Questões de Ciência da Computação do ano 2012

De acordo com a NBR ISO/IEC 27005, julgue os próximos itens.

A definição, pela organização, dos critérios para aceitação do risco depende de suas políticas, metas e objetivos. Uma vez definidos, esses critérios devem ser utilizados para todas as classes de risco.

• C. Certo
• E. Errado

De acordo com a NBR ISO/IEC 27005, julgue os próximos itens.

O nível de detalhamento da identificação dos ativos de uma organização pode influenciar na quantidade de informações reunidas durante a avaliação de riscos.

• C. Certo
• E. Errado

De acordo com a NBR ISO/IEC 27005, julgue os próximos itens.

Define-se evento como a combinação das consequências advindas da ocorrência de uma situação indesejada com a probabilidade de essa situação ocorrer.

• C. Certo
• E. Errado

De acordo com a NBR ISO/IEC 27005, julgue os próximos itens.

A integração de novos controles de risco à infraestrutura existente e a interdependência entre controles existentes são fatores constantemente ignorados pelos gestores de segurança da informação.

• C. Certo
• E. Errado

Julgue os itens que se seguem com base na norma ISO 27001, que estabelece um conjunto de diretrizes e práticas de segurança da informação.

Os requisitos especificados nas seções de 4 a 8 da referida norma podem ser ignorados em casos de conformidade com o que a norma estabelece.

• C. Certo
• E. Errado

Sobre a estrutura, objetivos e conceitos gerais da Norma NBR ISO/IEC 27002, é correto afirmar:

• A.

  Contém 21 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais que abordam a análise/avaliação e o tratamento de riscos.

• B.

  Define avaliação de riscos como um conjunto de atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos. Geralmente inclui o tratamento de riscos, a aceitação de riscos e a comunicação de riscos.

• C.

  Define política como sendo as intenções e diretrizes globais formalmente expressas pela direção e define risco como sendo a combinação da probabilidade de um evento e de suas consequências.

• D.

  Define segurança da informação como forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal.

• E.

  Tem como objetivo geral especificar os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização.

Conforme as normas ABNT NBR 27001, 27002 e 27005, um documento da política de segurança da informação deve

• A.

  conter o registro dos incidentes de segurança da organização.

• B.

  revelar informações sensíveis da organização.

• C.

  ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a organização.

• D.

  conter uma declaração de comprometimento elaborada por todos aqueles que atuam na organização, inclusive pela direção.

• E.

  apresentar uma declaração de aplicabilidade dos controles de segurança da informação, além de definir como será o processo de gestão de riscos.

Segundo a ISO/IEC 17.799 de 2005, a Gestão de Continuidade de Negócios tem por objetivo não permitir a interrupção das atividades do negócio e proteger os

• A.

  processos de manutenção de sistemas críticos contra efeitos de falhas ou desastres signifi cativos, e assegurar a sua retomada no menor tempo possível.

• B.

  serviços táticos de TI contra efeitos de falhas ou desastres signifi cativos, e assegurar a sua retomada no menor tempo possível.

• C.

  processos de log e de auditoria contra efeitos de falhas ou desastres signifi cativos, e assegurar a sua retomada imediatamente.

• D.

  processos críticos contra efeitos de falhas ou desastres signifi cativos, e assegurar a sua retomada em tempo hábil, se for o caso.

• E.

  proteger os processos da cadeia de valor da TI contra efeitos de falhas ou desastres signifi cativos, e assegurar a sua retomada em até uma hora após o incidente.

É necessário que os Planos de Recuperação de Desastres sejam

• A.

  aplicados integralmente com frequência e flexíveis com relação a plataformas.

• B.

  adaptáveis, e testados e atualizados com frequência.

• C.

  testados de 3 em 3 anos e atualizados com frequência.

• D.

  atualizados apenas quando houver upgrade dos sistemas operacionais.

• E.

  atualizados com frequência e testados apenas quando houver alteração de mais de 30% da infraestrutura de TI.

A Instrução Normativa GSI/PR n. 1 define Política de Segurança da Informação e Comunicações como o documento aprovado pela autoridade responsável pelo órgão ou entidade da Administração Pública Federal, direta e indireta, com o objetivo de

• A.

  fornecer diretrizes e suporte administrativo sufi cientes à elaboração das políticas e das normas da segurança da informação e comunicações.

• B.

  fornecer diretrizes, critérios e suporte administrativo sufi cientes à implementação da segurança da informação e comunicações.

• C.

  fornecer planos e procedimentos suficientes à definição de todas as políticas da governança de segurança da informação e comunicações.

• D.

  fornecer sugestões e orientações suficientes para a implementação da governança de segurança da informação e comunicações.

• E.

  fornecer suporte técnico à implementação das normas e procedimentos da segurança da informação e comunicações nas áreas de negócios.