O documento discute exercícios de gestão da segurança da informação baseados nas normas ISO 27001, 27002 e 27005. O resumo apresenta uma questão sobre planos de gestão de continuidade do negócio e a necessidade de testes e atualizações periódicas. Além disso, discute a importância da análise crítica da política de segurança da informação considerando tendências de ameaças e vulnerabilidades.
Gestão de segurança da informação para concursos-questões CESPE 04
1. Exercícios de Gestão da Segurança da Informação –
ISO 27001, 27002 e 27005
Também: ISO 27003 e 27004
Módulo 01 : Exercícios CESPE (questões 01 a 50)
Aula 04
Professor Fernando Palma
ITIL Expert, COBIT, OCEB, Exin ISO 27002, Exin ISO 20000
Contato: fpalma@portalgsti.com.br, fernando.palma@gmail.com
www.portalgsti.com.br
Exercícios comentados
2. Sobre este material
Material das aulas de amostra do Módulo 01 – Exercícios CESPE
Aula 04
Curso disponível em: http://www.provasdeti.com.br/por-
professor/a-m/fernando-palma/gsicespex1-para-concursos.html
3. Questão 14
Prova: CESPE - 2011 - Correios - Analista de Correios -
Analista de Sistemas - Suporte de Sistemas
Com relação às normas ABNT NBR ISO/IEC 27001 e 27002,
julgue os itens a seguir.
Em sistemas de gestão de segurança da informação, é
necessário o estabelecimento de um plano de gestão de
continuidade do negócio; entretanto, os testes e as
atualizações desse plano são desnecessários.
Certo Errado
4. Questão 14 - gabarito
Prova: CESPE - 2011 - Correios - Analista de Correios -
Analista de Sistemas - Suporte de Sistemas
Com relação às normas ABNT NBR ISO/IEC 27001 e 27002,
julgue os itens a seguir.
Em sistemas de gestão de segurança da informação, é
necessário o estabelecimento de um plano de gestão de
continuidade do negócio; entretanto, os testes e as
atualizações desse plano são desnecessários.
Certo Errado
5. Norma ISO
27002
5.Política de segurança da informação
6.Organizando a segurança da informação
7.Gestão de Ativos
8.Segurança em recursos humanos
9.Segurança Física e do Ambiente
10.Gerenciamento de operações e comunicações
11.Controle de Acesso
12.Aquisição, desenvolvimento e manutenção de
sistemas da informação
13.Gestão de Incidentes de Segurança da informação
14. Gestão de Continuidade dos Negócios
15.Conformidade
6. 13. Gestão de Incidentes de Segurança da
informação
13.1. Notificação de fragilidades e eventos de segurança da
informação
13.2. Gestão de incidentes de segurança da informação e melhorias
14. Gestão de continuidade do negócio
14.1. Aspectos da gestão da continuidade do
negócio relativos a segurança da informação
7. Questão 14 - comentários
“Em sistemas de gestão de segurança da informação, é necessário o
estabelecimento de um plano de gestão de continuidade do negócio; entretanto,
os testes e as atualizações desse plano são desnecessários. “– Errado
14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança
da informação
14.1.5. Testes, manutenção e reavaliação dos planos de
Controle - Convém que os planos de continuidade do negócio sejam
testados e atualizados regularmente, de forma a assegurar sua permanente
atualização e efetividade.
Diretrizes - Convém que os testes do plano de continuidade do negócio
assegurem que todos os membros da equipe de recuperação e outras
pessoas relevantes estejam conscientes dos planos e de suas
responsabilidades para a continuidade do negócio e a segurança da
informação, e conheçam as suas atividades quando um plano for acionado.
8. Questão 15
Prova: CESPE - 2011 - Correios - Analista de Correios -
Analista de Sistemas - Suporte de Sistemas
Com relação às normas ABNT NBR ISO/IEC 27001 e 27002,
julgue os itens a seguir.
No processo de estabelecimento de um sistema de gestão
de segurança da informação, deve ser definido o escopo,
além de serem analisados e avaliados os riscos.
Certo Errado
9. Questão 15 - gabarito
Prova: CESPE - 2011 - Correios - Analista de Correios -
Analista de Sistemas - Suporte de Sistemas
Com relação às normas ABNT NBR ISO/IEC 27001 e 27002,
julgue os itens a seguir.
No processo de estabelecimento de um sistema de gestão
de segurança da informação, deve ser definido o escopo,
além de serem analisados e avaliados os riscos.
Certo Errado
10. Norma
ISO 27001
0. Introdução 1. Objetivo
2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança
da informação
5. Responsabilidades da direção
6. Auditorias internas do SGSI
7. Análise crítica do SGSI pela direção
8. Melhoria do SGSI
Anexo A
Objetivos
de controle
e controles
Anexo B
Anexo C
Fernando Palma
11. 2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança da informação
4.1 Requisitos gerais
4.2 Estabelecendo e gerenciando o SGSI
4.2.1 Estabelecer o SGSI
4.2.2 Implementar e operar o SGSI
4.2.3 Monitorar e analisar criticamente o SGSI
4.2.4 Manter e melhorar o SGSI
4.3 Requisitos de documentação
4.3.1 Geral
4.3.2 Controle de documentos
4.3.3 Controle de registros
12. Questão 15 - comentários
“No processo de estabelecimento de um sistema de gestão de segurança da
informação, deve ser definido o escopo, além de serem analisados e avaliados os
riscos. “– Certo
4.2.1 Estabelecer o SGSI
“A organização deve:
a) Definir o escopo e os limites do SGSI nos termos das
características do negócio, a organização, sua
localização, ativos e tecnologia, incluindo detalhes e justificativas
para quaisquer exclusões do escopo .
(...)
e) Analisar e avaliar os riscos.
(...)
j) Preparar uma Declaração de Aplicabilidade.”
13. Prova: CESPE - 2011 - CBM-DF - Oficial Bombeiro Militar
Complementar - Informática
O sistema de gestão de segurança da informação definido de
acordo com a norma ISO/IEC 27002 adota o modelo plan-do-
check-act, que visa, entre outros objetivos, à melhoria contínua
e à análise crítica do desempenho e da eficácia do sistema de
gestão de segurança da informação.
Certo Errado
Questão 16
14. Prova: CESPE - 2011 - CBM-DF - Oficial Bombeiro Militar
Complementar - Informática
O sistema de gestão de segurança da informação definido de
acordo com a norma ISO/IEC 27002 adota o modelo plan-do-
check-act, que visa, entrà melhoria contínua e à análise crítica do
desempenho e da ee outros objetivos, ficácia do sistema de
gestão de segurança da informação.
Certo Errado
Questão 16 - gabarito
15. Norma
ISO 27001
0. Introdução 1. Objetivo
2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança
da informação
5. Responsabilidades da direção
6. Auditorias internas do SGSI
7. Análise crítica do SGSI pela direção
8. Melhoria do SGSI
Anexo A
Objetivos
de controle
e controles
Anexo B
Anexo C
Fernando Palma
16. 0. Introdução
0.1 Geral
0.2 Abordagem de processo
0.3 Compatibilidade com outros sistemas de gestão
1. Objetivo
1.1 Geral
1.2 Aplicação
Norma ISO 27001
17. Questão 16 - comentários
“O sistema de gestão de segurança da informação definido de acordo com a
norma ISO/IEC 27002 adota o modelo plan-do-check-act, que visa, entre outros
objetivos, à melhoria contínua e à análise crítica do desempenho e da eficácia
do sistema de gestão de segurança da informação.” Errado.
0.2 Abordagem de processo
“(...) A abordagem de processo para a gestão da segurança da
informação apresentada nesta Norma encoraja que seus usuários
enfatizem a importância de: (...)
c) monitoração e análise crítica do desempenho e eficácia do SGSI;
d) melhoria contínua baseada em medições objetivas.
(...) Esta Norma adota o modelo conhecido como "Plan-Do-Check-
Act” (PDCA), que é aplicado para estruturar todos
os processos do SGSI. (...)”
Norma ISO 27001
18. Prova: CESPE - 2013 - CNJ - Analista Judiciário - Análise de
Sistemas
Como determina a norma ABNT NBR ISO/IEC 27002, para
manutenção e reavaliação dos planos de continuidade do
negócio, deve haver testes de interrupção e recuperação dos
serviços, em que se identifiquem informações relevantes que
precisam ser atualizadas. Entre essas informações, por serem
desnecessárias, não constam nomes, endereços e telefones de
participantes e estratégias de negócio.
Certo Errado
Questão 17
19. Prova: CESPE - 2013 - CNJ - Analista Judiciário - Análise de Sistemas
Como determina a norma ABNT NBR ISO/IEC 27002, para
manutenção e reavaliação dos planos de continuidade do negócio,
deve haver testes de interrupção e recuperação dos serviços, em
que se identifiquem informações relevantes que precisam ser
atualizadas. Entre essas informações, por serem desnecessárias, não
constam nomes, endereços e telefones de participantes e
estratégias de negócio.
Certo Errado
Questão 17 - gabarito
20. Norma ISO
27002
5.Política de segurança da informação
6.Organizando a segurança da informação
7.Gestão de Ativos
8.Segurança em recursos humanos
9.Segurança Física e do Ambiente
10.Gerenciamento de operações e comunicações
11.Controle de Acesso
12.Aquisição, desenvolvimento e manutenção de
sistemas da informação
13.Gestão de Incidentes de Segurança da informação
14. Gestão de Continuidade dos Negócios
15.Conformidade
21. 13. Gestão de Incidentes de Segurança da
informação
13.1. Notificação de fragilidades e eventos de segurança da
informação
13.2. Gestão de incidentes de segurança da informação e melhorias
14. Gestão de continuidade do negócio
14.1. Aspectos da gestão da continuidade do
negócio relativos a segurança da informação
22. Questão 17 - comentários
“Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e
reavaliação dos planos de continuidade do negócio, deve haver testes de
interrupção e recuperação dos serviços, em que se identifiquem informações
relevantes que precisam ser atualizadas. Entre essas informações, por serem
desnecessárias, não constam nomes, endereços e telefones de participantes e
estratégias de negócio. ” Errado.
14.1.5. Teste, manutenção e reavaliação dos planos de continuidade dos
negócios
“Diretrizes – (...) Os exemplos de mudanças onde convém que a
atualização dos planos de continuidade do negócio seja considerada são a
aquisição de novos equipamentos, atualização de sistemas e mudanças de:
a) pessoal; b) endereços ou números telefônicos; c) estratégia de negócio;
d) localização, instalações e recursos; e) legislação: f) prestadores de
serviços. fornecedores e clientes-chave; g) processos (inclusões e
exclusões); h) risco (operacional e financeiro). (...) "
23. Prova: CESPE - 2013 - TCE-RO - Analista de Informática
Com relação às políticas de segurança da informação e
à gerência de riscos, julgue os itens a seguir.
A política de segurança da informação deverá ser
analisada criticamente em intervalos planejados,
incluindo-se na análise as tendências relacionadas a
ameaças e vulnerabilidades.
Certo Errado
Questão 18
24. Prova: CESPE - 2013 - TCE-RO - Analista de Informática
Com relação às políticas de segurança da informação e à
gerência de riscos, julgue os itens a seguir.
A política de segurança da informação deverá ser
analisada criticamente em intervalos planejados,
incluindo-se na análise as tendências relacionadas a
ameaças e vulnerabilidades.
Certo Errado
Questão 18 – gabarito
25. Norma ISO
27002
5.Política de segurança da informação
6.Organizando a segurança da informação
7.Gestão de Ativos
8.Segurança em recursos humanos
9.Segurança Física e do Ambiente
10.Gerenciamento de operações e comunicações
11.Controle de Acesso
12.Aquisição, desenvolvimento e manutenção de
sistemas da informação
13.Gestão de Incidentes de Segurança da informação
14. Gestão de Continuidade dos Negócios
15.Conformidade
26. Questão 18 - comentários
“A política de segurança da informação deverá ser analisada criticamente em
intervalos planejados, incluindo-se na análise as tendências relacionadas a
ameaças e vulnerabilidades. ” Certo.
5.1.2. Análise crítica da política de Segurança da Informação “
Controle – “Convém que a política de segurança da informação seja
analisada criticamente a intervalos planejados ou quando mudanças
significativas ocorrerem, para assegurar a sua contínua pertinência,
adequação e eficácia.”
Diretrizes – “Convém que as entradas para análise crítica pela direção
incluam informações sobre:
a) realimentação das partes interessadas;
b) resultados de análises críticas independentes (...)
g) tendências relacionadas com as ameaças e vulnerabilidades (...);”
27. Prova: CESPE - 2013 - CNJ - Técnico Judiciário -
Programação de Sistemas
A proteção aos recursos computacionais inclui desde
aplicativos e arquivos de dados até utilitários e o
próprio sistema operacional.
Certo Errado
Questão 19
28. Prova: CESPE - 2013 - CNJ - Técnico Judiciário -
Programação de Sistemas
A proteção aos recursos computacionais inclui desde
aplicativos e arquivos de dados até utilitários e o
próprio sistema operacional.
Certo Errado
Questão 19 - gabarito
30. Questão 19 - comentários
“A proteção aos recursos computacionais inclui desde aplicativos e arquivos de
dados até utilitários e o próprio sistema operacional.” - Certo.
2. Controle de acesso lógico
2.3 Que recursos devem ser protegidos?
“A proteção aos recursos computacionais
inclui desde aplicativos e arquivos de dados até
utilitários e o próprio sistema operacional. Abaixo
serão apresentados os motivos pelos quais esses
recursos devem ser protegidos.”
Boas Práticas em Segurança da Informação 4ª edição - TCU
31. Exercícios comentados
Fim da aula 04
Professor Fernando Palma
ITIL Expert, COBIT, OCEB, Exin ISO 27002
Contato: fpalma@portalgsti.com.br, fernando.palma@gmail.com
www.portalgsti.com.br
Módulo 01 : Exercícios CESPE (questões 01 a 50)