Questões sobre Segurança da Informação

NÃO se trata de uma atividade de melhoria da confiabilidade das operações:

• A.

  Eliminar, no projeto, os pontos de falha potenciais na operação.

• B.

  Construir operações com recursos críticos redundantes.

• C.

  Determinar o grau em que a operação está pronta para funcionar.

• D.

  Tornar as atividades da operação à prova de falhas.

• E.

  Manter adequadamente as instalações físicas da operação.

Assinale a opção correspondente à propriedade que não é alcançada com o uso de técnicas da criptografia para proteção da informação.

• A.

  integridade

• B.

  autenticidade

• C.

  irretratabilidade (não-repúdio)

• D.

  confidencialidade

• E.

  disponibilidade

Com relação à classificação das informações no Banco do Brasil (BB), assinale a opção correta.

• A.

  Informações sensíveis públicas são aquelas que podem ser divulgadas sem restrição ou por imposição legal que não expõe o BB a riscos.

• B.

  Informações sensíveis críticas são as que devem ter suas propriedades preservadas para a continuidade dos negócios e objetivos do BB; divulgá-las indevidamente expõe a instituição a riscos elevados.

• C.

  Informações não sensíveis restritas são aquelas que não podem ser divulgadas porque expõem o BB a riscos.

• D.

  Informações sensíveis internas são aquelas que podem ser divulgadas sem restrição ou por imposição legal.

• E.

  Informações sensíveis externas são aquelas que não podem ser divulgadas sem restrição ou por imposição legal.

Acerca da política de segurança da informação de uma empresa, analise as asserções do seguinte enunciado.

 A política de segurança e as diretrizes, as normas e os procedimentos dela decorrentes, em uma empresa, devem ser simples e de fácil compreensão,

porque

estão alinhados com as estratégias de negócios da empresa, padrões e procedimentos.

Assinale a opção correta a respeito desse enunciado.

• A.

  As duas asserções são verdadeiras, e a segunda justifica a primeira.

• B.

  As duas asserções são verdadeiras, mas a segunda não justifica a primeira.

• C.

  A primeira asserção é falsa, e a segunda é verdadeira.

• D.

  A primeira asserção é verdadeira, e a segunda é falsa.

• E.

  Tanto a primeira asserção quanto a segunda são falsas.

Assinale a opção que relaciona corretamente uma vulnerabilidade presente nas organizações com a respectiva classificação.

• A.

  ausência de recursos para o combate a incêndios – vulnerabilidade natural

• B.

  conservação inadequada de equipamentos – vulnerabilidade física

• C.

  disposição desorganizada dos cabos de energia e de rede – vulnerabilidade de hardware

• D.

  programas que permitem a execução de códigos maliciosos – vulnerabilidade de software

• E.

  proximidade de rios propensos a inundação – vulnerabilidade de meios de armazenamento

            Um órgão público responsável pelo controle externo do Poder Executivo de uma unidade da Federação desenvolveu um conjunto de processos de auditoria de conformidade na gestão da segurança da informação. As organizações para as quais o órgão presta serviço implementaram sistemas de gestão da segurança da informação, por força de normas, em aderência aos modelos desenvolvidos pela ABNT e ISO/IEC, especialmente os prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez que várias organizações a serem auditadas já passaram cerca de dois anos implementando seus sistemas de gestão, um questionário de avaliação preliminar foi aplicado pelo órgão de controle externo nas organizações clientes. Diferentes controles do sistema de segurança da informação foram avaliados pelos respondentes, tanto os de natureza física e lógica quanto os organizacionais. A partir do recebimento dos resultados do questionário preliminar, os auditores efetuaram uma visita à organização e produziram diversos julgamentos acerca da possível adequação dos controles implementados aos modelos das normas mencionadas.

Tendo como referência as informações contidas na situação hipotética apresentada acima, julgue os itens a seguir, a respeito do julgamento realizado pelos auditores.

Se a análise do plano de tratamento de riscos de uma das organizações, no escopo de seu centro de dados, revelou que, para a eliminação de todos os riscos identificados no escopo, foi adotada a redução por meio de controles, é correto afirmar que tal abordagem está coerente com a prática do gerenciamento de riscos de segurança.

• C. Certo
• E. Errado

            Um órgão público responsável pelo controle externo do Poder Executivo de uma unidade da Federação desenvolveu um conjunto de processos de auditoria de conformidade na gestão da segurança da informação. As organizações para as quais o órgão presta serviço implementaram sistemas de gestão da segurança da informação, por força de normas, em aderência aos modelos desenvolvidos pela ABNT e ISO/IEC, especialmente os prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez que várias organizações a serem auditadas já passaram cerca de dois anos implementando seus sistemas de gestão, um questionário de avaliação preliminar foi aplicado pelo órgão de controle externo nas organizações clientes. Diferentes controles do sistema de segurança da informação foram avaliados pelos respondentes, tanto os de natureza física e lógica quanto os organizacionais. A partir do recebimento dos resultados do questionário preliminar, os auditores efetuaram uma visita à organização e produziram diversos julgamentos acerca da possível adequação dos controles implementados aos modelos das normas mencionadas.

Tendo como referência as informações contidas na situação hipotética apresentada acima, julgue os itens a seguir, a respeito do julgamento realizado pelos auditores.

Considere que o plano de classificação de ativos de uma das organizações auditadas valore os ativos usando uma metodologia mista, isto é, empregando ora a valoração qualitativa, ora a valoração quantitativa. Nesse caso, tal abordagem produz desconformidades com o prescrito em modelos da ABNT e da ISO/IEC, uma vez que se deve adotar um ou outro modelo, mas não ambos simultaneamente.

• C. Certo
• E. Errado

            Um órgão público responsável pelo controle externo do Poder Executivo de uma unidade da Federação desenvolveu um conjunto de processos de auditoria de conformidade na gestão da segurança da informação. As organizações para as quais o órgão presta serviço implementaram sistemas de gestão da segurança da informação, por força de normas, em aderência aos modelos desenvolvidos pela ABNT e ISO/IEC, especialmente os prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez que várias organizações a serem auditadas já passaram cerca de dois anos implementando seus sistemas de gestão, um questionário de avaliação preliminar foi aplicado pelo órgão de controle externo nas organizações clientes. Diferentes controles do sistema de segurança da informação foram avaliados pelos respondentes, tanto os de natureza física e lógica quanto os organizacionais. A partir do recebimento dos resultados do questionário preliminar, os auditores efetuaram uma visita à organização e produziram diversos julgamentos acerca da possível adequação dos controles implementados aos modelos das normas mencionadas.

Tendo como referência as informações contidas na situação hipotética apresentada acima, julgue os itens a seguir, a respeito do julgamento realizado pelos auditores.

Para que o plano de continuidade de negócios apresentado por uma das organizações avaliadas seja considerado conforme a Norma NBR ISO/IEC 15.999, ele deve ter referências implícitas ou explícitas a um dos seguintes documentos: plano de gerenciamento de incidentes; plano de recuperação de negócios; declaração de política de gestão de continuidade dos negócios (GCN); e relatório de análise de impactos sobre negócios BIA (business impact analysis).

• C. Certo
• E. Errado

Segundo os autores Kenneth Wyk e Richard Forno [Kenneth R. Wyk 2001], o processo de resposta a incidentes de segurança deve possuir cinco etapas: identificação, coordenação, mitigação, investigação e educação. Restabelecer o sistema, mesmo que seja com uma solução temporária, até que a solução definitiva seja implementada insere-se no contexto da etapa de

• A.

  investigação.

• B.

  identificação.

• C.

  coordenação.

• D.

  mitigação.

• E.

  educação.

Instruções: Para responder às questões de 31 a 50, considere que os aplicativos devem ser reputados sempre na originalidade da versão referenciada e não quaisquer outras passíveis de modificação (customização, parametrização, etc.) feita pelo usuário. Quando não explicitados nas questões, as versões dos aplicativos são: Windows XP edição doméstica (Português), Microsoft Office 2000, SGBD MS-SQL Server 2000 e navegador Internet Explorer 8. Mouse padrão destro.

NÃO é um requisito de segurança da informação a

• A.

  Privacidade.

• B.

  Integridade.

• C.

  Disponibilidade.

• D.

  Autenticidade.

• E.

  Periodicidade.