Questões de Concurso Sobre norma 27005 em segurança da informação

De acordo com a ABNT NBR ISO/IEC 27005, a primeira etapa do processo de avaliação de riscos consiste em

De acordo com a ABNT NBR ISO/IEC 27005, o propósito da gestão de riscos de segurança da informação pode ser

Segundo a Norma ABNT NBR ISO/IEC 27005:2011, a análise de riscos pode ser empreendida com diferentes graus de detalhamento, dependendo da criticidade dos ativos, da extensão das vulnerabilidades conhecidas e dos incidentes anteriores envolvendo a organização. Uma metodologia para análise de riscos pode ser quantitativa, qualitativa ou uma combinação de ambas. A análise quantitativa

As normas da família ISO/IEC 27000 convergem para o Sistema de Gestão de Segurança da Informação (SGSI). Elas são relacionadas à segurança de dados digitais ou sistemas de armazenamento eletrônico. O conceito de segurança da informação possui quatro atributos básicos: confidencialidade, integridade, disponibilidade e autenticidade. As normas do grupo 270000 mais conhecidas são “bases para a implementação de um SGSI em uma organização” e “Diretrizes para o processo de gestão de riscos de segurança da informação”, que são, respectivamente:

Consider the statements below.

I. It is defined as a procedure requiring the combination of several factors, including at least two of the following: Knowledge-something the user knows, e.g., a password, a personal identification number (PIN); Ownership-something the user has, e.g., token, smart card, mobile phone/SIM; Inherence − something the user is, e.g., fingerprint. It is worth highlighting that the aforementioned requirement of having mutually independent factors could be difficult to match. In fact, in the context of access to Internet services, when using ownership and inherence factors as well as when inputting a PIN or password, the user transmits digital data to the verifying counterpart, so that regardless of the generating factor, susceptibility to interception is a common vulnerability.

II. Security administration can be costly and prone to error because administrators usually specify access control lists for each user on the system individually. With this kind of control, security is managed at a level that corresponds closely to the organization's structure. Each user is assigned one or more roles, and each role is assigned one or more privileges that are permitted to users in that role. Security administration with it consists of determining the operations that must be executed by persons in particular jobs, and assigning employees to the proper roles. Complexities introduced by mutually exclusive roles or role hierarchies are handled by its software, making security administration easier.

The statements I and II refers respectively to

Considere os processos abaixo.

Processos do SGSI

− Planejar.

− Executar.

− Verificar.

− Agir.

Processos de GRSI

− Definição do contexto.

− Avaliação de riscos.

− Definição do plano de tratamento do risco.

− Aceitação do risco.

− Implementação do plano de tratamento do risco.

− Monitoramento contínuo e análise crítica de riscos.

− Manter e melhorar o processo de GRSI.

A norma ABNT NBR ISO/IEC 27005:2011 apresenta o alinhamento do processo do Sistema de Gestão da Segurança da Informação – SGSI e do processo de Gestão de Riscos de Segurança da Informação – GRSI. Segundo a Norma, o processo de GRSI denominado

De acordo com a Norma ABNT NBR ISO/IEC 27005, assinale a opção correta a respeito da gestão de risco de TI.

O processo de gestão de risco, de acordo com a NBR ISO/IEC 27005, inicia-se com o(a)

Uma boa política de segurança define controles lógicos e físicos assegurando um determinado nível de disponibilidade dos serviços, confiabilidade dos dados e serve de referência para as ações de treinamento dos usuários e demais procedimentos de segurança. A ISO/IEC 27.000 apresenta uma introdução geral de um sistema da segurança da informação e fornece um glossário, contendo definições da maioria dos termos. Analise as afirmativas a respeito das Normas NBR ISO/IEC nº 27.001:2013, NBR ISO/IEC nº 27002:2013 e NBR ISO/IEC nº27005:2011.
I. Na ótica da NBR ISO/IEC nº 27.001:2013 e NBR ISO/IEC nº 27.002:2013, a segurança que pode ser alcançada através de meios técnicos é limitada e está apoiada por procedimentos e gerenciamentos apropriados. A identificação de quais controles devem ser implementados requer planejamento e atenção cuidadosa em nível de detalhes, um sistema de gestão da segurança da informação bem-sucedido requer apoio de todos os funcionários da organização. II. A norma NBR ISO/IEC nº 27.005:2011 fornece diretrizes para o processo de gestão de riscos de segurança da informação de uma organização, atendendo particularmente aos requisitos de um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a Norma NBR ISO/IEC nº 27.001, incluindo um método específico para a gestão de riscos de segurança da informação. Cabendo à organização a implementação e à adequação do modelo a estrutura do negócio. III. A seleção de controles de segurança da informação depende das decisões da organização, criando sua própria legislação e regulamentação baseadas nos critérios internos da organização para aceitação de risco.
Está(ão) correta(s) apenas a(s) afirmativa(s)

Considere, hipoteticamente, que a PGE-MT está diante de um risco de segurança da informação e o Analista de Sistemas terá que decidir que ação tomar. Resolve se guiar pela seção da norma ABNT NBR ISO/IEC 27005:2011 que discorre sobre o tratamento do risco de segurança da informação. Esta seção indica como ações para o tratamento do risco:

No processo de tratamento do risco de segurança da informação, segundo a norma ABNT NBR ISO/IEC 27005:2011,

Considere que o Tribunal Regional do Trabalho esteja seguindo orientações da norma ABNT NBR ISO/IEC 27005:2011, que fornece diretrizes para o processo de gestão de riscos de segurança da informação. Seguindo esta norma, a implantação do processo de gestão de riscos deve passar pelas etapas: definição do contexto, processo de avaliação de riscos, tratamento do risco,

A NBR ISO/IEC 27005:2011 NÃO considera como opção para o tratamento do risco de segurança da informação:

De acordo com a Norma NBR ISO/IEC 27005:2011, no processo de identificação de ativos da organização, um dos ativos do tipo primário é

De acordo com a Norma NBR ISO/IEC 27005:2011, dentre as classes de ameaças conhecidas como ações não autorizadas, o único tipo de ameaça que é considerado acidental é