Questões sobre ISO 27002

Lista completa de Questões sobre ISO 27002 para resolução totalmente grátis. Selecione os assuntos no filtro de questões e comece a resolver exercícios.

Julgue o seguinte item, com relação a padrões de interoperabilidade (ePING), segurança da informação e segurança da aplicação.
No que diz respeito a controle de entrada física, a norma ISO/IEC 27002:2013 recomenda que o acesso às áreas onde são processadas ou armazenadas informações sensíveis seja restrito apenas ao pessoal autorizado, mediante a implementação de controles de acesso apropriados, que podem ser, por exemplo, mecanismos de autenticação de dois fatores, tais como cartões de controle de acesso e PIN (personal identification number).

Um dos desafios atuais da segurança da informação é o crescente uso de BYOD (bring your own device, ou, em português, traga seu próprio dispositivo) nas instituições. Notebooks, tablets e principalmente smartphones estão invadindo as redes institucionais. Nesse contexto, são necessárias políticas, procedimentos e tecnologias especializadas acerca do tema. Com base na NBR ISO/IEC n.º 27002, em uma política de dispositivos móveis, é correto

    A) validar informações de entrada no sistema somente quando todos os dados de entrada estiverem completos e íntegros, em conformidade com as boas práticas.

    B) separar o uso do dispositivo para negócio e para fins pessoais, incluindo os softwares para apoiar essa separação e proteger os dados do negócio em um dispositivo privado.

    C) monitorar as condições ambientais, como temperatura e umidade, para a detecção de condições que possam afetar negativamente as instalações de processamento da informação.

    D) avaliar regularmente a referida política quanto à sua capacidade de atender ao crescimento do negócio e às interações com outras utilidades.

    E) segregar as funções de controle de acesso como, por exemplo, pedido de acesso, autorização de acesso e administração de acesso.

Texto 4A04-I


Um hacker invadiu o sistema computacional de determinada instituição e acessou indevidamente informações pessoais dos colaboradores e servidores. Durante a ação, foram alterados os registros de logs do sistema operacional e das aplicações, a fim de dificultar o trabalho de auditoria. Após o ocorrido, identificaram-se as seguintes ações do hacker.


I Exploração, a partir da Internet, de uma vulnerabilidade da página de notícias do portal da instituição localizada no servidor web, o que permitiu o acesso não autorizado à rede interna.

II Utilização de um script para alteração dos registros dos logs, com a troca dos endereços IP reais por fictícios.

III Quebra das credenciais administrativas do servidor de banco de dados dos sistemas internos, a partir do servidor web e utilização da técnica de ataques de dicionário.

IV Acesso de forma não autorizada ao servidor de banco de dados dos sistemas internos, para efetuar a extração das informações pessoais de colaboradores e servidores.


A equipe incumbida de analisar o caso concluiu que o risco era conhecido e considerado alto, já tendo sido comunicado à alta gestão da instituição; a vulnerabilidade explorada e sua correção eram conhecidas havia mais de seis meses, bem como a inexistência de dependências e da troca de dados entre os servidores de web e banco de dados; o incidente poderia ter sido evitado com o uso eficaz dos controles de segurança da informação.

Com base na NBR ISO/IEC n.º 27002, é correto afirmar que, no cenário apresentado no texto 4A04-I, foram explorados os controles de

    A) manutenção de equipamentos e de segurança física, pela ineficiência das manutenções preventivas recomendadas e da proteção física dos servidores web e de banco de dados.

    B) manutenção de equipamentos e de segregação de rede, pela ineficiência das manutenções preventivas recomendadas e da segmentação da rede em domínio filtrados por firewalls entre os servidores web e de banco de dados.

    C) segurança física e de segregação de rede, pela ineficiência da proteção física e da segmentação da rede em domínio filtrados por firewalls entre os servidores web e de banco de dados.

    D) gestão de vulnerabilidades técnicas e de segurança física, pela ineficiência do monitoramento e das correções das vulnerabilidades e da proteção física dos servidores web e de banco de dados.

    E) gestão de vulnerabilidades técnicas e de segregação de rede, pela ineficiência do monitoramento e das correções das vulnerabilidades e da segmentação da rede em domínio filtrados por firewalls entre os servidores web e de banco de dados.

Com base na NBR ISO/IEC 27002, assinale a opção que indica o instrumento que caracteriza a segurança da informação na organização, seu escopo e sua importância, e no qual a direção declara comprometimento e apoio às metas do SGSI, e que este esteja alinhado às estratégias e aos objetivos do negócio.

    A) acordo de confidencialidade

    B) documento da política de segurança da informação

    C) inventário dos ativos

    D) política de classificação da informação

    E) documentação dos procedimentos de operação

No que diz respeito à gestão de incidentes de segurança da informação, é recomendável que a organização defina como identificar, coletar, adquirir e preservar evidências, além de que procedimentos internos sejam desenvolvidos e seguidos para os propósitos de ação legal ou disciplinar, quando necessário. Segundo a norma ABNT NBR ISO/IEC 27002:2013, é recomendável que os procedimentos para registro, guarda e divulgação de evidência de incidentes levem em conta

    A) a ficha criminal dos colaboradores da organização.

    B) a classificação da ação disciplinar ou legal pelos incidentes ocorridos na organização.

    C) o número de incidentes ocorridos em cada mês.

    D) papéis e responsabilidades das pessoas envolvidas.

    E) os custos envolvidos e o impacto em cada setor da organização.

Provas e Concursos

O Provas e Concursos é um banco de dados de questões de concursos públicos organizadas por matéria, assunto, ano, banca organizadora, etc

{TITLE}

{CONTENT}

{TITLE}

{CONTENT}
Provas e Concursos
0%
Aguarde, enviando solicitação!

Aguarde, enviando solicitação...