Questões de Segurança da Informação - ISO 27002 para Concurso

Atenção: Para responder a questão considere as Normas NBR ISO/IEC 27001:2013 e 27002:2013

The need of protection against malware and logging and monitoring of information system in an organization is addressed in the section 

Atenção: Para responder a questão considere as Normas NBR ISO/IEC 27001:2013 e 27002:2013

The reason why you must have an information security police in your organization is to 

Com relação à clausula de Gestão de Incidentes de Segurança da Norma ISO/IEC 27002, assinale a afirmativa correta.

A seção 6 que trata sobre Organização da Segurança da Informação, da NBR ISO 27002, contém a categoria 6.1 (Organização interna) que tem como objetivo estabelecer uma estrutura de gerenciamento para iniciar e controlar a implementação e operação da segurança da informação dentro da organização. São controles dessa categoria, com EXCEÇÃO de:

A Norma ABNT:NBR 27002:2005 estabelece códigos de boas práticas para a gestão da segurança da informação. No objetivo de controle do Gerenciamento de Acesso do Usuário da seção Controle de Acessos, há um controle denominado Gerenciamento de Senha do Usuário. Assinale o item que descreve este controle de forma CORRETA.

Considere as definições: I. É um evento ou condição incerta que, se ocorrer, provocará um efeito positivo ou negativo em um ou mais objetivos. A atitude das organizações e das partes interessadas pode ser influenciada por fatores que são classificados em 3 tópicos:  a) Apetite, que é o grau de incerteza que uma entidade está disposta a aceitar, na expectativa de uma recompensa;  b) Tolerância, que é o grau, a quantidade ou o volume que uma organização ou um indivíduo está disposto a tolerar;  c) Limite, a organização aceitará se estiver abaixo daquele limite e não tolerará se estiver acima daquele limite.
II. É a combinação da probabilidade de ocorrência de um evento e suas consequências. Possíveis opções para seu tratamento incluem: a) aplicar controles apropriados para reduzi-los; b) conhecê-los e objetivamente aceitá-los; c) evitar, não permitindo ações que poderiam causar a sua ocorrência; d) transferi-los para outras partes, como seguradoras ou fornecedores.  É correto afirmar que os itens I e II

Com relação a organização da segurança da informação, de acordo com a ABNT NBR ISO/IEC 27002 de 2005, assinale a alternativa correta.

De acordo com a ABNT NBR ISO/IEC 27002 de 2005 é essencial que uma organização identifique os seus requisitos de segurança da informação. Com relação a este assunto são realizadas as seguintes afirmações: 

I. Uma fonte de requisitos de segurança da informação é a legislação vigente, os estatutos, a regulamentação e a cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que atender, além do seu ambiente sociocultural.

II. Uma vez que os requisitos de segurança da informação, os riscos tenham sido identificados e as decisões para o tratamento dos riscos tenham sido tomadas, convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam eliminados. Não é aceitável a simples redução a níveis aceitáveis.

III. A análise/avaliação de riscos deve ser realizada na implantação do SGI e, posteriormente, semestralmente, independente de quaisquer mudanças que possam influenciar os resultados desta análise/avaliação.

IV. Uma possível opção para o tratamento do risco inclui transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.

Em relação a estas afirmações, assinale a alternativa correta: 

De acordo com a norma ABNT NBR ISO/IEC 27002:2013 a política de controle de acesso deve considerar

Em relação a normativas de segurança da informação, analise as afirmativas abaixo:

I. A norma que trata de boas práticas de segurança da informação é a ISO/IEC 27002.

II. Para conhecer as diretrizes de um SGSI, deve-se utilizar a norma ISO/IEC 27001.

III. A recente norma ISO/IEC 27006 é uma evolução da norma ISO/IEC 27002, absorvendo os conceitos usados na norma ISO/IEC 27001.

Está correto somente o que se afirma em:

Um inquérito administrativo foi aberto para a apuração de responsabilidades pelos impactos da paralisação das atividades de determinado órgão do Judiciário brasileiro, em decorrência de um desastre ocorrido na área de TI. Uma equipe, composta por pessoal interno ao órgão e por investigadores independentes, contratados para assessorar as investigações, inquiriu a equipe que atua na área de segurança da informação, entre outras pessoas, tendo realizado entrevistas, coletado evidências e apresentado pareceres sobre a fragilidade dos planos de continuidade de negócios do órgão, bem como sobre os controles de becape, tratamento de incidentes e problemas. Foram evidenciadas algumas falhas conceituais, tanto operacionais quanto estratégicas, entre várias outras evidências de comportamento consistente.

Considerando essa situação e os conceitos de planos de continuidade de negócio, becape, recuperação de dados e tratamento de incidentes e problemas, assinale a opção que apresenta evidência de comportamento consistente.

       A equipe de analistas de segurança da informação de um órgão do judiciário federal participou de uma atividade de capacitação conduzida por uma empresa de consultoria em controle de acessos, tendo sido submetida a uma avaliação preliminar de seus conhecimentos sobre esse tema. A avaliação baseou-se em debate mediado pelos membros da consultoria, durante o qual os membros da equipe de segurança discutiram com os usuários de TI um conjunto de afirmações acerca da melhor forma de aprimorar o controle de acessos no órgão. Várias ponderações conduzidas pelos consultores eram deliberadamente errôneas, e algumas, verdadeiras. A equipe de analistas de segurança e os usuários de TI deveriam identificar as ponderações erradas e as verdadeiras.

Considerando que as opções a seguir apresentam ponderações dos consultores, assinale a opção que apresenta ponderação correta, com base nos conceitos do controle de acessos e nas normas da ISO/IEC 27001, 27002 e 27005.