Questões sobre Política de Segurança

A gestão de incidentes de segurança da informação de acordo com a Norma ISO/IEC 27002:2005 tem como objetivo assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil. Na notificação de eventos de segurança da informação, é necessário que os eventos de segurança da informação sejam relatados através de canais apropriados da direção, o mais rapidamente possível. É correto afirmar que, em suas diretrizes para implementação, os procedimentos devem incluir

• A. trilhas de auditoria e evidências similares coletadas e protegidas.
• B. ações para recuperação de violações de segurança e correção de falhas do sistema cuidadosa e formalmente controladas.
• C. informação resultante da análise de incidentes de segurança da informação usada para identificar recorrentes ou de alto impacto.
• D. formulário para apoiar a ação de notificar um evento de segurança da informação e ajudar as pessoas a lembrar as ações necessárias para a notificação do evento.
• E. objetivos da gestão de incidentes de segurança da informação em concordância com a direção, e que seja assegurado que os responsáveis por essa gestão entendam as prioridades da organização no manuseio de incidentes de segurança da informação.

Assinale a opção em que é apresentado exemplo de ativo de informação, de acordo com a norma ABNT NBR ISO/IEC 27.002.

• A. serviços de computação
• B. reputação e imagem da organização
• C. manuais de usuário
• D. mídias removíveis
• E. ferramenta de desenvolvimento de sistemas

O uso de equipamentos de UPS (uninterruptible power supply), considerados fornecedores de energia elétrica secundários, é recomendado, de acordo com a norma ABNT NBR ISO/IEC 27.002, para o controle

• A. da segurança em escritórios, salas e instalações.
• B. de trabalho em áreas seguras.
• C. de áreas seguras.
• D. do perímetro de segurança física.
• E. da segurança de equipamentos.

Constitui diretriz de implementação de controles contra códigos maliciosos, conforme a norma ABNT NBR ISO/IEC 27.002:

• A. estabelecer controles criptográficos para serviços de tecnologia da informação que exijam autenticação.
• B. aplicar mecanismos apropriados de registro e monitoração para habilitar a gravação das ações relevantes de segurança.
• C. destruir o conteúdo de qualquer meio magnético, ainda que reutilizável, que não seja mais necessário, ou seja, retirado da organização.
• D. conduzir análises críticas regulares dos softwares e dados dos sistemas que suportam processos críticos de negócio.
• E. ativar medidas técnicas disponíveis nos sistemas específicos para garantir que o código móvel esteja sendo administrado.

Identificar e avaliar opções de tratamento de riscos, de acordo com a norma ABNT NBR ISO/IEC 27.001, são ações de determinada fase do sistema de gestão de segurança da informação (SGSI), além das ações de aceitar de forma consciente os riscos, aplicar controles adequados, evitar e transferir riscos. Com base nessas informações, assinale a opção em que a ação apresentada corresponde à fase em que ocorre a identificação e a avaliação das opções de tratamento de riscos no SGSI.

• A. melhorar
• B. estabelecer
• C. implementar
• D. operar
• E. monitorar

Acerca da segurança da informação, julgue os itens subsequentes.

A política de segurança da informação (PSI) deve buscar o comprometimento integral de toda a organização, portanto o tratamento das consequências advindas da violação das normas de segurança não é de sua competência.

• C. Certo
• E. Errado

Com relação à gestão de riscos, julgue os itens a seguir.

Os critérios para aceitação de risco devem seguir um único limite, representando um nível desejável de risco.

• C. Certo
• E. Errado

Com relação à gestão de riscos, julgue os itens a seguir.

Aspectos legais e regulatórios, operações, tecnologia e finanças são alguns dos aspectos que devem ser observados ao se estabelecerem critérios de aceitação de risco.

• C. Certo
• E. Errado

Julgue os itens seguintes, a respeito de segurança da informação.

A falta de rotina de substituição periódica e a destruição de um equipamento, ocasionada pela inexistência dessa rotina, são consideradas ameaças no gerenciamento de risco e devem ser tratadas, após a identificação dos equipamentos de hardware possivelmente afetados, por meio da utilização de ações descritas na NBR ISO/IEC n.º 15.408.

• C. Certo
• E. Errado

Julgue os itens seguintes, a respeito de segurança da informação.

A NBR ISO/IEC n.º 27.001/2006 segue o ciclo PDCA e, na fase de implementação e operação, afirma que a organização deve formular um plano de tratamento de riscos que identifique a ação de gestão apropriada, os recursos, as responsabilidades e as prioridades para a gestão dos riscos de segurança.

• C. Certo
• E. Errado