Marcelo Costa
Quiz von , erstellt am more than 1 year ago

ISO27002 (27002FCC) Quiz am Normas de Segurança ISO 27002, erstellt von Marcelo Costa am 18/12/2016.

71
1
0
Marcelo Costa
Erstellt von Marcelo Costa vor fast 8 Jahre
Schließen

Normas de Segurança ISO 27002

Frage 1 von 21

1

Com relação à segurança nas comunicações, a norma ABNT NBR ISO/IEC 27002:2013 possui uma seção que fornece diretrizes, controles e objetivos de controle para assegurar a proteção das informações em redes. Um desses controles recomenda que

Wähle eine der folgenden:

  • a conexão de sistemas às redes deve ser restrita, porém, nessas conexões, não é necessário autenticação.

  • mecanismos de segurança e níveis de serviço sejam identificados e incluídos somente em acordos de serviços de redes providos internamente, excluindo-se terceirizados

  • a responsabilidade operacional pelas redes nunca seja separada das operações dos demais recursos computacionais.

  • o controle de perímetro de domínio de rede seja feito por terceiros especializados.

  • grupos de serviços de informação, usuários e sistemas de informação sejam segregados em redes de computadores.

Erklärung

Frage 2 von 21

1

De acordo com a norma ABNT NBR ISO/IEC 27002:2013 a política de controle de acesso deve considerar

Wähle eine der folgenden:

  • a disponibilidade de referências de caráter satisfatórias do usuário, por exemplo, uma profissional e uma pessoal.

  • verificações financeiras e verificações de registros criminais do usuário.

  • ações a serem tomadas no caso de o funcionário desrespeitar os requisitos de segurança da informação da organização.

  • a legislação pertinente e qualquer obrigação contratual relativa à proteção de acesso para dados ou serviços.

  • a confirmação e documentação das qualificações acadêmicas e profissionais do usuário.

Erklärung

Frage 3 von 21

1

Baseado nas normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013, um analista de TI está definindo uma política de controle de acesso às informações e aos recursos de processamento de uma organização. Nesse contexto, estas normas recomendam que

Wähle eine der folgenden:

  • os direitos de acesso dos funcionários às informações e aos recursos de processamento devem ser retirados quando o funcionário for desligado, mas não precisam ser ajustados se o funcionário mudar de cargo.

  • os proprietários de ativos devem analisar criticamente os direitos de acesso dos usuários em intervalos regulares.

  • um processo de registro e cancelamento de usuário, mesmo que informal, deve ser implementado para permitir atribuição de direitos de acesso.

  • os usuários recebam acesso às redes e aos serviços de redes que necessitarem e/ou quiserem utilizar.

  • uma política de controle de acesso deve ser estabelecida, documentada e analisada criticamente, baseada apenas nos requisitos de segurança da informação.

Erklärung

Frage 4 von 21

1

Com relação à norma ISO/IEC 27002:2013, está correto afirmar que:

Wähle eine der folgenden:

  • ela indica a necessidade do uso do ciclo PDCA nos processos da organização

  • a revisão de 2013 criou uma seção específica para controles criptográficos

  • não é mais necessário o gerenciamento de ativos, cuja cláusula foi suprimida na revisão de 2013

  • organizações agora podem ser certificadas na última revisão (2013) da ISO 27002

  • ela tem foco no gerenciamento de risco na segurança da informação

Erklärung

Frage 5 von 21

1

A norma NBR ISO/IEC 27002:2013 recomenda que seja feita a classificação das informações, proporcionando um nível adequado de proteção. Essa recomendação faz parte da etapa ou seção de

Wähle eine der folgenden:

  • controle de acessos.

  • segurança física e do ambiente.

  • gestão de incidentes da segurança da informação.

  • gerenciamento das operações e comunicações.

  • gestão de ativos.

Erklärung

Frage 6 von 21

1

A Norma ISO/IEC 27002:2005, na seção relativa à Segurança em Recursos Humanos, estabelece que:

Antes de realizar a contratação de um funcionário ou mesmo de fornecedores e terceiros, é importante que cada um deles entenda suas responsabilidades e esteja de acordo com o papel que desempenhará. Portanto, as ...... e os termos e condições de contratação devem ser explícitos, especialmente no que tange às responsabilidades de segurança da informação. É importante também que quaisquer candidatos sejam devidamente analisados, principalmente se forem lidar com informações de caráter sigiloso. A intenção aqui é mitigar o risco de roubo, fraude ou mau uso dos recursos.

Corresponde corretamente à lacuna:

Wähle eine der folgenden:

  • diretrizes organizacionais

  • políticas de segurança

  • descrições de cargo

  • tendências profissionais

  • responsabilidades sociais

Erklärung

Frage 7 von 21

1

A Norma NBR ISO/IEC 27002:2005 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é

Wähle eine der folgenden:

  • o plano de continuidade do negócio.

  • o equipamento de comunicação.

  • o serviço de iluminação.

  • a base de dados e arquivos.

  • a reputação da organização.

Erklärung

Frage 8 von 21

1

A Norma ABNT NBR ISO/IEC 27002:2005 contém 11 seções de controles de segurança da informação que, juntas, totalizam 39 categorias principais de segurança. Cada seção contém um número de categorias principais de segurança da informação e cada categoria principal de segurança da informação contém

Wähle eine der folgenden:

  • subcategorias relacionadas apresentando cada uma exemplos práticos de utilização dentro das organizações e os resultados obtidos.

  • uma introdução, uma ou mais recomendações de utilização, cuidados necessários na implementação dos controles de segurança da informação e casos de uso prático.

  • uma ou mais diretrizes para implementação dos controles de segurança da informação e metas e objetivos a serem alcançados para cada diretriz.

  • um objetivo de controle que define o que deve ser alcançado e um ou mais controles que podem ser aplicados para se alcançar o objetivo do controle.

  • um conjunto de recomendações testadas e comprovadas em empresas de todos os tamanhos e segmentos que vivenciaram problemas relacionados a riscos de segurança da informação.

Erklärung

Frage 9 von 21

1

A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002:2005 tem como objetivo apresentar recomendações para

Wähle eine der folgenden:

  • resolver de forma definitiva os problemas causados por incidentes de segurança da informação estabelecendo e executando as ações necessárias para minimizar efeitos causados aos dados dos sistemas de informação e comunicação.

  • não permitir a interrupção das atividades do negócio, proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil, se for o caso.

  • garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação e detectar e resolver incidentes de segurança da informação em tempo hábil.

  • evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação.

  • assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil.

Erklärung

Frage 10 von 21

1

O objetivo de controle que define o que deve ser alcançado na seção que trata da classificação da informação da Norma ABNT NBR ISO/IEC 27002:2005 é "assegurar que a informação receba um nível adequado de proteção". Um dos controles que podem ser aplicados para se alcançar este objetivo diz que convém que a informação seja classificada em termos do seu valor, e
I. dos requisitos legais.
II. da sensibilidade.
III. da criticidade para a organização.
IV. do seu tamanho.
Está correto o que consta APENAS em

Wähle eine der folgenden:

  • I e III.

  • II e IV.

  • II, III e IV.

  • I e IV.

  • I, II e III.

Erklärung

Frage 11 von 21

1

NÃO é uma recomendação contida na seção da Norma ISO/IEC 27002, que trata da estrutura do plano de continuidade do negócio, que

Wähle eine der folgenden:

  • cada plano especifique o plano de escalonamento e as condições para sua ativação, assim como as responsabilidades individuais para execução de cada uma das atividades do plano.

  • uma estrutura básica dos planos de continuidade do negócio seja mantida para assegurar que todos os planos sejam coerentes e que haja um único gestor para todos os planos evitando, assim, divergências nas decisões.

  • procedimentos de recuperação para serviços técnicos alternativos, como processamento de informação e meios de comunicação, sejam normalmente de responsabilidade dos provedores de serviços.

  • procedimentos de emergência, de recuperação, manual de planejamento e planos de reativação sejam de responsabilidade dos gestores dos recursos de negócios ou dos processos envolvidos.

  • procedimentos do programa de gestão de mudança da organização sejam incluídos para assegurar que os assuntos de continuidade de negócios estejam sempre direcionados adequadamente.

Erklärung

Frage 12 von 21

1

De acordo com a Norma Complementar n.º 06/IN01/DSIC/GSIPR, o programa de gestão de continuidade de negócios de órgão ou entidade da administração pública federal deve ser composto, no mínimo, pelos planos de gerenciamento de incidentes, de continuidade de negócios e de recuperação de negócios.

Wähle eins der folgenden:

  • WAHR
  • FALSCH

Erklärung

Frage 13 von 21

1

Ainda acerca de política de segurança da informação, julgue os itens a seguir, com base na NBR ISO/IEC 27002.

A situação de ações preventivas é uma saída da análise crítica da política de segurança da informação.

Wähle eins der folgenden:

  • WAHR
  • FALSCH

Erklärung

Frage 14 von 21

1

O uso de equipamentos de UPS (uninterruptible power supply), considerados fornecedores de energia elétrica secundários, é recomendado, de acordo com a norma ABNT NBR ISO/IEC 27.002, para:

Wähle eine der folgenden:

  • da segurança em escritórios, salas e instalações.

  • da segurança de equipamentos.

  • do perímetro de segurança física.

  • de áreas seguras.

  • de trabalho em áreas seguras.

Erklärung

Frage 15 von 21

1

Antônio é gestor de segurança da informação do Tribunal Regional do Trabalho da 16a Região e deve gerenciar a segurança da informação baseada na Norma NBR ISO/IEC 27002. De acordo com a Norma, na atribuição de responsabilidades para a segurança da informação,

Wähle eine der folgenden:

  • uma prática comum é indicar um responsável por cada ativo para torná-lo responsável por sua proteção no dia a dia.

  • a responsabilidade pela obtenção dos recursos e a implementação dos controles é do responsável do local.

  • os gestores da empresa devem assumir a responsabilidade global pela implantação da segurança da informação.

  • a atribuição das responsabilidades pela informação deve ser definida de forma independente da política de segurança da informação.

  • pessoas com responsabilidades definidas pela segurança da informação não podem delegar as tarefas para outros usuários.

Erklärung

Frage 16 von 21

1

A Norma NBR ISO/IEC 27002:2005 recomenda que os equipamentos tenham uma manutenção correta para assegurar sua disponibilidade e integridade permanentes. De acordo com a Norma, convém que seja levada em consideração, para a manutenção dos equipamentos, a seguinte diretriz:

Wähle eine der folgenden:

  • Sejam mantidos registros de todas as falhas, suspeitas ou reais, e de todas as operações de manutenção preventiva e corretiva realizadas.

  • A manutenção e os consertos dos equipamentos sejam realizados somente por pessoal terceirizado, indicado pelo fornecedor.

  • A manutenção seja realizada em intervalos seguindo a regra: equipamentos caros devem ter manutenção a cada 60 dias e equipamentos mais baratos a cada 6 meses.

  • Sejam implementados controles apropriados antes da manutenção, de forma que todas as informações sensíveis sempre sejam eliminadas do equipamento.

  • Sejam atendidas apenas as exigências estabelecidas nas apólices de seguro que não interfiram na programação interna de manutenção definida na empresa.

Erklärung

Frage 17 von 21

1

Na NBR ISO/IEC 17799, os controles considerados essenciais para uma organização, sob o ponto de vista legal, incluem:

I. Proteção de dados e privacidade de informações pessoais.
II. Salvaguarda de registros organizacionais.
III. Documento da política de segurança da informação.

Está INCORRETO o que se afirma em

Wähle eine der folgenden:

  • I.

  • II.

  • III.

  • I e III.

  • I, II e III.

Erklärung

Frage 18 von 21

1

Norma que tem como objetivo fornecer recomendações para gestão da segurança da informação para uso por aqueles que são responsáveis pela introdução, implementação ou manutenção da segurança de suas organizações, prover base comum para o desenvolvimento de normas de segurança organizacional e das práticas efetivas de gestão de segurança e prover confiança nos relacionamentos entre organizações:

Wähle eine der folgenden:

  • NBR ISO/IEC 27004.

  • NBR ISO/IEC 27003.

  • NBR ISO/IEC 27002.

  • NBR ISO/IEC 27001.

  • NBR ISO/IEC 27000.

Erklärung

Frage 19 von 21

1

A categoria de segurança "proteção contra códigos maliciosos e códigos móveis" é descrita pela norma NBR ISO/IEC 17799:2005 na seção

Wähle eine der folgenden:

  • Gestão de incidentes de segurança da informação.

  • Gerenciamento das operações e comunicações.

  • Segurança física e do ambiente.

  • Controle de acessos.

  • Gestão de ativos.

Erklärung

Frage 20 von 21

1

Em relação à Gestão de Continuidade de Negócio, devem ser considerados nas diretrizes para desenvolvimento e implementação de planos de contingência, em conformidade com a norma NBR ISO/IEC 27002, que

Wähle eine der folgenden:

  • os procedimentos assegurem que apenas funcionários explicitamente identificados e autorizados estejam liberados para acessar sistemas e dados em produção.

  • as ações de emergência sejam relatadas para a direção e analisadas criticamente de maneira ordenada.

  • a integridade dos sistemas do negócio e seus controles sejam validados na maior brevidade.

  • o planejamento da continuidade de negócios considere a identificação e concordância de todas as responsabilidades e procedimentos da continuidade do negócio e identificação da perda aceitável de informações e serviços.

  • os mecanismos para permitir que tipos, quantidades e custos dos incidentes de segurança da informação sejam quantificados e monitorados.

Erklärung

Frage 21 von 21

1

Segundo a Norma ABNT NBR ISO/IEC 27001:2006, para prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização, podem ser aplicados diversos controles. O controle que NÃO está de acordo com o que descreve a Norma é:

Wähle eine der folgenden:

  • As áreas seguras devem ser protegidas por controles apropriados de entrada para assegurar que somente pessoas autori- zadas tenham acesso.

  • Devem ser utilizados perímetros de segurança para proteger as áreas que contenham informações e recursos de pro- cessamento da informação.

  • Pontos de acesso em que pessoas não autorizadas possam entrar nas instalações devem sempre ser isolados dos recursos de processamento da informação.

  • Deve ser projetada e aplicada proteção física contra incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e outras formas de desastres naturais ou causados pelo homem.

  • Deve ser projetada e aplicada proteção física, bem como diretrizes para o trabalho em áreas seguras.

Erklärung