questes comentadas – iso 1bgiazibstambm foram usadas outras fontes, como livros, co mentrios do...

Download Questes Comentadas – ISO 1bGiAzIbSTambm foram usadas outras fontes, como livros, co mentrios do site Questes de Concursos, ... (CESPE – SERPRO – 2008 – Analista de Sistemas

Post on 07-Feb-2018

215 views

Category:

Documents

3 download

Embed Size (px)

TRANSCRIPT

  • 0

    2012

    Lhugojr

    Verso 1.0

    09/12/2012

    Questes Comentadas ISO 270022

    2012

    Lhugojr

    Verso 1.0

    09/12/2012

    Questes Comentadas ISO 27002

  • IntroduaoVale ressaltar que alguns comentarios sobre as questoes foram retiradas das seguintes fontes: TECNOLOGIA DA INFORMAO - QUESTES COMENTADAS CESPE/UNB - http://www.dominandoti.com.br/livros

    TI SEGURANA DA INFORMAO PARA CONCURSOS NVEL AVANADO - http://socratesfilho.com/cursos-teorico/seguranca-da-informacao-para-concursos/

    Provas de TI www.provasdeti.com.br

    Tambm foram usadas outras fontes, como livros, comentrios do site Questes de Concursos, etc.

    Os comentrios so sempre feitos colocando as fontes encontradas, algumas questes so mais difceis de encontrar as fontes, podendo assim ser retiradas da internet, de sites como wikipedia e outros.

    Espero que ajude.

    Abraos.

    Notas da Versao Essa a verso 1.0, sendo a maioria das questes da banca CESPE, com o tempo espero acrescentar muito mais questes.

    Caso encontre algum erro nesta verso pode mandar um e-mail para lhugojr@hotmail.com, colocando o nmero da questo e o erro encontrado.

    Voc tambm pode ajudar a melhorar os comentrios, alguns comentrios podem estar com o nvel fraco, isso ocorre quando no so encontradas fontes que tratam sobre o tema da questo. Caso voc encontre alguma fonte ou queira melhorar o comentrio mande um e-mail.

    http://socratesfilho.com/cursos-teorico/seguranca-da-informacao-para-concursos/http://socratesfilho.com/cursos-teorico/seguranca-da-informacao-para-concursos/mailto:lhugojr@hotmail.com

  • 1 ISO 17799 / ISO 27002

    1.1 CESPE/UNB

    (CESPE - TCU 2007 Analista de Controle Externo Auditoria em TI)

    1) A NBR 17799 prescreve o uso de gerenciamento quantitativo de riscos.

    A NBR 17799 prescreve o uso de gerenciamento de riscos, mas no prescreve ele da forma quantitativa, como existe no PMBOK. Portanto o tem est errado.

    2) A NBR 17799 prescreve vrios atributos de classificao da informao, entre os quais se encontram os que indicam graus de sensibilidade e criticidade. O grau de sensibilidade de um ativo de informao est mais associado a aspectos de privacidade que o grau de criticidade, este mais relacionado a aspectos negociais.

    O item 7.2 Classificao da informao (7 Gesto de ativos) fala:

    Objetivo: Assegurar que a informao receba um nvel adequado de proteo.

    Convm que a informao seja classificada para indicar a necessidade, prioridades e o nvel esperado de proteo quando do tratamento da informao.

    A informao possui vrios nveis de sensibilidade e criticidade. Alguns itens podem necessitar um nvel adicional de proteo ou tratamento especial. Convm que um sistema de classificao da informao seja usado para definir um conjunto apropriado de nveis de proteo e determinar a necessidade de medidas especiais de tratamento.

    A questo est correta. Portanto temos:

    3) A NBR 17799 prescreve explicitamente que as instalaes de processamento da informao gerenciadas por uma organizao devem estar fisicamente separadas daquelas que so gerenciadas por terceiros. Esse controle est descrito no captulo 9 da referida NBR, juntamente com outros relacionados a ameaas externas como exploses e perturbaes sociais, e controle de acesso com mltiplos fatores de autenticao, como senhas, smart cards e biometria.

    A NBR no faz prescries, que so impositivas, mas recomendaes, que a organizao segue se quiser. Ou seja a norma NO OBRIGA, somente recomenda.

    De novo a ISO 27002 NO OBRIGA, NO faz imposies.

  • (CESPE - TCU 2007 Analista de Controle Externo Tecnologia da Informao)

    4) A seleo de controles de segurana da informao a implantar dever ser fundamentada principalmente na identificao das ameaas aos ativos organizacionais. Para cada ameaa mapeada, devero ser identificados os controles de segurana aplicveis.

    Segundo a norma no item 0.6 Ponto de partida para a segurana da informao:

    Convm observar que, embora todos os controles nesta Norma sejam importantes e devam ser considerados, a relevncia de qualquer controle deve ser determinada segundo os riscos especficos a que uma organizao est exposta. Por isto, embora o enfoque acima seja considerado um bom ponto de partida, ele no substitui a seleo de controles, baseado na anlise/avaliao de riscos.

    Portanto o item est errado a seleo de controles de segurana da informao dever ser fundamentada principalmente na avaliao dos riscos envolvendo ameaas aos ativos organizacionais.

    A norma ainda fala no item 4.2 Tratando os riscos de segurana da informao:

    Para cada um dos riscos identificados, seguindo a anlise/avaliao de riscos, uma deciso sobre o tratamento do risco precisa ser tomada. Possveis opes para o tratamento do risco, incluem:

    a) aplicar controles apropriados para reduzir os riscos; ...

    5) A organizao dever estabelecer um programa avanado de treinamento tcnico em segurana da informao para todos os seus empregados relacionados com a prestao de atividades-fim relacionadas ao seu negcio.

    No item 8.2.2 Conscientizao, educao e treinamento em segurana (8 Segurana em recursos humanos):

    Convm que todos os funcionrios da organizao e, onde pertinente, fornecedores e terceiros recebam treinamento apropriados em conscientizao, e atualizaes regulares nas polticas e procedimentos organizacionais, relevantes para as suas funes.

    A norma nada fala em treinamento avanado para todos os seus empregados. Portanto o item est errado.

    6) Todo evento de segurana da informao identificado no mbito da organizao corresponder a uma ou mais violaes da poltica de segurana da informao da organizao.

    Segundo a norma:

    Evento de Segurana da informao - ocorrncia identificada de um sistema, servio ou rede, que indica uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao.

    Sendo assim nem TODO evento de SI identificado corresponde a uma ou mais violaes. Item errado.

    Tambm vale lembrar o conceito de Incidente de segurana da informao: um incidente de segurana da informao indicado por um simples ou por uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao.

  • 7) Os riscos de segurana da informao identificados no mbito da organizao devero ser analisados quanto s possveis opes de tratamento: mitigao ou reduo; aceitao; eliminao ou contorno; e transferncia. Entre as quatro alternativas de tratamento, a que apresenta maior demanda por implantao de controles a mitigao ou reduo. Os riscos aceitos so os de menor nvel ou que atendam a critrios de avaliao previamente definido.

    No item 4.2 Tratando os riscos de segurana da informao (4 Anlise/avaliao e tratamento de riscos):

    Para cada um dos riscos identificados, seguindo a anlise/avaliao de riscos, uma deciso sobre o tratamento do risco precisa ser tomada. Possveis opes para o tratamento do risco, incluem: a) aplicar controles apropriados para reduzir os riscos; b) conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente poltica da organizao e aos critrios para a aceitao de risco; c) evitar riscos, no permitindo aes que poderiam causar a ocorrncia de riscos; d) transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.

    O item est correto.

    8) A ISO 17799 define diretrizes para certificao de que uma organizao est em conformidade prpria norma. Essa certificao conferida por meio de uma auditoria de terceira parte, nos moldes da ISO 19011.

    A ISO 27002, antiga 17799, no para certificao, somente a ISO 27001 para certificao das empresas.

    9) Conforme a ISO 17799, obrigatrio o relatrio de incidentes de segurana ao ponto de contato designado. Assim, um funcionrio de uma organizao que realiza operaes de alto risco e identifica uma violao de acesso, porm encontra-se sob coao, poder utilizar-se de um mtodo secreto para indicar esse evento de segurana. Esse mtodo conhecido como alarme de coao.

    Mais uma vez, a ISO 27002 no define nada como obrigatrio. Ela no impositiva. Ela somente faz SUGESTES. De novo a ISO 27002 no obriga.

    10) Tendo em vista o ambiente de TI implantado em uma entidade, faz-se necessrio que essa entidade disponha de critrios de aceitao para novos sistemas.

    No item 10.3.2 Aceitao de Sistemas (10 Gerenciamento das operaes):

    Convm que sejam estabelecidos critrios de aceitao para novos sistemas, atualizaes e novas verses, e que sejam efetuados testes apropriados do(s) sistema(s) durante seu desenvolvimento e antes da sua aceitao.

    O item portanto est correto.

    11) Os recursos e os ambientes de desenvolvimento, teste e produo devem interagir permanentemente para a obteno da compatibilidade e da harmonia pretendida.

    No item 12.5.1 Procedimentos para controle de mudanas (12 Aquisio desenvolvimento e manuteno):

    A mudana de software pode ter impacto no ambiente operacional. As boas prticas incluem o teste de novos softwares em um ambiente segregado dos ambientes de produo e de desenvolvimento (ver 10.1.4). Isto fornece um meio de controle sobre o novo software e permite uma proteo adicional informao operacional que utilizada para propsitos de teste. Aplica-se tambm s correes, pacotes de servio e outras atualizaes. Convm que atualizaes automticas no sejam utilizadas em sistemas crticos, pois algumas atualizaes podem causar falhas em aplicaes critica

  • Portanto o item est correto.

    (CESPE SERPRO 2008 Analista de Sistemas - Desenvolvimento)

    12) A norma ISO/IEC 1