Questão Q995212

Suponha que uma Auditora Fiscal da área de TI da SEFAZ-BA faz parte da equipe de Gestão de Riscos de Segurança da Informação. Para que possa haver eficácia na descoberta das consequências para os ativos e dos possíveis impactos sobre os negócios da organização, a Auditora procedeu a uma atividade que teve como um dos resultados a lista a seguir:

- um Auditor Tributário não estava usando crachá;

- o firewall não estava bloqueando a porta 1521 na máquina da sala de reuniões 2;

- um curto-circuito ocorreu no estabilizador naquela tarde;

- fazia 2 meses que o backup do banco de dados SEFAZ3 não era realizado;

- a chave da sala de servidores havia sumido;

- faltou energia na sala da cobertura do prédio ontem;

- o alarme de detecção de intrusos estava quebrado.

Essa lista

Alternativas

é resultante da etapa de Levantamento de Ativos de Informação, que pode empregar técnicas como entrevistas e brainstorm.

faz parte da etapa de Identificação de Controles Existentes e Planejados, efetuada depois da Identificação de Vulnerabilidades e após a Identificação de Riscos.

é obtida a partir da etapa de Identificação de Vulnerabilidades. Uma vulnerabilidade é uma causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou para a organização

resulta da etapa de Identificação de Riscos, que lista os riscos, ou seja, as fragilidades de um ativo ou grupo de ativos que podem ser exploradas por uma ou mais ameaças.

é resultante da etapa de Análise de Eventos. A compreensão dos eventos que ocorrem no ambiente da organização é essencial para que os riscos sejam avaliados com maior precisão.

Comentários

LETRA E

a) Data etapa de levantamento de ativos tem-se os possíveis ativos.
b) Refere-se a Ameaça
c) Refere-se a Vulnerabilidade
d) Risco é uma coisa, vulnerabilidade é outra. Riscos são as probabilidades de um Evento acontecer e seus possíveis efeitos. RISCO É ALGO QUE PODE ACONTECER.
A norma ABNT NBR ISO/IEC 27002:2005 (ABNT, 2005) contém um guia de implementação de 133 controles de segurança tipicamente usados nas organizações. A norma ABNT NBR ISO/ IEC 27001:2006 (ABNT, 2006) descreve um processo sistemático de introdução de controles de segurança em organizações. No cerne do processo, proposto pela ABNT (2006), reside a gestão de riscos.

Um evento de segurança da informação, segundo a ABNT (2005), é uma ocorrência identificada de um sistema, serviço ou rede que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida que possa ser relevante para a segurança da informação.

O propósito da identificação do risco é, segundo ISO/IEC (2007), determinar o que pode acontecer para causar uma perda potencial, ou ganhar percepção sobre como, onde e porque a perda pode acontecer. A identificação do risco decompõe o risco em cinco fatores e os analisa individualmente. As atividades são:
1. identificação de ativos;
2. identificação de ameaças;
3. identificação de controles;
4. identificação de vulnerabilidades;
5. identificação de consequências;

Fonte: http://www.trf3.jus.br/documentos/rget/seguranca/CLRI/GSIC302_Introducao_Gestao_Riscos_Seguranca_Informacao.pdf
análise de eventos está em qual das normas? ISO 27002/27001 OU 27005? Não achei nada sobre isso no meu material
Documento que fala sobre Análises de Eventos:

https://www.trf3.jus.br/documentos/rget/seguranca/CLRI/GSIC302_Introducao_Gestao_
Riscos_Seguranca_Informacao.pdf

SóProvas

Continue usando...

O que está incluso