Gestão de segurança da informação para concursos-questões CESPE 04

1,458 views

Published on

Material das aulas de amostra.

Vídeo disponível em : http://www.provasdeti.com.br/por-professor/a-m/fernando-palma/gsicespex1-para-concursos.html

  • Be the first to comment

Gestão de segurança da informação para concursos-questões CESPE 04

  1. 1. Exercícios de Gestão da Segurança da Informação – ISO 27001, 27002 e 27005 Também: ISO 27003 e 27004 Módulo 01 : Exercícios CESPE (questões 01 a 50) Aula 04 Professor Fernando Palma ITIL Expert, COBIT, OCEB, Exin ISO 27002, Exin ISO 20000 Contato: fpalma@portalgsti.com.br, fernando.palma@gmail.com www.portalgsti.com.br Exercícios comentados
  2. 2. Sobre este material Material das aulas de amostra do Módulo 01 – Exercícios CESPE Aula 04 Curso disponível em: http://www.provasdeti.com.br/por- professor/a-m/fernando-palma/gsicespex1-para-concursos.html
  3. 3. Questão 14 Prova: CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir. Em sistemas de gestão de segurança da informação, é necessário o estabelecimento de um plano de gestão de continuidade do negócio; entretanto, os testes e as atualizações desse plano são desnecessários. Certo Errado
  4. 4. Questão 14 - gabarito Prova: CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir. Em sistemas de gestão de segurança da informação, é necessário o estabelecimento de um plano de gestão de continuidade do negócio; entretanto, os testes e as atualizações desse plano são desnecessários. Certo Errado
  5. 5. Norma ISO 27002 5.Política de segurança da informação 6.Organizando a segurança da informação 7.Gestão de Ativos 8.Segurança em recursos humanos 9.Segurança Física e do Ambiente 10.Gerenciamento de operações e comunicações 11.Controle de Acesso 12.Aquisição, desenvolvimento e manutenção de sistemas da informação 13.Gestão de Incidentes de Segurança da informação 14. Gestão de Continuidade dos Negócios 15.Conformidade
  6. 6. 13. Gestão de Incidentes de Segurança da informação 13.1. Notificação de fragilidades e eventos de segurança da informação 13.2. Gestão de incidentes de segurança da informação e melhorias 14. Gestão de continuidade do negócio 14.1. Aspectos da gestão da continuidade do negócio relativos a segurança da informação
  7. 7. Questão 14 - comentários “Em sistemas de gestão de segurança da informação, é necessário o estabelecimento de um plano de gestão de continuidade do negócio; entretanto, os testes e as atualizações desse plano são desnecessários. “– Errado 14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação 14.1.5. Testes, manutenção e reavaliação dos planos de Controle - Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade. Diretrizes - Convém que os testes do plano de continuidade do negócio assegurem que todos os membros da equipe de recuperação e outras pessoas relevantes estejam conscientes dos planos e de suas responsabilidades para a continuidade do negócio e a segurança da informação, e conheçam as suas atividades quando um plano for acionado.
  8. 8. Questão 15 Prova: CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir. No processo de estabelecimento de um sistema de gestão de segurança da informação, deve ser definido o escopo, além de serem analisados e avaliados os riscos. Certo Errado
  9. 9. Questão 15 - gabarito Prova: CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir. No processo de estabelecimento de um sistema de gestão de segurança da informação, deve ser definido o escopo, além de serem analisados e avaliados os riscos. Certo Errado
  10. 10. Norma ISO 27001 0. Introdução 1. Objetivo 2. Referência normativa 3. Termos e definições 4. Sistema de gestão de segurança da informação 5. Responsabilidades da direção 6. Auditorias internas do SGSI 7. Análise crítica do SGSI pela direção 8. Melhoria do SGSI Anexo A Objetivos de controle e controles Anexo B Anexo C Fernando Palma
  11. 11. 2. Referência normativa 3. Termos e definições 4. Sistema de gestão de segurança da informação 4.1 Requisitos gerais 4.2 Estabelecendo e gerenciando o SGSI 4.2.1 Estabelecer o SGSI 4.2.2 Implementar e operar o SGSI 4.2.3 Monitorar e analisar criticamente o SGSI 4.2.4 Manter e melhorar o SGSI 4.3 Requisitos de documentação 4.3.1 Geral 4.3.2 Controle de documentos 4.3.3 Controle de registros
  12. 12. Questão 15 - comentários “No processo de estabelecimento de um sistema de gestão de segurança da informação, deve ser definido o escopo, além de serem analisados e avaliados os riscos. “– Certo 4.2.1 Estabelecer o SGSI “A organização deve: a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo . (...) e) Analisar e avaliar os riscos. (...) j) Preparar uma Declaração de Aplicabilidade.”
  13. 13. Prova: CESPE - 2011 - CBM-DF - Oficial Bombeiro Militar Complementar - Informática O sistema de gestão de segurança da informação definido de acordo com a norma ISO/IEC 27002 adota o modelo plan-do- check-act, que visa, entre outros objetivos, à melhoria contínua e à análise crítica do desempenho e da eficácia do sistema de gestão de segurança da informação. Certo Errado Questão 16
  14. 14. Prova: CESPE - 2011 - CBM-DF - Oficial Bombeiro Militar Complementar - Informática O sistema de gestão de segurança da informação definido de acordo com a norma ISO/IEC 27002 adota o modelo plan-do- check-act, que visa, entrà melhoria contínua e à análise crítica do desempenho e da ee outros objetivos, ficácia do sistema de gestão de segurança da informação. Certo Errado Questão 16 - gabarito
  15. 15. Norma ISO 27001 0. Introdução 1. Objetivo 2. Referência normativa 3. Termos e definições 4. Sistema de gestão de segurança da informação 5. Responsabilidades da direção 6. Auditorias internas do SGSI 7. Análise crítica do SGSI pela direção 8. Melhoria do SGSI Anexo A Objetivos de controle e controles Anexo B Anexo C Fernando Palma
  16. 16. 0. Introdução 0.1 Geral 0.2 Abordagem de processo 0.3 Compatibilidade com outros sistemas de gestão 1. Objetivo 1.1 Geral 1.2 Aplicação Norma ISO 27001
  17. 17. Questão 16 - comentários “O sistema de gestão de segurança da informação definido de acordo com a norma ISO/IEC 27002 adota o modelo plan-do-check-act, que visa, entre outros objetivos, à melhoria contínua e à análise crítica do desempenho e da eficácia do sistema de gestão de segurança da informação.” Errado. 0.2 Abordagem de processo “(...) A abordagem de processo para a gestão da segurança da informação apresentada nesta Norma encoraja que seus usuários enfatizem a importância de: (...) c) monitoração e análise crítica do desempenho e eficácia do SGSI; d) melhoria contínua baseada em medições objetivas. (...) Esta Norma adota o modelo conhecido como "Plan-Do-Check- Act” (PDCA), que é aplicado para estruturar todos os processos do SGSI. (...)” Norma ISO 27001
  18. 18. Prova: CESPE - 2013 - CNJ - Analista Judiciário - Análise de Sistemas Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e reavaliação dos planos de continuidade do negócio, deve haver testes de interrupção e recuperação dos serviços, em que se identifiquem informações relevantes que precisam ser atualizadas. Entre essas informações, por serem desnecessárias, não constam nomes, endereços e telefones de participantes e estratégias de negócio. Certo Errado Questão 17
  19. 19. Prova: CESPE - 2013 - CNJ - Analista Judiciário - Análise de Sistemas Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e reavaliação dos planos de continuidade do negócio, deve haver testes de interrupção e recuperação dos serviços, em que se identifiquem informações relevantes que precisam ser atualizadas. Entre essas informações, por serem desnecessárias, não constam nomes, endereços e telefones de participantes e estratégias de negócio. Certo Errado Questão 17 - gabarito
  20. 20. Norma ISO 27002 5.Política de segurança da informação 6.Organizando a segurança da informação 7.Gestão de Ativos 8.Segurança em recursos humanos 9.Segurança Física e do Ambiente 10.Gerenciamento de operações e comunicações 11.Controle de Acesso 12.Aquisição, desenvolvimento e manutenção de sistemas da informação 13.Gestão de Incidentes de Segurança da informação 14. Gestão de Continuidade dos Negócios 15.Conformidade
  21. 21. 13. Gestão de Incidentes de Segurança da informação 13.1. Notificação de fragilidades e eventos de segurança da informação 13.2. Gestão de incidentes de segurança da informação e melhorias 14. Gestão de continuidade do negócio 14.1. Aspectos da gestão da continuidade do negócio relativos a segurança da informação
  22. 22. Questão 17 - comentários “Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e reavaliação dos planos de continuidade do negócio, deve haver testes de interrupção e recuperação dos serviços, em que se identifiquem informações relevantes que precisam ser atualizadas. Entre essas informações, por serem desnecessárias, não constam nomes, endereços e telefones de participantes e estratégias de negócio. ” Errado. 14.1.5. Teste, manutenção e reavaliação dos planos de continuidade dos negócios “Diretrizes – (...) Os exemplos de mudanças onde convém que a atualização dos planos de continuidade do negócio seja considerada são a aquisição de novos equipamentos, atualização de sistemas e mudanças de: a) pessoal; b) endereços ou números telefônicos; c) estratégia de negócio; d) localização, instalações e recursos; e) legislação: f) prestadores de serviços. fornecedores e clientes-chave; g) processos (inclusões e exclusões); h) risco (operacional e financeiro). (...) "
  23. 23. Prova: CESPE - 2013 - TCE-RO - Analista de Informática Com relação às políticas de segurança da informação e à gerência de riscos, julgue os itens a seguir. A política de segurança da informação deverá ser analisada criticamente em intervalos planejados, incluindo-se na análise as tendências relacionadas a ameaças e vulnerabilidades. Certo Errado Questão 18
  24. 24. Prova: CESPE - 2013 - TCE-RO - Analista de Informática Com relação às políticas de segurança da informação e à gerência de riscos, julgue os itens a seguir. A política de segurança da informação deverá ser analisada criticamente em intervalos planejados, incluindo-se na análise as tendências relacionadas a ameaças e vulnerabilidades. Certo Errado Questão 18 – gabarito
  25. 25. Norma ISO 27002 5.Política de segurança da informação 6.Organizando a segurança da informação 7.Gestão de Ativos 8.Segurança em recursos humanos 9.Segurança Física e do Ambiente 10.Gerenciamento de operações e comunicações 11.Controle de Acesso 12.Aquisição, desenvolvimento e manutenção de sistemas da informação 13.Gestão de Incidentes de Segurança da informação 14. Gestão de Continuidade dos Negócios 15.Conformidade
  26. 26. Questão 18 - comentários “A política de segurança da informação deverá ser analisada criticamente em intervalos planejados, incluindo-se na análise as tendências relacionadas a ameaças e vulnerabilidades. ” Certo. 5.1.2. Análise crítica da política de Segurança da Informação “ Controle – “Convém que a política de segurança da informação seja analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.” Diretrizes – “Convém que as entradas para análise crítica pela direção incluam informações sobre: a) realimentação das partes interessadas; b) resultados de análises críticas independentes (...) g) tendências relacionadas com as ameaças e vulnerabilidades (...);”
  27. 27. Prova: CESPE - 2013 - CNJ - Técnico Judiciário - Programação de Sistemas A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional. Certo Errado Questão 19
  28. 28. Prova: CESPE - 2013 - CNJ - Técnico Judiciário - Programação de Sistemas A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional. Certo Errado Questão 19 - gabarito
  29. 29. Questão 19 - comentários “A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional.” - Certo. 2. Controle de acesso lógico 2.3 Que recursos devem ser protegidos? “A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional. Abaixo serão apresentados os motivos pelos quais esses recursos devem ser protegidos.” Boas Práticas em Segurança da Informação 4ª edição - TCU
  30. 30. Exercícios comentados Fim da aula 04 Professor Fernando Palma ITIL Expert, COBIT, OCEB, Exin ISO 27002 Contato: fpalma@portalgsti.com.br, fernando.palma@gmail.com www.portalgsti.com.br Módulo 01 : Exercícios CESPE (questões 01 a 50)

×