Questões sobre Política de Segurança

Conforme as normas ABNT NBR 27001, 27002 e 27005, um documento da política de segurança da informação deve

• A.

  conter o registro dos incidentes de segurança da organização.

• B.

  revelar informações sensíveis da organização.

• C.

  ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a organização.

• D.

  conter uma declaração de comprometimento elaborada por todos aqueles que atuam na organização, inclusive pela direção.

• E.

  apresentar uma declaração de aplicabilidade dos controles de segurança da informação, além de definir como será o processo de gestão de riscos.

Segundo a ISO/IEC 17.799 de 2005, a Gestão de Continuidade de Negócios tem por objetivo não permitir a interrupção das atividades do negócio e proteger os

• A.

  processos de manutenção de sistemas críticos contra efeitos de falhas ou desastres signifi cativos, e assegurar a sua retomada no menor tempo possível.

• B.

  serviços táticos de TI contra efeitos de falhas ou desastres signifi cativos, e assegurar a sua retomada no menor tempo possível.

• C.

  processos de log e de auditoria contra efeitos de falhas ou desastres signifi cativos, e assegurar a sua retomada imediatamente.

• D.

  processos críticos contra efeitos de falhas ou desastres signifi cativos, e assegurar a sua retomada em tempo hábil, se for o caso.

• E.

  proteger os processos da cadeia de valor da TI contra efeitos de falhas ou desastres signifi cativos, e assegurar a sua retomada em até uma hora após o incidente.

É necessário que os Planos de Recuperação de Desastres sejam

• A.

  aplicados integralmente com frequência e flexíveis com relação a plataformas.

• B.

  adaptáveis, e testados e atualizados com frequência.

• C.

  testados de 3 em 3 anos e atualizados com frequência.

• D.

  atualizados apenas quando houver upgrade dos sistemas operacionais.

• E.

  atualizados com frequência e testados apenas quando houver alteração de mais de 30% da infraestrutura de TI.

A Instrução Normativa GSI/PR n. 1 define Política de Segurança da Informação e Comunicações como o documento aprovado pela autoridade responsável pelo órgão ou entidade da Administração Pública Federal, direta e indireta, com o objetivo de

• A.

  fornecer diretrizes e suporte administrativo sufi cientes à elaboração das políticas e das normas da segurança da informação e comunicações.

• B.

  fornecer diretrizes, critérios e suporte administrativo sufi cientes à implementação da segurança da informação e comunicações.

• C.

  fornecer planos e procedimentos suficientes à definição de todas as políticas da governança de segurança da informação e comunicações.

• D.

  fornecer sugestões e orientações suficientes para a implementação da governança de segurança da informação e comunicações.

• E.

  fornecer suporte técnico à implementação das normas e procedimentos da segurança da informação e comunicações nas áreas de negócios.

A Norma Complementar GSI/PR n. 4 recomenda manter os riscos monitorados e analisados criticamente, a fim de verifi car regularmente, no mínimo, as seguintes mudanças: nos critérios de avaliação e aceitação dos riscos, no ambiente, nos ativos de informação, nas ações de Segurança da Informação e Comunicações – SIC, e nos fatores de risco, que são:

• A.

  ataque, vulnerabilidade, risco operacional e impacto.

• B.

  ameaça, vulnerabilidade, probabilidade e impacto.

• C.

  ataque, susceptibilidade, probabilidade e impacto na receita.

• D.

  ameaça, susceptibilidade, risco de mercado e impacto.

• E.

  ataque, vulnerabilidade, probabilidade e impacto no resultado.

O serviço das Equipes de Tratamento e Resposta a Incidentes de Segurança em Redes Computacionais – ETIR, que consiste em divulgar, de forma proativa, alertas sobre vulnerabilidades e problemas de incidentes de segurança em redes de computadores em geral, cujos impactos sejam de médio e longo prazo, possibilitando que a comunidade se prepare contra novas ameaças é chamado de

• A.

  Anúncios.

• B.

  Emissão de Alertas e Advertências.

• C.

  Disseminação de informações relacionadas à segurança.

• D.

  Avaliação de segurança.

• E.

  Prospecção de segurança.

Na NBR ISO/IEC 27001:2006, o termo “declaração de aplicabilidade” refere-se a uma declaração documentada que descreve:

• A.

  a aplicabilidade dos mecanismos de análise de riscos à realidade da organização.

• B.

  as ferramentas e os mecanismos de gestão que são pertinentes e aplicáveis ao Modelo Integrado de Segurança da Informação da organização.

• C.

  os objetivos de controle e controles que são pertinentes e aplicáveis ao Sistema de Gestão de Segurança da Informação da organização.

• D.

  as políticas e as normas nacionais e internacionais que são pertinentes e aplicáveis ao Modelo de Gestão de Segurança da Informação da organização.

• E.

  os processos, as práticas e os princípios que são pertinentes e aplicáveis ao framework de Segurança da Informação da organização.

Na NBR ISO/IEC 27001:2006, um dos controles da Infraestrutura de Segurança da Informação é:

• A.

  Análise crítica da Política de Segurança da Informação.

• B.

  Classificação e tratamento da informação.

• C.

  Estruturação e manutenção do inventário dos ativos.

• D.

  Identificação e análise crítica de acordos de confidencialidade.

• E.

  Identificação dos riscos relacionados com partes externas.

Com base na NBR ISO/IEC n.º 27.001/2006, assinale a opção correta acerca de definições relacionadas à gestão de segurança da informação.

• A.

  O sistema de gestão da segurança da informação (SGSI), componente do sistema de gestão global que se fundamenta na abordagem de riscos do negócio, é responsável pelo estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoramento da segurança da informação.

• B.

  Gestão de riscos consiste no processo de comparar o risco estimado com os critérios de risco predefinidos, a fim de determinar a importância do risco.

• C.

  Evento de segurança da informação é um evento (ou uma série de eventos) que ocorre de maneira indesejada ou inesperada, podendo comprometer as operações do negócio e ameaçar a segurança da informação.

• D.

  O incidente de segurança da informação consiste em um incidente que, caso seja identificado em um estado de sistema, serviço ou rede, indica a ocorrência de uma possível violação da política de segurança da informação, bem como de uma falha de controles ou de uma situação previamente desconhecida que possa ser relevante à segurança da informação.

• E.

  Confidencialidade corresponde à propriedade de classificar uma informação sigilosa como confidencial.

Com base na NBR ISO/IEC n.º 27.001/2006, assinale a opção correta em relação às auditorias internas do sistema de gestão da segurança da informação (SGSI).

• A.

  Em um processo de auditoria interna os auditores auditam seu próprio trabalho.

• B.

  Em uma auditoria interna, a definição das responsabilidades e dos requisitos é dispensável para o planejamento e a execução de um procedimento documentado.

• C.

  As atividades de acompanhamento devem abranger a verificação das ações executadas e o relato dos resultados de verificação.

• D.

  O responsável pela área a ser auditada deve assegurar que as ações sejam executadas com qualidade, para eliminar as não conformidades detectadas e as suas causas, não importando a quantidade de tempo despendido.

• E.

  A objetividade e a imparcialidade são princípios que devem ser observados na seleção dos auditores; na execução de auditorias, contudo, em virtude de a auditoria ser uma atividade caracterizada pela discricionariedade, esses princípios não devem ser plenamente adotados.