questões comentadas – iso...

0

2012

Lhugojr

Versão 1.0

09/12/2012

Questões Comentadas – ISO 270022

2012

Lhugojr

Versão 1.0

09/12/2012

Questões Comentadas – ISO 27002

IntroduçaoVale ressaltar que alguns comentarios sobre as questoes foram retiradas das seguintes fontes: TECNOLOGIA DA INFORMAÇÃO - QUESTÕES COMENTADAS CESPE/UNB - http://www.dominandoti.com.br/livros

TI – SEGURANÇA DA INFORMAÇÃO PARA CONCURSOS – NÍVEL AVANÇADO - http://socratesfilho.com/cursos-teorico/seguranca-da-informacao-para-concursos/

Provas de TI – www.provasdeti.com.br

Também foram usadas outras fontes, como livros, comentários do site Questões de Concursos, etc.

Os comentários são sempre feitos colocando as fontes encontradas, algumas questões são mais difíceis de encontrar as fontes, podendo assim ser retiradas da internet, de sites como wikipedia e outros.

Espero que ajude.

Abraços.

Notas da Versao Essa é a versão 1.0, sendo a maioria das questões da banca CESPE, com o tempo espero acrescentar muito mais questões.

Caso encontre algum erro nesta versão pode mandar um e-mail para [email protected], colocando o número da questão e o erro encontrado.

Você também pode ajudar a melhorar os comentários, alguns comentários podem estar com o nível fraco, isso ocorre quando não são encontradas fontes que tratam sobre o tema da questão. Caso você encontre alguma fonte ou queira melhorar o comentário mande um e-mail.

http://socratesfilho.com/cursos-teorico/seguranca-da-informacao-para-concursos/

http://socratesfilho.com/cursos-teorico/seguranca-da-informacao-para-concursos/

mailto:[email protected]

1 ISO 17799 / ISO 27002

1.1 CESPE/UNB

(CESPE - TCU 2007 – Analista de Controle Externo – Auditoria em TI)

1) A NBR 17799 prescreve o uso de gerenciamento quantitativo de riscos.

A NBR 17799 prescreve o uso de gerenciamento de riscos, mas não prescreve ele da forma quantitativa, como existe no PMBOK. Portanto o tem está errado.

2) A NBR 17799 prescreve vários atributos de classificação da informação, entre os quais se encontram os que indicam graus de sensibilidade e criticidade. O grau de sensibilidade de um ativo de informação está mais associado a aspectos de privacidade que o grau de criticidade, este mais relacionado a aspectos negociais.

O item 7.2 Classificação da informação (7 Gestão de ativos) fala:

Objetivo: Assegurar que a informação receba um nível adequado de proteção.

Convém que a informação seja classificada para indicar a necessidade, prioridades e o nível esperado de proteção quando do tratamento da informação.

A informação possui vários níveis de sensibilidade e criticidade. Alguns itens podem necessitar um nível adicional de proteção ou tratamento especial. Convém que um sistema de classificação da informação seja usado para definir um conjunto apropriado de níveis de proteção e determinar a necessidade de medidas especiais de tratamento.

A questão está correta. Portanto temos:

3) A NBR 17799 prescreve explicitamente que as instalações de processamento da informação gerenciadas por uma organização devem estar fisicamente separadas daquelas que são gerenciadas por terceiros. Esse controle está descrito no capítulo 9 da referida NBR, juntamente com outros relacionados a ameaças externas como explosões e perturbações sociais, e controle de acesso com múltiplos fatores de autenticação, como senhas, smart cards e biometria.

A NBR não faz prescrições, que são impositivas, mas recomendações, que a organização segue se quiser. Ou seja a norma NÃO OBRIGA, somente recomenda.

De novo a ISO 27002 NÃO OBRIGA, NÃO faz imposições.

(CESPE - TCU 2007 – Analista de Controle Externo – Tecnologia da Informação)

4) A seleção de controles de segurança da informação a implantar deverá ser fundamentada principalmente na identificação das ameaças aos ativos organizacionais. Para cada ameaça mapeada, deverão ser identificados os controles de segurança aplicáveis.

Segundo a norma no item 0.6 Ponto de partida para a segurança da informação:

Convém observar que, embora todos os controles nesta Norma sejam importantes e devam ser considerados, a relevância de qualquer controle deve ser determinada segundo os riscos específicos a que uma organização está exposta. Por isto, embora o enfoque acima seja considerado um bom ponto de partida, ele não substitui a seleção de controles, baseado na análise/avaliação de riscos.

Portanto o item está errado a seleção de controles de segurança da informação deverá ser fundamentada principalmente na avaliação dos riscos envolvendo ameaças aos ativos organizacionais.

A norma ainda fala no item 4.2 Tratando os riscos de segurança da informação:

Para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento do risco precisa ser tomada. Possíveis opções para o tratamento do risco, incluem:

a) aplicar controles apropriados para reduzir os riscos; ...

5) A organização deverá estabelecer um programa avançado de treinamento técnico em segurança da informação para todos os seus empregados relacionados com a prestação de atividades-fim relacionadas ao seu negócio.

No item 8.2.2 Conscientização, educação e treinamento em segurança (8 Segurança em recursos humanos):

Convém que todos os funcionários da organização e, onde pertinente, fornecedores e terceiros recebam treinamento apropriados em conscientização, e atualizações regulares nas políticas e procedimentos organizacionais, relevantes para as suas funções.

A norma nada fala em treinamento avançado para todos os seus empregados. Portanto o item está errado.

6) Todo evento de segurança da informação identificado no âmbito da organização corresponderá a uma ou mais violações da política de segurança da informação da organização.

Segundo a norma:

Evento de Segurança da informação - ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.

Sendo assim nem TODO evento de SI identificado corresponde a uma ou mais violações. Item errado.

Também vale lembrar o conceito de Incidente de segurança da informação: “um incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação”.

7) Os riscos de segurança da informação identificados no âmbito da organização deverão ser analisados quanto às possíveis opções de tratamento: mitigação ou redução; aceitação; eliminação ou contorno; e transferência. Entre as quatro alternativas de tratamento, a que apresenta maior demanda por implantação de controles é a mitigação ou redução. Os riscos aceitos são os de menor nível ou que atendam a critérios de avaliação previamente definido.

No item 4.2 Tratando os riscos de segurança da informação (4 Análise/avaliação e tratamento de riscos):

Para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento do risco precisa ser tomada. Possíveis opções para o tratamento do risco, incluem: a) aplicar controles apropriados para reduzir os riscos; b) conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação de risco; c) evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos; d) transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.

O item está correto.

8) A ISO 17799 define diretrizes para certificação de que uma organização está em conformidade à própria norma. Essa certificação é conferida por meio de uma auditoria de terceira parte, nos moldes da ISO 19011.

A ISO 27002, antiga 17799, não é para certificação, somente a ISO 27001 é para certificação das empresas.

9) Conforme a ISO 17799, é obrigatório o relatório de incidentes de segurança ao ponto de contato designado. Assim, um funcionário de uma organização que realiza operações de alto risco e identifica uma violação de acesso, porém encontra-se sob coação, poderá utilizar-se de um método secreto para indicar esse evento de segurança. Esse método é conhecido como alarme de coação.

Mais uma vez, a ISO 27002 não define nada como obrigatório. Ela não é impositiva. Ela somente faz SUGESTÕES. De novo a ISO 27002 não obriga.

10) Tendo em vista o ambiente de TI implantado em uma entidade, faz-se necessário que essa entidade disponha de critérios de aceitação para novos sistemas.

No item 10.3.2 Aceitação de Sistemas (10 Gerenciamento das operações):

Convém que sejam estabelecidos critérios de aceitação para novos sistemas, atualizações e novas versões, e que sejam efetuados testes apropriados do(s) sistema(s) durante seu desenvolvimento e antes da sua aceitação.

O item portanto está correto.

11) Os recursos e os ambientes de desenvolvimento, teste e produção devem interagir permanentemente para a obtenção da compatibilidade e da harmonia pretendida.

No item 12.5.1 Procedimentos para controle de mudanças (12 Aquisição desenvolvimento e manutenção):

A mudança de software pode ter impacto no ambiente operacional. As boas práticas incluem o teste de novos softwares em um ambiente segregado dos ambientes de produção e de desenvolvimento (ver 10.1.4). Isto fornece um meio de controle sobre o novo software e permite uma proteção adicional à informação operacional que é utilizada para propósitos de teste. Aplica-se também às correções, pacotes de serviço e outras atualizações. Convém que atualizações automáticas não sejam utilizadas em sistemas críticos, pois algumas atualizações podem causar falhas em aplicações critica

Portanto o item está correto.

(CESPE – SERPRO – 2008 – Analista de Sistemas - Desenvolvimento)

12) A norma ISO/IEC 17799 está voltada à criação de um Sistema de Gestão da Segurança da Informação mas seu conteúdo não é mais válido, pois foi substituída recentemente pela nova norma 27002.

A ISO 27002 define no item 1 Objetivo:

Esta Norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta Norma provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação.

Já a ISO 27001 define no item 1 Objetivo:

Esta Norma cobre todos os tipos de organizações (por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos). Esta Norma especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. Ela especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes.

Portanto o item está incorreto. Porque a 27001 que é voltada para o SGSI. A segundo parte também está errada., a 17799 ainda é valida, só houve uma troca de numeração.

(CESPE – ANTAQ 2009 – Analista Administrativo – Informática - ADAPTADA)

13) São exemplos de controles administrativos: as políticas de segurança, os procedimentos de classificação da informação e a identificação e autenticação de sistemas.

As políticas de segurança não são um controle administrativo. Ela define como as regras para a implementação dos tipos de controle sobre os dados e os ativos da companhia, inclusive os controles administrativos. Portanto item errado.

Segundo a 27002, política é a intenções e diretrizes globais formalmente expressas pela direção.

14) A análise de vulnerabilidades, quando realizada no arcabouço de uma atividade de análise de riscos, é precedida, usualmente, da análise de ameaças, mas antecede a análise de controles, podendo cada controle inexistente ser traduzido em uma vulnerabilidade existente.

Essa questão é um pouco polemica, porém se cair de novo em prova deve ser assinalado correto. Portanto temos:

[1 Análise de ameaças] -> [2 Análise de vulnerabilidades] -> [3 Análise de controles]

CONTROLE INEXISTENTE --> VULNERABILIDADE EXISTENTE

15) Se determinada parte de um ativo de informação é classificada como confidencial, é possível que o grau de sigilo atribuído a esse ativo seja secreto ou ultrassecreto, não devendo o ativo ser classificado como reservado.

Essa questão não trata especificamente da 27002, e sim do decreto 4.553/2002. Apelando para o comentário do professor Gleyson Azevedo:

O governo federal brasileiro adota uma classificação de informações regulada pelo Decreto nº 4.553, de 27 de dezembro de 2002. Nessa norma, a informação é assim classificada de acordo com o grau de sigilo (da mais para a menos sigilosa):

• ultrassecreta – dados ou informações referentes à soberania e à integridade territorial nacionais, a planos e operações militares, às relações internacionais do País, a projetos de pesquisa e desenvolvimento científico e tecnológico de interesse da defesa nacional e a programas econômicos, cujo conhecimento não-autorizado possa acarretar dano excepcionalmente grave à segurança da sociedade e do Estado;

• secreta – dados ou informações referentes a sistemas, instalações, programas, projetos, planos ou operações de interesse da defesa nacional, a assuntos diplomáticos e de inteligência e a planos ou detalhes, programas ou instalações estratégicos, cujo conhecimento não- autorizado possa acarretar dano grave à segurança da sociedade e do Estado.

• confidencial – dados ou informações que, no interesse do Poder Executivo e das partes, devam ser de conhecimento restrito e cuja revelação não-autorizada possa frustrar seus objetivos ou acarretar dano à segurança da sociedade e do Estado.

• reservada – dados ou informações cuja revelação não-autorizada possa comprometer planos, operações ou objetivos neles previstos ou referidos.

Vamos ao que interessa então. É regra geral que se um sistema contém dados que deveriam ser classificados em níveis diferentes, ele deve ser classificado com o nível referente ao dado mais confidencial. Doravente, chamarei isso de princípio do maior sigilo. Separando a questão em duas partes, temos: 1. “Se determinada parte de um ativo de informação é classificada como confidencial, é possível que o grau de sigilo atribuído a esse ativo seja secreto ou ultrassecreto”. Se uma determinada mídia, como um cd, possui diversos arquivos confidenciais, mas somente um secreto ou ultrassecreto, a classificação da mídia será sempre a de maior grau de sigilo, ou seja, secreta ou ultrassecreta. Logo, essa afirmação está CERTA. 2. “(...) não devendo o ativo ser classificado como reservado”. Se uma mídia possuísse um arquivo confidencial e vários arquivos reservados, a sua classificação, pelo princípio de maior sigilo, deveria ser “confidencial” e nunca reservada, o que atentaria contra o referido princípio. Portanto, a afirmação está CERTA também. Logo, o item está CERTO.

Devemos então levar em consideração o princípio do maior sigilo.

(CESPE – TCU 2009 – Auditor Federal de Controle Externo – Tecnologia da Informação)

A lista abaixo apresenta os títulos das seções da norma ABNT NBR ISO/IEC 27002 (17799), que contém um guia das melhores práticas em gestão da segurança da informação. Tais seções possuem correspondente registro no anexo A da norma ABNT NBR ISO/IEC 27001, definindo grupos de objetivos de controles e controles de segurança que podem ser implementados.

5 Política de Segurança

6 Organizando a Segurança da Informação 7 Gestão de Ativos 8 Segurança em Recursos Humanos 9 Segurança Física e do Ambiente 10 Gerenciamento das Operações e Comunicações 11 Controle de Acessos 12 Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação 13 Gestão de Incidentes de Segurança da Informação 14 Gestão da Continuidade do Negócio 15 Conformidade

Nos itens de 177 a 180, julgue as propostas de associação entre conceitos ou práticas de segurança e as seções da norma ABNT NBR ISO/IEC 27002.

16) O emprego de um ambiente computacional dedicado isolado, bem como a blindagem eletromagnética e o levantamento dos ativos envolvidos em processos críticos são abordagens diretamente associadas ao Controle de Acessos, à Segurança Física e do Ambiente e à Gestão da Continuidade do Negócio, respectivamente.

Na 27002 temos:

11 Controle de acesso (...) 11.6.2 Isolamento de sistemas sensíveis Controle Convém que sistemas sensíveis tenham um ambiente computacional dedicado (isolado). 9 Segurança física e do ambiente (...) 9.2.3 Segurança do cabeamento (...) Diretrizes para implementacão Convém que sejam levadas em consideração as seguintes diretrizes para a segurança do cabeamento: (...) 4) utilização de blindagem eletromagnética para a proteção dos cabos; (...) 14 Gestão da continuidade do negócio (...) 14.1.1 Incluindo segurança da informação no processo de gestão da continuidade de negócio (...) b) identificação de todos os ativos envolvidos em processos críticos de negócio (ver 7.1.1 );


17) A configuração de proteções de tela bloqueadas por senha e o uso de firewalls e sistemas de detecção de intrusos são ações apenas indiretamente ligadas à gestão de Incidentes de Segurança da Informação e à Conformidade, respectivamente.

Não foi achado nenhuma biografia sobre esta questão, mas se cair de novo deve ser considerado certo. Já que o gabarito final foi este.

18) A proteção de registros organizacionais, entre eles o registro de visitantes, constitui uma prática diretamente associada à Segurança Física e do Ambiente, embora, no caso específico do registro de visitantes, esteja prescrita visando o alcance da Segurança em Recursos Humanos.

No item 9.1.2 Controle de entrada física (9 Segurança física):

(...) Diretrizes para imolementacão Convém que sejam levadas em consideração as seguintes diretrizes:

a) a data e hora da entrada e salda de visitantes sejam registradas, e todos os visitantes sejam supervisionados, a não ser que o seu acesso tenha sido previamente aprovado; convém que as permissões de acesso sejam concedidas somente para finalidades específicas e autorizadas, e sejam emitidas com instruções sobre os requisitos de segurança da área e os procedimentos de emergência;

(...)

Portanto a questão está correta.

(CESPE – TRE/PR – 2009 – Analista Judiciário – Especialidade: Análise de Sistemas)

19) Os gastos com os controles não necessitam ser balanceados de acordo com o negócio.

Temos no item 0.4 Analisando/avaliando os riscos de segurança da informação:

Os requisitos de segurança da informação são identificados por meio de uma análise/avaliação sistemática dos riscos de segurança da informação. Os gastos com os controles precisam ser balanceados de acordo com os danos causados aos negócios gerados pelas potenciais falhas na segurança da informação.

Portando o item está correto.

(CESPE – Banco da Amazônia - 2010 – Técnico Científico – Especialidade: Tecnologia da Informação – Redes e Telecomunicações)

20) A política de segurança cumpre três principais funções: define o que e mostra por que se deve proteger; atribui responsabilidades pela proteção; e serve de base para interpretar situações e resolver conflitos que venham a surgir no futuro.

Não foi encontrada nenhuma bibliografia sobre o assunto. O gabarito é correto. Portanto vale lembrar desta questão.

Funções da PSI:

• Define o que e mostra por que se deve proteger; • atribui responsabilidades pela proteção; • serve de base para interpretar situações e resolver conflitos que venham a surgir no futuro.

(CESPE – Banco da Amazônia - 2010 – Técnico Científico – Especialidade: Tecnologia da Informação – Segurança da Informação)

21) Um incidente de segurança da informação refere-se a um ou mais riscos não desejados ou esperados que possuem significativa probabilidade de comprometer os ativos de informação e ameaçam a segurança da informação.

Segundo a norma no item 2 Termos e definições temos:

Incidente de segurança da informação - um incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. Ameaça - causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.

Portanto o item está errado. O termo referido na questão está se referindo a ameaça.

22) São exemplos de ativos de uma organização a informação e os processos de apoio, sistemas e redes. Os requisitos de segurança, em uma organização, são identificados por meio de análise sistemática dos riscos de segurança.

No item 0.4 Analisando/avaliando os riscos de segurança da informação, temos:


Agora no item 0.2 Por que a segurança da informação é necessária? Temos:

A informação e os processos de apoio, sistemas e redes são importantes ativos para os negócios. Definir, alcançar, manter e melhorar a segurança da informação podem ser atividades essenciais para assegurar a competitividade, o fluxo de caixa, a lucratividade, o atendimento aos requisitos legais e a imagem da organização junto ao mercado.


23) Entre os ativos associados a sistemas de informação em uma organização, incluem-se as bases de dados e arquivos, os aplicativos e os equipamentos de comunicação (roteadores, secretárias eletrônicas etc.).

Segundo o professor Sócrates Filho:

Os ativos de uma organização devem estar ligados aos negócios dela. Se os aplicativos e equipamentos não tiverem ligação com os negócios, eles não podem ser classificados como ativos associados aos sistemas de informação, como no caso das secretárias eletrônicas. Portanto a questão está errada.

Agora falando da norma ela no item 7.1.1 Inventário dos ativos (7 Gestão dos ativos), cita:

Existem vários tipos de ativos, incluindo: a) ativos de informação: base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas; b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários; c) ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos; d) serviços: serviços de computação e comunicações, utilidades gerais, por exemplo aquecimento, iluminação, eletricidade e refrigeração;

e) pessoas e suas qualificações, habilidades e experiências; f) intangíveis, tais como a reputação e a imagem da organização.

24) Uma organização deve ser capaz de inventariar seus ativos, identificar seus respectivos valores e importâncias e indicar um proprietário responsável por eles. A informação deve ser classificada em termos de sua utilidade, adequabilidade e nível de segurança.

A norma 27002 fala no item 7.2.1 Recomendações para classificação (7 Gestão de ativos):

Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização.

Portanto a questão está incorreto.

25) É conveniente que, na classificação das informações e seu respectivo controle de proteção, considerem-se as necessidades de compartilhamento ou restrição de informações. Ao se tornar pública, uma informação frequentemente deixa de ser sensível ou crítica.

Ainda no item 7.2.1 Recomendações para classificação (7 Gestão de ativos):

A informação freqüentemente deixa de ser sensível ou crítica após um certo período de tempo, por exemplo quando a informação se torna pública. Convém que estes aspectos sejam levados em consideração, pois uma classificação superestimada pode levar à implementação de custos desnecessários, resultando em despesas adicionais.

Portanto a questão está certa.

26) Recomenda-se que as responsabilidades de segurança sejam atribuídas nas fases de seleção de pessoal, incluídas em acordos informais de trabalho e monitoradas durante a vigência de cada contrato de trabalho.

Esta questão está baseada no item 8 Segurança em recursos humanos.

Convém que as responsabilidades pela segurança da informação sejam atribuídas antes da contratação, de forma adequada, nas descrições de cargos e nos termos e condições de contratação. Convém que todos os funcionários, fornecedores e terceiros, usuários dos recursos de processamento da informação, assinem acordos sobre seus papéis e responsabilidades pela segurança da informação.

Portanto a questão está errado, já que a norma não fala nada em acordos INFORMAIS.

27) O documento da política de controle de acesso contém as políticas para autorização e distribuição de controle de acesso. É recomendável a existência de um procedimento formal de registro e cancelamento de usuário para obtenção de acesso a todos os sistemas de informação e serviços, com exceção dos sistemas multiusuários.


A política de controle de acesso não tem políticas de distribuição do controle de acesso, apenas as políticas para autorização.

Ainda na norma temos:

Convém que a política leve em consideração os seguintes itens: (...) c) política para disseminação e autorização da informação, por exemplo, o princípio need to know e níveis de segurança e a classificação das informações

(...)

Portanto a questão está errada.

28) Privilégio é qualquer característica ou facilidade de um sistema de informação multiusuário que permita ao usuário sobrepor controles do sistema ou aplicação. A concessão e uso de privilégios deve ser restrito e controlado, e sua utilização inadequada é considerada fator de vulnerabilidade de sistemas.

A norma no item 11.2.2 Gerenciamento de privilégios (11 Controle de acesso):

Convém que a concessão e o uso de privilégios sejam restritos e controlados.

O item está correto. Ainda devemos aprender a noção de privilégio.

Privilégio é qualquer característica ou facilidade de um sistema de informação multiusuário que permita ao usuário sobrepor controles do sistema ou aplicação.

29) As senhas fornecem um meio de validação da autoridade do usuário e o estabelecimento dos direitos de acesso para os recursos ou serviços de leitura da informação.

A norma fala que:

Senhas são um meio comum de verificar a identidade de um usuário antes que acessos sejam concedidos a um sistema de informação ou serviço de acordo com a autorização do usuário. Outras tecnologias para identificação de usuário e autenticação, como biométrica, por exemplo, verificação de digitais, verificação de assinatura, e uso de tokens, por exemplo, e cartões inteligentes, estão disponíveis, e convém que sejam consideradas, se apropriado.

O professor Sócrates Filho, ainda cita:

As senhas fazem apenas a validação ao acesso aos recursos ou serviços de informação, mas o estabelecimento dos direitos de acesso é feito pelas políticas de autenticação do acesso, por meio de perfis. Portanto o item está errado.

30) O controle de acesso à rede busca assegurar o uso de interfaces apropriadas entre a rede da organização e as redes de outras organizações ou redes públicas e controlar o acesso dos usuários aos serviços de informação. Também busca utilizar mecanismos de autenticação apropriados para usuários e equipamentos.

Quase o que está escrito no item 11.4 Controle de acesso à rede (11 Controle de Acesso):

Objetivo: Prevenir acesso não autorizado aos serviços de rede. Convém que o acesso aos serviços de rede internos e externos seja controlado. Convém que os usuários com acesso às redes e aos serviços de rede não comprometam a segurança desses serviços, assegurando: a) uso de interfaces apropriadas entre a rede da organização e as redes de outras organizações e redes públicas; b) uso de mecanismos de autenticação apropriados para os usuários e equipamentos; c) controle de acesso compulsório de usuários aos serviços de informação.

Sendo assim a questão está correta.

31) Conexões externas que utilizam métodos dial-up devem ser validados conforme o nível estabelecido por avaliações de risco. Controles e procedimentos de discagem reversa, conhecidos por call forwarding, expõem e fragilizam a organização, uma vez que utilizam dispositivos roteadores com discagem reversa e

levam o usuário a manter a linha aberta com a pretensão de que a verificação da chamada reversa tenha ocorrido.

No item 11.4.2 Autenticação para conexão externa do usuário, temos:

Os procedimentos e controles de discagem reversa (dial-back), por exemplo, usando modens com discagem reversa, podem prover proteção contra conexões não autorizadas e não desejadas nos recursos de processamento da informação de uma organização. Este tipo de controle autentica usuários que tentam estabelecer conexões com a rede de uma organizações de localidades remotas. Ao usar este controle, convém que uma organização não use serviços de rede que incluem transferência de chamadas (forward} ou, se eles fizerem, convém que seja desabilitado o uso de tais facilidades para evitar exposição a fragilidades associadas ao call forward. Convém que o processo de discagem reversa assegure que uma desconexão atual no lado da organização aconteça. Caso contrário, o usuário remoto poderia reter aberta a linha simulando que a verificação do retorno da chamada (cal/ back) ocorreu. Convém que os procedimentos e controles da discagem reversa sejam testados completamente para esta possibilidade.

A norma troca o termos de discagem reversa. Portanto o item está errado.

32) Os controles baseiam-se nos requisitos de segurança selecionados considerando-se as restrições de implementação, sua eficácia em relação aos riscos que serão reduzidos e às perdas potenciais, caso as falhas na segurança ocorram. Pode-se, ainda, considerar fatores financeiros, como prejuízos à reputação da organização.


Normalmente, não se consideram as restrições de implementação na seleção dos controles. Em regra, se consideram primeiro as perdas potenciais no caso de falhas e a eficácia dos controles em relação aos riscos que eles combatem. Portanto a questão está errada.

Então temos:

33) São exemplos de conteúdos que constam no documento de política da informação: conformidade com a legislação e cláusulas contratuais, requisitos na educação de segurança, gestão da continuidade do negócio e regras para controle de acesso

Na 27002 podemos encontrar:

Convém que o documento da política de segurança da informação declare o comprometimento da direção e estabeleça o enfoque da organização para gerenciar a segurança da informação. Convém que o documento da política contenha declarações relativas a:

a) uma definição de segurança da informação, suas metas globais, escopo e importância da segurança da informação como um mecanismo que habilita o compartilhamento da informação (ver introdução); b) uma declaração do comprometimento da direção, apoiando as metas e principies da segurança da informação, alinhada com os objetivos e estratégias do negócio; c) uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco; d) breve explanação das políticas, principies, normas e requisitos de conformidade de segurança da informação específicos para a organização, incluindo:

1) conformidade com a legislação e com requisitos regulamentares e contratuais;

2) requisitos de conscientização, treinamento e educação em segurança da informação; 3) gestão da continuidade do negócio; 4) conseqüências das violações na política de segurança da informação;

e) definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança da informação; f) referências à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários devem seguir.

Portanto o item está errado, porque não tem controle de acesso.

34) Convém que a política de segurança da informação tenha um patrocinador responsável por sua manutenção e análise crítica e que esteja de acordo com um processo de submissão definido.

No item 5.1.2 Análise crítica da política de segurança da informação, temos:

Convém que a política de segurança da informação tenha um gestor que tenha responsabilidade de gestão aprovada para desenvolvimento, análise crftica e avaliação da polltica de segurança da informação. Convém que a análise crítica inclua a avaliação de oportunidades para melhoria da politica de segurança da informação da organização e tenha um enfoque para gerenciar a segurança da informação em resposta às mudanças ao ambiente organizacional, às circunstãncias do negócio, às condições legais, ou ao ambiente técnico.

Ainda podemos citar, o comentário do professor Sócrates Filho:

O patrocinador da PSI, que geralmente é a alta direção não é, necessariamente, a responsável pela sua manutenção e análise crítica. Essa tarefa fica a cargo de um setor da organização responsável por isso. Entretanto, a PSI, após a revisão, deve ser aprovada pela alta direção.


35) Na revisão periódica da conformidade dos sistemas com as políticas e normas organizacionais de segurança, devem-se incluir sistemas de informação, provedores de sistemas, proprietários da informação, ativos de informação, usuários e administração.

Não foi achado nenhuma bibliografia sobre este assunto, mas a questão está correta.

36) Controles de ambiente e software devem se corretamente implementados para que a validação da conformidade técnica e científica assegure que os sistemas de informação sejam verificados em conformidade com as normas de segurança implementadas.

Usando o comentário do professor Sócrates Filho:

Nem sempre a implantação correta de um controle garante que as normas de segurança sejam seguidas, de acordo com a PSI. Portanto o item está errado.

37) É recomendável que a política de segurança determine medidas específicas a serem implementadas e a forma de implementá-las.


A política de segurança só deve fazer um esboço das medidas a serem implementadas, sem indicar a forma como elas serão implementadas. Questão errada.

A PSI não é detalhada e possui somente diretrizes gerais.

(CESPE – EMBASA – 2010 – Analista de Tecnologia da Informação – atuação em Banco de Dados)

38) Uma política de segurança da informação deve tratar dos aspectos humanos, culturais e tecnológicos de uma organização, considerando também os processos e os negócios, além da legislação pertinente. Com base nessa política, as diversas normas e os vários procedimentos devem ser criados.

Essa definição é uma boa definição sobre o que um PSI deve tratar. A resposta esta correta.

39) Entre os benefícios vinculados à implantação de política de segurança da informação em uma organização, estão a redução na padronização das informações e processos, além da garantia de se assegurar vantagens competitivas.

Essa questão erra ao dizer que a implantação da PSI reduz. Sendo a verdade que a PSI AUMENTA na padronização das informações e processos.

40) Para a administração de uma política de segurança da informação, deverão ser realizadas análises de vulnerabilidades, relatórios de incidentes, verificação e comprometimento do desempenho do sistema, bem como verificação do apoio da direção, pois com base nessas análises é que serão tomadas as medidas necessárias à correção de falhas no sistema como um todo.

Mas uma daquelas questões que servem para aprender. O item está correto.

(CESPE – MPU – 2010 – Analista de Informática - Banco de Dados)

41) O termo integridade no escopo da referida norma diz respeito à salvaguarda da exatidão e integridade das informações e métodos de processamento utilizados para a manipulação da informação.

Esta questão nos iremos tratar um termo que está definido na 27001.

Integridade - propriedade de salvaguarda da exatidão e completeza de ativos


42) A referida norma, bem como suas atualizações correntes, apresenta um código de boas práticas para a gestão de segurança da informação, portanto, é adequada para usuários responsáveis por iniciar, implementar, manter e melhorar sistemas de gestão de segurança da informação.

Vamos colocar o objetivo que está previsto no item 1 Objetivo:

Esta Norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da

informação em uma organização. Os objetivos definidos nesta Norma provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação.

A questão está correta.

43) No que diz respeito aos aspectos de preservação da confidencialidade, a norma em apreço estabelece práticas adequadas para garantir que a informação esteja acessível a todas as pessoas interessadas em acessá-la.


A norma estabelece prática para garantir que a informação esteja acessível apenas às pessoas que tenham permissão para acessá-las.

Um hacker também é uma pessoa interessada em acessá-la. Portanto o item está errado.

44) A seção da norma em questão que trata de compliance prevê aspectos para assegurar a conformidade com políticas de segurança da informação, normas, leis e regulamentos.

No item 15.1 Conformidade com requisitos legais (15 Conformidade), temos:

Objetivo: Evitar violações de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais, e de quaisquer requisitos de segurança da informação.


45) A referida norma contém seções iniciais e doze seções principais acerca de diversos temas de segurança, como, por exemplo, a gestão de ativos.

A estrutura da norma:

0 - Introdução 1 - Objetivo 2 - Termos e Definições 3 - Estrutura da Norma 4 - A/A e Tratamento de Riscos 5 - Politica de SI 6 - Organizando SI 7 - Gestão de Ativos 8 - Segurança em R 9 - Segurança Fisica e do Ambiente 10 - Gerenciamento das Operações e Comunicações 11 - Controle de Acesso 12 - Aquisição, Desenv. e Manutenção de SI 13 - Gestão de Incidentes 14 - Gestão da Continuidade de Negocio 15 – Conformidade

Sendo da 4 a 15, doze seções, portanto a questão está correta.

(CESPE – MPU – 2010 – Analista de Informática - Perito)

46) Define-se vulnerabilidade em um ambiente computacional como a causa potencial de ocorrer um incidente indesejado, a qual pode resultar, ou não, em prejuízos para uma organização e seus ativos.

Vamos pegar as definições encontradas da 27002:

Ameaça - causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização. Vulnerabilidade - fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças

Portanto a questão está errada, ela troca ameaça por vulnerabilidade.

VULNERABILIDADE -> FRAGILIDADE -> EXPLORADA POR AMEAÇAS

AMEAÇA -> CAUSA PONTECIAL DE INCIDENTE -> PODER RESULTAR EM DANO

47) A adoção de senhas de qualidade por parte dos usuários são recomendações para implantar uma política de uso de chaves e senhas. Alguns aspectos, citados na norma, característicos de senhas de qualidade são senhas fáceis de serem lembradas, que não sejam vulneráveis a ataques de dicionário e que sejam isentas de caracteres idênticos consecutivos.

No item 11.3.1 Uso de senhas, temos:

Controle Convém que os usuários sejam solicitados a seguir as boas práticas de segurança da informação na seleção e uso de senhas.

Diretrizes para implementacão Convém que todos os usuários sejam informados para:

a) manter a confidencialidade das senhas; b) evitar manter anotadas senhas (por exemplo, papel, arquivos ou dispositivos móveis), a menos que elas possam ser armazenadas de forma segura e o método de armazenamento esteja aprovado; c) alterar senha sempre que existir qualquer indicação de possível comprometimento do sistema ou da própria senha; d) selecionar senhas de qualidade com um tamanho mínimo que sejam:

1) fáceis de lembrar; 2) não baseadas em nada que alguém facilmente possa adivinhar ou obter usando informações relativas à pessoa, por exemplo, nomes, números de telefone e datas de aniversário; 3) não vulneráveis a ataque de dicionário (por exemplo, não consistir em palavras inclusas no dicionário); 4) isentas de caracteres idênticos consecutivos, todos numéricos ou todos alfabéticos sucessivos;

e) modificar senhas regularmente ou com base no número de acessos (convém que senhas de acesso a contas privilegiadas sejam modificadas mais freqUentemente que senhas normais) e evitar a reutilização ou reutilização do ciclo de senhas antigas; f) modificar senhas temporárias no primeiro acesso ao sistema; g) não incluir senhas em nenhum processo automático de acesso ao sistema, por exemplo, armazenadas em um macro ou funções-chave; h) não compartilhar senhas de usuários individuais; i) não utilizar a mesma senha para uso com finalidades profissionais e pessoais.

Se os usuários necessitam acessar múltiplos serviços, sistemas ou plataformas, e forem requeridos para manter separadamente múltiplas senhas, convém que eles sejam alertados para usar uma única senha de qualidade (ver d) acima) para todos os serviços, já que o usuário estará assegurado de que um razoável nível de proteção foi estabelecido para o armazenamento da senha em cada serviço, sistema ou plataforma.

Portanto a questão está correto.

48) Estimar a probabilidade de uma ameaça se concretizar dentro do ambiente computacional e identificar os impactos que um evento de segurança pode acarretar são atividades resultantes da análise/avaliação de riscos.

Na 27002 temos o item 14.1.2 Continuidade de negócios e análise/avaliação de riscos:

Convém identificar os eventos que podem causar interrupções aos processos de negócio, junto a probabilidade e impacto de tais interrupções e as conseqüências para a segurança de informação.


49) Controle é, segundo essa norma, qualquer sistema de processamento da informação, serviço ou infraestrutura, ou as instalações físicas que os abriguem.

Usando a definição da norma:

Controle - forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal NOTA Controle é também usado como um sinônimo para proteção ou contramedida.

Portanto questão correta.

50) Uma das recomendações adequadas para a gestão de ativos é que o requisito de rotulação e tratamento seguro da classificação da informação é fundamental para que sejam definidos os procedimentos de compartilhamento da informação, seja ela interna ou externa à organização.

Temos no item 7.2.2 Rótulos e tratamento da informação:

Convém que um conjunto apropriado de procedimentos para rotulação e tratamento da informação seja definido e implementado de acordo com o esquema de classificação adotado pela organização.

Questão certa.

51) Com o objetivo de otimizar o uso de um ambiente de desenvolvimento de software quanto aos procedimentos e responsabilidades operacionais relativos ao gerenciamento das operações e das comunicações, uma organização deve garantir que software em desenvolvimento e software em produção partilhem de sistemas e processadores em um mesmo domínio ou diretório, de modo a garantir que os testes sejam compatíveis com os resultados esperados no mundo real.

Nesta questão podemos citar somente um item da norma. 10.1.4 Separação dos recursos de desenvolvimento, teste e de produção.

Convém que recursos de desenvolvimento, teste e produção sejam separados para reduzir o risco de acessos ou modificações não autorizadas aos sistemas operacionais.

Portanto a questão está errada. Normalmente quando as questões falam de juntar, partilhar, etc, estas questões estão erradas. A norma prega muito em segregação de funções e atividades para reduizer riscos e ameaças.

(CESPE – TRE/MT – 2009 – Analista Judiciário – Análise de sistemas)

52) Com referência à segurança da informação, assinale a opção correta.

A) A confidencialidade tem a ver com salvaguardar a exatidão e a inteireza das informações e métodos de processamento. Para tanto, é necessário que os processos de gestão de riscos identifiquem, controlem,

minimizem ou eliminem os riscos de segurança que podem afetar sistemas de informações, a um custo aceitável.

B) A política de segurança da informação é um conjunto de práticas conhecidas pelo nível operacional de uma organização que busca estabelecer uma direção técnica clara que demonstre suporte e comprometimento com a segurança das informações.

C) A segurança física objetiva impedir acesso não autorizado, danos ou interferência às instalações físicas e às informações da organização. A proteção fornecida deve ser compatível com os riscos identificados, assegurando a preservação da confidencialidade da informação.

D) Define-se gestão de riscos de segurança da informação como a avaliação das ameaças e das facilidades de processamento, impactos e vulnerabilidades das informações e da probabilidade de ocorrência de tais riscos.

E) Serviços de não repudiação são técnicas utilizadas para detectar alterações não autorizadas ou corrompimento dos conteúdos de uma mensagem transmitida eletronicamente.

A) Este item trocou integralidade por confidencialidade.

B) A PSI é um conjunto de práticas conhecido por TODA a organização e não somente pelo nível operacional.

C) Item correto. Vamos ler ele de novo para fixa-lo

A segurança física objetiva impedir acesso não autorizado, danos ou interferência às instalações físicas e às informações da organização. A proteção fornecida deve ser compatível com os riscos identificados, assegurando a preservação da confidencialidade da informação.

Na norma temos:

Objetivo: Prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização.

Convém que as instalações de processamento da informação críticas ou sensíveis sejam mantidas em áreas seguras, protegidas por perímetros de segurança definidos, com barreiras de segurança e controles de acesso apropriados. Convém que sejam fisicamente protegidas contra o acesso não autorizado, danos e interferências.

Convém que a proteção oferecida seja compatível com os riscos identificados.

Os itens D e E estão errados.

53) Com relação à ISO 27002, assinale a opção correta.

A) Após identificar os requisitos de segurança da informação e os riscos a que uma organização está exposta, convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nível aceitável, pois, segundo a norma, por meio do controle gerencia-se o risco.

B) A segurança da informação objetiva a preservação da confidencialidade, integridade e disponibilidade da informação. Cada categoria principal de segurança da informação contém um ou mais objetivos de controle que definem o que deve ser alcançado, além de um controle que pode ser aplicado para que os objetivos sejam alcançados.

C) Considera-se ativo tudo que tenha valor para a organização. São exemplos de ativos de informação os aplicativos, sistemas, ferramentas de desenvolvimento e utilitários.

D) Diretriz é a descrição que orienta o que deve ser feito e como deve ser feito, de modo a se alcançar os objetivos estabelecidos. Quanto às diretrizes para comércio eletrônico da norma em questão, as considerações podem ser implementadas pela aplicação de controles criptográficos de chave assimétrica, não sendo recomendada a utilização de chaves simétricas.

E) A referida norma recomenda o desenvolvimento e a implementação de uma política para avaliação e uso de controles criptográficos que, em conjunto com a análise e avaliação de riscos, são ações independentes que auxiliam na escolha dos controles de modo mais amplo.

A) Esse é o item certo. Vamos reler:

Após identificar os requisitos de segurança da informação e os riscos a que uma organização está exposta, convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nível aceitável, pois, segundo a norma, por meio do controle gerencia-se o risco.

B) Para este item podemos colocar o Item 3.2 Principais categorias de segurança da informação.

Cada categoria principal de segurança da informação contém: a) um objetivo de controle que define o que deve ser alcançado; b) um ou mais controles que podem ser aplicados para se alcançar o objetivo do controle.

C) O item está errado. Vamos colocar as definições da norma:

Existem vários tipos de ativos, incluindo: a) ativos de informação: base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas;

b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;

c) ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos;

d) serviços: serviços de computação e comunicações, utilidades gerais, por exemplo aquecimento, iluminação, eletricidade e refrigeração;

e) pessoas e suas qualificações, habilidades e experiências;

f) intangíveis, tais como a reputação e a imagem da organização.

D) A questão erra ao dizer que não é recomendado o uso de chaves simétricas. A 27002 não fala dessa recomendação.

E) Usando o comentário do Sócrates Filho:

A ISO 27002 preconiza que a implementação de políticas ligadas à mecanismos segurança da informação deve ser realizada após a avaliação dos riscos que a organização está sujeita. Dessa forma, não é correto dizer que a implementação de política de avaliação de controles criptográficos é uma ação independente da avaliação de risco.

54) Em relação às orientações da norma ISO 27002 quanto à criptografia, assinale a opção correta.

A) Controles criptográficos garantem a confidencialidade por meio da utilização de assinaturas digitais ou códigos de autenticação de mensagens (MAC), que protegem a autenticidade, originalidade, presteza e integridade de informações sensíveis ou críticas, armazenadas ou transmitidas.

B) Não repúdio refere-se à utilização de técnicas de criptografia para obter prova da ocorrência ou não de um evento ou ação.

C) Técnicas criptográficas não podem ser utilizadas para proteger chaves criptográficas, pois existe sempre a ameaça de que seja forjada uma assinatura digital pela substituição da chave privada do usuário, em caso de utilização de criptografia simétrica.

D) Datas de ativação e desativação de chaves devem ser definidas sem restrições de tempo e independentes das avaliações de risco.

E) Além do gerenciamento seguro de chaves secretas e privadas, o processo de autenticação deve ser conduzido obrigatoriamente utilizando-se certificados de chave privada emitidos por autoridades certificadoras.

Usando os comentários do professor Sócrates Filho:

A) A confidencialidade é garantida por meio da utilização de algoritmos de criptografia. Assinaturas digitais e códigos MAC garantem a integridade.

C) Totalmente errado. É lógico que técnicas criptográficas podem ser usadas para proteger chaves criptográficas.

D) Datas de ativação e desativação de chaves devem ter data (prazo de validade). Portanto item errado.

E) Mas uma vez vamos repetir. A 27002 não faz obrigações, apenas recomendações.

(CESPE – TRE/MT – 2009 – Técnico Judiciário – Operação de computadores)

52) Com relação a cópias de segurança, assinale a opção correta.

A) As cópias de segurança, juntamente com o controle consistente e atualizado dessas cópias e a documentação dos procedimentos de recuperação, devem ser mantidas no mesmo local da instalação principal, em local suficientemente próximo para sua imediata recuperação em caso de falha.

B) Três gerações, ou ciclos, de cópias de segurança das aplicações críticas é a quantidade mínima recomendada que deve ser mantida em local seguro (ambiente de backup) com os mesmos controles adotados para as mídias no ambiente principal.

C) As mídias utilizadas para cópias não precisam ser periodicamente testadas, pois são usadas somente em caso de falha.

D) Uma vez aprovados, os procedimentos de recuperação não devem ser modificados nem verificados periodicamente; a segurança do procedimento inicialmente acordada não será violada.

E) Segurança da informação é obtida a partir da implementação de uma série de controles que podem ser políticos, práticos, procedimentos, estruturas organizacionais e funções de software, sendo caracterizada pela preservação da continuidade, confiabilidade e criptografia dos dados.

A) A norma diz que as cópias devem ser mantidas em local diferente da instalação, portanto item errado. Vejamos:

As cópias de segurança sejam armazenadas em uma localidade remota, a uma distãncia suficiente para escapar dos danos de um desastre ocorrido no local principal;

B) Não foi encontrado nada na norma fala que fala em três ciclos, porém este é o gabarito.

C) Item errado. Vejamos a norma:

Convém que as copias de segurança das informações e dos softwares sejam efetuadas e testadas regularmente conforme a política de geração de cópias de segurança definida.

D) Item errado, os procedimentos de recuperação devem ser modificados e verificados oportunamente.

Os procedimentos de recuperação sejam verificados e testados regularmente, de forma a garantir que estes são efetivos e que podem ser concluldos dentro dos prazos definidos nos procedimentos operacionais de recuperação;

E) Usando o comentário do professor Sócrates. Segurança da informação é caracterizada pela preservação da confidencialidade, integridade e disponibilidade dos dados, com objetivo de garantir a continuidade do negócio e minimizar os seus riscos. Portanto item errado.

Usando a norma temos, no item 0.1 O que é segurança da informação:

A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. 53) (PREVIC/Analista Administrativo/Tecnologia da Informação/2011) Na prática, os padrões 27001 e 27002 normalmente são usados em conjunto, embora seja possível o uso de outros controles de segurança da informação juntamente com o padrão 27001, até mesmo em substituição ao padrão 27002.

Usando comentário do professor Gleyson.

No item 4.2.1 g), a norma 27001 afirma que os controles listados no Anexo A, que contém em resumo todos os controles da norma 27002, não são exaustivos, podendo ser selecionados objetivos de controle e controles “adicionais”. Portanto a questão está correta.

54) (ANAC/Analista Administrativo/Tecnologia da Informação/2009) Um evento de segurança de informação é uma ocorrência em um sistema, serviço ou estado de rede que indica, entre outras possibilidades, um possível desvio em relação aos objetivos de segurança específicos da organização, e um incidente de segurança de informação é um evento único ou uma série de eventos indesejados de segurança da informação que possuem um impacto mediano sobre os negócios.

Usando as definições da 27002:

Um incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. Evento de segurança da informação - ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.

Portanto a questão erra ao dizer em impacto mediano.

55) (TRT-21/Analista Judiciário/Tecnologia da Informação/2010) Incidente de segurança da informação é uma ocorrência identificada de um sistema, serviço ou rede que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.

Um incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. Evento de segurança da informação - ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.

Mas uma vez, questão errada. Trocou evento de SI por incidente de SI.

56) Testes de mesa, testes de recuperação em local alternativo e ensaio geral são técnicas que podem ser empregadas na gestão da continuidade de negócios, conforme prescrição na norma ABNT NBR ISO/IEC 17799:2005.

Na 27002, 14.1.5 Testes, manutenção e reavaliação dos planos de continuidade do negócio, temos:

Convém que várias técnicas sejam utilizadas, de modo a assegurar a confiança de que o(s) plano(s) irá(ão) operar consistentemente em casos reais. Convém que sejam considerados:

a) testes de mesa simulando diferentes cenários (verbalizando os procedimentos de recuperação para diferentes formas de interrupção); b) simulações (particularmente útil para o treinamento do pessoal nas suas atividades gerenciais após o incidente); c) testes de recuperação técnica (garantindo que os sistemas de informação possam ser efetivamente recuperados); d) testes de recuperação em um local alternativo (executando os processos de negócios em paralelo com a recuperação das operações distantes do local principal); e) testes dos recursos, serviços e instalações de fornecedores (assegurando que os serviços e produtos fornecidos por terceiros atendem aos requisitos contratados); f) ensaio geral (testando se a organização, o pessoal, os equipamentos, os recursos e os processos podem enfrentar interrupções).


57) (TJ-ES/Analista Judiciário/Análise de Suporte/2011) Na área de segurança da informação, estão excluídas do conceito de controle as políticas, as diretrizes, as práticas ou a própria estrutura organizacional, que são consideradas contramedidas ou ações de prevenção.

Na 27002, podemos encontrar a definição de controle:

Controle - forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal.

NOTA Controle é também usado como um sinônimo para proteção ou contramedida.


58) (TCU/Auditor Federal de Controle Externo/Tecnologia da Informação/2010) Os requisitos do negócio para o processamento de informação, que uma organização tem de desenvolver para apoiar suas operações, estão entre as fontes principais de requisitos de segurança da informação.

Segundo a norma, as fontes principais são:

É essencial que uma organização identifique os seus requisitos de segurança da informação.

Existem três fontes principais de requisitos de segurança da informação.

1. Uma fonte é obtida a partir da análise/avaliação de riscos para a organização, levando-se em conta os objetivos e as estratégias globais de negócio da organização. Por meio da análise/avaliação de riscos, são identificadas as ameaças aos ativos e as vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio.

2. Uma outra fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que atender, além do seu ambiente sociocultural.

3. A terceira fonte é um conjunto particular de princípios, objetivos e os requisitos do negócio para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.


59) (MPU/Analista de Informática/Perito/2010) Os principais fatores críticos de sucesso apresentados na referida norma incluem política de segurança, abordagem e estrutura da segurança consistente com a cultura organizacional, comprometimento de todos os níveis gerenciais, entendimento dos requisitos de segurança e divulgação da segurança.

A norma cita os fatores críticos de sucesso:

A experiência tem mostrado que os seguintes fatores são geralmente críticos para o sucesso da implementação da segurança da informação dentro de uma organização: a) política de segurança da informação, objetivos e atividades, que reflitam os objetivos do negócio; b) uma abordagem e uma estrutura para a implementação, manutenção, monitoramento e melhoria da segurança da informação que seja consistente com a cultura organizacional; c) comprometimento e apoio visível de todos os níveis gerenciais; d) um bom entendimento dos requisitos de segurança da informação, da análise/avaliação de riscos e da gestão de risco; e) divulgação eficiente da segurança da informação para todos os gerentes, funcionários e outras partes envolvidas para se alcançar a conscientização; f) distribuição de diretrizes e normas sobre a política de segurança da informação para lodos os gerentes, funcionários e outras partes envolvidas; g) provisão de recursos financeiros para as atividades da gestão de segurança da informação; h) provisão de conscientização, treinamento e educação adequados; i) estabelecimento de um eficiente processo de gestão de incidentes de segurança da informação; j) implementação de um sistema de medição 1, que seja usado para avaliar o desempenho da gestão da segurança da informação e obtenção de sugestões para a melhoria.


60) (TRE-ES/Analista Judiciário/Análise de Sistemas/2011) O documento relativo à política de segurança da informação deve ser aprovado pela direção da empresa, publicado e comunicado a todos os funcionários e às partes externas relevantes.

Nesta questão podemos usar o comentário do professor Gleyson Azevedo:

A afirmativa da questão é bastante similar à descrição do controle 5.1.1, relativo ao documento da política de segurança da informação (ABNT, 2005, p. 8). A única distinção entre ambos é que a norma traz o controle como uma sugestão, na forma: “Convém que um documento da política de segurança da informação seja aprovado...”, enquanto na questão é utilizado o verbo “dever”, como se o controle descrito fosse uma imposição. Cabe observar que o texto da questão é exatamente o mesmo trazido na descrição do controle 5.1.1 no anexo A da norma 27001 (ABNT, 2006, p. 14) e que em diversas outras questões o CESPE considera como corretas afirmativas que contêm descrições de controles a partir do anexo A da 27001, onde o verbo dever é sempre empregado.


61) (PREVIC/Analista Administrativo/Tecnologia da Informação/2011) Uma política de segurança eficaz parte da premissa do uso efetivo de um conjunto de ferramentas de segurança, como firewalls, sistemas de detecção de intrusos, validadores de senha e criptografia forte.

Vamos mais uma vez usar o comentário do professor Gleyson Azevedo:

A eficácia da política de segurança, bem como sua pertinência e adequação, não está associada à utilização de ferramentas específicas, mas a um processo de constante avaliação e implementação de ajustes, fundamentados na realização de análises críticas a intervalos planejados ou quando mudanças significativas ocorrerem (ABNT, 2005, p. 9).


62) (BASA/Técnico Científico/Tecnologia da Informação/Segurança da Informação/2009) São exemplos de ativos de uma organização a informação e os processos de apoio, sistemas e redes. Os requisitos de segurança, em uma organização, são identificados por meio de análise sistemática dos riscos de segurança.

Vamos citar o item 7.1.1 Inventário dos ativos da 27002:

Existem vários tipos de ativos, incluindo:

a) ativos de informação: base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas; b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários; c) ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis outros equipamentos; d) serviços: serviços de computação e comunicações, utilidades gerais, por exemplo aquecimento, iluminação, eletricidade e refrigeração; e) pessoas e suas qualificações, habilidades e experiências; f) intangíveis, tais como a reputação e a imagem da organização.

Os inventários de ativos ajudam a assegurar que a proteção efetiva do ativo pode ser feita e também pode ser requerido para outras finalidades do negócio, como saúde e segurança, seguro ou financeira (gestão de ativos). O processo de compilação de um inventário de ativos é um pré-requisito importante no gerenciamento de riscos (ver seção 4 ).

A segundo afirmação da questão podemos também pegar da norma:


A questão está correta.

63) (BASA/Técnico Científico/Tecnologia da Informação/Segurança da Informação/2009) Uma organização deve ser capaz de inventariar seus ativos, identificar seus respectivos valores e importâncias e indicar um proprietário responsável por eles. A informação deve ser classificada em termos de sua utilidade, adequabilidade e nível de segurança.

Provavelmente esta questão é repetida, mas é importante, então vamos lá:

Convém que classificação da informação se dê em termos do seu valor, requisitos legais, sensibilidade e criticidade.

64) (PREVIC/Analista Administrativo/Tecnologia da Informação/2011) Um arquivo de texto, uma IDE para

desenvolvimento em linguagem C e um pendrive são classificados como ativos de software, de serviço e físico, respectivamente.

Mais uma questão sobre classificação de ativo, cita a norma:

Existem vários tipos de ativos, incluindo:

a) ativos de informação: base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas; b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários; c) ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis outros equipamentos; d) serviços: serviços de computação e comunicações, utilidades gerais, por exemplo aquecimento, iluminação, eletricidade e refrigeração; e) pessoas e suas qualificações, habilidades e experiências; f) intangíveis, tais como a reputação e a imagem da organização.

Questão errada.

(TRT-21/Analista Judiciário/Tecnologia da Informação/2010) O objetivo de controle Controles de Entrada Física estabelece que perímetros de segurança (barreiras, como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) devem ser utilizados para proteger as áreas que contenham informações e recursos de processamento da informação.

O professor Gleyson fez um belo comentário sobre essa questão:

Controle de entrada física não é objetivo de controle e sim um controle da norma 27002 (9.1.2). Além do mais, a descrição dada na questão diz respeito ao controle 9.1.1 da referida norma, que trata de perímetros de segurança física (ABNT, 2005, pp. 32-33).

Vamos à norma:

9.1.1 Perímetro de segurança física

Controle Convém que sejam utilizados perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) para proteger as áreas que contenham informações e instalações de processamento da informação. 9.1.2 Controles de entrada física

Controle Convém que as áreas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso.

Portanto o item está errado.

65) (PREVIC/Analista Administrativo/Tecnologia da Informação/2011) Alcançar e manter a proteção adequada dos ativos da organização é um objetivo de controle estabelecido na norma NBR/ISO/IEC 27001/2006. Associado a esse objetivo, há o controle relativo à remoção de propriedade, o qual determina que um ativo não mais utilizado por um proprietário deverá ser dele desvinculado.

Vamos à norma:

7.1 Responsabilidade pelos ativos

Objetivo: Alcançar e manter a proteção adequada dos ativos da organização.

Convém que todos os ativos sejam inventariados e tenham um proprietário responsável.

Convém que os proprietários dos ativos sejam identificados e a eles seja atribuída a responsabilidade pela manutenção apropriada dos controles. A implementação de controles específicos pode ser delegada pelo proprietário, conforme apropriado, porém o proprietário permanece responsável pela proteção adequada dos ativos.

Portanto a questão está errada. O Objetivo de controle é o 7.1 Responsabilidade pelos ativos.

E a segunda parte também está errada, porque a remoção de propriedade está no objetivo de controle 9.2 Segurança de equipamentos.

66) (PREVIC/Analista Administrativo/Tecnologia da Informação/2011) Registros ou logs de auditoria podem conter dados pessoais confidenciais e de intrusos; por isso, é importante que medidas de proteção adequadas sejam tomadas, como, por exemplo, não permitir, quando possível, que administradores de sistemas não tenham permissão de exclusão ou desativação de registros de suas próprias atividades.

Temos que ir a norma no item 10.10.1 Registros de auditoria:

lnformações adicionais Os registros (/og) de auditoria podem conter dados pessoais confidenciais e de intrusos. Convém que medidas apropriadas de proteção de privacidade sejam tomadas (ver 15.1.4). Quando possível, convém que administradores de sistemas não tenham permissão de exclusão ou desativação dos registros (log) de suas próprias atividades (ver 1 0.1.3).

A questão erra, nesta parte:não permitir, quando possível, que administradores de sistemas não tenham permissão.

São duas negações, tornando a questão errada.

(TRT-21/Analista Judiciário/Tecnologia da Informação/2010) O objetivo de controle Análise Crítica dos Direitos de Acesso de Usuário estabelece que deve existir um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços.

Usando o comentário do professor Gleyson:

A análise crítica dos direitos de acesso de usuário é o controle 11.2.4 da norma 27002 e não um objetivo de controle. Além disso, a descrição presente na questão diz respeito ao controle 11.2.1, que trata do registro de usuário (ABNT, 2005, p. 66).

Vamos ler a norma:

11.2.4 Análise crítica dos direitos de acesso da usuário

Controle Convém que o gestor conduza a intervalos regulares a análise critica dos direitos de acesso dos usuários, por meio de um processo formal. 11.2.1 Registro de usuário

Controle Convém que exista um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços.


67) (TRE-ES/Analista Judiciário/Análise de Sistemas/2011) As ações que minimizam o risco de vazamento de informações mediante o uso e a exploração de covert channels incluem a varredura do envio de mídias e comunicações, para verificação da presença de informação oculta; o mascaramento e a modulação do comportamento dos sistemas e das comunicações, a fim de evitar que terceiros subtraiam informações dos sistemas; e o monitoramento regular do uso dos recursos computacionais e das atividades do pessoal.

No controle 12.5.4 Vazamento de informações:

Controle Convém que oportunidades para vazamento de informações sejam prevenidas.

Diretrizes para implementacão Convém que os seguintes itens sejam considerados, para limitar o risco de vazamento de informações, por exemplo através do uso e exploração de covert channels:

a) a varredura do envio de mídia e comunicações para verificar a presença de informação oculta; b) o mascaramento e a modulação do comportamento dos sistemas e das comunicações para reduzir a possibilidade de terceiros deduzirem informações a partir do comportamento dos sistemas; c) a utilização de sistemas e software reconhecidos como de alta integridade, por exemplo utilizando produtos avaliados (ver ISO/IEC 15408); d) o monitoramento regular das atividades do pessoal e do sistema, quando permitido pela legislação ou regulamentação vigente; e) o monitoramento do uso de recursos de sistemas de computação. Os covert channels são caminhos não previstos para conduzir fluxo de informações, mas que no entanto podem existir num sistema ou rede. Por exemplo, a manipulação de bits no protocolo de pacotes de comunicação poderia ser utilizada como um método oculto de sinalização. Devido à sua natureza, seria difícil, se não impossível, precaver-se contra a existência de todos os possíveis covert channels. No entanto, a exploração destes canais freqüentemente é realizada por código troiano (ver 1 0.4.1 ). A adoção de medidas de proteção contra código troiano reduz, conseqüentemente, o risco de exploração de covert channes.

A precaução contra acesso não autorizado à rede (ver 11.4 ), como também políticas e procedimentos para dissuadir o mau uso de serviços de informação pelo pessoal (ver 15.1.5), pode ajudar a proteger contra covert channels.


68) (ABIN/Oficial Técnico de Inteligência/Suporte a Rede de Dados/2010) Funcionários, fornecedores e terceiros devem ser instruídos a averiguar, imediatamente, qualquer fragilidade na segurança de informação suspeita.

Na 27002, no controle 13.1.2 Notificando fragilidades de segurança da informação temos:

Convém que os funcionários, fornecedores e terceiros sejam alertados para não tentarem averiguar uma fragilidade de segurança da informação suspeita. Testar fragilidades pode ser interpretado como um uso impróprio potencial do sistema e também pode causar danos ao sistema ou serviço de informação, resultando em responsabilidade legal ao indivíduo que efetuar o teste.


69) (CESPE - 2012 - TRE-RJ - Analista Judiciário - Análise de Sistemas) Na gestão de ativos, é conveniente que todos os ativos sejam inventariados e tenham proprietário responsável.

No item 7.1 Responsabilidade pelos ativos (7 Gestão de ativos)

Convém que todos os ativos sejam inventariados e tenham um proprietário responsável.

Portanto questão certa.

http://www.questoesdeconcursos.com.br/provas/cespe-2012-tre-rj-analista-judiciario-analise-de-sistemas

questões comentadas – iso...

Documents