curso normas tcu 2015 27002

W W W . D O M I N A N D O T I . C O M . B RW W W . D O M I N A N D O T I . C O M . B R

Professor Gleyson Azevedo [email protected]

Curso Normas SI TCU 2015

27002:2013

W W W . D O M I N A N D O T I . C O M . B RW W W . D O M I N A N D O T I . C O M . B R

2

Acesse nosso site em

WWW.DOMINANDOTI.COM.BR

Curta o Dominando TI no

e receba nossas dicas sobre concursos!

Cursos Turmas em Braslia, na sua cidade, e cursos online

Livros Edies publicadas, lanamentos e promoes

Frum Interao direta entre estudantes e com os professores

Simulados Questes inditas, ranking de notas e correes em vdeo

Blog Dicas e macetes de estudo, indicaes de bibliografia, etc.

Materiais Verses atualizadas de notas de aula e listas de exerccios

2


W W W . D O M I N A N D O T I . C O M . B R

3

ABNT NBR ISO/IEC 27002:2013

Roteiro

3



4

O grupo internacional JTC1/SC27, formado pelas organizaes ISO e IEC, criou em 2000 a norma ISO/IEC 17799 baseada na primeira parte da norma britnica BS 7799.

Esse grupo promoveu a reviso da ISO/IEC 17799, renomeando-a para ISO/IEC 17799:2005.

Originada a partir da NBR ISO/IEC 17799:2005, essa norma teve sua numerao modificada para 27002 em 2007, sem modificao alguma no seu contedo.

A verso de 2013 trouxe uma srie de modificaes, desde uma ligeira uma mudana no nome, passando pela reestruturao de sees, at a incluso e a excluso de controles.

NBR ISO/IEC 27002 Viso Geral


5

Essa norma um Cdigo de Boas Prticas para a Segurana da Informao, sendo a sua aplicao um pouco mais restrita do que a ISO/IEC 27001:2013, pois ela no uma norma voltada para fins de certificao.

Essa norma sugere que a informao, como qualquer outro ativo importante, deve ser protegida.

Esta proteo deve ser feita a partir da implementao de um conjunto de controles adequados, incluindo polticas, processos, procedimentos, estruturas organizacionais e funes de software e hardware.

Estes controles tm por finalidade atender aos requisitosidentificados por meio de uma anlise/avaliao dos riscosda organizao.



6

A norma est organizada da seguinte forma:

objetivo do controle: define o que deve ser alcanado;

controle: define o controle a ser implementado para atender o objetivo do controle;

diretrizes: apresenta informaes mais detalhadas para apoiar a implementao do controle;

informaes adicionais: so informaes que podem ser consideradas na implementao do controle, como por exemplo, aspectos legais e referncias a outras normas.



7

1. (CESPE TJ-ES/2011 Analista Judicirio Anlise de Sistemas 98) A norma ISO/IEC 27002 foi elaborada como base para o processo de

certificao de empresas que oferecem servios de implantao de segurana

da informao, garantindo-se, assim, no mercado competitivo, um padro de

servios de segurana oferecido por especialistas.

2. (CESPE ABIN/2010 Oficial Tcnico de Inteligncia Desenvolvimento e Manuteno de Sistemas 111) A norma ABNT NBR ISO/IEC 27002 apresenta critrios para a organizao geral do sistema de gesto da

segurana da informao. Por ser uma norma genrica, que apenas prope

diretrizes, no pode ser utilizada para fins de certificao, pois no apresenta

controles especficos a serem tomados como base para a proteo de ativos

em uma empresa.

3. (CESPE TCU/2010 Auditor Federal de Controle Externo Apoio Tcnico e Administrativo Tecnologia da Informao 177) A Norma NBR ISO/IEC 27001 estabelece o cdigo de prtica para a gesto da segurana da

informao e a Norma NBR ISO/IEC 27002 trata dos requisitos dos sistemas

de gesto de segurana da informao.

Exerccios


8

Julgue os itens 143 e 144 segundo a norma ABNT NBR ISO/IEC 27002:2005.

4. (CESPE MPU/2010 Analista de Informtica Banco de Dados 143) A referida norma, bem como suas atualizaes correntes, apresenta um cdigo

de boas prticas para a gesto de segurana da informao, portanto,

adequada para usurios responsveis por iniciar, implementar, manter e

melhorar sistemas de gesto de segurana da informao.

5. (CESPE MPU/2010 Analista de Informtica Banco de Dados 144) O padro atual da norma em questo constitui-se em uma reviso da primeira

verso dessa norma publicada pela ISO/IEC, em 2000. poca, essa norma

era cpia da norma britnica British Standard (BS) 7799-1:1999.

6. (CESPE TJ-ES/2011 Analista Judicirio Anlise de Suporte 97) Na rea de segurana da informao, esto excludas do conceito de controle as

polticas, as diretrizes, as prticas ou a prpria estrutura organizacional, que

so consideradas contramedidas ou aes de preveno.

Exerccios


9

0. INTRODUO.

1. ESCOPO.

2. REFERNCIA NORMATIVA

3. TERMOS E DEFINIES.

4. ESTRUTURA DESTA NORMA.

5. POLTICAS DE SEGURANA DA INFORMAO.

6. ORGANIZAO DA SEGURANA DA INFORMAO.

7. SEGURANA EM RECURSOS HUMANOS.

8. GESTO DE ATIVOS.

9. CONTROLE DE ACESSO.

10. CRIPTOGRAFIA.

NBR ISO/IEC 27002 Organizao


10

11. SEGURANA FSICA E DO AMBIENTE.

12. SEGURANA NAS OPERAES.

13. SEGURANA NAS COMUNICAES.

14. AQUISIO, DESENVOLVIMENTO E MANUTENO DE SISTEMAS.

15. RELACIONAMENTO NA CADEIA DE SUPRIMENTO.

16. GESTO DE INCIDENTES DE SEGURANA DA INFORMAO.

17. ASPECTOS DE SEGURANA DA INFORMAO NA GESTO DA CONTINUIDADE DO NEGCIO.

18. CONFORMIDADE.

NBR ISO/IEC 27002 Organizao


11

Exerccios

7. (CESPE BASA/2012 Tcnico Cientfico Tecnologia da Informao Segurana da Informao 71) A conformidade no um dos contedos da referida norma, pois no visa obteno de certificao, j que essa

incumbncia fica a cargo de empresas privadas responsveis pala anlise de

conformidade da prtica de empresas s prticas recomendadas tanto pela

NBR 27002 quanto pela NBR 27001.


12

Esta Norma projetada para as organizaes usarem como:

uma referncia na seleo de controles dentro do processo de implementao de um sistema de gesto da segurana da informao (SGSI), baseado na ABNT NBR ISO/IEC 27001;

um documento de orientao para as organizaes implementarem controles de segurana da informao comumente aceitos.

Ativos so objeto de ameaas, tanto acidentais como deliberadas, enquanto que os processos, sistemas, redes e pessoas tm vulnerabilidades inerentes.

0. Introduo


13

Mudanas nos processos e sistemas do negcio ou outras mudanas externas (como novas leis e regulamentaes), podem criar novos riscos de segurana da informao.

Desta forma, em funo das vrias maneiras nas quais as ameaas podem se aproveitar das vulnerabilidades para causar dano organizao, os riscos de segurana da informao esto sempre presentes.

Uma segurana da informao eficaz reduz estes riscos, protegendo a organizao das ameaas e vulnerabilidades e, assim, reduzindo o impacto aos seus ativos.

0. Introduo


14

A segurana da informao alcanada pela implementao de um conjunto adequado de controles, incluindo polticas, processos, procedimentos, estrutura organizacional e funes de software e hardware.

Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, quando necessrio, para assegurar que os objetivos do negcio e a segurana da informao da organizao sejam atendidos.

Um SGSI, a exemplo do especificado na ABNT NBR ISO/IEC 27001, considera uma viso holstica e coordenada dos riscos de segurana da informao da organizao, para implementar um conjunto de controles de segurana da informao detalhado, com base na estrutura global de um sistema de gesto coerente.

0. Introduo


15

essencial que uma organizao identifique os seus requisitos de segurana da informao.

Fontes de requisitos:

avaliao de riscos;

legislao vigente, estatutos, regulamentao, clusulas contratuais;

conjunto de princpios, objetivos e requisitos de negcio.

0. Introduo Requisitos de Segurana da Informao


16

0. Introduo Seleo de Controle

Controles podem ser selecionados desta Norma ou de outros conjuntos de controles, ou novos controles podem ser projetados para atender s necessidades especficas, conforme apropriado.

A seleo de controles de segurana da informao depende das decises da organizao, baseadas nos critrios para aceitao de risco, nas opes para tratamento do risco e no enfoque geral da gesto de risco aplicado organizao, e convm que a seleo destes controles tambm esteja sujeita a todas as legislaes e regulamentaes nacionais e internacionais relevantes.

Alguns dos controles nesta Norma podem ser considerados princpios bsicos para a gesto da segurana da informao

e podem ser aplicados maioria das organizaes.


17

0. Introduo Desenvolvendo suas Prprias Diretrizes

Esta Norma pode ser considerada um ponto de partida para o desenvolvimento de diretrizes especficas para a organizao.

Nem todos os controles e diretrizes contidos neste cdigo de prtica podem ser aplicados.

Alm disto, controles adicionais e recomendaes no includas nesta Norma, podem ser necessrios.

Quando os documentos so desenvolvidos contendo controles ou recomendaes adicionais, pode ser til realizar uma referncia cruzada com as sees desta Norma, onde aplicvel, para facilitar a verificao da conformidade por auditores e parceiros de negcio.


18

0. Introduo Consideraes sobre o ciclo de vida

A informao tem um ciclo de vida natural, desde a sua criao e origem, armazenamento, processamento, uso e transmisso, at a sua eventual destruio ou obsolescncia.

O valor e os riscos aos ativos podem variar durante o tempo de vida da informao (por exemplo, revelao no autorizada ou roubo de balanos financeiros de uma companhia muito menos importante depois que eles so formalmente publicados), porm a segurana da informao permanece importante em algumas etapas de todos os estgios.


19

8. (CESPE BASA/2012 Tcnico Cientfico Tecnologia da Informao Segurana da Informao 73) Requisitos de segurana da informao podem ser obtidos a partir da anlise/avaliao dos riscos da organizao com

base nos seus objetivos estratgicos; a partir da legislao vigente; e,

finalmente, a partir dos requisitos do negcio para o processamento da

informao que a organizao desenvolve para realizar suas operaes.

Exerccios


20

Esta Norma fornece diretrizes para prticas de gesto de segurana da informao e normas de segurana da informao para as organizaes, incluindo a seleo, a implementao e o gerenciamento de controles, levando em considerao os ambientes de risco da segurana da informao da organizao.

Esta Norma projetada para ser usada por organizaes que pretendam:

selecionar controles dentro do processo de implementao de um SGSI baseado na ABNT NBR ISO/IEC 27001;

implementar controles de segurana da informao comumente aceitos;

desenvolver seus prprios princpios de gesto da segurana da informao.

1. Escopo


21

9. (CESPE BASA/2012 Tcnico Cientfico Tecnologia da Informao Segurana da Informao 75) A norma em apreo estabelece diretrizes e princpios para a segurana da informao, no entanto a implementao de seus

objetivos de controles e dos controles no garante o atendimento aos requisitos

de segurana da informao, pois a implementao de responsabilidade do

SGSI.

Exerccios


22

O documento referenciado a seguir indispensvel aplicao desta norma.

ISO/IEC 27000, Information technology Security techniques Information security management systems Overview and vocabulary

Para referncias datadas, aplicam-se somente as edies citadas. Para referncias no datadas, aplicam-se as edies mais recentes do referido documento (incluindo emendas).

2. Referncia Normativa


23

Para os efeitos deste documento, aplicam-se os termos e definies da ISO/IEC 27000.

Alguns exemplos:

Ameaa causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao.

Vulnerabilidade fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas.

Segurana da Informao preservao da confidencialidade, da integridade e da disponibilidade da informao; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, no repdio e confiabilidade, podem tambm estar envolvidas.

3. Termos e Definies


24

Controle meio de se gerenciar um risco, incluindo polticas, processos, procedimentos, estruturas organizacionais que podem ser administrativas, tcnicas, gerenciais ou de natureza legal.

NOTA: controle tambm utilizado como sinnimo de salvaguarda ou contramedida.

3. Termos e Definies


25

10. (CESPE TRE-RJ/2012 Analista Judicirio Anlise de Sistemas 106) Na rea de segurana da informao, vulnerabilidade representa causa

potencial de um incidente indesejado.

Com relao segurana da informao e norma ABNT NBR ISO/IEC

27002:2005, julgue o item que se segue.

11. (CESPE MPU/2010 Analista de Informtica Suporte Tcnico 149) Vulnerabilidade, em segurana de sistemas computacionais, uma falha no

projeto, implementao ou configurao do sistema operacional, ou de outro

software, que, quando explorada por um atacante, permite a violao da

integridade de um computador.

12. (CESPE TJ-ES/2011 Analista Judicirio Anlise de Sistemas 94) Para que um incidente de segurana se caracterize, necessria a

concretizao de ameaa que, por meio de vulnerabilidade presente em um

dos ativos do ambiente tecnolgico, gere impacto aos objetivos

organizacionais.

Exerccios


26

13. (CESPE TRE-RJ/2012 Analista Judicirio Anlise de Sistemas 105)O conceito de segurana da informao, alm de implicar a integridade e a

disponibilidade da informao, pode incluir, entre outras propriedades desta, a

autenticidade e a confiabilidade.

Exerccios


27

Esta Norma contm 14 sees de controles de segurana da informao de um total de 35 objetivos de controles e 114 controles.

Sees cada seo definindo os controles de segurana da informao contm um ou mais objetivos de controle. A ordem em que se encontram as sees no implica nem significa o seu grau de importncia, bem como a relao dos controles, no est em ordem de prioridade.

Categorias de controles cada seo principal contm:

um objetivo de controle declarando o que se espera que seja alcanado;

um ou mais controles que podem ser aplicados para se alcanar o objetivo do controle.

4. Estrutura desta Norma


28

As descries do controle esto estruturadas da seguinte forma:

Controle define a declarao especfica do controle, para atender ao objetivo de controle.

Diretrizes para implementao apresenta informaes mais detalhadas para apoiar a implementao do controle e alcanar o objetivo do controle.

Informaes adicionais apresenta mais dados que podem ser considerados, como por exemplo, questes legais e referncias normativas. Se no existirem informaes adicionais, esta parte no mostrada no controle.

4. Estrutura desta Norma


29

14. (CESPE TRE-RJ/2012 Analista Judicirio Anlise de Sistemas 113)Categorias principais de segurana da informao contm objetivo de controle

que define o que deve ser alcanado e um ou mais controles que podem ser

aplicados para se atingir os objetivos de controle.

Exerccios


30

5. Polticas de Segurana da Informao


31

Convm que as polticas de segurana da informao contemplem requisitos oriundos de:

estratgia do negcio;

regulamentaes, legislao e contratos;

ambiente de ameaa da segurana da informao, atual e futuro.

Convm que a poltica de segurana da informao contenha declaraes relativas a:

definio de segurana da informao, objetivos e princpios para orientar todas as atividades relativas segurana da informao;



32

atribuio de responsabilidades, gerais e especficas, para o gerenciamento da segurana da informao para os papis definidos;

processos para o tratamento dos desvios e excees.

No nvel mais baixo, convm que a poltica de segurana da informao seja apoiada por polticas especficas do tema, que exigem a implementao de controles de segurana e que sejam estruturadas para considerar as necessidades de certos grupos de interesse dentro da organizao ou para cobrir tpicos especficos.

So exemplos de tais temas de poltica:

controle de acesso (ver Seo 9);

classificao e tratamento da informao (ver 8.2);



33

segurana fsica e do ambiente (ver Seo 11);

tpicos orientados aos usurios finais;

backup (ver 12.3);

transferncia da informao (ver 13.2);

proteo contra malware (ver 12.2);

gerenciamento de vulnerabilidades tcnicas (ver 12.6.1);

controles criptogrficos (ver Seo 10);

segurana nas comunicaes (ver Seo 13);

proteo e privacidade da informao de identificao pessoal (ver 18.1.4);

relacionamento na cadeia de suprimento (ver Seo 15).



34

Convm que estas polticas sejam comunicadas aos funcionrios e partes externas relevantes de forma que sejam entendidas, acessveis e relevantes aos usurios pertinentes, por exemplo, no contexto de um programa de conscientizao, educao e treinamento em segurana da informao (ver 7.2.2).

Anlise crtica das polticas para segurana da informao

Convm que cada poltica de segurana da informao tenha um gestor que tenha aprovado a responsabilidade pelo

desenvolvimento, anlise crtica e avaliao das polticas de

segurana da informao.

5. Poltica de Segurana da Informao


35

Convm que a anlise crtica inclua a avaliao de oportunidades para melhoria da poltica de segurana da

informao da organizao e tenha um enfoque para gerenciar

a segurana da informao em resposta s mudanas ao

ambiente organizacional, s circunstncias do negcio, s

condies legais ou ao ambiente de tecnologia.

Convm que a anlise crtica das polticas de segurana da informao leve em considerao os resultados da anlise

crtica pela direo.

Convm que seja obtida a aprovao da direo para a poltica revisada.

5. Poltica de Segurana da Informao


36

15. (CESPE INPI/2013 Analista de Planejamento, Gesto e Infraestrutura em Propriedade Industrial Infraestrutura em TI 105) Um documento de poltica de segurana da informao pretende orientar a segurana da

informao, conforme os requisitos de negcio e as leis e regulamentaes

relevantes para a instituio. Esse documento deve ser aprovado pela direo

e comunicado amplamente aos seus colaboradores.

16. (CESPE BASA/2012 Tcnico Cientfico Tecnologia da Informao Segurana da Informao 84) As consequncias da violao da poltica de segurana devem ser includas em um plano de tratamento de riscos, mas no

devem fazer parte do documento da poltica em si.

17. (CESPE BASA/2009 Tcnico Cientfico Tecnologia da Informao Segurana da Informao 68) Convm que a poltica de segurana da informao tenha um patrocinador responsvel por sua manuteno e anlise

crtica e que esteja de acordo com um processo de submisso definido.

Exerccios


37

Exerccios

18. (CESPE TRE-ES/2011 Analista Judicirio Anlise de Sistemas 88) O documento relativo poltica de segurana da informao deve ser aprovado

pela direo da empresa, publicado e comunicado a todos os funcionrios e s

partes externas relevantes.

19. (CESPE PREVIC/2011 Analista Administrativo Tecnologia da Informao 114) Uma poltica de segurana eficaz parte da premissa do uso efetivo de um conjunto de ferramentas de segurana, como firewalls, sistemas

de deteco de intrusos, validadores de senha e criptografia forte.

20. (CESPE TRT-21R/2010 Analista Judicirio Tecnologia da Informao 102) Um dos controles da poltica de segurana da informao estabelece que ela deve ser analisada criticamente a intervalos planejados ou quando

mudanas significativas ocorrerem, para assegurar a sua contnua pertinncia,

adequao e eficcia.


38

Professor gleyson Azevedo [email protected]

21. (CESPE INPI/2013 Analista de Planejamento, Gesto e Infraestrutura em Propriedade Industrial Infraestrutura em TI 104) Convm que, em intervalos planejados, tendncias relacionadas a ameaas e a vulnerabilidades

de segurana da informao faam parte do processo de anlise crtica da

poltica de segurana da informao.

22. (CESPE AL-CE/2012 Cargo 10 112) A poltica de segurana da informao de uma empresa deve definir requisitos dos controles de

segurana, bem como condies que levem permisso de compartilhamento

de informaes e acesso s aplicaes.

Exerccios


39

6. Organizao da Segurana da Informao


40



41



42

23. (CESPE BASA/2012 Tcnico Cientfico Tecnologia da Informao Segurana da Informao 70) A referida norma explcita ao afirmar que, em razo de seu carter privativo, as polticas e procedimentos de segurana

de uma organizao no podem ser expostos opinio de outros, o que

impossibilita contatos com grupos de interesses especiais ou ainda a

promoo de fruns especializados de segurana da informao e

associaes profissionais.

24. (CESPE ANTT/2013 Analista Administrativo rea: Tecnologia da Informao Infraestrutura de TI 104) Na aplicao de controle de segurana, funes e reas de responsabilidade devem ser realizadas de

forma conjunta, pelas mesmas pessoas para reduzir as oportunidades de

modificao.

Exerccios


43

7. Segurana em Recursos Humanos


44



45



46

25. (CESPE BASA/2012 Tcnico Cientfico Tecnologia da Informao Segurana da Informao 67) A violao da poltica de segurana da informao deve ser apurada por meio da aplicao de processo disciplinar

formal: o que estabelece o controle de processo disciplinar contido no grupo

de controle de segurana em recursos humanos.

26. (CESPE BASA/2012 Tcnico Cientfico Tecnologia da Informao Segurana da Informao 86) A norma em questo recomenda que sejam includas, na poltica de segurana da informao, declaraes que

esclaream termos e condies de trabalho de recursos humanos, incluindo

at responsabilidades que se estendam para fora das dependncias da

organizao e fora dos horrios normais de trabalho.

27. (CESPE BASA/2012 Tcnico Cientfico Tecnologia da Informao Segurana da Informao 88) A norma referida recomenda que se realizem treinamento, educao e conscientizao de pessoas apenas antes da

contratao, para assegurar que os novos recursos humanos saibam agir com

segurana diante das atividades a serem desenvolvidas por eles.

Exerccios


47

8. Gesto de Ativos


48

8. Gesto de Ativos


49

8. Gesto de Ativos


50

8. Gesto de Ativos


51

28. (CESPE STF/2013 Analista Judicirio Suporte em Tecnologia da Informao 74) O inventrio dos ativos faz parte do processo de gesto de ativos.

29. (CESPE BASA/2009 Tcnico Cientfico Tecnologia da Informao Segurana da Informao 54) Uma organizao deve ser capaz de inventariar seus ativos, identificar seus respectivos valores e importncias e

indicar um proprietrio responsvel por eles. A informao deve ser classificada

em termos de sua utilidade, adequabilidade e nvel de segurana.

30. (CESPE STF/2013 Analista Judicirio Suporte em Tecnologia da Informao 73) As informaes de uma organizao possuem vrios nveis de sensibilidade e criticidade, razo pela qual alguns itens podem necessitar de

um tratamento e proteo diferenciados.

31. (CESPE BASA/2012 Tcnico Cientfico Tecnologia da Informao Segurana da Informao 82) Uma informao deve ser classificada de acordo com os seus requisitos de confidencialidade, integridade e

disponibilidade, no havendo, nessa norma, indicao de parmetros para

outros tipos de requisitos a serem considerados.

Exerccios


52

Exerccios

32. (CESPE BASA/2009 Tcnico Cientfico Tecnologia da Informao Segurana da Informao 55) conveniente que, na classificao dasinformaes e seu respectivo controle de proteo, considerem-se as

necessidades de compartilhamento ou restrio de informaes. Ao se tornar

pblica, uma informao frequentemente deixa de ser sensvel ou crtica.

33. (CESPE ABIN/2010 Oficial Tcnico de Inteligncia Suporte a Rede deDados 120) Os proprietrios dos ativos organizacionais devem seridentificados, e a responsabilidade pela manuteno apropriada dos controles

deve ser a eles atribuda. Os proprietrios permanecem responsveis pela

proteo adequada dos ativos, mesmo que a implantao especfica de

controles seja delegada.

34. (CESPE TRT-21R/2010 Analista Judicirio Tecnologia da Informao 105) O objetivo de controle Uso Aceitvel dos Ativos estabelece que devemser identificadas, documentadas e implementadas regras para que seja

permitido o uso de informaes e de ativos associados aos recursos de

processamento da informao.


53

Exerccios

35. (CESPE MPU/2010 Analista de Informtica Perito 146) Uma das recomendaes adequadas para a gesto de ativos que o requisito de

rotulao e tratamento seguro da classificao da informao fundamental

para que sejam definidos os procedimentos de compartilhamento da

informao, seja ela interna ou externa organizao.

36. (CESPE TJ-ES/2011 Analista Judicirio Anlise de Sistemas 97) As polticas de classificao da informao, fundamentais para permitir que os

ativos e as informaes neles contidas sejam gerenciados com base em

classificaes de sigilo, podem variar de acordo com a nomenclatura adotada

pela organizao, conforme a sua classificao como pblico (ostensivo) ou

confidencial (sigiloso, secreto).

37. (CESPE BASA/2012 Tcnico Cientfico Tecnologia da Informao Segurana da Informao 81) Em gesto da segurana da informao, s devem ser classificadas as informaes que possuam algum valor para a

organizao, ou seja, aquelas cuja divulgao traga algum malefcio financeiro

ou de imagem a qualquer indivduo que nela trabalhe.


54

38. (CESPE ANTT/2013 Analista Administrativo rea: Tecnologia da Informao Infraestrutura de TI 102) Na gesto dos ativos, cujo objetivo principal manter a proteo adequada dos ativos da organizao,

importante que os principais ativos de informao sejam inventariados e

atribudos a um proprietrio responsvel que, por questo de segurana, no

pode delegar a implementao dos controles.

39. (CESPE CORREIOS/2011 Analista de Sistemas Suporte de Sistemas 87) Entre os objetivos de controle de manuseio de mdias inclui-se o controle de descarte de mdias, sendo previstas, nessas normas, diretrizes de

implementao para o descarte de forma segura e protegida.

Exerccios


55

9. Controle de Acesso


56



57



58



59



60

40. (CESPE MPU/2010 Analista de Informtica Perito 141) A adoo de senhas de qualidade por parte dos usurios so recomendaes para

implantar uma poltica de uso de chaves e senhas. Alguns aspectos, citados

na norma, caractersticos de senhas de qualidade so senhas fceis de serem

lembradas, que no sejam vulnerveis a ataques de dicionrio e que sejam

isentas de caracteres idnticos consecutivos.

41. (CESPE TRT-21R/2010 Analista Judicirio Tecnologia da Informao 104) O objetivo de controle Anlise Crtica dos Direitos de Acesso de Usurio estabelece que deve existir um procedimento formal de registro e

cancelamento de usurio para garantir e revogar acessos em todos os

sistemas de informao e servios.

42. (CESPE PREVIC/2011 Analista Administrativo Tecnologia da Informao 109) Como forma de estabelecer um controle mais adequado da segurana da informao, segundo a norma NBR/ISO/IEC 27002/2005,

convm considerar os controles de acesso lgico e fsico de forma conjunta.

As regras e os direitos para cada usurio ou grupo de usurios devem estar

claramente expressos na poltica de controle de acesso.

Exerccios


61

Exerccios43. (CESPE PREVIC/2011 Analista Administrativo Tecnologia da

Informao 112) Muitos servios disponveis na Internet enviam senhas temporrias aos seus usurios. De acordo com a norma NBR/ISO/IEC

27002/2005, essa prtica conveniente, desde que realizada de forma segura,

procurando-se evitar o uso de correio eletrnico de terceiros ou sem

criptografia.

44. (CESPE BASA/2012 Tcnico Cientfico Tecnologia da Informao Segurana da Informao 69) Entre os controles referentes ao gerenciamento de acesso do usurio, tendo-se em vista assegurar o acesso

autorizado e prevenir o no autorizado, o anexo em questo estabelece que a

anlise crtica de direitos de acesso dos usurios deve ser feita por meio de

um processo formal e conduzida em intervalos regulares.

45. (CESPE ANTT/2013 Analista Administrativo rea: Tecnologia da Informao Infraestrutura de TI 103) De acordo com a norma em questo, as senhas devem ser modificadas no primeiro acesso ao sistema e

devem ser includas em processos automticos de acesso ao sistema, como

os que utilizam macro e tokens.


62

10. Criptografia


63

11. Segurana Fsica e do Ambiente


64



65



66



67



68

Exerccios46. (CESPE TRT-21R/2010 Analista Judicirio Tecnologia da Informao

103) O objetivo de controle Controles de Entrada Fsica estabelece que

permetros de segurana (barreiras, como paredes, portes de entrada

controlados por carto ou balces de recepo com recepcionistas) devem ser

utilizados para proteger as reas que contenham informaes e recursos de

processamento da informao.

47. (CESPE TRE-ES/2011 Analista Judicirio Anlise de Sistemas 89) As instalaes de processamento da informao gerenciadas pela organizao

podem permanecer fisicamente juntas das que so gerenciadas por terceiros,

desde que o acesso ao local seja devidamente controlado.

48. (CESPE CNJ/2013 Analista Judicirio Apoio Especializado Anlise de Sistemas 102) A segurana fsica e do ambiente descrita na norma ABNT NBR ISO/IEC 27001, que estabelece orientao para segurana dos

cabeamentos de energia e de telecomunicaes, destacando o modo como

esses cabeamentos devem ser protegidos contra interceptao ou danos.


69

Exerccios49. (CESPE ANTT/2013 Analista Administrativo rea: Tecnologia da

Informao Infraestrutura de TI 101) Na implementao de segurana fsica e segurana do ambiente em uma organizao, devem ser definidas

reas seguras para prevenir acessos fsicos no autorizados, danos e

interferncias com as instalaes e com as informaes da organizao. Deve

ainda ser implantada uma rea de recepo, de modo que o acesso a locais

definidos como rea seguras fiquem restritos somente ao pessoal da

organizao.


70

12. Segurana nas Operaes


71



72



73



74



75

50. (CESPE MPU/2010 Analista de Informtica Perito 148) Com o objetivo de otimizar o uso de um ambiente de desenvolvimento de software

quanto aos procedimentos e responsabilidades operacionais relativos ao

gerenciamento das operaes e das comunicaes, uma organizao deve

garantir que software em desenvolvimento e software em produo partilhem

de sistemas e processadores em um mesmo domnio ou diretrio, de modo a

garantir que os testes sejam compatveis com os resultados esperados no

mundo real.

51. (CESPE CORREIOS/2011 Analista de Sistemas Suporte de Sistemas 86) Nas referidas normas, prevista a implementao de controles contra cdigos maliciosos, mas ainda no h previso acerca de controle contra

cdigos mveis.

52. (CESPE PREVIC/2011 Analista Administrativo Tecnologia da Informao 113) Registros ou logs de auditoria podem conter dados pessoais confidenciais e de intrusos; por isso, importante que medidas de

proteo adequadas sejam tomadas, como, por exemplo, no permitir, quando

possvel, que administradores de sistemas no tenham permisso de excluso

ou desativao de registros de suas prprias atividades.

Exerccios


76

13. Segurana nas Comunicaes


77



78



79

53. (CESPE MPU/2010 Analista de Informtica Perito 150) O filtro de trfego realizado por gateways no controle de conexes de uma rede deve ser

feito por meio de restries predefinidas em tabelas ou regras para aplicaes,

como, por exemplo, uso de correio eletrnico, acesso interativo e transferncia

de arquivos.

54. (CESPE MPU/2010 Analista de Informtica Perito 149) Os controles referentes segurana de redes, que estabelecem que as redes devam ser

gerenciadas e controladas e que os nveis e requisitos de gerenciamento

sejam implementados, esto presentes no captulo da norma que se refere ao

controle de acessos.

55. (CESPE TRE-RJ/2012 Analista Judicirio Anlise de Sistemas 104) O termo de confidencialidade, de acordo com norma NBR ISO/IEC, representa

a propriedade de salvaguarda da exatido e completude de ativos.

Exerccios


80

14. Aquisio, Desenvolvimento e Manuteno de Sistemas


81



82



83



84



85

Exerccios56. (CESPE TJ-ES/2011 Analista Judicirio Anlise de Sistemas 96)

Para o controle lgico do ambiente computacional, deve-se considerar que

medidas de segurana devem ser atribudas aos sistemas corporativos e aos

bancos de dados, formas de proteo ao cdigo-fonte, preservao de

arquivos de log de acesso ao sistema, incluindo-se o sistema de autenticao

de usurios.


86

15. Relacionamento na Cadeia de Suprimento


87

15. Relacionamento na Cadeia de Suprimento


88

15. Gesto de Incidentes de Segurana da Informao


89



90



91

57. (CESPE ABIN/2010 Oficial Tcnico de Inteligncia Suporte a Rede de Dados 121) Funcionrios, fornecedores e terceiros devem ser instrudos a averiguar, imediatamente, qualquer fragilidade na segurana de informao

suspeita.

58. (CESPE STF/2013 Analista Judicirio Suporte em Tecnologia da Informao 78) Caso ocorra um evento de segurana de informao, recomenda-se que o agente observador tome uma ao pessoal para mitigar o

risco e, em seguida, comunique o fato ao ponto de contato.

59. (CESPE STF/2013 Analista Judicirio Suporte em Tecnologia da Informao 79) Aps um incidente de segurana de informao ser tratado, um trabalho forense dever ser realizado sobre os originais do material de

evidncia.

60. (CESPE STF/2013 Analista Judicirio Suporte em Tecnologia da Informao 80) A tomada de aes corretivas em tempo hbil depende da notificao de fragilidades e ocorrncias de eventos de segurana da

informao.

Exerccios


92

17. Aspectos da Seg. Inf. na Gesto da Continuidade do Negcio


93

17. Aspectos da Seg. Inf. na Gesto da Continuidade do Negcio


94

18. Conformidade


95

18. Conformidade


96

18. Conformidade


97

18. Conformidade


98

61. (CESPE BASA/2009 Tcnico Cientfico Tecnologia da Informao Segurana da Informao 70) Na reviso peridica da conformidade dos sistemas com as polticas e normas organizacionais de segurana, devem-se

incluir sistemas de informao, provedores de sistemas, proprietrios da

informao, ativos de informao, usurios e administrao.

62. (CESPE BASA/2009 Tcnico Cientfico Tecnologia da Informao Segurana da Informao 71) Controles de ambiente e software devem ser corretamente implementados para que a validao da conformidade tcnica e

cientfica assegure que os sistemas de informao sejam verificados em

conformidade com as normas de segurana implementadas.

63. (CESPE MPU/2010 Analista de Informtica Banco de Dados 147) A seo da norma em questo que trata de compliance prev aspectos para

assegurar a conformidade com polticas de segurana da informao, normas,

leis e regulamentos.

Exerccios


99

Gabarito

1. E 16. E 31. E 46. E 61. C

2. E 17. E 32. C 47. E 62. E

3. E 18. E 33. C 48. E 63. C

4. C 19. E 34. E 49. E

5. C 20. C 35. C 50. E

6. E 21. C 36. C 51. E

7. E 22. C 37. E 52. E

8. C 23. E 38. E 53. E

9. E 24. E 39. C 54. E

10. E 25. C 40. C 55. E

11. E 26. C 41. E 56. C

12. C 27. E 42. C 57. E

13. C 28. C 43. C 58. E

14. C 29. E 44. C 59. E

15. C 30. C 45. C 60. C

curso normas tcu 2015 27002

Documents