Questões de Ciência da Computação do ano 2012

A Norma Complementar GSI/PR n. 4 recomenda manter os riscos monitorados e analisados criticamente, a fim de verifi car regularmente, no mínimo, as seguintes mudanças: nos critérios de avaliação e aceitação dos riscos, no ambiente, nos ativos de informação, nas ações de Segurança da Informação e Comunicações – SIC, e nos fatores de risco, que são:

• A.

  ataque, vulnerabilidade, risco operacional e impacto.

• B.

  ameaça, vulnerabilidade, probabilidade e impacto.

• C.

  ataque, susceptibilidade, probabilidade e impacto na receita.

• D.

  ameaça, susceptibilidade, risco de mercado e impacto.

• E.

  ataque, vulnerabilidade, probabilidade e impacto no resultado.

O serviço das Equipes de Tratamento e Resposta a Incidentes de Segurança em Redes Computacionais – ETIR, que consiste em divulgar, de forma proativa, alertas sobre vulnerabilidades e problemas de incidentes de segurança em redes de computadores em geral, cujos impactos sejam de médio e longo prazo, possibilitando que a comunidade se prepare contra novas ameaças é chamado de

• A.

  Anúncios.

• B.

  Emissão de Alertas e Advertências.

• C.

  Disseminação de informações relacionadas à segurança.

• D.

  Avaliação de segurança.

• E.

  Prospecção de segurança.

Na NBR ISO/IEC 27001:2006, o termo “declaração de aplicabilidade” refere-se a uma declaração documentada que descreve:

• A.

  a aplicabilidade dos mecanismos de análise de riscos à realidade da organização.

• B.

  as ferramentas e os mecanismos de gestão que são pertinentes e aplicáveis ao Modelo Integrado de Segurança da Informação da organização.

• C.

  os objetivos de controle e controles que são pertinentes e aplicáveis ao Sistema de Gestão de Segurança da Informação da organização.

• D.

  as políticas e as normas nacionais e internacionais que são pertinentes e aplicáveis ao Modelo de Gestão de Segurança da Informação da organização.

• E.

  os processos, as práticas e os princípios que são pertinentes e aplicáveis ao framework de Segurança da Informação da organização.

Na NBR ISO/IEC 27001:2006, um dos controles da Infraestrutura de Segurança da Informação é:

• A.

  Análise crítica da Política de Segurança da Informação.

• B.

  Classificação e tratamento da informação.

• C.

  Estruturação e manutenção do inventário dos ativos.

• D.

  Identificação e análise crítica de acordos de confidencialidade.

• E.

  Identificação dos riscos relacionados com partes externas.

Com base na NBR ISO/IEC n.º 27.001/2006, assinale a opção correta acerca de definições relacionadas à gestão de segurança da informação.

• A.

  O sistema de gestão da segurança da informação (SGSI), componente do sistema de gestão global que se fundamenta na abordagem de riscos do negócio, é responsável pelo estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoramento da segurança da informação.

• B.

  Gestão de riscos consiste no processo de comparar o risco estimado com os critérios de risco predefinidos, a fim de determinar a importância do risco.

• C.

  Evento de segurança da informação é um evento (ou uma série de eventos) que ocorre de maneira indesejada ou inesperada, podendo comprometer as operações do negócio e ameaçar a segurança da informação.

• D.

  O incidente de segurança da informação consiste em um incidente que, caso seja identificado em um estado de sistema, serviço ou rede, indica a ocorrência de uma possível violação da política de segurança da informação, bem como de uma falha de controles ou de uma situação previamente desconhecida que possa ser relevante à segurança da informação.

• E.

  Confidencialidade corresponde à propriedade de classificar uma informação sigilosa como confidencial.

Com base na NBR ISO/IEC n.º 27.001/2006, assinale a opção correta em relação às auditorias internas do sistema de gestão da segurança da informação (SGSI).

• A.

  Em um processo de auditoria interna os auditores auditam seu próprio trabalho.

• B.

  Em uma auditoria interna, a definição das responsabilidades e dos requisitos é dispensável para o planejamento e a execução de um procedimento documentado.

• C.

  As atividades de acompanhamento devem abranger a verificação das ações executadas e o relato dos resultados de verificação.

• D.

  O responsável pela área a ser auditada deve assegurar que as ações sejam executadas com qualidade, para eliminar as não conformidades detectadas e as suas causas, não importando a quantidade de tempo despendido.

• E.

  A objetividade e a imparcialidade são princípios que devem ser observados na seleção dos auditores; na execução de auditorias, contudo, em virtude de a auditoria ser uma atividade caracterizada pela discricionariedade, esses princípios não devem ser plenamente adotados.

Com base na norma ABNT NBR ISO/IEC 27.001, o fato de uma organização manter computadores desligados ou com a tela travada quando estes não estiverem em uso e não manter papéis com senhas ou descrição de acesso a informações críticas em locais desprotegidos caracteriza a denominada “política de mesa limpa e tela protegida”. A adoção dessa política objetiva o controle de

• A.

  aquisição, desenvolvimento e manutenção de sistemas de informação.

• B.

  gestão da continuidade do negócio.

• C.

  gestão de incidentes de segurança da informação.

• D.

  segurança de recursos humanos.

• E.

  acessos.

Com base na norma ABNT NBR ISO/IEC 27.001, para se garantir a confidencialidade da comunicação entre dois computadores, pode-se optar pelo uso de recursos de criptografia para aumentar o nível de segurança no tráfego de informações. Um dos objetivos associados à adoção desse tipo de controle é

• A.

  a segurança de recursos humanos.

• B.

  o gerenciamento da segurança em redes.

• C.

  a segurança física e do ambiente.

• D.

  a gestão de incidentes de segurança da informação.

• E.

  a gestão de ativos.

Entre as atividades para se estabelecer um SGSI, conforme a norma ABNT NBR ISO/IEC 27.001, inclui-se a

• A.

  definição de escopo e limites do SGSI.

• B.

  elaboração de plano de tratamento de riscos.

• C.

  implementação de plano de tratamento de riscos.

• D.

  condução de auditorias internas no SGSI.

• E.

  identificação de tentativas e falhas de segurança.

A NBR ISO/IEC 27002 define controles que são considerados princípios básicos para a gestão da segurança da informação. Tais controles são baseados em requisitos legais e nas melhores práticas de segurança da informação.

Os controles a seguir são considerados práticas para a segurança da informação, EXCETO a

• A.

  gestão de vulnerabilidades técnicas

• B.

  gestão da continuidade do negócio

• C.

  proteção de registros organizacionais

• D.

  atribuição de responsabilidades para a segurança da informação

• E.

  conscientização, educação e treinamento em segurança da informação