Norma ISO 17799 e 27001 - Q36

Com relação às normas NBR ISO/IEC 27001 e 27002, referentes à gestão de segurança da informação, julgue os itens que se seguem.

Um dos controles da política de segurança da informação estabelece que ela deve ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

•  Certo       Errado

ABNT NBR ISO/IEC 17799:2005

 

5  Política de segurança da informação

5.1  Política de segurança da informação

5.1.2  Análise crítica da política de segurança da informação

Controle

Convém que a política de segurança da informação seja analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

Norma ISO 17799 e 27001 - Q35

A respeito de ataques a redes de computadores, prevenção e tratamento de incidentes.

Responsabilidades e procedimentos de gestão devem ser estabelecidos para assegurar respostas rápidas, efetivas e ordenadas a incidentes de segurança da informação.

•  Certo       Errado

Exatamente o descrito na norma ISO 27001:
A.13.2 Gestão de incidentes de segurança da informação e melhorias

A.13.2.1 Responsabilidades e procedimentos

Controle: "Responsabilidades e procedimentos de gestão devem ser estabelecidos para assegurar respostas rápidas, efetivas e ordenadas a incidentes de segurança da informação."

Norma ISO 17799 e 27001 - Q34

A fim de proteger a integridade do hardware e da informação, devem ser implantados, em locais apropriados, controles de detecção, prevenção e recuperação para proteger contra códigos maliciosos, assim como procedimentos para a devida conscientização dos usuários.

•  Certo       Errado

Controles de detecção, prevenção e recuperação contra códigos maliciosos não são efetivos para proteger a integridade de um hardware. Para tal, seria necessário controles de ambiente físico.

Norma ISO 17799 e 27001 - Q33

Nos casos em que uma ação de acompanhamento contra uma pessoa ou organização, após um incidente de segurança da informação, envolver uma ação legal (civil ou criminal), evidências devem ser coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidências da jurisdição ou jurisdições pertinentes.

•  Certo       Errado

Observem que a questão só é CERTA porque na prova não diz que é pra se basear na 27001 ou na 27002 (uma ou outra, exclusivamente).

Porque se a questão mencionasse que era com base somente na 27002 a questão estaria ERRADA, pois para a 27002 é usado o termo CONVÉM ao invés de DEVEM.

Norma ISO 17799 e 27001 - Q32

Considere: 

I. Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. 

II. Salvaguarda da exatidão e completeza da informação e dos métodos de processamento. 

III. Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário. 

Na ISO/IEC 17799, I, II e III correspondem, respectivamente, a

•  a) disponibilidade, integridade e confiabilidade.

•  b) confiabilidade, integridade e distributividade.

•  c) confidencialidade, integridade e disponibilidade.

•  d) confidencialidade, confiabilidade e disponibilidade.

•  e) integridade, confiabilidade e disponibilidade.

Norma ISO 17799 e 27001 - Q32

A norma ABNT NBR ISO/IEC 27001:2006 cobre organizações do tipo 

•  a) comerciais, somente.

•  b) governamentais, somente.

•  c) sem fins lucrativos, somente.

•  d) comerciais e governamentais, somente.

•  e) comerciais, governamentais e sem fins lucrativos.

Norma ISO 17799(27002) - Q31

O documento relativo à política de segurança da informação deve ser aprovado pela direção da empresa, publicado e comunicado a todos os funcionários e às partes externas relevantes.

•  Certo       Errado

No que se refere a ISO 27001 é DEVE, e no que se refere a 27002 é CONVÉM.
Lembrando que a 27002 é boas práticas, então quando vier deve, fique atento.

Norma ISO 17799 e 27001 - Q30

Com base na ABNT NBR ISO/IEC 17799/2005, que trata de questões de segurança da informação nas organizações:

As instalações de processamento da informação gerenciadas pela organização podem permanecer fisicamente juntas das que são gerenciadas por terceiros, desde que o acesso ao local seja devidamente controlado.

•  Certo       Errado

7.1.3 Segurança em escritórios, salas e instalações de processamento
f) Convém que as instalações de processamento da informação gerenciadas pela organização fiquem fisicamente separadas daquelas gerenciadas por prestadores de serviço"

Norma ISO 17799 e 27001 - Q29

Com base na ABNT NBR ISO/IEC 17799/2005, que trata de questões de segurança da informação nas organizações.

As ações que minimizam o risco de vazamento de informações mediante o uso e a exploração de covert channels incluem a varredura do envio de mídias e comunicações, para verificação da presença de informação oculta; o mascaramento e a modulação do comportamento dos sistemas e das comunicações, a fim de evitar que terceiros subtraiam informações dos sistemas; e o monitoramento regular do uso dos recursos computacionais e das atividades do pessoal.

•  Certo       Errado

ABNT NBR ISO/IEC 17799/2005



12.5.4 Vazamento de informações



Controle

Convém que oportunidades para vazamento de informações sejam prevenidas.

Diretrizes para implementação

Convém que os seguintes itens sejam considerados, para limitar o risco de vazamento de informações, por exemlpo através do uso e exploração de covert channels*:

a) a varredura do envio de mídia e comunicações para verificar a presença de informação oculta;

b) o mascaramento e a modulação do comportamento dos sistemas e das comunicações para reduzir a possibilidade de terceiros deduzirem informações a partir do comportamento dos sistemas;

c) a utilização de sistemas e software reconhecidos como de alta integridade, por exemplo utilizando produtos avaliados;

d) o monitoramento regular das atividades do pessoal e do sistema, quando permitido pela legislação ou regulamentação vigente;

e) o monitoramento do uso de recursos de sistemas de computação.

* Os covert channels são caminhos não previstos para conduzir fluxo de informações, mas que no entanto podem existir num sistema ou rede. Por exemplo, a manipulação de bits no protocolo de pacotes de comunição poderia ser utilizada como um método oculto de sinalização. Devido à sua natureza, seria difícil, se não impossivel, precarver-se contra a existência de todos os possíveis covert channels. No entanto, a exploração destes canais frequentemente é realizada por código troiano. A adoção de medidas de proteção contra código troiano reduz, consequentemente, o risco de exploração decovert channels.

Norma ISO 17799 e 27001 - Q28

Com base na ABNT NBR ISO/IEC 17799/2005, que trata de questões de segurança da informação nas organizações.

A autenticação de usuários remotos pode ser alcançada com o emprego de técnicas de criptografia, hardware tokens ou protocolo de desafio/resposta. Essas técnicas são utilizadas em várias soluções de Virtual Private Network.

•  Certo       Errado

Norma ISO 17799 e 27001 - Q27

Com base na ABNT NBR ISO/IEC 17799/2005, que trata de questões de segurança da informação nas organizações. Nessa norma, são estabelecidos as diretrizes e os princípios gerais para o início, a implementação, a manutenção e a melhoria da gestão de segurança da informação em uma organização.

•  Certo       Errado

Norma ISO 17799 e 27001 - Q26

Na prática, os padrões 27001 e 27002 normalmente são usados em conjunto, embora seja possível o uso de outros controles de segurança da informação juntamente com o padrão 27001, até mesmo em substituição ao padrão 27002.

•  Certo       Errado

Norma ISO 17799 e 27001 - Q25

A organização deve fazer análises críticas com o objetivo de identificar tentativas e violações de segurança bem-sucedidas, sendo esta uma atividade verificada na fase check (checar).

•  Certo       Errado

A fase de Check (checar) consiste em: monitorar, analisar criticamente, realizar auditorias e medir desempenho dos processos. Como a questão cita analises criticas facilita a sua resolução

Norma ISO 17799 e 27001 - Q24

Alcançar e manter a proteção adequada dos ativos da organização é um objetivo de controle estabelecido na norma NBR/ISO/IEC 27001/2006. Associado a esse objetivo, há o controle relativo à remoção de propriedade, o qual determina que um ativo não mais utilizado por um proprietário deverá ser dele desvinculado.

•  Certo       Errado

Segundo a norma 27001, o controle relativo a remoção de propriedade quer dizer que nenhum equipamento, informação ou software deve ser retirado do lugar sem autorização prévia.

Não faz nenhuma referência ao controle de acesso ao ativo.

Norma ISO 17799 e 27001 - Q23

Um arquivo de texto, uma IDE para desenvolvimento em linguagem C e um pendrive são classificados como ativos de software, de serviço e físico, respectivamente.

•  Certo       Errado

Norma ISO 17799 e 27001 - Q22

O estabelecimento de uma política de mesa limpa e tela limpa é um controle diretamente relacionado ao gerenciamento das operações e comunicações, e não ao controle de acessos.

•  Certo       Errado

Política de mesa limpa e tela limpa é um dos controles descritos em Controle de Acesso na 27002

Norma ISO 17799 e 27001 - Q21

Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização. No modelo PDCA aplicado aos processos do SGSI da NBR ISO/IEC 27001, esta definição pertence a

•  a) planejar.

•  b) agir.

•  c) fazer.

•  d) confidencializar.

•  e) checar.

Plan (planejar) (estabelecer o SGSI)	Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização.
Do (fazer) (implementar e operar o SGSI)	Implementar e operar a política, controles, processos e procedimentos do SGSI
Check (checar) (monitorar e analisar criticamente o SGSI)	Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção.
Act (agir) (manter e melhorar o SGSI)	Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.

Norma ISO 17799 e 27001 - Q20

Na NBR ISO/IEC 17799, os controles considerados essenciais para uma organização, sob o ponto de vista legal, incluem: 

I. Proteção de dados e privacidade de informações pessoais. 

II. Salvaguarda de registros organizacionais. 

III. Documento da política de segurança da informação. 

Está INCORRETO o que se afirma em 

•  a) I.

•  b) II.

•  c) III.

•  d) I e III.

•  e) I, II e III.

Os controles considerados essenciais são:

- proteção de dados e privacidade de informações pessoais;

- proteção de registros organizacionais;

- direitos de propriedade intelectual.

Norma ISO 17799 e 27001 - Q19

De acordo com a norma ISO 17799, assinale a alternativa que descreve corretamente um fator crítico de sucesso para a implantação da segurança da informação dentro de uma organização: 

•  a) Análise/avaliação e gestão de risco, por parte dos diretores da organização, para avaliar os pontos de falha no cumprimento das políticas de segurança da informação e propor melhorias nos processos organizacionais de gestão de incidentes de segurança da informação.

•  b) Comprometimento e apoio visível dos funcionários da organização, engajados na determinação e no cumprimento das políticas de segurança da informação, objetivos e atividades, que reflitam os objetivos do negócio.

•  c) Prover mecanismos para alocação emergencial de recursos financeiros para as atividades de combate a incidentes de segurança da informação através da contratação de auditoria especializada.

•  d) Divulgação eficiente da segurança da informação, incluindo a distribuição de diretrizes e normas sobre a política de segurança da informação, para todos os gerentes, funcionários e outras partes envolvidas para se alcançar a conscientização.

---------------------------------------

Fatores críticos de sucesso:



a)    política de segurança da informação, objetivos e atividades, que reflitam os objetivos do negócio;

b)    uma abordagem e uma estrutura para a implementação, manutenção, monitoramento e melhoria da segurança da informação que seja consistente com a cultura organizacional;

c)    comprometimento e apoio visível de todos os níveis gerenciais

d)    um bom entendimento dos requisitos de segurança da informação, da análise/verificação de riscos e da gestão de riscos;

e)    divulgação eficiente da segurança da informação para todos os gerentes, funcionários,  e outras partes envolvidas para se alcançar a conscientização;

f)     distribuição de diretrizes e normas sobre a política de segurança da informação para todos os gerentes, funcionários e outras partes envolvidas

g)    provisão de recursos financeiros para as atividades da gestão de segurança da informação

h)    provisão da conscientização, treinamento e educação adequados

i)      estabelecimento de um eficiente processo de gestão de incidentes de segurança da informação

j)     implementação de um sistema de medição, que seja usado para avaliar o desempenho da gestão da segurança da informação e obtenção de sugestões para a melhoria

Norma ISO 17799 e 27001 - Q18

Algumas normas definem aspectos que devem ser levados em consideração ao elaborar políticas de segurança. A versão brasileira da norma para construção de políticas de seguranca é a

•  a) NBR ISO/IEC 25000.

•  b) NBR ISO/IEC 14598.

•  c) NBR ISO/IEC 9126.

•  d) NBR ISO/IEC 17799.

NBR ISO/IEC 17799: Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação.

Para esclarecer que esta norma, NBR ISO/IEC 17799, a partir de 2007  foi incorporada ao padrão ISO/IEC 27002.