SóProvas


ID
2985643
Banca
FCC
Órgão
SEFAZ-BA
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Suponha que uma Auditora Fiscal da área de TI da SEFAZ-BA faz parte da equipe de Gestão de Riscos de Segurança da Informação. Para que possa haver eficácia na descoberta das consequências para os ativos e dos possíveis impactos sobre os negócios da organização, a Auditora procedeu a uma atividade que teve como um dos resultados a lista a seguir:


- um Auditor Tributário não estava usando crachá;

- o firewall não estava bloqueando a porta 1521 na máquina da sala de reuniões 2;

- um curto-circuito ocorreu no estabilizador naquela tarde;

- fazia 2 meses que o backup do banco de dados SEFAZ3 não era realizado;

- a chave da sala de servidores havia sumido;

- faltou energia na sala da cobertura do prédio ontem;

- o alarme de detecção de intrusos estava quebrado.


Essa lista

Alternativas
Comentários
  • LETRA E

    a) Data etapa de levantamento de ativos tem-se os possíveis ativos.

    b) Refere-se a Ameaça

    c) Refere-se a Vulnerabilidade

    d) Risco é uma coisa, vulnerabilidade é outra. Riscos são as probabilidades de um Evento acontecer e seus possíveis efeitos. RISCO É ALGO QUE PODE ACONTECER.

  • A norma ABNT NBR ISO/IEC 27002:2005 (ABNT, 2005) contém um guia de implementação de 133 controles de segurança tipicamente usados nas organizações. A norma ABNT NBR ISO/ IEC 27001:2006 (ABNT, 2006) descreve um processo sistemático de introdução de controles de segurança em organizações. No cerne do processo, proposto pela ABNT (2006), reside a gestão de riscos.

    Um evento de segurança da informação, segundo a ABNT (2005), é uma ocorrência identificada de um sistema, serviço ou rede que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida que possa ser relevante para a segurança da informação.

    O propósito da identificação do risco é, segundo ISO/IEC (2007), determinar o que pode acontecer para causar uma perda potencial, ou ganhar percepção sobre como, onde e porque a perda pode acontecer. A identificação do risco decompõe o risco em cinco fatores e os analisa individualmente. As atividades são:

    1. identificação de ativos;

    2. identificação de ameaças;

    3. identificação de controles;

    4. identificação de vulnerabilidades;

    5. identificação de consequências;

    Fonte: http://www.trf3.jus.br/documentos/rget/seguranca/CLRI/GSIC302_Introducao_Gestao_Riscos_Seguranca_Informacao.pdf

  • análise de eventos está em qual das normas? ISO 27002/27001 OU 27005? Não achei nada sobre isso no meu material

  • Documento que fala sobre Análises de Eventos:

    https://www.trf3.jus.br/documentos/rget/seguranca/CLRI/GSIC302_Introducao_Gestao_

    Riscos_Seguranca_Informacao.pdf