação: Convém que, no mais alto nível, a organização defina uma política de segurança da informação, que seja aprovada pela direção e estabeleça a abordagem da organização para gerenciar os objetivos de segurança da informação.

    Convém que as políticas de segurança da informação contemplem requisitos oriundos da:

    (...)

    b) atribuição de responsabilidades, gerais e específicas, para o gerenciamento da segurança da informação para os papéis definidos;

    (...)


ID
1214155
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Ainda acerca de política de segurança da informação, julgue os itens a seguir, com base na NBR ISO/IEC 27002.

A política de segurança da informação de uma organização deve ser comunicada de maneira acessível e relevante a todos os usuários.

Alternativas
Comentários
  • CERTO

    Segundo a ISO 27002,5.1.1 Documento da política de segurança da informação,"Convém que esta política de segurança da informação seja comunicada através de toda a organização para os usuários de forma que seja relevante, acessível e compreensível para o leitor em foco."

  • A todos os usuários? E quem não tem permissões? A questão generaliza muito.

  • Para ficarmos ligados, houve uma mudança relevante, ao meu ver, na ISO 27.001:2013. Ela não diz mais que a comunicação sobre a Política de SI deve ser feita para toda a organização e para os usuários de forma relevante, acessível, etc..., como na ISO 27.001:2006. Ela diz em seu item 5.1.1:

    "5.1.1 Políticas para segurança da informação 

    Controle 

    Convém que um conjunto de políticas de segurança da informação seja definido, aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes"

    Se viesse a mesma questão, com base na versão 2013 colocaria como errada. usuários DIFERENTE de funcionários e partes interessadas.

    Espero ter ajudado mais que atrapalhado.

  • Ajudando no comentário do Silas: 

    As permissões são usadas para restringir o acesso aos recursos da organização. Quem não tem permissão para acessar o recurso A ou B deve, ainda assim, ter acesso à política de segurança da organização. Até para que fique claro o que ele deve/não deve e pode/não pode fazer.

  • A questão diz "Deve" e a norma diz "convém"...


    CESPE, te odeio.

  • Isso me confunde, as vezes a questão de 27002 está errada pq a iso está impondo algo e tem questão que ela está certa pq deve. Sendo que na norma nos dois casos está escrito convém. Cespe assim fica difícil
  • muito generalizada, como o colega falou "os funcionários e partes externas relevantes." Acredito que esteja errada segundo a ISO 27002:2013

  • A questão não tem nada de errado, se você ler a ISO 27002:2013, pelo menos todo o item 5.1.1, e não apenas o controle deste item. Vejam o que diz a ISO 27002:2013.

    5.1.1 Políticas para segurança da informação

    Controle: Convém que um conjunto de políticas de segurança da informação seja definido, aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.

    Ainda no item 5.1.1, no final da página 3, ele diz:

    Convém que estas políticas sejam comunicadas aos funcionários e partes externas relevantes de forma que sejam entendidas, acessíveis e relevantes aos usuários pertinentes, por exemplo, no contexto de um programa de conscientização, educação e treinamento em segurança da informação.

    Logo, questão correta.


ID
1214158
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Ainda acerca de política de segurança da informação, julgue os itens a seguir, com base na NBR ISO/IEC 27002.

A política de segurança da informação de uma organização não pode fazer parte de uma política geral da empresa, devendo ser contemplada em um documento específico, com versões controladas, contendo especificamente as diretrizes de segurança da informação.

Alternativas
Comentários
  • errado. 

    Segundo a ISO 27002,"Informações adicionais

    A política de segurança da informação pode ser uma parte de um documento da política geral."

  • Essa questão deveria ter sido anulada pela seguinte razão:

    O edital deste concurso não especifica a qual ISO ele se refere(há menção apenas de ISO 27002) e, no momento em que o edital foi lançado, em 01/04/2014, já havia sido lançada a Segunda Edição da ISO 27002:2013, válida a partir de 08/12/2013.

    O trecho citado pelo HTTP Concurseiro se refere à ISO 27002:2005, sendo que na 27002:2013 diz o seguinte:

    "Políticas de segurança da informação podem ser emitidas em um único documento, "política de segurança da informação" ou como um conjunto de documentos individuais, relacionados (...)"

    Ou seja, ao contrário da ISO 27002:2005, a ISO 27002:2013 aboliu a menção de que a política de segurança da informação pode ser uma parte de um documento da política geral."

    Assim, de acordo com a ISO 27002:2013, a primeira parte da questão "A política de segurança da informação de uma organização não pode fazer parte de uma política geral da empresa" está certa, enquanto a segunda parte "devendo ser contemplada em um documento específico, com versões controladas, contendo especificamente as diretrizes de segurança da informação" está errado.

    A ISO 27002:2013 não fala que deve, mas que podem ser emitidas em um único documento, "política de segurança da informação", ou como um conjunto de documentos individuais, relacionados.


ID
1214161
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Ainda acerca de política de segurança da informação, julgue os itens a seguir, com base na NBR ISO/IEC 27002.

Realimentação das partes interessadas é uma entrada da análise crítica da política de segurança da informação.

Alternativas
Comentários
  • CERTO.

    Segundo a ISO 27002,"5.1.2 Análise crítica da política de segurança da informação

    Convém que as entradas para a análise crítica pela direção incluam informações sobre:

    a) realimentação das partes interessadas;"

  • Na 27002:2013 não existem mais entradas e saídas explícitas na norma para análise crítica.

  • Na data da prova já era desatualizada?


ID
1214164
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Com base na NBR ISO/IEC 27004, julgue os itens que se seguem.

As métricas de um programa de medição de segurança da informação devem ser quantificáveis com base nos objetivos do sistema de gestão de segurança da informação.

Alternativas
Comentários
  • Esta Norma fornece diretrizes para o desenvolvimento e uso de métricas e medições a fim de avaliar a eficácia de um Sistema de Gestão de Segurança da Informação (SGSI) implementado e dos controles ou grupos de controles, conforme especificado na ABNT NBR ISO/IEC 27001


ID
1214167
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Com base na NBR ISO/IEC 27004, julgue os itens que se seguem.

Para se identificarem as necessidades de informação, é necessário definir o escopo e selecionar as métricas de medição.

Alternativas
Comentários
  • Sei que a 27004 define métricas para avaliação da eficácia de um SGSI, nada mais. Porém, matei a questão, que está ERRADA, pela lógica. Para se identificarem as necessidades de informação basta ter claro quais os objetivos de negócio para mapear quais informações devem ser obtidas para atender essas necessidades. Até faz sentido ser necessário definir o escopo para se identificar as necessidades, porém certamente não é necessário"selecionar as métricas de medição".

    Espero ter sido claro.
  • Aonde consigo material para a 27004?


ID
1214170
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Com base na NBR ISO/IEC 27004, julgue os itens que se seguem.

É recomendável coletar, analisar e desenvolver os resultados de medições.

Alternativas

ID
1214173
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Com base na NBR ISO/IEC 27004, julgue os itens que se seguem.

Um programa de medição de segurança da informação deve contemplar análise e avaliação dos riscos.

Alternativas
Comentários
  • Security metrics share a notable relationship with risk management. It can be said that
    many of the decisions that the security metrics support are in essence risk management
    decisions, since the ultimate purpose of all security activities is management of security
    risks;

    Ao invés de análise de riscos deveria ser "Gestão de Riscos",

    por um detalhe desses você perde a vaga.

  • Com base no comentário do colega juliothecesar acima, acredito que a questão esteja correta. Se é necessária a gestão de riscos, também é necessária a análise/avaliação de riscos, já que essa última é uma fase do processo completo de gestão de riscos! 

    Preciso estudar a 27004 para ter mais subsídios para a tomada de decisão. Mas, a justificativa acima para o erro da questão não é plausível.
    Abs!

ID
1214176
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Com base na NBR ISO/IEC 27004, julgue os itens que se seguem.

A estrutura operacional de um programa de medição de segurança da informação é determinada de acordo com a complexidade do sistema de gestão de segurança da informação, sendo necessário que as métricas estejam diretamente relacionadas à operação do sistema de gestão de segurança da informação.

Alternativas

ID
1214179
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Com base na NBR ISO/IEC 27004, julgue os itens que se seguem.

O desempenho dos processos implementados no sistema de gestão de segurança da informação pode ser um objeto de medição.

Alternativas

ID
1214182
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Com base na NBR ISO/IEC 27004, julgue os itens que se seguem.

O estabelecimento de um programa de medição de segurança da informação dentro da organização é de responsabilidade da área responsável pela tecnologia da informação.

Alternativas
Comentários
  • De quem seria a responsabilidade?
  • A responsabilidade é da administração da empresa


ID
1214185
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando o que dispõe a NBR ISO/IEC 27005, julgue os itens subsecutivos.

Requisitos legais e regulatórios a serem necessariamente atendidos pela organização devem fazer parte do escopo da gestão de riscos de segurança da informação.

Alternativas
Comentários
  • CERTO.

    Segundo a ISO 27005:2011,"7.3 Escopo e limites

    Ao definir o escopo e os limites, convém que a organização considere as seguintes informações:

      -Os objetivos estratégicos, políticas e estratégias da organização

      -Processos de negócio

      -As funções e estrutura da organização

      -Requisitos legais, regulatórios e contratuais aplicáveis à organização

      -A política de segurança da informação da organização

      -A abordagem da organização à gestão de riscos

      -Ativos de informação

      -Localidades em que a organização se encontra e suas características geográficas

      -Restrições que afetam a organização

      -Expectativas das partes interessadas

      -Ambiente sociocultural

      -Interfaces (ou seja: a troca de informação com o ambiente)."

     

  • Complementando o comentário do nosso colega HTTP Concurseiro: não cumprir com requisitos legais e regulatórios é um risco. Os riscos não envolvem apenas as clássicas propriedades da informação: CID (confidencialidade, integridade e disponibilidade). A própria conformidade é um fator extremamente importante e presente na NBR ISO/IEC 27001 (A.18.1 Conformidade com requisitos legais e contratuais), na qual a ISO 27005 é alinhada.


ID
1214188
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando o que dispõe a NBR ISO/IEC 27005, julgue os itens subsecutivos.

Deve ser recebida como entrada do processo de avaliação de riscos uma lista de cenários de incidentes identificados como relevantes, com as respectivas consequências para os processos de negócio.

Alternativas
Comentários
  • ERRADO, pois essa é a entrada para a avaliação das consequências.

    Segundo a ISO 27005:2011,"8.4 Avaliação de riscos
    Entrada: Uma lista de riscos com níveis de valores designados e critérios para a avaliação de riscos."

    ---------//----------

     

    "8.3.2 Avaliação das consequências
    Entrada: Uma lista de cenários de incidentes identificados como relevantes, incluindo a identificação de
    ameaças, vulnerabilidades, ativos afetados e consequências para os ativos e processos do negócio."

     

     

     

     

  • Essa questão teria complicações adicionais para ser respondida, caso sua referência fosse a ISO 27.005:2011. Provavelmente, o examinador tomou como referência a ISO 27.005:2006.

    É consenso que a "Avaliação das consequências" (que tem como entrada uma lista de cenários de incidentes identificados como relevantes) ocorre na fase "Análise de riscos" e não na fase de "Avaliação de riscos". O ponto é que na ISO 27.005:2011 o processo macro antes chamado de "Análise/Avaliação de riscos" agora passa a ser chamado de "Processo de avaliação de riscos", mantendo ainda o atividade de "Avaliação de riscos" como parte do mesmo. Para facilitar o entendimento, seguem as seções da ISO 27.005:2011 (ver as duas seções sublinhadas):

    8 Processo de avaliação de riscos de segurança da informação 21

          8.1 Descrição geral do processo de avaliação de riscos de segurança da informação 21

          8.2 Identificação de riscos 22 

                  8.2.1 Introdução à identificação de riscos 22

                  8.2.2 Identificação dos ativos 22

                  8.2.3 Identificação das ameaças 23

                  8.2.4 Identificação dos controles existentes 23

                  8.2.5 Identificação das vulnerabilidades 24

                  8.2.6 Identificação das consequências 25

          8.3 Análise de riscos 26

                  8.3.1 Metodologias de análise de riscos 25

                  8.3.2 Avaliação das consequências 27

                  8.3.3 Avaliação da probabilidade dos incidentes 29

                  8.3.4 Determinação do nível de risco 30

          8.4 Avaliação de riscos

    Assim, tendo como base a 27.005:2011, o examinador deve especificar de alguma forma a qual dos processos de "Avaliação de riscos" o mesmo está se referindo, se ao macro-processo "Processo de avaliação de riscos", que envolve os processo de: "Identificação de riscos", "Análise de riscos" e "Avaliação de riscos"; ou, simplesmente, ao processo interno de "Avaliação de riscos".

    Como a questão fez referência à "entrada do processo de avaliação de riscos" se faz parte do gênero ou da espécie, daria margem para recurso, se tomássemos como referência a 27.005:2011.

    Espero ter ajudado mais que confundido! Mas, achei um questionamento válido, além de uma boa revisão sobre o assunto.

  • Ano: 2014

    Banca: FCC

    Órgão: TJ-AP

    Prova: Analista Judiciário - Área Apoio Especializado - Tecnologia da Informação

    Resolvi errado

    Segundo Norma ABNT NBR ISO/IEC 27005:2011, o processo de avaliação de riscos de segurança da informação consiste nas atividades de identificação de riscos, análise de riscos e avaliação de riscos. Segundo a Norma, a entrada da atividade de avaliação de riscos é uma lista de riscos

     a)

    priorizada de acordo com os objetivos do negócio e com os cenários de incidentes.

     b)

    associada a cada ativo, processo de negócio ou processo de TI.

     c)

    categorizada e priorizada a partir da análise crítica dos incidentes ocorridos.

     d)

    com níveis de valores designados e critérios para a avaliação de riscos.

     e)

    e cenários de incidentes com suas consequências associadas aos ativos e processos de negócio.

    letra D

  • 9. Tratamento do Risco de SI
    Entrada: uma lista de riscos ordenados por prioridade e
    associados aos cenários de incidentes que os causam.


ID
1214191
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando o que dispõe a NBR ISO/IEC 27005, julgue os itens subsecutivos.

A perda de uma oportunidade de negócio devido a um evento de segurança da informação é considerada um critério de impacto.

Alternativas
Comentários
  • CERTO

    Segundo A ISO 27005:2011,"7.2.3 Critérios de impacto
    Convém que os critérios de impacto sejam desenvolvidos e especificados em função do montante dos danos ou custos à organização causados por um evento relacionado com a segurança da informação, considerando o seguinte:

    - Perda de oportunidades de negócio e de valor financeiro

     

    "

  • Critérios de impacto
    [...]
    - Nível de classificação do ativo de informação afetado
    - Ocorrências de violação da segurança da informação (por exemplo: perda da disponibilidade, da confidencialidade e/ou da integridade)
    - Operações comprometidas (internas ou de terceiros)
    -  Perda de oportunidades de negócio e de valor financeiro;

     - Interrupção de planos e o não cumprimento de prazos
     - Dano à reputação
     - Violações de requisitos legais, regulatórios ou contratuais


    Fonte: ISO 27005
  • Definição de contexto vc faz o CEO

     

     

    Critérios básicos -- avaliação, impacto, aceitação

     

    escopo

     

    organização


ID
1214194
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando o que dispõe a NBR ISO/IEC 27005, julgue os itens subsecutivos.

Na definição da metodologia de avaliação dos riscos, devem ser identificadas as ameaças que podem afetar os ativos de informação que serão avaliados.

Alternativas
Comentários
  • ERRADO, pois a identificação das ameaças é realizada na análise de riscos, não na avaliação de riscos.

    Segundo a ISO 27005:2008,"

    8.2 Análise de riscos

    8.2.1 Identificação de riscos

    8.2.1.1 Introdução à identificação de riscos

    8.2.1.2 Identificação dos ativos

    8.2.1.3 Identificação das ameaças

    8.2.1.4 Identificação dos controles existentes

    8.2.1.5 Identificação das vulnerabilidades

    8.2.1.6 Identificação das conseqüências

    8.3 Avaliação de riscos"

     

     

  • Norma esclarece que ela não é uma metodologia específica.

  • Galera agora não entendi, segundo a norma Norma 27005:2011 encontramos:

    O processo de avaliação de riscos consiste nas seguintes atividades:

     Identificação de riscos, que envolve:

    - Identificação dos ativos – define os ativos com riscos a serem gerenciados e os processos de negócio que os envolvem;
    Identificação das ameaças – produz uma lista de ameaças com o tipo e a fonte das ameaças;
    - Identificação dos controles existentes;
    - Identificação das vulnerabilidades;
    - Identificação das consequências;

    poderiam me auxiliar nessa dúvida, afinal o que está errado na questão?

  • Colega , as normas 27005:2008 e a 27005:2011 tiveram algumas mudanças na estrutura. Esta questão esta baseada na versão de 2008. Mas conforme a versão 27005:2011, a IDENTIFICAÇÃO DE AMEAÇAS REALMENTE SE ENCONTRA DENTRO DA AVALIAÇÃO DE RISCOS.

  • Se levarmos em conta a versão de 2011, a questão está correta. Existe o processo de avaliação de riscos, que engloba as atividades de identificação, análise e avaliação de riscos. Dessa forma, o termo "avaliação" pode ser tanto o processo quanto a atividade. Na questão fala em metodologia e eu entendi como o processo, marcando a questão como certa. Mas realmente é difícil saber o que o examinador estava pensando. Segue o baile...


ID
1214197
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando o que dispõe a NBR ISO/IEC 27005, julgue os itens subsecutivos.

Para o tratamento dos riscos, a referida norma estabelece as seguintes opções: reter, reduzir, evitar ou transferir o risco.

Alternativas
Comentários
  • CERTO

    Segundo a ISO 27005,"9.1 Descrição geral do processo de tratamento do risco

    Diretrizes para implementação:

    quatro opções disponíveis para o tratamento do risco: redução do risco (ver 9.2), retenção do risco (ver 9.3), evitar o risco (ver 9.4) e transferência do risco (ver 9.5)."

  • Macete : MATE

    Mitigar

    Aceitar

    Transferir

    Evitar

  • Na versão 2011 da norma as opções são: Compartilhar, Modificar, Reter e Evitar.

    Complicado resolver questões de normas ISO sem a especificação da versão...
  •  

     transferência -  E evitar   - R redução  - retenção                

                                      TERRA

  • SE FOSSE DE ACORDO COM A ISO 27005 VERSÃO DE 2011 ESTARIA 'ERRADA' DEVIDO A NOMENCLATURA DIFERENTE DADA NESSA VERSÃO. COM GABARITO 'E'.

    Segundo a ISO 27005:2011,"

    9.1 Descrição geral do processo de tratamento do risco

    Há quatro opções disponíveis para o tratamento do risco: modificação do risco (ver 9.2), retenção do risco (ver 9.3), ação de evitar o risco (ver 9.4) e compartilhamento do risco (ver 9.5)."

  • ISO 27.005 - 4 formas para tratamento de um risco identificado:

    Reter;

    Reduzir;

    Evitar;

    Trasferir.

     

     

     

     

    Gab. C

  • MATE O RISCO

    Mitigar

    Aceitar

    Transferir 

    Evitar 

  • Questão desatualizada.

    ISO 27005 2019 cita as quatro opções disponíveis para o tratamento do risco como: MORA COM

    MOdificação do risco

    Retenção do risco

    Ação de evitar o risco

    COMpartilhamento do risco